Az Azure Key Vault szolgáltatási korlátai
Az Azure Key Vault szolgáltatás két erőforrástípust támogat: a tárolókat és a felügyelt HSM-eket. Az alábbi két szakasz az egyes szolgáltatásokra vonatkozó korlátozásokat ismerteti.
Erőforrás típusa: tároló
Ez a szakasz az erőforrástípus vaultsszolgáltatási korlátait ismerteti.
Kulcstranzakciók (legfeljebb 10 másodperc alatt engedélyezett tranzakciók, tárolónként1 régiónként):
| Kulcs típusa | HSM-kulcs CREATE kulcs |
HSM-kulcs Minden más tranzakció |
Szoftverkulcs CREATE kulcs |
Szoftverkulcs Minden más tranzakció |
|---|---|---|---|---|
| RSA 2048 bites | 10 | 2000 | 20 | 4,000 |
| RSA 3072 bites | 10 | 500 | 20 | 1,000 |
| RSA 4096 bites | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2000 | 20 | 4,000 |
| ECC P-384 | 10 | 2000 | 20 | 4,000 |
| ECC P-521 | 10 | 2000 | 20 | 4,000 |
| ECC-SECP256K1 | 10 | 2000 | 20 | 4,000 |
Megjegyzés
Az előző táblázatban látható, hogy a 2048 bites RSA szoftverkulcsok esetében 10 másodpercenként 4000 GET tranzakció engedélyezett. A 2048 bites RSA HSM-kulcsok esetében 10 másodpercenként 2000 GET tranzakció engedélyezett.
A szabályozási küszöbértékek súlyozottak, a kényszerítés pedig az összegükön van. Például az előző táblázatban látható módon, amikor GET műveleteket hajt végre RSA HSM-kulcsokon, nyolcszor drágább a 4096 bites kulcsok használata a 2048 bites kulcsokhoz képest. Ennek az az oka, hogy 2000/250 = 8.
Egy adott 10 másodperces időközben az Azure Key Vault-ügyfél csak az alábbi műveletek egyikét hajthatja végre, mielőtt szabályozási HTTP-állapotkóddal találkozik429:
- 4000 RSA 2048 bites szoftverkulcsos GET-tranzakciók
- 2000 RSA 2048 bites HSM-key GET-tranzakciók
- 250 RSA 4096 bites HSM-key GET-tranzakciók
- 248 RSA 4096 bites HSM-key GET tranzakciók és 16 RSA 2048 bites HSM-key GET tranzakciók
Titkos kódok, felügyelt tárfiókkulcsok és tárolótranzakciók:
| Tranzakciók típusa | Legfeljebb 10 másodperc alatt engedélyezett tranzakciók, tárolónként1 régiónként |
|---|---|
| Titkos TITKOS KULCS LÉTREHOZÁSA |
300 |
| Minden más tranzakció | 4,000 |
További információ arról, hogyan kezelheti a szabályozást, ha túllépi ezeket a korlátokat, tekintse meg az Azure Key Vault szabályozási útmutatót.
1 Az összes tranzakciótípus előfizetésre vonatkozó korlátja kulcstartónkénti korlátonként ötszörös.
Biztonsági mentési kulcsok, titkos kódok, tanúsítványok
Amikor biztonsági másolatot készít egy kulcstartó-objektumról, például titkos kódról, kulcsról vagy tanúsítványról, a biztonsági mentési művelet titkosított blobként tölti le az objektumot. Ez a blob nem fejthető vissza az Azure-on kívül. Ahhoz, hogy használható adatokat kapjon ebből a blobból, vissza kell állítania a blobot egy kulcstartóba ugyanabban az Azure-előfizetésben és Az Azure földrajzi területén
| Tranzakciók típusa | A Key Vault objektumverzióinak maximális száma engedélyezett |
|---|---|
| Egyéni kulcs, titkos kulcs, tanúsítvány biztonsági mentése | 500 |
Megjegyzés
Ha olyan kulcsot, titkos kulcsot vagy tanúsítványobjektumot próbál biztonsági másolatot készíteni, amely több verzióval rendelkezik, mint a korlát, hibaüzenetet fog eredményezni. Kulcs, titkos kód vagy tanúsítvány korábbi verziói nem törölhetők.
A kulcsok, titkos kódok és tanúsítványok számának korlátai:
Key Vault nem korlátozza a tárolóban tárolható kulcsok, titkos kódok és tanúsítványok számát. A tároló tranzakciós korlátait figyelembe kell venni, hogy a műveletek ne legyenek szabályozva.
Key Vault nem korlátozza a titkos kulcsok, kulcsok vagy tanúsítványok verzióinak számát, de a nagy számú verzió (500+) tárolása hatással lehet a biztonsági mentési műveletek teljesítményére. Lásd: Azure Key Vault Backup.
Erőforrás típusa: Felügyelt HSM
Ez a szakasz az erőforrástípus managed HSMszolgáltatási korlátait ismerteti.
