Delen via


Servicelimieten voor Azure Key Vault

De Azure Key Vault-service ondersteunt twee resourcetypen: kluizen en beheerde HSM's. In de volgende twee secties worden de servicelimieten voor elk van deze secties beschreven.

Resourcetype: kluis

In deze sectie worden servicelimieten voor het resourcetype vaultsbeschreven.

Belangrijkste transacties (maximum aantal transacties in 10 seconden per kluis per regio1):

Type sleutel HSM-sleutel
Sleutel maken
HSM-sleutel
Alle andere transacties
Softwaresleutel
Sleutel maken
Softwaresleutel
Alle andere transacties
RSA 2048-bits 10 2,000 20 4000
RSA 3072-bits 10 500 20 1.000
RSA 4096-bits 10 250 20 500
ECC P-256 10 2,000 20 4000
ECC P-384 10 2,000 20 4000
ECC P-521 10 2,000 20 4000
ECC SECP256K1 10 2,000 20 4000

Notitie

In de vorige tabel zien we dat voor RSA 2048-bits softwaresleutels 4000 GET-transacties per 10 seconden zijn toegestaan. Voor RSA 2048-bits HSM-sleutels zijn 2000 GET-transacties per 10 seconden toegestaan.

De drempelwaarden voor beperking worden gewogen en afdwinging wordt bepaald op basis van de som. Wanneer u zoals aangeven in de vorige tabel GET-bewerkingen uitvoert op RSA HSM-sleutels, is het gebruik van 4096-bits sleutels achtmaal duurder in vergelijking met 2048-bits sleutels. Dat komt doordat 2000/250 = 8.

In een gegeven interval van 10 seconden kan een Azure Key Vault-client slechts één van de volgende bewerkingen uitvoeren voordat er een 429HTTP-statuscode voor beperking wordt aangetroffen:

  • 4.000 RSA 2.048-bits GET-transacties met softwaresleutels
  • 2000 RSA 2.048-bits HSM-key GET-transacties
  • 250 RSA 4.096-bits HSM-key GET-transacties
  • 248 RSA 4.096-bits HSM-key GET-transacties en 16 RSA 2048-bits HSM-key GET-transacties

Geheimen, sleutels voor beheerde opslagaccounts en kluistransacties:

Transactietype Maximum aantal transacties in 10 seconden per kluis per regio1
Geheim
CREATE secret
300
Alle andere transacties 4000

Zie de Azure Key Vault-beperkingsrichtlijnen voor informatie over het verwerken van beperkingen wanneer deze limieten worden overschreden.

1 Een limiet voor het hele abonnement voor alle transactietypen is vijf keer per sleutelkluislimiet.

Back-upsleutels, geheimen, certificaten

Wanneer u een back-up maakt van een object dat is opgeslagen in een sleutelkluis (zoals een geheim, sleutel of certificaat), wordt het object door de back-upbewerking gedownload als een versleutelde blob. Deze blob kan niet buiten Azure worden ontsleuteld. Als u bruikbare gegevens uit deze blob wilt ophalen, moet u de blob herstellen in een sleutelkluis binnen hetzelfde Azure-abonnement en azure-geografie

Transactietype Maximaal toegestane key vault-objectversies
Een back-up maken van afzonderlijke sleutel, geheim, certificaat 500

Notitie

Als u een back-up probeert te maken van een sleutel, geheim of certificaatobject met meer versies dan de bovenstaande limiet, treedt er een fout op. Het is niet mogelijk om eerdere versies van een sleutel, geheim of certificaat te verwijderen.

Limieten voor het aantal sleutels, geheimen en certificaten:

Key Vault beperkt niet het aantal sleutels, geheimen of certificaten dat in een kluis kan worden opgeslagen. Er moet rekening worden gehouden met de transactielimieten voor de kluis om ervoor te zorgen dat bewerkingen niet worden beperkt.

