Batasan Layanan Azure Key Vault
Layanan Azure Key Vault mendukung dua jenis sumber daya: Vault dan HSM Terkelola. Dua bagian berikut menjelaskan batas layanan untuk masing-masingnya.
Jenis sumber daya: vault
Bagian ini menjelaskan batas layanan untuk jenis sumber daya vaults.
Transaksi utama (transaksi maksimum yang diizinkan dalam 10 detik, per vault per wilayah1):
| Jenis Kunci | Kunci HSM Kunci CREATE |
Kunci HSM Semua transaksi lainnya |
Kunci perangkat lunak Kunci CREATE |
Kunci perangkat lunak Semua transaksi lainnya |
|---|---|---|---|---|
| RSA 2.048-bit | 10 | 2\.000 | 20 | 4\.000 |
| RSA 3.072-bit | 10 | 500 | 20 | 1\.000 |
| RSA 4.096-bit | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2\.000 | 20 | 4\.000 |
| ECC P-384 | 10 | 2\.000 | 20 | 4\.000 |
| ECC P-521 | 10 | 2\.000 | 20 | 4\.000 |
| ECC SECP256K1 | 10 | 2\.000 | 20 | 4\.000 |
Catatan
Pada tabel sebelumnya, kita melihat bahwa untuk kunci perangkat lunak RSA 2.048-bit, 4.000 transaksi GET per 10 detik diizinkan. Untuk kunci HSM RSA 2.048-bit, 2.000 transaksi GET per 10 detik diizinkan.
Ambang pelambatan diberi bobot, dan pemberlakukan ada pada jumlahnya. Misalnya, seperti yang ditunjukkan pada tabel sebelumnya, saat Anda melakukan operasi GET pada kunci RSA HSM, delapan kali lebih mahal untuk menggunakan kunci 4.096-bit dibandingkan dengan kunci 2.048-bit. Itu karena 2.000/250 = 8.
Dalam interval 10 detik yang diberikan, klien Azure Key Vault dapat melakukan hanya satu operasi berikut sebelum menemukan 429 kode status HTTP pelambatan:
- 4.000 transaksi GET kunci perangkat lunak RSA 2.048-bit
- 2.000 transaksi GET kunci HSM RSA 2.048-bit
- 250 transaksi GET kunci HSM RSA 4.096-bit
- 248 transaksi GET kunci HSM RSA 4.096-bit dan transaksi GET kunci HSM 16 RSA 2.048-bit
Rahasia, kunci akun penyimpanan terkelola, dan transaksi vault:
| Jenis transaksi | Transaksi maksimum yang diizinkan dalam 10 detik, per vault per wilayah1 |
|---|---|
| Rahasia BUAT rahasia |
300 |
| Semua transaksi lainnya | 4\.000 |
Untuk informasi tentang cara menangani pembatasan saat batas ini terlampaui, lihat Panduan pembatasan Azure Key Vault.
1 Batas seluruh langganan untuk semua jenis transaksi adalah lima kali per batas brankas kunci.
Kunci cadangan, rahasia, sertifikat
Ketika Anda mencadangkan objek brankas kunci, seperti rahasia, kunci, atau sertifikat, operasi pencadangan akan mengunduh objek sebagai gumpalan terenkripsi. Blob ini tidak bisa didekripsi di luar Azure. Untuk mendapatkan data yang dapat digunakan dari gumpalan ini, Anda harus memulihkan blob ke dalam brankas kunci dalam langganan Azure yang sama dan geografi Azure
| Jenis transaksi | Versi objek brankas kunci maksimum yang diizinkan |
|---|---|
| Mencadangkan kunci individu, rahasia, sertifikat | 500 |
Catatan
Mencoba mencadangkan objek kunci, rahasia, atau sertifikat dengan versi lebih dari batas di atas akan menghasilkan kesalahan. Tidak dimungkinkan untuk menghapus versi sebelumnya dari kunci, rahasia, atau sertifikat.
Batas jumlah kunci, rahasia, dan sertifikat:
Key Vault tidak membatasi jumlah kunci, rahasia, atau sertifikat yang dapat disimpan di brankas. Batas transaksi di brankas harus diperhitungkan untuk memastikan bahwa operasi tidak dibatasi.
Key Vault tidak membatasi jumlah versi pada rahasia, kunci, atau sertifikat, tetapi menyimpan versi dalam jumlah besar (500+) dapat memengaruhi performa operasi pencadangan. Lihat Cadangan Azure Key Vault.
Jenis sumber daya: HSM terkelola
Bagian ini menjelaskan batas layanan untuk jenis sumber daya managed HSM.
