Limiti dei servizi Azure Key Vault
Il servizio Azure Key Vault supporta due tipi di risorse: insiemi di credenziali e moduli di protezione hardware gestiti. Le due sezioni seguenti descrivono rispettivamente i limiti del servizio per ognuno di essi.
Tipo di risorsa: insieme di credenziali
Questa sezione descrive i limiti del servizio per il tipo di risorsa vaults.
Transazioni chiave (numero massimo di transazioni consentite entro 10 secondi, per ogni insieme di credenziali e ogni area1):
| Tipo di chiave | Chiave del modulo di protezione hardware Chiave CREATE |
Chiave del modulo di protezione hardware Tutte le altre transazioni |
Chiave software Chiave CREATE |
Chiave software Tutte le altre transazioni |
|---|---|---|---|---|
| RSA a 2.048 bit | 10 | 2,000 | 20 | 4.000 |
| RSA a 3.072 bit | 10 | 500 | 20 | 1.000 |
| RSA a 4.096 bit | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4.000 |
| ECC P-384 | 10 | 2,000 | 20 | 4.000 |
| ECC P-521 | 10 | 2,000 | 20 | 4.000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4.000 |
Nota
Nella tabella precedente si è visto ce per chiavi software RSA a 2.048 bit sono consentite 4.000 transazioni GET ogni 10 secondi. Per le chiavi del modulo di protezione hardware RSA a 2.048 bit sono consentite 2.000 transazioni GET ogni 10 secondi.
Le soglie di limitazione delle richieste sono ponderate e l'imposizione viene applicata alla somma. Ad esempio, come illustrato nella tabella precedente, quando si eseguono operazioni GET su chiavi del modulo di protezione hardware RSA, usare chiavi a 4.096 bit risulta otto volte più oneroso rispetto a usare chiavi a 2.048 bit, Questo perché 2.000/250 = 8.
In un intervallo specificato di 10 secondi un client Azure Key Vault può eseguire una sola delle operazioni seguenti prima che venga restituito un codice di stato HTTP di limitazione delle richieste 429:
- 4.000 transazioni GET con chiave software RSA a 2.048 bit
- 2.000 transazioni GET con chiave del modulo di protezione hardware RSA a 2.048 bit
- 250 transazioni GET con chiave del modulo di protezione hardware RSA a 4.096 bit
- 248 transazioni GET con chiave del modulo di protezione hardware RSA a 4.096 bit e 16 transazioni GET con chiave del modulo di protezione hardware RSA a 2.048 bit
Segreti, chiavi di account di archiviazione gestiti e transazioni dell'insieme di credenziali:
| Tipo di transazioni | Numero massimo di transazioni consentite entro 10 secondi, per ogni archivio e ogni area1 |
|---|---|
| Segreto CREA un segreto |
300 |
| Tutte le altre transazioni | 4.000 |
Per informazioni su come gestire la limitazione delle richieste in caso di superamento dei limiti, vedere Guida alla limitazione delle richieste per Azure Key Vault.
1 Il limite a livello di sottoscrizione per tutti i tipi di transazione corrisponde a un valore pari a cinque volte quello del limite a livello di insieme di credenziali delle chiavi.
Chiavi di backup, segreti, certificati
Quando si esegue il backup di un oggetto dell'insieme di credenziali delle chiavi, come un segreto, una chiave o un certificato, l'operazione di backup scarica l'oggetto come BLOB crittografato. Questo BLOB non può essere decrittografato all'esterno di Azure. Per ottenere dati utilizzabili da questo BLOB, è necessario ripristinare il BLOB in un insieme di credenziali delle chiavi all'interno della stessa sottoscrizione di Azure e della stessa area geografica di Azure.
| Tipo di transazioni | Numero massimo di versioni degli oggetti dell'insieme di credenziali delle chiavi consentite |
|---|---|
| Eseguire il backup di singole chiavi, segreti, certificati | 500 |
Nota
Il tentativo di eseguire il backup di una chiave, un segreto o un oggetto certificato con più versioni rispetto al limite superiore genererà un errore. Non è possibile eliminare le versioni precedenti di una chiave, un segreto o un certificato.
Limiti per il numero di chiavi, segreti e certificati:
Key Vault non limita il numero di chiavi, segreti o certificati che possono essere archiviati in un insieme di credenziali. I limiti delle transazioni nell'insieme di credenziali devono essere presi in considerazione per garantire che le operazioni non siano limitate.
Key Vault non limita il numero di versioni in un segreto, una chiave o un certificato, ma l'archiviazione di un numero elevato di versioni (oltre 500) può influire sulle prestazioni delle operazioni di backup. Vedere Backup di Azure Key Vault.
Tipo di risorsa: modulo di protezione hardware gestito
Questa sezione descrive i limiti del servizio per il tipo di risorsa managed HSM.
Limiti di oggetto
| Articolo | Limiti |
|---|---|
| Numero di istanze del modulo di protezione hardware per sottoscrizione per area | 5 |
| Numero di chiavi per ogni istanza del modulo di protezione hardware | 5000 |
| Numero di versioni per chiave | 100 |
| Numero di definizioni di ruolo personalizzate per ogni istanza del modulo di protezione hardware | 50 |
| Numero di assegnazioni di ruolo nell'ambito del modulo di protezione hardware | 50 |
| Numero di assegnazioni di ruolo in ogni ambito chiave | 10 |
Limiti delle transazioni per le operazioni amministrative (numero di operazioni al secondo per ogni istanza del modulo di protezione hardware)
| Operazione | Numero di operazioni al secondo |
|---|---|
| Tutte le operazioni di controllo degli accessi in base al ruolo (include tutte le operazioni CRUD per le definizioni di ruolo e le assegnazioni di ruolo) |
5 |
| Backup/Ripristino completo del modulo di protezione hardware (è supportata una sola operazione di backup o ripristino simultanea per ogni istanza del modulo di protezione hardware) |
1 |
Limiti delle transazioni per le operazioni crittografiche (numero di operazioni al secondo per ogni istanza del modulo di protezione hardware)
- Ogni istanza del modulo di protezione hardware gestito costituisce tre partizioni del modulo di protezione hardware con carico bilanciato. I limiti di velocità effettiva sono una funzione della capacità hardware sottostante allocata per ogni partizione. Le tabelle seguenti mostrano la velocità effettiva massima con almeno una partizione disponibile. La velocità effettiva attuale può essere fino a 3 volte superiore se sono disponibili tutte e tre le partizioni.
- I limiti di velocità effettiva indicati presuppongono che venga usata una singola chiave per ottenere la velocità effettiva massima. Ad esempio, se viene usata una singola chiave RSA-2048, la velocità effettiva massima sarà di 1100 operazioni di firma. Se si usano 1100 chiavi diverse con una transazione al secondo, non saranno in grado di ottenere la stessa velocità effettiva.
Operazioni con chiave RSA (numero di operazioni al secondo per ogni istanza del modulo di protezione hardware)
| Operazione | 2048 bit | 3072 bit | 4096 bit |
|---|---|---|---|
| Creare la chiave | 1 | 1 | 1 |
| Elimina chiave (eliminazione temporanea) | 10 | 10 | 10 |
| Rimuovere definitivamente la chiave | 10 | 10 | 10 |
| Backup della chiave | 10 | 10 | 10 |
| Ripristinare la chiave | 10 | 10 | 10 |
| Ottenere informazioni sulle chiavi | 1100 | 1100 | 1100 |
| Encrypt | 10000 | 10000 | 6000 |
| Decrypt | 1100 | 360 | 160 |
| Wrapping | 10000 | 10000 | 6000 |
| Unwrap | 1100 | 360 | 160 |
| Segno | 1100 | 360 | 160 |
| Verificare | 10000 | 10000 | 6000 |
Operazioni con chiave EC (numero di operazioni al secondo per ogni istanza del modulo di protezione hardware)
Questa tabella descrive il numero di operazioni al secondo per ogni tipo di curva.
| Operazione | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Creare la chiave | 1 | 1 | 1 | 1 |
| Elimina chiave (eliminazione temporanea) | 10 | 10 | 10 | 10 |
| Rimuovere definitivamente la chiave | 10 | 10 | 10 | 10 |
| Backup della chiave | 10 | 10 | 10 | 10 |
| Ripristinare la chiave | 10 | 10 | 10 | 10 |
| Ottenere informazioni sulle chiavi | 1100 | 1100 | 1100 | 1100 |
| Segno | 260 | 260 | 165 | 56 |
| Verificare | 130 | 130 | 82 | 28 |
Operazioni con chiave AES (numero di operazioni al secondo per ogni istanza del modulo di protezione hardware)
- Le operazioni di crittografia e decrittografia presuppongono una dimensione del pacchetto di 4 KB.
- I limiti di velocità effettiva per Encrypt/Decrypt si applicano agli algoritmi AES-CBC e AES-GCM.
- I limiti di velocità effettiva per Wrap/Unwrap si applicano all'algoritmo AES-KW.
| Operazione | 128 bit | 192 bit | 256 bit |
|---|---|---|---|
| Creare la chiave | 1 | 1 | 1 |
| Elimina chiave (eliminazione temporanea) | 10 | 10 | 10 |
| Rimuovere definitivamente la chiave | 10 | 10 | 10 |
| Backup della chiave | 10 | 10 | 10 |
| Ripristinare la chiave | 10 | 10 | 10 |
| Ottenere informazioni sulle chiavi | 1100 | 1100 | 1100 |
| Encrypt | 8000 | 8000 | 8000 |
| Decrypt | 8000 | 8000 | 8000 |
| Wrapping | 9000 | 9000 | 9000 |
| Unwrap | 9000 | 9000 | 9000 |