حدود خدمة Azure Key Vault
تدعم خدمة Azure Key Vault نوعين من الموارد: أقبية وHSM المدار. يصف القسمان التاليان حدود الخدمة لكل واحد منهم على التوالي.
نوع المورد: قبو
يصف هذا القسم حدود الخدمة لنوع المورد vaults.
المعاملات الرئيسية (الحد الأقصى للمعاملات المسموح بها في 10 ثوانٍ لكل قبو لكل منطقة1):
| نوع المفتاح | مفتاح HSM مفتاح CREATE |
مفتاح HSM جميع المعاملات الأخرى |
مفتاح البرنامج مفتاح CREATE |
مفتاح البرنامج جميع المعاملات الأخرى |
|---|---|---|---|---|
| RSA 2,048 بت | 10 | 2,000 | 20 | 4,000 |
| RSA 3,072 بت | 10 | 500 | 20 | 1,000 |
| RSA 4,096 بت | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4,000 |
| ECC P-384 | 10 | 2,000 | 20 | 4,000 |
| ECC P-521 | 10 | 2,000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4,000 |
ملاحظة
في الجدول السابق، نرى أنه بالنسبة لمفاتيح البرامج RSA 2,048 بت، يسمح بـ 4,000 معاملة GET لكل 10 ثوانٍ. بالنسبة لمفاتيح HSM 2,048 بت RSA، يسمح بإجراء 2000 عملية GET لكل 10 ثوانٍ.
يتم ترجيح عتبات الاختناق، والإنفاذ على مجموعها. على سبيل المثال، كما هو موضح في الجدول السابق، عند تنفيذ عمليات GET على مفاتيح RSA لـ HSM، فإنه من الأغلى ثمانِي مرات استخدام مفاتيح 4,096 بت مقارنة بمفاتيح 2,048 بت. وذلك لأن 2,000/250 = 8.
في فاصل زمني معين مقداره 10 ثوانٍ، يمكن لعميل Azure Key Vault القيام بواحدة فقط من العمليات التالية قبل أن يواجه 429 رمز حالة HTTP الخانق:
- 4,000 RSA 2,048 بت معاملات GET لمفتاح برنامج
- معاملات GET لمفتاح HSM 2,000 RSA 2,048-بت
- معاملات GET لمفتاح HSM 250 RSA 4,096-بت
- معاملات GET لمفتاح HSM 248 RSA 4,096-بت ومعاملات GET لمفتاح HSM 16 RSA 2,048
الأسرار ومفاتيح حسابات التخزين المدارة ومعاملات القبو:
| نوع المعاملات | الحد الأقصى للمعاملات المسموح بها في 10 ثوانٍ، لكل قبو لكل منطقة1 |
|---|---|
| سري إنشاء بيانات سرية |
300 |
| جميع المعاملات الأخرى | 4,000 |
للحصول على معلومات حول كيفية التعامل مع الاختناق عند تجاوز هذه الحدود، راجع توجيه اختناق Azure Key Vault.
1 الحد الأقصى على مستوى الاشتراك لجميع أنواع المعاملات هو خمس مرات لكل حد قبو مفتاح.
مفاتيح النسخ الاحتياطي، الأسرار، الشهادات
عند إجراء نسخ احتياطي لأحد عناصر key vault مثل البيانات السرية أو المفتاح أو الشهادة، ستقوم عملية النسخ الاحتياطي بتنزيل العنصر كنقطة مشفرة. لا يمكن فك تشفير هذه النقطة خارج Azure. للحصول على بيانات قابلة للاستخدام من هذه النقطة، يجب استعادة النقطة إلى قبو مفتاح ضمن نفس اشتراك Azure وجغرافية Azure
| نوع المعاملات | الحد الأقصى لإصدارات كائن قبو المفتاح المسموح بها |
|---|---|
| النسخ الاحتياطي لمفتاح وسر وشهادة فرديين | 500 |
ملاحظة
محاولة النسخ الاحتياطي لكائن مفتاح أو سر أو شهادة مع إصدارات أكثر من الحد المذكور أعلاه سيؤدي إلى حدوث خطأ. من غير الممكن حذف الإصدارات السابقة من المفاتيح أو البيانات السرية أو الشهادات.
القيود المفروضة على عدد المفاتيح والأسرار والشهادات:
لا يقيد Key Vault عدد المفاتيح أو الأسرار أو الشهادات التي يمكن تخزينها في قبو. يجب أن تؤخذ حدود المعاملة على الخزنة في الاعتبار لضمان عدم خنق العمليات.
لا يقيد Key Vault عدد الإصدارات على سر أو مفتاح أو شهادة، ولكن قد يؤثر تخزين عدد كبير من الإصدارات (500+) على أداء عمليات النسخ الاحتياطي. راجع النسخ الاحتياطي لـ Azure Key Vault.
نوع المورد: إدارة HSM
يصف هذا القسم حدود الخدمة لنوع المورد managed HSM.
