Azure Key Vault サービスの制限
Azure Key Vault サービスでは、コンテナーとマネージド HSM という 2 つのリソースの種類がサポートされています。 次の 2 つのセクションでは、それぞれのサービスの制限について説明します。
リソースの種類: コンテナー
このセクションでは、リソースの種類 vaults のサービスの制限について説明します。
キーのトランザクション (リージョンあたりのコンテナーごとに、10 秒間に許可される最大トランザクション数1):
| キーの種類 | HSM キー CREATE キー |
HSM キー その他すべてのトランザクション |
ソフトウェア キー CREATE キー |
ソフトウェア キー その他すべてのトランザクション |
|---|---|---|---|---|
| RSA 2,048 ビット | 10 | 2,000 | 20 | 4,000 |
| RSA 3,072 ビット | 10 | 500 | 20 | 1,000 |
| RSA 4,096 ビット | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4,000 |
| ECC P-384 | 10 | 2,000 | 20 | 4,000 |
| ECC P-521 | 10 | 2,000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4,000 |
Note
前の表を見ると、RSA 2,048 ビット ソフトウェア キーでは、10 秒間に 4,000 件の GET トランザクションが許可されます。 RSA 2,048 ビット HSM キーでは、10 秒間に 2,000 件の GET トランザクションが許可されます。
スロットルのしきい値は重み付けされ、合計に対して適用されます。 たとえば、前の表で示されているように、RSA HSM キーで GET 操作を実行する場合に 4,096 ビット キーを使用すると、2,048 ビット キーと比較して 8 倍のコストがかかります。 これは、2,000/250 = 8 によります。
10 秒間に、Azure Key Vault クライアントは、 429 のスロットル HTTP 状態コードが発生するまで、次の操作のいずれか 1 つのみを実行できます。
- 4,000 件の RSA 2,048 ビット ソフトウェア キー GET トランザクション
- 2,000 件の RSA 2,048 ビット HSM キー GET トランザクション
- 250 件の RSA 4,096 ビット HSM キー GET トランザクション
- 248 件の RSA 4,096 ビット HSM キー GET トランザクションおよび 16 件の RSA 2,048 ビット HSM キー GET トランザクション
シークレット、管理ストレージ アカウント キー、およびコンテナーのトランザクション:
| トランザクションの種類 | リージョンあたりのコンテナーごとに、10 秒間に許可される最大トランザクション数1 |
|---|---|
| Secret シークレットの作成 |
300 |
| その他すべてのトランザクション | 4,000 |
これらの制限を超えたときにスロットルを処理する方法については、「Azure Key Vault のスロットル ガイダンス」をご覧ください。
1 すべてのトランザクションの種類に適用されるサブスクリプション レベルの制限は、キー コンテナーの制限の 5 倍です。
キー、シークレット、証明書をバックアップする
キー コンテナー オブジェクト (シークレット、キー、証明書など) をバックアップすると、そのオブジェクトは、バックアップ操作によって、暗号化された BLOB としてダウンロードされます。 Azure の外部でこの BLOB の暗号化を解除することはできません。 この BLOB から有効なデータを取得するには、同じ Azure サブスクリプションと Azure 地域内のキー コンテナーに BLOB を復元する必要があります。
| トランザクションの種類 | 許容されるキー コンテナー オブジェクトのバージョン数の上限 |
|---|---|
| 個々のキー、シークレット、証明書をバックアップする | 500 |
Note
バージョン数が上記の制限を超えるキー、シークレット、または証明書オブジェクトをバックアップしようとすると、エラーが発生します。 キー、シークレット、または証明書の以前のバージョンを削除することはできません。
キー、シークレット、および証明書の数に関する制限:
Key Vault では、コンテナーに格納できるキー、シークレット、または証明書の数は制限されません。 コンテナーに関するトランザクション制限を考慮して、操作が調整されないようにする必要があります。
Key Vault では、シークレット、キー、または証明書に対するバージョン数は制限されませんが、多数のバージョン (500 個以上) を格納すると、バックアップ操作のパフォーマンスに影響を与える可能性があります。 「Azure Key Vault のバックアップ」を参照してください。