Key Vault beperkt het aantal versies op een geheim, sleutel of certificaat niet, maar het opslaan van een groot aantal versies (500+) kan van invloed zijn op de prestaties van back-upbewerkingen. Zie Azure Key Vault Backup.

Resourcetype: Beheerde HSM

In deze sectie worden servicelimieten voor het resourcetype managed HSMbeschreven.

Objectlimieten

Artikel Limieten
Aantal HSM-exemplaren per abonnement per regio 5
Aantal sleutels per HSM-exemplaar 5000
Aantal versies per sleutel 100
Aantal aangepaste roldefinities per HSM-exemplaar 50
Aantal roltoewijzingen op HSM-bereik 50
Aantal roltoewijzingen voor elk afzonderlijk sleutelbereik 10

Transactielimieten voor beheerbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)

Operation Aantal bewerkingen per seconde
Alle RBAC-bewerkingen
(omvat alle CRUD-bewerkingen voor roldefinities en roltoewijzingen)
5
Volledige back-up/herstel van HSM
(slechts één gelijktijdige back-up- of herstelbewerking per HSM-exemplaar ondersteund)
1

Transactielimieten voor cryptografische bewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)

  • Elk beheerd HSM-exemplaar bestaat uit drie HSM-partities met gelijke taakverdeling. De doorvoerlimieten zijn een functie van de onderliggende hardwarecapaciteit die voor elke partitie is toegewezen. In de onderstaande tabellen ziet u de maximale doorvoer met ten minste één partitie die beschikbaar is. De werkelijke doorvoer kan maximaal 3x hoger zijn als alle drie de partities beschikbaar zijn.
  • De doorvoerlimieten die zijn genoteerd, gaan ervan uit dat één sleutel wordt gebruikt om maximale doorvoer te bereiken. Als bijvoorbeeld één RSA-2048-sleutel wordt gebruikt, is de maximale doorvoer 1100 tekenbewerkingen. Als u 1100 verschillende sleutels met één transactie per seconde gebruikt, kunnen ze niet dezelfde doorvoer bereiken.
RSA-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
Operation 2048-bits 3072-bits 4096-bits
Sleutel maken 1 1 1
Sleutel verwijderen (voorlopig verwijderen) 10 10 10
Sleutel leegmaken 10 10 10
Back-upsleutel 10 10 10
Sleutel herstellen 10 10 10
Sleutelgegevens ophalen 1100 1100 1100
Versleutelen 10000 10000 6000
Ontsleutelen 1100 360 160
Terugloop 10000 10000 6000
Unwrap 1100 360 160
Aanmelden 1100 360 160
Verifiëren 10000 10000 6000
EC-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)

In deze tabel wordt het aantal bewerkingen per seconde voor elk curvetype beschreven.

Operation P-256 P-256K P-384 P-521
Sleutel maken 1 1 1 1
Sleutel verwijderen (voorlopig verwijderen) 10 10 10 10
Sleutel leegmaken 10 10 10 10
Back-upsleutel 10 10 10 10
Sleutel herstellen 10 10 10 10
Sleutelgegevens ophalen 1100 1100 1100 1100
Aanmelden 260 260 165 56
Verifiëren 130 130 82 28
AES-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
  • Versleutelings- en ontsleutelingsbewerkingen gaan uit van een pakketgrootte van 4 KB.
  • Doorvoerlimieten voor Encrypt/Decrypt zijn van toepassing op AES-CBC- en AES-GCM-algoritmen.
  • Doorvoerlimieten voor Wrap/Unwrap zijn van toepassing op AES-KW-algoritme.
Operation 128-bits 192-bits 256-bits
Sleutel maken 1 1 1
Sleutel verwijderen (voorlopig verwijderen) 10 10 10
Sleutel leegmaken 10 10 10
Back-upsleutel 10 10 10
Sleutel herstellen 10 10 10
Sleutelgegevens ophalen 1100 1100 1100
Versleutelen 8000 8000 8000
Ontsleutelen 8000 8000 8000
Terugloop 9000 9000 9000
Unwrap 9000 9000 9000