Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Der Azure Key Vault-Dienst unterstützt zwei Arten von Ressourcen: Tresore und verwaltete HSMs. In den beiden folgenden Abschnitten werden jeweils die entsprechenden Diensteinschränkungen beschrieben.
Key Vault
Die folgenden Grenzwerte gelten für standardmäßige Key Vault-Vorgänge, einschließlich Transaktionsratenbeschränkungen für Schlüssel, geheime Schlüssel und Zertifikate. Azure Key Vault umfasst Grenzwerte für den Transaktionsdurchsatz und API-Anforderungen, um die Dienstresilienz und Verfügbarkeit sicherzustellen. Diese Grenzwerte dienen dazu, Anwendungen zu identifizieren, die sich negativ auf andere Key Vault-Kunden auswirken können, während Sie weiterhin Ihre betrieblichen Anforderungen erfüllen können. Informationen zur Behandlung von Drosselung, wenn diese Grenzwerte überschritten werden, finden Sie unter Azure Key Vault-Einschränkungsanleitungen.
Ressourcentyp: Tresor
In diesem Abschnitt werden die Diensteinschränkungen für den Ressourcentyp vaults beschrieben.
Wichtige Transaktionen (maximale Anzahl von Transaktionen in 10 Sekunden, pro Tresor pro Region1)
| Schlüsseltyp | HSM-Schlüssel Erstellungsschlüssel |
HSM-Schlüssel Alle anderen Transaktionen |
Softwareschlüssel Erstellungsschlüssel |
Softwareschlüssel Alle anderen Transaktionen |
|---|---|---|---|---|
| RSA 2,048-Bit | 10 | 2,000 | 20 | 4,000 |
| RSA 3.072-Bit | 10 | 500 | 20 | 1,000 |
| RSA 4.096 Bit | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4,000 |
| ECC P-384 | 10 | 2,000 | 20 | 4,000 |
| ECC P-521 | 10 | 2,000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4,000 |
Note
Der vorstehenden Tabelle ist zu entnehmen, dass für RSA-Softwareschlüssel mit 2.048 Bit 4.000 GET-Transaktionen pro 10 Sekunden zulässig sind. Für RSA-HSM-Schlüssel mit 2.048 Bit sind 2.000 GET-Transaktionen pro 10 Sekunden zulässig.
Die Schwellenwerte für die Drosselung sind gewichtet, und es wird ihre Summe erzwungen. Wie in der vorherigen Tabelle gezeigt fällt für das Ausführen von GET-Vorgängen mit RSA-HSM-Schlüsseln bei Verwendung eines 4.096-Bit-Schlüssels ein achtmal größerer Aufwand als mit einem 2.048-Bit-Schlüssel an, weil 2,000/250 = 8.
Innerhalb eines 10-Sekunden-Intervalls kann ein Azure Key Vault-Client nur einen der folgenden Vorgänge ausführen, bevor der HTTP-Statuscode 429 zur Drosselung auftritt:
- 4.000 GET-Transaktionen für RSA 2.048-Bit-Softwareschlüssel
- 2.000 GET-Transaktionen für 2.048-Bit-HSM-RSA-Schlüssel
- 250 GET-Transaktionen für 4.096-Bit-HSM-RSA-Schlüssel
- 248 GET-Transaktionen für RSA 4.096-Bit-HSM-Schlüssel und 16 GET-Transaktionen für RSA 2.048-Bit-HSM-Schlüssel
Geheimnisse, Schlüssel für verwaltete Speicherkonten und Tresortransaktionen
| Transaktionstyp | Maximal erlaubte Anzahl an Transaktionen in 10 Sekunden, pro Tresor und Region1 |
|---|---|
| Secret ERSTELLEN eines Geheimnisses |
300 (insgesamt über alle drei Operationen) |
| Certificate IMPORT-Zertifikat |
300 (insgesamt über alle drei Operationen) |
| Key Import-Schlüssel |
300 (insgesamt über alle drei Operationen) |
| Alle anderen Transaktionen | 4,000 |
Note
Der Grenzwert von 300 Transaktionen gilt gemeinsam für die Vorgänge "CREATE secret", "IMPORT certificate" und "IMPORT key". Wenn Sie z. B. innerhalb von 10 Sekunden 100 Geheimnisse erstellen, 100 Zertifikate importieren und 100 Schlüssel importieren, erreichen Sie den Grenzwert und die Drosselung. Informationen zur Handhabung der Drosselung bei Überschreiten dieser Grenzwerte finden Sie unter Anleitung zur Drosselung von Azure Key Vault.
