Grenzwerte des Azure Key Vault-Diensts
Der Azure Key Vault-Dienst unterstützt zwei Arten von Ressourcen: Tresore und verwaltete HSMs. In den beiden folgenden Abschnitten werden jeweils die entsprechenden Diensteinschränkungen beschrieben.
Ressourcentyp: Tresor
In diesem Abschnitt werden die Diensteinschränkungen für den Ressourcentyp vaults beschrieben.
Schlüsseltransaktionen (maximale Transaktionen innerhalb von 10 Sekunden pro Tresor und Region1):
| Schlüsseltyp | HSM-Schlüssel Erstellungsschlüssel |
HSM-Schlüssel Alle anderen Transaktionen |
Softwareschlüssel Erstellungsschlüssel |
Softwareschlüssel Alle anderen Transaktionen |
|---|---|---|---|---|
| RSA 2.048 Bit | 10 | 2\.000 | 20 | 4\.000 |
| RSA 3.072 Bit | 10 | 500 | 20 | 1\.000 |
| RSA 4.096 Bit | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2\.000 | 20 | 4\.000 |
| ECC P-384 | 10 | 2\.000 | 20 | 4\.000 |
| ECC P-521 | 10 | 2\.000 | 20 | 4\.000 |
| ECC SECP256K1 | 10 | 2\.000 | 20 | 4\.000 |
Hinweis
Der vorstehenden Tabelle ist zu entnehmen, dass für RSA-Softwareschlüssel mit 2.048 Bit 4.000 GET-Transaktionen pro 10 Sekunden zulässig sind. Für RSA-HSM-Schlüssel mit 2.048 Bit sind 2.000 GET-Transaktionen pro 10 Sekunden zulässig.
Die genannten Schwellenwerte für die Drosselung sind gewichtet, und ihre Summe wird erzwungen. Wie in der vorherigen Tabelle gezeigt fällt für das Ausführen von GET-Vorgängen mit RSA-HSM-Schlüsseln bei Verwendung eines 4.096-Bit-Schlüssels ein achtmal größerer Aufwand als mit einem 2.048-Bit-Schlüssel an. Der Grund dafür ist: 2.000/250 = 8.
Innerhalb eines 10-Sekunden-Intervalls kann ein Azure Key Vault-Client nur einen der folgenden Vorgänge ausführen, bevor der HTTP-Statuscode zur Drosselung auftritt:
- 4.000 GET-Transaktionen für RSA 2.048-Bit-Softwareschlüssel
- 2.000 GET-Transaktionen für RSA 2.048-Bit-HSM-Schlüssel
- 250 GET-Transaktionen für RSA 4.096-Bit-HSM-Schlüssel
- 248 GET-Transaktionen für RSA 4.096-Bit-HSM-Schlüssel und 16 GET-Transaktionen für RSA 2.048-Bit-HSM-Schlüssel
Geheimnisse, Schlüssel für verwaltete Speicherkonten und Tresortransaktionen:
| Transaktionstyp | Maximal zulässige Transaktionen innerhalb von 10 Sekunden pro Tresor und Region1 |
|---|---|
| `Secret` CREATE „Geheimnis“ |
300 |
| Alle anderen Transaktionen | 4\.000 |
Informationen zur Handhabung der Drosselung bei Überschreiten dieser Grenzwerte finden Sie unter Anleitung zur Drosselung von Azure Key Vault.
1 Für alle Transaktionsarten gilt als abonnementweiter Grenzwert das Fünffache des Schlüsseltresorlimits.
Sichern von Schlüsseln, Geheimnissen, Zertifikaten
Wenn Sie ein Schlüsseltresorobjekt (Geheimnis, Schlüssel oder Zertifikat) sichern, wird das Objekt beim Sicherungsvorgang als verschlüsseltes Blob heruntergeladen. Dieses Blob kann außerhalb von Azure nicht entschlüsselt werden. Um verwendbare Daten aus diesem Blob zu erhalten, müssen Sie das Blob in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und derselben Azure-Geografie wiederherstellen.
| Transaktionstyp | Maximal zulässige Schlüsseltresor-Objektversionen |
|---|---|
| Sichern eines einzelnen Schlüssels, eines Geheimnisses oder eines Zertifikats | 500 |
Hinweis
Wenn Sie beim Sichern eines Schlüssels, eines Geheimnisses oder eines Zertifikatobjekts die maximal mögliche Anzahl von Versionen überschreiten, tritt ein Fehler auf. Es ist nicht möglich, frühere Versionen eines Schlüssels, Geheimnisses oder Zertifikats zu löschen.
Grenzwerte für Anzahl von Schlüsseln, Geheimnissen und Zertifikaten:
Für Key Vault ist die Anzahl von Schlüsseln, Geheimnissen oder Zertifikaten, die in einem Tresor gespeichert werden können, nicht beschränkt. Die Transaktionsgrenzwerte für den Tresor sollten berücksichtigt werden, um sicherzustellen, dass Vorgänge nicht gedrosselt werden.
Von Key Vault wird die Anzahl von Versionen eines Geheimnisses, Schlüssels oder Zertifikats nicht beschränkt, aber die Speicherung einer großen Anzahl von Versionen (mehr als 500) kann die Leistung von Sicherungsvorgängen beeinträchtigen. Weitere Informationen finden Sie unter Sicherung in Azure Key Vault.
