Omezení služby Azure Key Vault
Služba Azure Key Vault podporuje dva typy prostředků: trezory a spravované HSM. Následující dvě části popisují limity služeb pro každou z nich.
Typ prostředku: trezor
Tato část popisuje limity služeb pro typ vaultsprostředku .
Klíčové transakce (maximální počet transakcí povolených za 10 sekund na trezor na oblast1):
| Typ klíče | Klíč HSM CREATE key |
Klíč HSM Všechny ostatní transakce |
Softwarový klíč CREATE key |
Softwarový klíč Všechny ostatní transakce |
|---|---|---|---|---|
| 2 048bitová verze RSA | 10 | 2,000 | 20 | 4 000 |
| 3 072bitová verze RSA | 10 | 500 | 20 | 1000 |
| 4 096bitová verze RSA | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4 000 |
| ECC P-384 | 10 | 2,000 | 20 | 4 000 |
| ECC P-521 | 10 | 2,000 | 20 | 4 000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4 000 |
Poznámka:
V předchozí tabulce vidíme, že u 2 048bitových softwarových klíčů RSA je povoleno 4 000 transakcí GET za 10 sekund. U 2 048bitových klíčů HSM RSA je povolených 2 000 transakcí GET za 10 sekund.
Prahové hodnoty omezování jsou vážené a vynucení je na jejich součtu. Například, jak je znázorněno v předchozí tabulce, když provádíte operace GET s klíči RSA HSM, je osmkrát dražší používat 4 096bitové klíče v porovnání s 2 048bitovými klíči. Je to proto, že 2 000/250 = 8.
V daném 10sekundovém intervalu může klient služby Azure Key Vault provádět pouze jednu z následujících operací, než narazí na stavový kód HTTP s omezováním 429 :
- 4 000 TRANSAKCÍ GET s 2 048bitovým softwarovým klíčem
- 2 000 TRANSAKCÍ GET s 2 048bitovými klíči HSM
- 250 transakcí GET s 4 096bitovým hsm-key RSA
- 248 transakcí GET s 4 096bitovými klíči HSM a 16 2 048bitovými transakcemi GET klíče HSM RSA
Tajné kódy, klíče spravovaného účtu úložiště a transakce trezoru:
| Typ transakcí | Maximální počet povolených transakcí za 10 sekund na trezor na oblast1 |
|---|---|
| Tajný VYTVOŘIT tajný klíč |
300 |
| Všechny ostatní transakce | 4 000 |
Informace o tom, jak zvládnout omezování při překročení těchto limitů, najdete v doprovodných materiálech k omezování služby Azure Key Vault.
1 Limit pro celé předplatné pro všechny typy transakcí je pětkrát na limit trezoru klíčů.
Zálohovací klíče, tajné kódy, certifikáty
Když zálohujete objekt trezoru klíčů, jako je tajný klíč, klíč nebo certifikát, operace zálohování stáhne objekt jako šifrovaný objekt blob. Tento objekt blob nelze dešifrovat mimo Azure. Pokud chcete získat použitelná data z tohoto objektu blob, musíte objekt blob obnovit do trezoru klíčů ve stejném předplatném Azure a zeměpisné oblasti Azure.
| Typ transakcí | Maximální povolená verze objektů trezoru klíčů |
|---|---|
| Zálohování jednotlivých klíčů, tajných klíčů, certifikátů | 500 |
Poznámka:
Při pokusu o zálohování klíče, tajného klíče nebo objektu certifikátu s více verzemi, než je vyšší limit, dojde k chybě. Předchozí verze klíče, tajného klíče nebo certifikátu není možné odstranit.
Omezení počtu klíčů, tajných klíčů a certifikátů:
Key Vault neomezuje počet klíčů, tajných klíčů nebo certifikátů, které je možné uložit v trezoru. Je třeba vzít v úvahu limity transakcí v trezoru, aby se zajistilo, že operace nejsou omezené.
Key Vault neomezuje počet verzí na tajném klíči, klíči nebo certifikátu, ale ukládání velkého počtu verzí (500+) může mít vliv na výkon operací zálohování. Viz Zálohování služby Azure Key Vault.
Typ prostředku: Spravovaný HSM
Tato část popisuje limity služeb pro typ managed HSMprostředku .