リソースの種類: マネージド HSM
このセクションでは、リソースの種類 managed HSM のサービスの制限について説明します。
オブジェクト制限
| アイテム | 制限 |
|---|---|
| リージョンごとのサブスクリプションあたりの HSM インスタンスの数 | 5 |
| HSM インスタンスあたりのキー数 | 5000 |
| キーあたりのバージョン数 | 100 |
| HSM インスタンスあたりのカスタム ロール定義の数 | 50 |
| HSM スコープでのロールの割り当て数 | 50 |
| 個々のキー スコープでのロールの割り当て数 | 10 |
管理操作のトランザクション制限 (HSM インスタンスごとの 1 秒あたりの操作数)
| 操作 | 1 秒あたりの操作数 |
|---|---|
| すべての RBAC 操作 (ロールの定義とロールの割り当てに関するすべての CRUD 操作が含まれます) |
5 |
| HSM の完全なバックアップまたは復元 (HSM インスタンスごとに 1 つの同時バックアップまたは復元操作のみがサポートされています) |
1 |
暗号化操作のトランザクション制限 (HSM インスタンスごとの 1 秒あたりの操作数)
- 各マネージド HSM インスタンスは、負荷分散された 3 つの HSM パーティションを構成します。 スループット制限は、各パーティションに割り当てられた、基になるハードウェア容量の機能です。 下の表は、使用可能なパーティションが少なくとも 1 つある最大スループットを示しています。 3 つすべてのパーティションが使用可能な場合、実際のスループットは最大 3 倍になります。
- スループット制限は、最大スループットを実現するために 1 つのキーが使用されていることを前提としています。 たとえば、1 つの RSA-2048 キーが使用されている場合、最大スループットは 1100 回の署名操作になります。 それぞれ 1 秒あたり 1 トランザクションの、1100 個の異なるキーを使用する場合は、同じスループットを実現することはできません。
RSA キー操作 (HSM インスタンスごとの 1 秒あたりの操作数)
| 操作 | 2048 ビット | 3072 ビット | 4096 ビット |
|---|---|---|---|
| キーの作成 | 1 | 1 | 1 |
| キーの削除 (論理的な削除) | 10 | 10 | 10 |
| キーの消去 | 10 | 10 | 10 |
| キーのバックアップ | 10 | 10 | 10 |
| キーの復元 | 10 | 10 | 10 |
| キー情報の取得 | 1100 | 1100 | 1100 |
| 暗号化 | 10000 | 10000 | 6000 |
| 復号化 | 1100 | 360 | 160 |
| ラップ | 10000 | 10000 | 6000 |
| ラップ解除 | 1100 | 360 | 160 |
| 署名 | 1100 | 360 | 160 |
| 確認 | 10000 | 10000 | 6000 |
EC キー操作 (HSM インスタンスごとの 1 秒あたりの操作数)
この表は、各曲線の種類に対する 1 秒あたりの操作数を示しています。
| 操作 | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| キーの作成 | 1 | 1 | 1 | 1 |
| キーの削除 (論理的な削除) | 10 | 10 | 10 | 10 |
| キーの消去 | 10 | 10 | 10 | 10 |
| キーのバックアップ | 10 | 10 | 10 | 10 |
| キーの復元 | 10 | 10 | 10 | 10 |
| キー情報の取得 | 1100 | 1100 | 1100 | 1100 |
| 署名 | 260 | 260 | 165 | 56 |
| 確認 | 130 | 130 | 82 | 28 |
AES キー操作 (HSM インスタンスごとの 1 秒あたりの操作数)
- 暗号化と復号化の操作では、4 KB のパケット サイズが想定されます。
- 暗号化または復号化のスループット制限は、AES-CBC および AES GCM アルゴリズムに適用されます。
- ラップまたはラップ解除のスループット制限は、AES-KW アルゴリズムに適用されます。
| 操作 | 128 ビット | 192 ビット | 256 ビット |
|---|---|---|---|
| キーの作成 | 1 | 1 | 1 |
| キーの削除 (論理的な削除) | 10 | 10 | 10 |
| キーの消去 | 10 | 10 | 10 |
| キーのバックアップ | 10 | 10 | 10 |
| キーの復元 | 10 | 10 | 10 |
| キー情報の取得 | 1100 | 1100 | 1100 |
| 暗号化 | 8000 | 8000 | 8000 |
| 復号化 | 8000 | 8000 | 8000 |
| ラップ | 9000 | 9000 | 9000 |
| ラップ解除 | 9000 | 9000 | 9000 |