1 Für alle Transaktionsarten gilt als abonnementweiter Grenzwert das Fünffache des Schlüsseltresorlimits.
Sichern von Schlüsseln, Geheimnissen, Zertifikaten
Wenn Sie ein Schlüsseltresorobjekt (Geheimnis, Schlüssel oder Zertifikat) sichern, wird das Objekt beim Sicherungsvorgang als verschlüsseltes Blob heruntergeladen. Dieses Blob kann außerhalb von Azure nicht entschlüsselt werden. Um verwendbare Daten aus diesem Blob zu erhalten, müssen Sie das Blob in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und derselben Azure-Geografie wiederherstellen.
| Transaktionstyp | Maximal zulässige Schlüsseltresor-Objektversionen |
|---|---|
| Sichern eines einzelnen Schlüssels, eines Geheimnisses oder eines Zertifikats | 500 |
Note
Wenn Sie versuchen, ein Schlüssel-, Geheimnis- oder Zertifikatobjekt mit mehr Versionen als dem Grenzwert zu sichern, führt der Vorgang zu einem Fehler. Es ist nicht möglich, frühere Versionen eines Schlüssels, Geheimnisses oder Zertifikats zu löschen.
Grenzwerte für Anzahl von Schlüsseln, Geheimnissen und Zertifikaten
Für Key Vault ist die Anzahl von Schlüsseln, Geheimnissen oder Zertifikaten, die in einem Tresor gespeichert werden können, nicht beschränkt. Die Transaktionsgrenzwerte für den Tresor sollten berücksichtigt werden, um sicherzustellen, dass Vorgänge nicht gedrosselt werden.
Von Key Vault wird die Anzahl von Versionen eines Geheimnisses, Schlüssels oder Zertifikats nicht beschränkt, aber die Speicherung einer großen Anzahl von Versionen (mehr als 500) kann die Leistung von Sicherungsvorgängen beeinträchtigen. Weitere Informationen finden Sie unter Sicherung in Azure Key Vault.
Schlüsseltresor: Verwaltetes HSM
Verwaltetes HSM bietet dedizierte HSM-Instanzen mit unterschiedlichen Grenzwerten als standard Key Vault Vaults. Ausführliche Informationen zu Leistungsmerkmalen und Kapazitätsplanung für Ihre verwalteten HSM-Workloads finden Sie unter Azure Managed HSM-Skalierungsleitfaden.
Ressourcentyp: verwaltetes HSM
In diesem Abschnitt werden die Diensteinschränkungen für den Ressourcentyp managed HSM beschrieben.
Objektgrenzwerte
| Item | Limits |
|---|---|
| Anzahl von HSM-Instanzen pro Abonnement und Region | 5 |
| Anzahl von Schlüsseln pro HSM-Instanz | 5000 |
| Anzahl von Versionen pro Schlüssel | 100 |
| Anzahl benutzerdefinierter Rollendefinitionen pro HSM-Instanz | 50 |
| Anzahl von Rollenzuweisungen im HSM-Bereich | 50 |
| Anzahl von Rollenzuweisungen in jedem einzelnen Schlüsselbereich | 10 |
Detaillierte Anleitungen zur Kapazitätsplanung und Skalierung der Leistung finden Sie unter Skalierungsleitfaden für Azure veraltetes HSM.