Ressourcentyp: verwaltetes HSM
In diesem Abschnitt werden die Diensteinschränkungen für den Ressourcentyp managed HSM beschrieben.
Objektgrenzwerte
| Element | Grenzwerte |
|---|---|
| Anzahl von HSM-Instanzen pro Abonnement und Region | 5 |
| Anzahl von Schlüsseln pro HSM-Instanz | 5.000 |
| Anzahl von Versionen pro Schlüssel | 100 |
| Anzahl benutzerdefinierter Rollendefinitionen pro HSM-Instanz | 50 |
| Anzahl von Rollenzuweisungen im HSM-Bereich | 50 |
| Anzahl von Rollenzuweisungen in jedem einzelnen Schlüsselbereich | 10 |
Transaktionsgrenzwerte für administrative Vorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
| Vorgang | Anzahl von Vorgängen pro Sekunde |
|---|---|
| Alle RBAC-Vorgänge (einschließlich aller CRUD-Vorgänge für Rollendefinitionen und -zuweisungen) |
5 |
| Vollständige HSM-Sicherung/-Wiederherstellung (nur ein gleichzeitiger Sicherungs- oder Wiederherstellungsvorgang pro HSM-Instanz wird unterstützt) |
1 |
Transaktionsgrenzwerte für kryptografische Vorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
- Jede verwaltete HSM-Instanz umfasst drei HSM-Partitionen mit Lastenausgleich. Bei den Durchsatzgrenzwerten handelt es sich um eine Funktion der zugrunde liegenden Hardwarekapazität, die der jeweiligen Partition zugeordnet ist. Die folgenden Tabellen geben Aufschluss über den maximalen Durchsatz mit mindestens einer verfügbaren Partition. Der tatsächliche Durchsatz kann bis zu drei Mal höher sein, wenn alle drei Partitionen verfügbar sind.
- Bei den angegebenen Durchsatzgrenzwerten wird von der Verwendung eines einzelnen Schlüssels ausgegangen, um maximalen Durchsatz zu erzielen. Bei Verwendung eines einzelnen RSA-2048-Schlüssels liegt der maximale Durchsatz beispielsweise bei 1.100 Signierungsvorgängen. Wenn Sie 1.100 unterschiedliche Schlüssel mit jeweils einer Transaktion pro Sekunde verwenden, kann dieser Durchsatz nicht erreicht werden.
RSA-Schlüsselvorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
| Vorgang | 2\.048 Bit | 3\.072 Bit | 4\.096 Bit |
|---|---|---|---|
| Schlüssel erstellen | 1 | 1 | 1 |
| Schlüssel löschen (vorläufiges Löschen) | 10 | 10 | 10 |
| Schlüssel endgültig löschen | 10 | 10 | 10 |
| Sichern eines Schlüssels | 10 | 10 | 10 |
| Schlüssel wiederherstellen | 10 | 10 | 10 |
| Schlüsselinformationen abrufen | 1100 | 1100 | 1100 |
| Verschlüsseln | 10000 | 10000 | 6000 |
| Entschlüsseln | 1100 | 360 | 160 |
| Umschließen | 10000 | 10000 | 6000 |
| Aufheben der Umschließung | 1100 | 360 | 160 |
| Signieren | 1100 | 360 | 160 |
| Überprüfung | 10000 | 10000 | 6000 |
EC-Schlüsselvorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
Die folgende Tabelle gibt Aufschluss über die Anzahl von Vorgängen pro Sekunde für die einzelnen Kurventypen:
| Vorgang | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Schlüssel erstellen | 1 | 1 | 1 | 1 |
| Schlüssel löschen (vorläufiges Löschen) | 10 | 10 | 10 | 10 |
| Schlüssel endgültig löschen | 10 | 10 | 10 | 10 |
| Sichern eines Schlüssels | 10 | 10 | 10 | 10 |
| Schlüssel wiederherstellen | 10 | 10 | 10 | 10 |
| Schlüsselinformationen abrufen | 1100 | 1100 | 1100 | 1100 |
| Signieren | 260 | 260 | 165 | 56 |
| Überprüfung | 130 | 130 | 82 | 28 |
AES-Schlüsselvorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
- Bei Verschlüsselungs- und Entschlüsselungsvorgängen wird von einer Paketgröße von 4 KB ausgegangen.
- Durchsatzgrenzwerte für Verschlüsseln/Entschlüsseln gelten für AES-CBC- und AES-GCM-Algorithmen.
- Durchsatzgrenzwerte für Umschließen/Aufheben der Umschließung gelten für den AES-KW-Algorithmus.
| Vorgang | 128 Bit | 192 Bit | 256 Bit |
|---|---|---|---|
| Schlüssel erstellen | 1 | 1 | 1 |
| Schlüssel löschen (vorläufiges Löschen) | 10 | 10 | 10 |
| Schlüssel endgültig löschen | 10 | 10 | 10 |
| Sichern eines Schlüssels | 10 | 10 | 10 |
| Schlüssel wiederherstellen | 10 | 10 | 10 |
| Schlüsselinformationen abrufen | 1100 | 1100 | 1100 |
| Verschlüsseln | 8.000 | 8.000 | 8.000 |
| Entschlüsseln | 8.000 | 8.000 | 8.000 |
| Umschließen | 9000 | 9000 | 9000 |
| Aufheben der Umschließung | 9000 | 9000 | 9000 |