Objektumkorlátok
| Elem | Korlátok |
|---|---|
| HSM-példányok száma előfizetésenként régiónként | 5 |
| Kulcsok száma HSM-példányonként | 5000 |
| Verziók száma kulcsonként | 100 |
| Egyéni szerepkör-definíciók száma HSM-példányonként | 50 |
| Szerepkör-hozzárendelések száma a HSM-hatókörben | 50 |
| Szerepkör-hozzárendelések száma az egyes kulcshatókörökben | 10 |
A felügyeleti műveletek tranzakciós korlátai (másodpercenkénti műveletek száma HSM-példányonként)
| Művelet | Műveletek száma másodpercenként |
|---|---|
| Minden RBAC-művelet (a szerepkör-definíciókhoz és szerepkör-hozzárendelésekhez tartozó összes CRUD-műveletet tartalmazza) |
5 |
| Teljes HSM biztonsági mentés/visszaállítás (HSM-példányonként csak egy párhuzamos biztonsági mentési vagy visszaállítási művelet támogatott) |
1 |
Titkosítási műveletek tranzakciós korlátai (a műveletek másodpercenkénti száma HSM-példányonként)
- Minden felügyelt HSM-példány három elosztott terhelésű HSM-partíciót alkot. Az átviteli sebesség korlátai az egyes partíciókhoz lefoglalt mögöttes hardverkapacitások függvényei. Az alábbi táblázatok a maximális átviteli sebességet jelenítik meg, legalább egy elérhető partícióval. A tényleges átviteli sebesség akár háromszor nagyobb is lehet, ha mindhárom partíció elérhető.
- A megfigyelt átviteli sebességkorlátok feltételezik, hogy egyetlen kulccsal érik el a maximális átviteli sebességet. Ha például egyetlen RSA-2048-kulcsot használ, a maximális átviteli sebesség 1100 jelművelet lesz. Ha 1100 különböző kulcsot használ másodpercenként egy tranzakcióval, azok nem fogják tudni elérni ugyanazt az átviteli sebességet.
RSA-kulcsműveletek (másodpercenkénti műveletek száma HSM-példányonként)
| Művelet | 2048 bites | 3072 bites | 4096 bites |
|---|---|---|---|
| Kulcs létrehozása | 1 | 1 | 1 |
| Kulcs törlése (helyreállítható törlés) | 10 | 10 | 10 |
| Kulcs végleges törlése | 10 | 10 | 10 |
| Biztonsági mentési kulcs | 10 | 10 | 10 |
| Kulcs visszaállítása | 10 | 10 | 10 |
| Kulcsadatok lekérése | 1100 | 1100 | 1100 |
| Titkosítás | 10000 | 10000 | 6000 |
| Visszafejtés | 1100 | 360 | 160 |
| Betakar | 10000 | 10000 | 6000 |
| Unwrap | 1100 | 360 | 160 |
| Előjel | 1100 | 360 | 160 |
| Ellenőrzés | 10000 | 10000 | 6000 |
EC-kulcsműveletek (másodpercenkénti műveletek száma HSM-példányonként)
Ez a táblázat az egyes görbék másodpercenkénti műveleteinek számát ismerteti.
| Művelet | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Kulcs létrehozása | 1 | 1 | 1 | 1 |
| Kulcs törlése (helyreállítható törlés) | 10 | 10 | 10 | 10 |
| Kulcs végleges törlése | 10 | 10 | 10 | 10 |
| Biztonsági mentési kulcs | 10 | 10 | 10 | 10 |
| Kulcs visszaállítása | 10 | 10 | 10 | 10 |
| Kulcsadatok lekérése | 1100 | 1100 | 1100 | 1100 |
| Előjel | 260 | 260 | 165 | 56 |
| Ellenőrzés | 130 | 130 | 82 | 28 |
AES-kulcsműveletek (másodpercenkénti műveletek száma HSM-példányonként)
- A titkosítási és visszafejtési műveletek 4 KB-os csomagméretet feltételeznek.
- A titkosítás/visszafejtés átviteli sebességkorlátai az AES-CBC és az AES-GCM algoritmusokra vonatkoznak.
- A Wrap/Unwrap átviteli sebességkorlátai az AES-KW algoritmusra vonatkoznak.
| Művelet | 128 bites | 192 bites | 256 bites |
|---|---|---|---|
| Kulcs létrehozása | 1 | 1 | 1 |
| Kulcs törlése (helyreállítható törlés) | 10 | 10 | 10 |
| Kulcs végleges törlése | 10 | 10 | 10 |
| Biztonsági mentési kulcs | 10 | 10 | 10 |
| Kulcs visszaállítása | 10 | 10 | 10 |
| Kulcsadatok lekérése | 1100 | 1100 | 1100 |
| Titkosítás | 8000 | 8000 | 8000 |
| Visszafejtés | 8000 | 8000 | 8000 |
| Betakar | 9000 | 9000 | 9000 |
| Unwrap | 9000 | 9000 | 9000 |