Limiti dei servizi Azure Key Vault
Il servizio azure Key Vault supporta due tipi di risorse: insiemi di credenziali e moduli di protezione hardware gestiti. Le due sezioni seguenti descrivono rispettivamente i limiti del servizio per ognuno di essi.
Tipo di risorsa: insieme di credenziali
In questa sezione vengono descritti i limiti del servizio per il tipo di vaults
risorsa .
Transazioni chiave (numero massimo di transazioni consentite entro 10 secondi, per ogni insieme di credenziali e ogni area1):
Tipo di chiave | Chiave del modulo di protezione hardware Chiave CREATE |
Chiave del modulo di protezione hardware Tutte le altre transazioni |
Chiave software Chiave CREATE |
Chiave software Tutte le altre transazioni |
---|---|---|---|---|
RSA a 2.048 bit | 10 | 2.000 | 20 | 4.000 |
RSA a 3.072 bit | 10 | 500 | 20 | 1\.000 |
RSA a 4.096 bit | 10 | 250 | 20 | 500 |
ECC P-256 | 10 | 2.000 | 20 | 4.000 |
ECC P-384 | 10 | 2.000 | 20 | 4.000 |
ECC P-521 | 10 | 2.000 | 20 | 4.000 |
ECC SECP256K1 | 10 | 2.000 | 20 | 4.000 |
Nota
Nella tabella precedente si noterà che per le chiavi software RSA a 2.048 bit, sono consentite transazioni GET 4.000 per 10 secondi. Per le chiavi HSM a 2.048 bit RSA, sono consentite transazioni GET 2.000 per 10 secondi.
Le soglie di limitazione delle richieste sono ponderate e l'imposizione viene applicata alla somma. Ad esempio, come illustrato nella tabella precedente, quando si eseguono operazioni GET su chiavi del modulo di protezione hardware RSA, usare chiavi a 4.096 bit risulta otto volte più oneroso rispetto a usare chiavi a 2.048 bit, Questo perché 2.000/250 = 8.
In un intervallo specificato di 10 secondi un client Azure Key Vault può eseguire una sola delle operazioni seguenti prima che venga restituito un codice di stato HTTP di limitazione delle richieste 429
:
- Transazioni GET A 4.000 RSA a 2.048 bit
- Transazioni GET A 2.000 rsa a 2.048 bit
- Transazioni GET A 4.096 bit RSA 250 bit
- Transazioni GET A 248 bit RSA 4.096 bit e 16 TRANSAZIONi GET A 16 RSA a 2.048 bit GET con chiave HSM
Segreti, chiavi di account di archiviazione gestiti e transazioni dell'insieme di credenziali:
Tipo di transazioni | Numero massimo di transazioni consentite entro 10 secondi, per ogni archivio e ogni area1 |
---|---|
Segreto CREATE secret |
300 |
Tutte le altre transazioni | 4.000 |
Per informazioni su come gestire la limitazione delle richieste in caso di superamento dei limiti, vedere Guida alla limitazione delle richieste per Azure Key Vault.
1 Il limite a livello di sottoscrizione per tutti i tipi di transazione corrisponde a un valore pari a cinque volte quello del limite a livello di insieme di credenziali delle chiavi.
Chiavi di backup, segreti, certificati
Quando si esegue il backup di un oggetto dell'insieme di credenziali delle chiavi, come un segreto, una chiave o un certificato, l'operazione di backup scarica l'oggetto come BLOB crittografato. Questo BLOB non può essere decrittografato all'esterno di Azure. Per ottenere dati utilizzabili da questo BLOB, è necessario ripristinare il BLOB in un insieme di credenziali delle chiavi nella stessa sottoscrizione di Azure e nell'area geografica di Azure
Tipo di transazioni | Versioni massime degli oggetti dell'insieme di credenziali delle chiavi consentite |
---|---|
Eseguire il backup di singole chiavi, segreto, certificato | 500 |
Nota
Il tentativo di eseguire il backup di una chiave, un segreto o un oggetto certificato con più versioni rispetto al limite superiore genera un errore. Non è possibile eliminare le versioni precedenti di una chiave, un segreto o un certificato.
Limiti al numero di chiavi, segreti e certificati:
Key Vault non limita il numero di chiavi, segreti o certificati che possono essere archiviati in un insieme di credenziali. I limiti delle transazioni nell'insieme di credenziali devono essere presi in considerazione per assicurarsi che le operazioni non siano limitate.
Key Vault non limita il numero di versioni in un segreto, una chiave o un certificato, ma l'archiviazione di un numero elevato di versioni (500+) può influire sulle prestazioni delle operazioni di backup. Vedere Backup di Azure Key Vault.