Batas objek
| Item | Batas |
|---|---|
| Jumlah instans HSM per langganan per wilayah | 5 |
| Jumlah kunci per instans HSM | 5000 |
| Jumlah versi per kunci | 100 |
| Jumlah definisi peran kustom per instans HSM | 50 |
| Jumlah penetapan peran pada cakupan HSM | 50 |
| Jumlah penetapan peran di setiap cakupan kunci individu | 10 |
Batas transaksi untuk operasi administratif (jumlah operasi per detik per instans HSM)
| Operasi | Jumlah operasi per detik |
|---|---|
| Semua operasi RBAC (termasuk semua operasi CRUD untuk definisi peran dan penetapan peran) |
5 |
| Pencadangan/Pemulihan HSM Penuh (hanya satu operasi pencadangan atau pemulihan bersamaan per instans HSM yang didukung) |
1 |
Batas transaksi untuk operasi kriptografi (jumlah operasi per detik per instans HSM)
- Setiap instans HSM Terkelola terdiri dari tiga partisi HSM dengan beban seimbang. Batas throughput adalah fungsi dari kapasitas perangkat keras yang mendasari yang dialokasikan untuk setiap partisi. Tabel di bawah ini menunjukkan throughput maksimum dengan minimal satu partisi tersedia. Throughput aktual dapat mencapai 3x lebih tinggi jika ketiga partisi tersedia.
- Batas throughput yang dicatat mengasumsikan bahwa satu kunci tunggal digunakan untuk mencapai throughput maksimum. Misalnya, jika satu kunci RSA-2048 digunakan, throughput maksimum akan menjadi 1100 operasi tanda. Jika menggunakan 1100 kunci yang berbeda dengan satu transaksi per detik masing-masing, kunci-kunci tersebut tidak akan dapat mencapai throughput yang sama.
Operasi kunci RSA (jumlah operasi per detik per instans HSM)
| Operasi | 2048-bit | 3072-bit | 4096-bit |
|---|---|---|---|
| Buat Kunci | 1 | 1 | 1 |
| Hapus Tombol (hapus sementara) | 10 | 10 | 10 |
| Hapus Menyeluruh Kunci | 10 | 10 | 10 |
| Cadangkan Kunci | 10 | 10 | 10 |
| Pulihkan kunci | 10 | 10 | 10 |
| Dapatkan informasi kunci | 1100 | 1100 | 1100 |
| Mengenkripsi | 10000 | 10000 | 6000 |
| Mendekripsi | 1100 | 360 | 160 |
| Membungkus | 10000 | 10000 | 6000 |
| Membuka | 1100 | 360 | 160 |
| Menandatangani | 1100 | 360 | 160 |
| Verifikasi | 10000 | 10000 | 6000 |
Operasi kunci EC (jumlah operasi per detik per instans HSM)
Tabel ini menjelaskan jumlah operasi per detik untuk setiap jenis kurva.
| Operasi | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Buat Kunci | 1 | 1 | 1 | 1 |
| Hapus Tombol (hapus sementara) | 10 | 10 | 10 | 10 |
| Hapus Menyeluruh Kunci | 10 | 10 | 10 | 10 |
| Cadangkan Kunci | 10 | 10 | 10 | 10 |
| Pulihkan kunci | 10 | 10 | 10 | 10 |
| Dapatkan informasi kunci | 1100 | 1100 | 1100 | 1100 |
| Menandatangani | 260 | 260 | 165 | 56 |
| Verifikasi | 130 | 130 | 82 | 28 |
Operasi kunci AES (jumlah operasi per detik per instans HSM)
- Operasi Enkripsi dan Dekripsi mengasumsikan ukuran paket 4KB.
- Batas throughput untuk Enkripsi/Dekripsi berlaku untuk algoritme AES-CBC dan AES-GCM.
- Batas throughput untuk Wrap/Unwrap berlaku untuk algoritme AES-KW.
| Operasi | 128-bit | 192-bit | 256-bit |
|---|---|---|---|
| Buat Kunci | 1 | 1 | 1 |
| Hapus Tombol (hapus sementara) | 10 | 10 | 10 |
| Hapus Menyeluruh Kunci | 10 | 10 | 10 |
| Cadangkan Kunci | 10 | 10 | 10 |
| Pulihkan kunci | 10 | 10 | 10 |
| Dapatkan informasi kunci | 1100 | 1100 | 1100 |
| Mengenkripsi | 8000 | 8000 | 8000 |
| Mendekripsi | 8000 | 8000 | 8000 |
| Membungkus | 9000 | 9000 | 9000 |
| Membuka | 9000 | 9000 | 9000 |