حدود الكائن
| Item | الحدود |
|---|---|
| عدد مثيلات HSM لكل اشتراك لكل منطقة | 5 |
| عدد المفاتيح لكل مثيل HSM | 5000 |
| عدد الإصدارات لكل مفتاح | 100 |
| عدد تعريفات الدور المخصص لكل مثيل HSM | 50 |
| عدد تعيينات الأدوار في نطاق HSM | 50 |
| عدد تعيينات الدور في كل نطاق مفتاح فردي | 10 |
حدود المعاملات للعمليات الإدارية (عدد العمليات في الثانية لكل مثيل HSM)
| التشغيل | عدد العمليات في الثانية |
|---|---|
| جميع عمليات التحكم في الوصول استناداً إلى الدور (يتضمن جميع عمليات CRUD لتعريفات الأدوار وتعيينات الأدوار) |
5 |
| النسخ الاحتياطي الكامل HSM / استعادة (تُدعم فقط عملية واحدة للنسخ الاحتياطي المتزامن أو الاستعادة المتزامنة لكل مثيل HSM) |
1 |
حدود الحركة لعمليات التشفير (عدد العمليات في الثانية لكل مثيل HSM)
- يشكل كل مثيل HSM مُدار ثلاثة أقسام تحميل متوازن لـ HSM. حدود معدل النقل هي دالة من سعة الأجهزة الأساسية المخصصة لكل قسم. تعرض الجداول أدناه الحد الأقصى لمعدل النقل مع توفر قسم واحد على الأقل. قد يكون معدل النقل الفعلي أعلى بثلاث مرات إذا توفرت جميع الأقسام الثلاثة.
- تفترض حدود معدل النقل المشار إليها أن مفتاحاً واحداً يتم استخدامه لتحقيق أقصى إنتاجية. على سبيل المثال، إذا تم استخدام مفتاح RSA-2048 واحد، فإن الحد الأقصى لمعدل النقل سيكون 1100 عملية توقيع. إذا كنت تستخدم 1100 مفاتيح مختلفة مع معاملة واحدة في الثانية لكل منهما، فإنها لن تكون قادرة على تحقيق نفس معدل النقل.
عمليات مفتاح RSA (عدد العمليات في الثانية لكل مثيل HSM)
| التشغيل | 2048 بت | 3072 بت | 4096 بت |
|---|---|---|---|
| مفتاح إنشاء | 1 | 1 | 1 |
| مفتاح الحذف (حذف مبدئي) | 10 | 10 | 10 |
| مفتاح التطهير | 10 | 10 | 10 |
| مفتاح النسخة الاحتياطية | 10 | 10 | 10 |
| مفتاح الاستعادة | 10 | 10 | 10 |
| الحصول على معلومات أساسية | 1100 | 1100 | 1100 |
| تشفير | 10000 | 10000 | 6000 |
| فك تشفير | 1100 | 360 | 160 |
| تقييد | 10000 | 10000 | 6000 |
| فك التقييد | 1100 | 360 | 160 |
| تسجيل | 1100 | 360 | 160 |
| التحقق | 10000 | 10000 | 6000 |
عمليات مفتاح EC (عدد العمليات في الثانية لكل مثيل HSM)
يصف هذا الجدول عدد العمليات في الثانية لكل نوع منحنى.
| التشغيل | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| مفتاح إنشاء | 1 | 1 | 1 | 1 |
| مفتاح الحذف (حذف مبدئي) | 10 | 10 | 10 | 10 |
| مفتاح التطهير | 10 | 10 | 10 | 10 |
| مفتاح النسخة الاحتياطية | 10 | 10 | 10 | 10 |
| مفتاح الاستعادة | 10 | 10 | 10 | 10 |
| الحصول على معلومات أساسية | 1100 | 1100 | 1100 | 1100 |
| تسجيل | 260 | 260 | 165 | 56 |
| التحقق | 130 | 130 | 82 | 28 |
عمليات مفتاح AES (عدد العمليات في الثانية لكل مثيل HSM)
- تفترض عمليات التشفير وفك التشفير حجم حزمة 4 كيلوبايت.
- تنطبق حدود معدل النقل للتشفير/فك التشفير على خوارزميات AES-CBC وAES-GCM.
- تنطبق حدود معدل النقل للالتفاف/إلغاء الالتفاف على خوارزمية AES-KW.
| التشغيل | 128 بت | 192 بت | 256 بت |
|---|---|---|---|
| مفتاح إنشاء | 1 | 1 | 1 |
| مفتاح الحذف (حذف مبدئي) | 10 | 10 | 10 |
| مفتاح التطهير | 10 | 10 | 10 |
| مفتاح النسخة الاحتياطية | 10 | 10 | 10 |
| مفتاح الاستعادة | 10 | 10 | 10 |
| الحصول على معلومات أساسية | 1100 | 1100 | 1100 |
| تشفير | 8000 | 8000 | 8000 |
| فك تشفير | 8000 | 8000 | 8000 |
| تقييد | 9000 | 9000 | 9000 |
| فك التقييد | 9000 | 9000 | 9000 |