Tipo di risorsa: HSM gestito
In questa sezione vengono descritti i limiti del servizio per il tipo di managed HSM
risorsa .
Limiti di oggetto
Elemento | Limiti |
---|---|
Numero di istanze HSM per sottoscrizione per area | 5 |
Numero di chiavi per istanza di HSM | 5000 |
Numero di versioni per chiave | 100 |
Numero di definizioni di ruolo personalizzate per istanza di HSM | 50 |
Numero di assegnazioni di ruolo nell'ambito di HSM | 50 |
Numero di assegnazioni di ruolo in ogni singolo ambito chiave | 10 |
Limiti delle transazioni per le operazioni amministrative (numero di operazioni al secondo per istanza di HSM)
Operazione | Numero di operazioni al secondo |
---|---|
Tutte le operazioni di controllo degli accessi in base al ruolo (include tutte le operazioni CRUD per le definizioni di ruolo e le assegnazioni di ruolo) |
5 |
Backup/ripristino di HSM completo (solo un'operazione di backup o ripristino simultanea per istanza HSM supportata) |
1 |
Limiti delle transazioni per le operazioni di crittografia (numero di operazioni al secondo per istanza di HSM)
- Ogni istanza di HSM gestita costituisce tre partizioni HSM con carico bilanciato. I limiti di velocità effettiva sono una funzione della capacità hardware sottostante allocata per ogni partizione. Le tabelle seguenti mostrano la velocità effettiva massima con almeno una partizione disponibile. La velocità effettiva effettiva può essere fino a 3x superiore se sono disponibili tutte e tre le partizioni.
- I limiti di velocità effettiva annotati presuppongono che venga usata una singola chiave per ottenere la velocità effettiva massima. Ad esempio, se viene usata una singola chiave RSA-2048, la velocità effettiva massima sarà 1100 operazioni di firma. Se si usano 1100 chiavi diverse con una transazione al secondo, non sarà possibile ottenere la stessa velocità effettiva.
Operazioni chiave RSA (numero di operazioni al secondo per istanza di HSM)
Operazione | 2048 bit | 3072 bit | 4096 bit |
---|---|---|---|
Crea chiave | 1 | 1 | 1 |
Elimina chiave (eliminazione temporanea) | 10 | 10 | 10 |
Tasto di eliminazione | 10 | 10 | 10 |
Chiave di backup | 10 | 10 | 10 |
Chiave di ripristino | 10 | 10 | 10 |
Ottenere informazioni chiave | 1100 | 1100 | 1100 |
Encrypt | 10000 | 10000 | 6000 |
Decrypt | 1100 | 360 | 160 |
Wrap | 10000 | 10000 | 6000 |
Unwrap | 1100 | 360 | 160 |
Sign | 1100 | 360 | 160 |
Verifica | 10000 | 10000 | 6000 |
Operazioni chiave EC (numero di operazioni al secondo per istanza di HSM)
Questa tabella descrive il numero di operazioni al secondo per ogni tipo di curva.
Operazione | P-256 | P-256K | P-384 | P-521 |
---|---|---|---|---|
Crea chiave | 1 | 1 | 1 | 1 |
Elimina chiave (eliminazione temporanea) | 10 | 10 | 10 | 10 |
Tasto di eliminazione | 10 | 10 | 10 | 10 |
Chiave di backup | 10 | 10 | 10 | 10 |
Chiave di ripristino | 10 | 10 | 10 | 10 |
Ottenere informazioni sulla chiave | 1100 | 1100 | 1100 | 1100 |
Sign | 260 | 260 | 165 | 56 |
Verifica | 130 | 130 | 82 | 28 |
Operazioni chiave AES (numero di operazioni al secondo per ogni istanza del modulo di protezione hardware)
- Le operazioni di crittografia e decrittografia presuppongono una dimensione di pacchetto di 4 KB.
- I limiti di velocità effettiva per Encrypt/Decrypt si applicano agli algoritmi AES-CBC e AES-GCM.
- I limiti di velocità effettiva per Wrap/Unwrap si applicano all'algoritmo AES-KW.
Operazione | 128 bit | 192 bit | 256 bit |
---|---|---|---|
Crea chiave | 1 | 1 | 1 |
Elimina chiave (eliminazione temporanea) | 10 | 10 | 10 |
Ripulisci chiave | 10 | 10 | 10 |
Chiave di backup | 10 | 10 | 10 |
Chiave di ripristino | 10 | 10 | 10 |
Ottenere informazioni sulla chiave | 1100 | 1100 | 1100 |
Encrypt | 8000 | 8000 | 8000 |
Decrypt | 8000 | 8000 | 8000 |
Wrap | 9000 | 9000 | 9000 |
Unwrap | 9000 | 9000 | 9000 |