Limites du service Azure Key Vault
Le service Azure Key Vault prend en charge deux types de ressources : les coffres et les HSM managés. Les deux sections suivantes décrivent les limites de service pour chacun d’entre eux.
Type de ressource : coffre
Cette section décrit les limites de service pour le type de ressource vaults.
Transactions de clé (nombre maximal de transactions autorisées dans les 10 secondes, par coffre et par région1) :
| Type de clé | Clé HSM Clé CREATE |
Clé HSM Toutes les autres transactions |
Clé logicielle Clé CREATE |
Clé logicielle Toutes les autres transactions |
|---|---|---|---|---|
| RSA 2 048 bits | 10 | 2 000 | 20 | 4 000 |
| RSA 3 072 bits | 10 | 500 | 20 | 1 000 |
| RSA 4 096 bits | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2 000 | 20 | 4 000 |
| ECC P-384 | 10 | 2 000 | 20 | 4 000 |
| ECC P-521 | 10 | 2 000 | 20 | 4 000 |
| ECC SECP256K1 | 10 | 2 000 | 20 | 4 000 |
Notes
Dans la table ci-dessus, nous voyons que 4 000 transactions GET par tranche de 10 secondes sont autorisées pour des clés logicielles RSA 2 048 bits. Pour les clés HSM RSA 2 048 bits, 2 000 transactions GET par tranche de 10 secondes sont autorisées.
Les seuils de limitation sont pondérés, et leur application correspond à leur somme. Par exemple, comme indiqué dans la table précédente, lorsque vous effectuez des opérations GET sur des clés HSM RSA, il est huit fois plus coûteux d’utiliser des clés de 4 096 bits par rapport aux clés de 2 048 bits. En effet, 2 000/250 = 8.
Dans un intervalle de 10 secondes donné, un client Azure Key Vault peut exécuter une seule des opérations suivantes avant de rencontrer un code d’état HTTP de limitation 429 :
- 4 000 transactions GET de clé logicielle RSA 2 048 bits
- 2 000 transactions GET de clé HSM RSA 2 048 bits
- 250 transactions GET de clé HSM RSA 4 096 bits
- 248 transactions GET de clé HSM RSA 4 096 bits et 16 transactions GET de clé HSM RSA 2 048 bits
Secrets, clés de compte de stockage managé et transactions de coffre :
| Type de transaction | Nombre maximal de transactions autorisées dans les 10 secondes, par coffre et par région1 |
|---|---|
| Secret CRÉER un secret |
300 |
| Toutes les autres transactions | 4 000 |
Pour en savoir plus sur la façon de gérer la limitation en cas de dépassement de ces limites, voir Aide sur la limitation de requêtes Azure Key Vault.
1 La limite d’abonnement pour tous les types de transaction est fixée à 5 fois la limite des coffres de clés.
Sauvegarder des clés, des secrets ou des certificats
Quand vous sauvegardez un objet d’un coffre de clés (secret, clé ou certificat), l’opération de sauvegarde télécharge l’objet sous la forme d’un objet blob chiffré. Cet objet blob ne peut pas être déchiffré en dehors d’Azure. Pour obtenir des données utilisables à partir de cet objet blob, vous devez restaurer l’objet blob dans un coffre de clés dans le même abonnement Azure et la même zone géographique Azure.
| Type de transaction | Nombre maximal de versions d’objet de coffre de clés autorisées |
|---|---|
| Sauvegarder une clé individuelle, un secret, un certificat | 500 |
Notes
Toute tentative de sauvegarde d’un objet clé, secret ou certificat avec un nombre de versions supérieur à la limite mentionnée ci-dessus génère une erreur. Il est impossible de supprimer les versions précédentes d’une clé, d’un secret ou d’un certificat.
Limites du nombre de clés, de secrets et de certificats :
Key Vault ne limite pas le nombre de clés, de secrets ou de certificats qui peuvent être stockés dans un coffre. Les limites de transaction sur le coffre doivent être prises en compte afin de s’assurer que les opérations ne sont pas limitées.
Key Vault ne limite pas le nombre de versions sur un secret, une clé ou un certificat. Toutefois, le stockage d’un grand nombre de versions (+ de 500) peut avoir un impact sur les performances des opérations de sauvegarde. Consultez Sauvegarde Azure Key Vault.
Type de ressource : HSM managé
Cette section décrit les limites de service pour le type de ressource managed HSM.
Limites des objets
| Élément | Limites |
|---|---|
| Nombre d’instances HSM par région et par abonnement | 5 |
| Nombre de clés par instance HSM | 5 000 |
| Nombre de versions par clé | 100 |
| Nombre de définitions de rôles personnalisées par instance HSM | 50 |
| Nombre d’attributions de rôles au niveau de l’étendue HSM | 50 |
| Nombre d’attributions de rôles à chaque étendue de clé individuelle | 10 |
Limites de transactions pour les opérations d’administration (nombre d’opérations par seconde par instance HSM)
| Opération | Nombre d’opérations par seconde |
|---|---|
| Toutes les opérations RBAC (comprend toutes les opérations CRUD pour les définitions de rôles et les attributions de rôles) |
5 |
| Sauvegarde/restauration HSM complète (une seule opération de sauvegarde ou de restauration simultanée par instance HSM est prise en charge) |
1 |
Limites de transactions pour les opérations de chiffrement (nombre d’opérations par seconde par instance HSM)
- Chaque instance HSM managé constitue trois partitions HSM à charge équilibrée. Les limites de débit sont une fonction de la capacité matérielle sous-jacente allouée pour chaque partition. Les tableaux ci-dessous montrent le débit maximal avec au moins une partition disponible. Le débit réel peut être jusqu’à trois fois supérieur si les trois partitions sont disponibles.
- Les limites de débit indiquées partent du principe qu’une seule clé est utilisée pour obtenir le débit maximal. Par exemple, si une seule clé RSA-2048 est utilisée, le débit maximal sera de 1 100 opérations de signature. Si vous utilisez 1 100 clés différentes avec chacune une transaction par seconde, elles ne pourront pas atteindre le même débit.
Opérations de clé RSA (nombre d’opérations par seconde par instance HSM)
| Opération | 2 048 bits | 3 072 bits | 4 096 bits |
|---|---|---|---|
| Créer une clé | 1 | 1 | 1 |
| Supprimer une clé (suppression réversible) | 10 | 10 | 10 |
| Supprimer définitivement une clé | 10 | 10 | 10 |
| Clé de sauvegarde | 10 | 10 | 10 |
| Restaurer une clé | 10 | 10 | 10 |
| Récupérer les informations d’une clé | 1100 | 1100 | 1100 |
| Encrypt (Chiffrer) | 10000 | 10000 | 6000 |
| Déchiffrer | 1100 | 360 | 160 |
| Encapsuler | 10000 | 10000 | 6000 |
| Désencapsuler | 1100 | 360 | 160 |
| Signer | 1100 | 360 | 160 |
| Vérifier | 10000 | 10000 | 6000 |
Opérations de clé EC (nombre d’opérations par seconde par instance HSM)
Ce tableau décrit le nombre d’opérations par seconde pour chaque type de courbe.
| Opération | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Créer une clé | 1 | 1 | 1 | 1 |
| Supprimer une clé (suppression réversible) | 10 | 10 | 10 | 10 |
| Supprimer définitivement une clé | 10 | 10 | 10 | 10 |
| Clé de sauvegarde | 10 | 10 | 10 | 10 |
| Restaurer une clé | 10 | 10 | 10 | 10 |
| Récupérer les informations d’une clé | 1100 | 1100 | 1100 | 1100 |
| Signer | 260 | 260 | 165 | 56 |
| Vérifier | 130 | 130 | 82 | 28 |
Opérations de clé AES (nombre d’opérations par seconde par instance HSM)
- Les opérations de chiffrement et de déchiffrement partent du principe que la taille de paquet est de 4 Ko.
- Les limites de débit pour le chiffrement/déchiffrement s’appliquent aux algorithmes AES-CBC et AES-GCM.
- Les limites de débit pour Wrap/Unwrap s’appliquent à l’algorithme AES-KW.
| Opération | 128 bits | 192 bits | 256 bits |
|---|---|---|---|
| Créer une clé | 1 | 1 | 1 |
| Supprimer une clé (suppression réversible) | 10 | 10 | 10 |
| Supprimer définitivement une clé | 10 | 10 | 10 |
| Clé de sauvegarde | 10 | 10 | 10 |
| Restaurer une clé | 10 | 10 | 10 |
| Récupérer les informations d’une clé | 1100 | 1100 | 1100 |
| Encrypt (Chiffrer) | 8000 | 8000 | 8000 |
| Déchiffrer | 8000 | 8000 | 8000 |
| Encapsuler | 9000 | 9000 | 9000 |
| Désencapsuler | 9000 | 9000 | 9000 |