Az Azure Key Vault szolgáltatási korlátai
Az Azure Key Vault szolgáltatás két erőforrástípust támogat: tárolókat és felügyelt HSM-eket. Az alábbi két szakasz az egyes szolgáltatásokra vonatkozó korlátozásokat ismerteti.
Erőforrás típusa: tároló
Ez a szakasz az erőforrástípus vaultsszolgáltatási korlátait ismerteti.
Kulcstranzakciók (legfeljebb 10 másodperc alatt engedélyezett tranzakciók, tárolónként 1 régiónként):
| Kulcs típusa | HSM-kulcs CREATE kulcs |
HSM-kulcs Minden egyéb tranzakció |
Szoftverkulcs CREATE kulcs |
Szoftverkulcs Minden egyéb tranzakció |
|---|---|---|---|---|
| RSA 2048 bites | 10 | 2000 | 20 | 4 000 |
| RSA 3072 bites | 10 | 500 | 20 | 1000 |
| RSA 4096 bites | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2000 | 20 | 4 000 |
| ECC P-384 | 10 | 2000 | 20 | 4 000 |
| ECC P-521 | 10 | 2000 | 20 | 4 000 |
| ECC SECP256K1 | 10 | 2000 | 20 | 4 000 |
Feljegyzés
Az előző táblázatban láthatjuk, hogy a 2048 bites RSA szoftverkulcsok esetében 10 másodpercenként 4000 GET tranzakció engedélyezett. 2048 bites RSA HSM-kulcsok esetén 10 másodpercenként 2000 GET tranzakció engedélyezett.
A szabályozás küszöbértékei súlyozva vannak, és a végrehajtás az összegükön van. Például az előző táblázatban látható módon, amikor GET műveleteket hajt végre RSA HSM-kulcsokon, nyolcszor drágább a 4096 bites kulcsok használata a 2048 bites kulcsokhoz képest. Ennek az az oka, hogy 2000/250 = 8.
Egy Adott 10 másodperces intervallumban az Azure Key Vault-ügyfél csak az alábbi műveletek egyikét hajthatja végre, mielőtt szabályozható HTTP-állapotkóddal 429 találkozik:
- 4000 RSA 2048 bites szoftverkulcsos GET-tranzakciók
- 2000 RSA 2048 bites HSM-key GET tranzakciók
- 250 RSA 4096 bites HSM-key GET tranzakciók
- 248 RSA 4096 bites HSM-key GET tranzakciók és 16 RSA 2048 bites HSM-key GET tranzakciók
Titkos kódok, felügyelt tárfiókkulcsok és tárolótranzakciók:
| Tranzakciók típusa | 10 másodperc alatt engedélyezett tranzakciók maximális száma tárolónként 1 régiónként |
|---|---|
| Titkos TITKOS KÓD LÉTREHOZÁSA |
300 |
| Minden egyéb tranzakció | 4 000 |
Az Azure Key Vault szabályozására vonatkozó útmutatást az Azure Key Vault szabályozására vonatkozó útmutatóban talál.
1 Az előfizetésre vonatkozó korlát az összes tranzakciótípusra a kulcstartónkénti korlát ötszöröse.
Biztonsági mentési kulcsok, titkos kulcsok, tanúsítványok
Amikor biztonsági másolatot készít egy kulcstartó-objektumról, például titkos kódról, kulcsról vagy tanúsítványról, a biztonsági mentési művelet titkosított blobként tölti le az objektumot. Ez a blob nem fejthető vissza az Azure-on kívül. A blob használható adatainak lekéréséhez vissza kell állítania a blobot egy kulcstartóba ugyanabban az Azure-előfizetésben és Az Azure földrajzi területén
| Tranzakciók típusa | A Key Vault objektumverzióinak maximális engedélyezett száma |
|---|---|
| Egyéni kulcs, titkos kulcs, tanúsítvány biztonsági mentése | 500 |
Feljegyzés
Ha egy kulcs- vagy titkos kulcs- vagy tanúsítványobjektumot a korlátnál több verzióval próbál biztonsági másolatot készíteni, az hibát fog eredményezni. Kulcs, titkos kód vagy tanúsítvány korábbi verziói nem törölhetők.
A kulcsok, titkos kódok és tanúsítványok számának korlátai:
A Key Vault nem korlátozza a tárolóban tárolható kulcsok, titkos kulcsok vagy tanúsítványok számát. A tároló tranzakciós korlátait figyelembe kell venni, hogy a műveletek ne legyenek szabályozva.
A Key Vault nem korlátozza a titkos kulcsokon, kulcsokon vagy tanúsítványokon lévő verziók számát, de a nagy számú (500+) verzió tárolása hatással lehet a biztonsági mentési műveletek teljesítményére. Tekintse meg az Azure Key Vault biztonsági mentését.
Erőforrás típusa: Felügyelt HSM
Ez a szakasz az erőforrástípus managed HSMszolgáltatási korlátait ismerteti.