Limity objektů
| Položka | Omezení |
|---|---|
| Počet instancí HSM na předplatné na oblast | 5 |
| Počet klíčů na instanci HSM | 5000 |
| Počet verzí na klíč | 100 |
| Počet vlastních definic rolí na instanci HSM | 50 |
| Počet přiřazení rolí v oboru HSM | 50 |
| Počet přiřazení rolí v každém rozsahu jednotlivých klíčů | 10 |
Limity transakcí pro operace správy (počet operací za sekundu na instanci HSM)
| Operace | Počet operací za sekundu |
|---|---|
| Všechny operace RBAC (zahrnuje všechny operace CRUD pro definice rolí a přiřazení rolí) |
5 |
| Úplné zálohování a obnovení HSM (podporuje se pouze jedna souběžná operace zálohování nebo obnovení na instanci HSM) |
0 |
Limity transakcí pro kryptografické operace (počet operací za sekundu na instanci HSM)
- Každá spravovaná instance HSM představuje tři oddíly HSM s vyrovnáváním zatížení. Limity propustnosti jsou funkcí základní hardwarové kapacity přidělené jednotlivým oddílům. Následující tabulky ukazují maximální propustnost s alespoň jedním dostupným oddílem. Skutečná propustnost může být až 3x vyšší, pokud jsou k dispozici všechny tři oddíly.
- Limity propustnosti předpokládají, že k dosažení maximální propustnosti se používá jeden klíč. Pokud se například použije jeden klíč RSA-2048, bude maximální propustnost 1100 operací se znaménkem. Pokud použijete 1100 různých klíčů s jednou transakcí za sekundu, nebudou moct dosáhnout stejné propustnosti.
Operace klíče RSA (počet operací za sekundu na instanci HSM)
| Operace | 2048 bitů | 3072 bitů | 4096 bitů |
|---|---|---|---|
| Vytvořit klíč | 1 | 1 | 1 |
| Odstranit klíč (obnovitelné odstranění) | 10 | 10 | 10 |
| Vyprázdnit klíč | 10 | 10 | 10 |
| Záložní klíč | 10 | 10 | 10 |
| Obnovit klíč | 10 | 10 | 10 |
| Získání klíčových informací | 1100 | 1100 | 1100 |
| Šifrování | 10000 | 10000 | 6000 |
| Dešifrování | 1100 | 360 | 160 |
| Zalomení | 10000 | 10000 | 6000 |
| Rozbalit | 1100 | 360 | 160 |
| Podepsat | 1100 | 360 | 160 |
| Ověření | 10000 | 10000 | 6000 |
Operace s klíčem EC (počet operací za sekundu na instanci HSM)
Tato tabulka popisuje počet operací za sekundu pro každý typ křivky.
| Operace | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Vytvořit klíč | 1 | 1 | 1 | 1 |
| Odstranit klíč (obnovitelné odstranění) | 10 | 10 | 10 | 10 |
| Vyprázdnit klíč | 10 | 10 | 10 | 10 |
| Záložní klíč | 10 | 10 | 10 | 10 |
| Obnovit klíč | 10 | 10 | 10 | 10 |
| Získání klíčových informací | 1100 | 1100 | 1100 | 1100 |
| Podepsat | 260 | 260 | 165 | 56 |
| Ověření | 130 | 130 | 82 | 28 |
Klíčové operace AES (počet operací za sekundu na instanci HSM)
- Operace šifrování a dešifrování předpokládají velikost paketu 4 kB.
- Omezení propustnosti pro šifrování a dešifrování platí pro algoritmy AES-CBC a AES-GCM.
- Omezení propustnosti pro algoritmus Wrap/Unwrap platí pro algoritmus AES-KW.
| Operace | 128bitová verze | 192bitová verze | 256bitová verze |
|---|---|---|---|
| Vytvořit klíč | 1 | 1 | 1 |
| Odstranit klíč (obnovitelné odstranění) | 10 | 10 | 10 |
| Vyprázdnit klíč | 10 | 10 | 10 |
| Záložní klíč | 10 | 10 | 10 |
| Obnovit klíč | 10 | 10 | 10 |
| Získání klíčových informací | 1100 | 1100 | 1100 |
| Šifrování | 8000 | 8000 | 8000 |
| Dešifrování | 8000 | 8000 | 8000 |
| Zalomení | 9000 | 9000 | 9000 |
| Rozbalit | 9000 | 9000 | 9000 |