Límites de servicio Azure Key Vault

El servicio Azure Key Vault admite dos tipos de recursos: almacenes y HSM administrados. En las dos secciones siguientes se describen los límites de servicio para cada uno de ellos, respectivamente.

Tipo de recurso: almacén

En esta sección se describen los límites de servicio para el tipo de recurso vaults.

Transacciones clave (n.º máximo de transacciones permitidas en 10 segundos, por almacén y región1):

Tipo de clave Clave HSM
Clave CREATE
Clave HSM
Las restantes transacciones
Clave de software
Clave CREATE
Clave de software
Las restantes transacciones
2048 bits de RSA 10 2\.000 20 4\.000
3072 bits de RSA 10 500 20 1,000
4096 bits de RSA 10 250 20 500
ECC P-256 10 2\.000 20 4\.000
ECC P-384 10 2\.000 20 4\.000
ECC P-521 10 2\.000 20 4\.000
ECC SECP256K1 10 2\.000 20 4\.000

Nota:

En la tabla anterior, vemos que para las claves de software de 2048 bits RSA, se permiten 4000 transacciones GET cada 10 segundos. Para las claves HSM de 2048 bits RSA, se permiten 2000 transacciones GET cada 10 segundos.

Los umbrales de limitación se ponderan y el cumplimiento se basa en su suma. Por ejemplo, como se ha mostrado en la tabla anterior, al realizar operaciones GET en las claves HSM RSA, resulta ocho veces más costoso usar claves de 4096 bits en comparación con las claves de 2048 bits. Eso es porque 2000/250 = 8.

En un intervalo determinado de 10 segundos, un cliente de Azure Key Vault solo puede realizar una de las siguientes operaciones antes de encontrar un código de estado HTTP de limitación 429:

  • 4000 transacciones GET de clave de software de 2048 bits RSA
  • 2,000 transacciones GET de clave HSM de 2048 bits RSA
  • 250 transacciones GET de clave HSM de 4096 bits RSA
  • 248 transacciones GET de clave HSM de 4096 bits y 16 transacciones GET de clave HSM de 2048 bits RSA

Secretos, claves de cuentas de almacenamiento administradas y transacciones de almacén:

Tipo de transacciones N.º máximo de transacciones permitidas en 10 segundos, por almacén y región1
Todas las transacciones 4\.000

Vea la Guía de las limitaciones de Azure Key Vault para obtener información sobre cómo controlar la limitación cuando se superan estos límites.

1 Un límite global para la suscripción para todos los tipos de transacciones es cinco veces el límite del almacén de claves.

Copia de seguridad de claves, secretos y certificados

Al realizar una copia de seguridad de un objeto almacenado en el almacén de claves (secreto, clave o certificado), la operación de copia de seguridad descargará el objeto como un blob cifrado. Este blob no se puede descifrar fuera de Azure. Para obtener datos que se puedan usar de este blob, debe restaurar el blob en un almacén de claves dentro de la misma suscripción de Azure y zona geográfica de Azure.

Tipo de transacciones Número máximo de versiones de objetos de almacén de claves que se permiten
Copia de seguridad de clave, secreto, certificado individuales 500

Nota:

Si se intenta hacer una copia de seguridad de un objeto de clave, secreto o certificado con más versiones que el límite anterior, se producirá un error. No es posible eliminar versiones anteriores de una clave, un secreto o un certificado.

Límites en el recuento de claves, secretos y certificados:

Key Vault no restringe el número de claves, secretos o certificados que se pueden almacenar en un almacén. Los límites de transacción en el almacén deben tenerse en cuenta para asegurarse de que las operaciones no estén limitadas.

Key Vault no restringe el número de versiones de un secreto, una clave o un certificado, pero el almacenamiento de un gran número de versiones (más de 500) puede afectar al rendimiento de las operaciones de copia de seguridad. Consulte Copia de seguridad de Azure Key Vault.

Tipo de recurso: HSM administrado

En esta sección se describen los límites de servicio para el tipo de recurso managed HSM.

Límites de objetos

Elemento Límites
Número de instancias de HSM por suscripción por región 5
Número de claves por grupo de HSM 5000
Número de versiones por clave 100
Número de definiciones de roles personalizados por instancia de HSM 50
Número de asignaciones de roles en el ámbito de HSM 50
Número de asignación de roles en cada ámbito de clave individual 10

Límites de transacciones para operaciones administrativas (número de operaciones por segundo por instancia de HSM)

Operación Número de operaciones por segundo.
Todas las operaciones de RBAC
(incluye todas las operaciones CRUD para las definiciones de roles y las asignaciones de roles)
5
Copia de seguridad/restauración completa de HSM
(solo se admite una operación simultánea de copia de seguridad o restauración por instancia de HSM)
1

Límites de transacciones para operaciones criptográficas (número de operaciones por segundo por instancia de HSM)

  • Cada instancia de HSM administrada constituye tres particiones de HSM con equilibrio de carga. Los límites de rendimiento son una función de la capacidad de hardware subyacente que se asigna a cada partición. Las tablas siguientes muestran el rendimiento máximo con al menos una partición disponible. El rendimiento real puede ser hasta tres veces superior si están disponibles las tres particiones.
  • Los límites de rendimiento indicados suponen que se utiliza una sola clave para lograr el máximo rendimiento. Por ejemplo, si se usa una única clave RSA-2048, el rendimiento máximo será de 1100 operaciones de firma. Si utilizan 1100 claves diferentes con una transacción por segundo, no podrán lograr el mismo rendimiento.
Operaciones de clave RSA (número de operaciones por segundo por instancia HSM)
Operación 2048 bits 3072 bits 4096 bits
Crear clave 1 1 1
Eliminación de clave (eliminación temporal) 10 10 10
Purgado de clave 10 10 10
Copia de seguridad de clave 10 10 10
Restauración de clave 10 10 10
Obtención de información clave 1100 1100 1100
Cifrado 10000 10000 6000
Descifrado 1100 360 160
Encapsulado 10000 10000 6000
Desencapsulado 1100 360 160
Firma 1100 360 160
Comprobar 10000 10000 6000
Operaciones de clave EC (número de operaciones por segundo por instancia de HSM)

En esta tabla se describe el número de operaciones por segundo para cada tipo de curva.

Operación P-256 P-256K P-384 P-521
Crear clave 1 1 1 1
Eliminación de clave (eliminación temporal) 10 10 10 10
Purgado de clave 10 10 10 10
Copia de seguridad de clave 10 10 10 10
Restauración de clave 10 10 10 10
Obtención de información clave 1100 1100 1100 1100
Firma 260 260 165 56
Comprobar 130 130 82 28
Operaciones de clave AES (número de operaciones por segundo por instancia de HSM)
  • Las operaciones de cifrado y descifrado suponen un tamaño de paquete de 4 KB.
  • Los límites de rendimiento para cifrar y descifrar se aplican a los algoritmos AES-CBC y AES-GCM.
  • Los límites de rendimiento para encapsular y desencapsular se aplican al algoritmo AES-KW.
Operación 128 bits 192 bits 256 bits
Crear clave 1 1 1
Eliminación de clave (eliminación temporal) 10 10 10
Purgado de clave 10 10 10
Copia de seguridad de clave 10 10 10
Restauración de clave 10 10 10
Obtención de información clave 1100 1100 1100
Cifrado 8000 8000 8000
Descifrado 8000 8000 8000
Encapsulado 9000 9000 9000
Desencapsulado 9000 9000 9000