Objektumkorlátok
| Elem | Korlátok |
|---|---|
| HSM-példányok száma előfizetésenként régiónként | 5 |
| Kulcsok száma HSM-példányonként | 5000 |
| Verziók száma kulcsonként | 100 |
| Egyéni szerepkör-definíciók száma HSM-példányonként | 50 |
| Szerepkör-hozzárendelések száma a HSM-hatókörben | 50 |
| Szerepkör-hozzárendelések száma az egyes kulcstartományokban | 10 |
A felügyeleti műveletek tranzakciós korlátai (hSM-példányonként másodpercenkénti műveletek száma)
| Művelet | Műveletek száma másodpercenként |
|---|---|
| Minden RBAC-művelet (a szerepkördefiníciókhoz és szerepkör-hozzárendelésekhez tartozó ÖSSZES CRUD-műveletet tartalmazza) |
5 |
| Teljes HSM-biztonsági mentés/visszaállítás (HSM-példányonként csak egy egyidejű biztonsági mentési vagy visszaállítási művelet támogatott) |
0 |
Titkosítási műveletek tranzakciós korlátai (HSM-példányonként másodpercenkénti műveletek száma)
- Minden felügyelt HSM-példány három elosztott terhelésű HSM-partíciót alkot. Az átviteli sebesség korlátai az egyes partíciókhoz lefoglalt mögöttes hardverkapacitás függvényei. Az alábbi táblázatok a maximális átviteli sebességet jelenítik meg legalább egy elérhető partícióval. A tényleges átviteli sebesség akár háromszor nagyobb is lehet, ha mindhárom partíció elérhető.
- A megfigyelt átviteli sebességkorlátok feltételezik, hogy egyetlen kulcsot használnak a maximális átviteli sebesség eléréséhez. Ha például egyetlen RSA-2048-kulcsot használ, a maximális átviteli sebesség 1100 jelművelet lesz. Ha másodpercenként 1100 különböző kulcsot használ egy tranzakcióval, azok nem fogják tudni elérni ugyanazt az átviteli sebességet.
RSA-kulcsműveletek (másodpercenkénti műveletek száma HSM-példányonként)
| Művelet | 2048 bites | 3072 bites | 4096 bites |
|---|---|---|---|
| Kulcs létrehozása | 0 | 0 | 0 |
| Kulcs törlése (helyreállítható törlés) | 10 | 10 | 10 |
| Kulcs törlése | 10 | 10 | 10 |
| Biztonsági mentési kulcs | 10 | 10 | 10 |
| Visszaállítási kulcs | 10 | 10 | 10 |
| Kulcsinformációk lekérése | 1100 | 1100 | 1100 |
| Titkosítás | 10000 | 10000 | 6000 |
| Visszafejtés | 1100 | 360 | 160 |
| Csomagol | 10000 | 10000 | 6000 |
| Unwrap | 1100 | 360 | 160 |
| Bejelentkezés | 1100 | 360 | 160 |
| Ellenőrzés | 10000 | 10000 | 6000 |
EC-kulcsműveletek (másodpercenkénti műveletek száma HSM-példányonként)
Ez a táblázat az egyes görbetípusok másodpercenkénti műveleteinek számát ismerteti.
| Művelet | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Kulcs létrehozása | 0 | 0 | 0 | 0 |
| Kulcs törlése (helyreállítható törlés) | 10 | 10 | 10 | 10 |
| Kulcs törlése | 10 | 10 | 10 | 10 |
| Biztonsági mentési kulcs | 10 | 10 | 10 | 10 |
| Visszaállítási kulcs | 10 | 10 | 10 | 10 |
| Kulcsinformációk lekérése | 1100 | 1100 | 1100 | 1100 |
| Bejelentkezés | 260 | 260 | 165 | 56 |
| Ellenőrzés | 130 | 130 | 82 | 28 |
AES-kulcsműveletek (másodpercenkénti műveletek száma HSM-példányonként)
- A titkosítási és visszafejtési műveletek 4KB csomagméretet feltételeznek.
- A titkosítás/visszafejtés átviteli sebességkorlátjai az AES-CBC és az AES-GCM algoritmusokra vonatkoznak.
- A Wrap/Unwrap átviteli sebességkorlátai az AES-KW algoritmusra vonatkoznak.
| Művelet | 128 bites | 192 bites | 256 bites |
|---|---|---|---|
| Kulcs létrehozása | 0 | 0 | 0 |
| Kulcs törlése (helyreállítható törlés) | 10 | 10 | 10 |
| Kulcs törlése | 10 | 10 | 10 |
| Biztonsági mentési kulcs | 10 | 10 | 10 |
| Visszaállítási kulcs | 10 | 10 | 10 |
| Kulcsinformációk lekérése | 1100 | 1100 | 1100 |
| Titkosítás | 8000 | 8000 | 8000 |
| Visszafejtés | 8000 | 8000 | 8000 |
| Csomagol | 9000 | 9000 | 9000 |
| Unwrap | 9000 | 9000 | 9000 |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: