Limiti dei servizi Azure Key Vault

Il servizio azure Key Vault supporta due tipi di risorse: insiemi di credenziali e moduli di protezione hardware gestiti. Le due sezioni seguenti descrivono rispettivamente i limiti del servizio per ognuno di essi.

Tipo di risorsa: insieme di credenziali

In questa sezione vengono descritti i limiti del servizio per il tipo di vaultsrisorsa .

Transazioni chiave (numero massimo di transazioni consentite entro 10 secondi, per ogni insieme di credenziali e ogni area1):

Tipo di chiave Chiave del modulo di protezione hardware
Chiave CREATE
Chiave del modulo di protezione hardware
Tutte le altre transazioni
Chiave software
Chiave CREATE
Chiave software
Tutte le altre transazioni
RSA a 2.048 bit 10 2.000 20 4.000
RSA a 3.072 bit 10 500 20 1\.000
RSA a 4.096 bit 10 250 20 500
ECC P-256 10 2.000 20 4.000
ECC P-384 10 2.000 20 4.000
ECC P-521 10 2.000 20 4.000
ECC SECP256K1 10 2.000 20 4.000

Nota

Nella tabella precedente si noterà che per le chiavi software RSA a 2.048 bit, sono consentite transazioni GET 4.000 per 10 secondi. Per le chiavi HSM a 2.048 bit RSA, sono consentite transazioni GET 2.000 per 10 secondi.

Le soglie di limitazione delle richieste sono ponderate e l'imposizione viene applicata alla somma. Ad esempio, come illustrato nella tabella precedente, quando si eseguono operazioni GET su chiavi del modulo di protezione hardware RSA, usare chiavi a 4.096 bit risulta otto volte più oneroso rispetto a usare chiavi a 2.048 bit, Questo perché 2.000/250 = 8.

In un intervallo specificato di 10 secondi un client Azure Key Vault può eseguire una sola delle operazioni seguenti prima che venga restituito un codice di stato HTTP di limitazione delle richieste 429:

  • Transazioni GET A 4.000 RSA a 2.048 bit
  • Transazioni GET A 2.000 rsa a 2.048 bit
  • Transazioni GET A 4.096 bit RSA 250 bit
  • Transazioni GET A 248 bit RSA 4.096 bit e 16 TRANSAZIONi GET A 16 RSA a 2.048 bit GET con chiave HSM

Segreti, chiavi di account di archiviazione gestiti e transazioni dell'insieme di credenziali:

Tipo di transazioni Numero massimo di transazioni consentite entro 10 secondi, per ogni archivio e ogni area1
Segreto
CREATE secret
300
Tutte le altre transazioni 4.000

Per informazioni su come gestire la limitazione delle richieste in caso di superamento dei limiti, vedere Guida alla limitazione delle richieste per Azure Key Vault.

1 Il limite a livello di sottoscrizione per tutti i tipi di transazione corrisponde a un valore pari a cinque volte quello del limite a livello di insieme di credenziali delle chiavi.

Chiavi di backup, segreti, certificati

Quando si esegue il backup di un oggetto dell'insieme di credenziali delle chiavi, come un segreto, una chiave o un certificato, l'operazione di backup scarica l'oggetto come BLOB crittografato. Questo BLOB non può essere decrittografato all'esterno di Azure. Per ottenere dati utilizzabili da questo BLOB, è necessario ripristinare il BLOB in un insieme di credenziali delle chiavi nella stessa sottoscrizione di Azure e nell'area geografica di Azure

Tipo di transazioni Versioni massime degli oggetti dell'insieme di credenziali delle chiavi consentite
Eseguire il backup di singole chiavi, segreto, certificato 500

Nota

Il tentativo di eseguire il backup di una chiave, un segreto o un oggetto certificato con più versioni rispetto al limite superiore genera un errore. Non è possibile eliminare le versioni precedenti di una chiave, un segreto o un certificato.

Limiti al numero di chiavi, segreti e certificati:

Key Vault non limita il numero di chiavi, segreti o certificati che possono essere archiviati in un insieme di credenziali. I limiti delle transazioni nell'insieme di credenziali devono essere presi in considerazione per assicurarsi che le operazioni non siano limitate.

Key Vault non limita il numero di versioni in un segreto, una chiave o un certificato, ma l'archiviazione di un numero elevato di versioni (500+) può influire sulle prestazioni delle operazioni di backup. Vedere Backup di Azure Key Vault.

Tipo di risorsa: HSM gestito

In questa sezione vengono descritti i limiti del servizio per il tipo di managed HSMrisorsa .

Limiti di oggetto

Elemento Limiti
Numero di istanze HSM per sottoscrizione per area 5
Numero di chiavi per istanza di HSM 5000
Numero di versioni per chiave 100
Numero di definizioni di ruolo personalizzate per istanza di HSM 50
Numero di assegnazioni di ruolo nell'ambito di HSM 50
Numero di assegnazioni di ruolo in ogni singolo ambito chiave 10

Limiti delle transazioni per le operazioni amministrative (numero di operazioni al secondo per istanza di HSM)

Operazione Numero di operazioni al secondo
Tutte le operazioni di controllo degli accessi in base al ruolo
(include tutte le operazioni CRUD per le definizioni di ruolo e le assegnazioni di ruolo)
5
Backup/ripristino di HSM completo
(solo un'operazione di backup o ripristino simultanea per istanza HSM supportata)
1

Limiti delle transazioni per le operazioni di crittografia (numero di operazioni al secondo per istanza di HSM)

  • Ogni istanza di HSM gestita costituisce tre partizioni HSM con carico bilanciato. I limiti di velocità effettiva sono una funzione della capacità hardware sottostante allocata per ogni partizione. Le tabelle seguenti mostrano la velocità effettiva massima con almeno una partizione disponibile. La velocità effettiva effettiva può essere fino a 3x superiore se sono disponibili tutte e tre le partizioni.
  • I limiti di velocità effettiva annotati presuppongono che venga usata una singola chiave per ottenere la velocità effettiva massima. Ad esempio, se viene usata una singola chiave RSA-2048, la velocità effettiva massima sarà 1100 operazioni di firma. Se si usano 1100 chiavi diverse con una transazione al secondo, non sarà possibile ottenere la stessa velocità effettiva.
Operazioni chiave RSA (numero di operazioni al secondo per istanza di HSM)
Operazione 2048 bit 3072 bit 4096 bit
Crea chiave 1 1 1
Elimina chiave (eliminazione temporanea) 10 10 10
Tasto di eliminazione 10 10 10
Chiave di backup 10 10 10
Chiave di ripristino 10 10 10
Ottenere informazioni chiave 1100 1100 1100
Encrypt 10000 10000 6000
Decrypt 1100 360 160
Wrap 10000 10000 6000
Unwrap 1100 360 160
Sign 1100 360 160
Verifica 10000 10000 6000
Operazioni chiave EC (numero di operazioni al secondo per istanza di HSM)

Questa tabella descrive il numero di operazioni al secondo per ogni tipo di curva.

Operazione P-256 P-256K P-384 P-521
Crea chiave 1 1 1 1
Elimina chiave (eliminazione temporanea) 10 10 10 10
Tasto di eliminazione 10 10 10 10
Chiave di backup 10 10 10 10
Chiave di ripristino 10 10 10 10
Ottenere informazioni sulla chiave 1100 1100 1100 1100
Sign 260 260 165 56
Verifica 130 130 82 28
Operazioni chiave AES (numero di operazioni al secondo per ogni istanza del modulo di protezione hardware)
  • Le operazioni di crittografia e decrittografia presuppongono una dimensione di pacchetto di 4 KB.
  • I limiti di velocità effettiva per Encrypt/Decrypt si applicano agli algoritmi AES-CBC e AES-GCM.
  • I limiti di velocità effettiva per Wrap/Unwrap si applicano all'algoritmo AES-KW.
Operazione 128 bit 192 bit 256 bit
Crea chiave 1 1 1
Elimina chiave (eliminazione temporanea) 10 10 10
Ripulisci chiave 10 10 10
Chiave di backup 10 10 10
Chiave di ripristino 10 10 10
Ottenere informazioni sulla chiave 1100 1100 1100
Encrypt 8000 8000 8000
Decrypt 8000 8000 8000
Wrap 9000 9000 9000
Unwrap 9000 9000 9000