Azure Key Vault servicelimieten
Azure Key Vault-service ondersteunt twee resourcetypen: kluizen en beheerde HSM's. In de volgende twee secties worden respectievelijk de servicelimieten voor elk ervan beschreven.
Resourcetype: kluis
In deze sectie worden servicelimieten voor resourcetype vaultsbeschreven.
Belangrijkste transacties (maximum aantal transacties in 10 seconden per kluis per regio1):
| Type sleutel | HSM-sleutel Sleutel maken |
HSM-sleutel Alle andere transacties |
Softwaresleutel Sleutel maken |
Softwaresleutel Alle andere transacties |
|---|---|---|---|---|
| RSA 2048-bits | 10 | 2.000 | 20 | 4000 |
| RSA 3072-bits | 10 | 500 | 20 | 1000 |
| RSA 4096-bits | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2.000 | 20 | 4000 |
| ECC P-384 | 10 | 2.000 | 20 | 4000 |
| ECC P-521 | 10 | 2.000 | 20 | 4000 |
| ECC SECP256K1 | 10 | 2.000 | 20 | 4000 |
Notitie
In de vorige tabel zien we dat voor 2048-bits RSA-softwaresleutels 4000 GET-transacties per 10 seconden zijn toegestaan. Voor RSA 2048-bits HSM-sleutels zijn 2000 GET-transacties per 10 seconden toegestaan.
De drempelwaarden voor beperking worden gewogen en afdwinging wordt bepaald op basis van de som. Wanneer u zoals aangeven in de vorige tabel GET-bewerkingen uitvoert op RSA HSM-sleutels, is het gebruik van 4096-bits sleutels achtmaal duurder in vergelijking met 2048-bits sleutels. Dat komt omdat 2.000/250 = 8.
In een gegeven interval van 10 seconden kan een Azure Key Vault-client slechts één van de volgende bewerkingen uitvoeren voordat er een 429HTTP-statuscode voor beperking wordt aangetroffen:
- 4.000 RSA 2048-bits softwaresleutel GET-transacties
- 2000 RSA 2048-bits HSM-sleutel GET-transacties
- 250 RSA 4096-bits HSM-sleutel GET-transacties
- 248 RSA 4.096-bits HSM-sleutel GET-transacties en 16 RSA 2048-bits HSM-sleutel GET-transacties
Geheimen, sleutels voor beheerde opslagaccounts en kluistransacties:
| Transactietype | Maximum aantal transacties in 10 seconden per kluis per regio1 |
|---|---|
| Geheim CREATE-geheim |
300 |
| Alle andere transacties | 4000 |
Zie de Azure Key Vault-beperkingsrichtlijnen voor informatie over het verwerken van beperkingen wanneer deze limieten worden overschreden.
1 Een limiet voor het hele abonnement voor alle transactietypen is vijf keer per sleutelkluislimiet.
Back-upsleutels, geheimen, certificaten
Wanneer u een back-up maakt van een object dat is opgeslagen in een sleutelkluis (zoals een geheim, sleutel of certificaat), wordt het object door de back-upbewerking gedownload als een versleutelde blob. Deze blob kan niet buiten Azure worden ontsleuteld. Als u bruikbare gegevens uit deze blob wilt ophalen, moet u de blob herstellen in een sleutelkluis binnen hetzelfde Azure-abonnement en azure-geografie
| Transactietype | Maximaal toegestane key vault-objectversies |
|---|---|
| Back-up maken van afzonderlijke sleutel, geheim, certificaat | 500 |
Notitie
Als u een back-up probeert te maken van een sleutel, geheim of certificaatobject met meer versies dan de limiet, treedt er een fout op. Het is niet mogelijk om eerdere versies van een sleutel, geheim of certificaat te verwijderen.
Limieten voor het aantal sleutels, geheimen en certificaten:
Key Vault beperkt niet het aantal sleutels, geheimen of certificaten dat in een kluis kan worden opgeslagen. Er moet rekening worden gehouden met de transactielimieten voor de kluis om ervoor te zorgen dat bewerkingen niet worden beperkt.
Key Vault het aantal versies van een geheim, sleutel of certificaat niet beperkt, maar het opslaan van een groot aantal versies (500+) kan van invloed zijn op de prestaties van back-upbewerkingen. Zie Azure Key Vault Backup.
Resourcetype: Beheerde HSM
In deze sectie worden servicelimieten voor resourcetype managed HSMbeschreven.
Objectlimieten
| Item | Limieten |
|---|---|
| Aantal HSM-exemplaren per abonnement per regio | 5 |
| Aantal sleutels per HSM-exemplaar | 5000 |
| Aantal versies per sleutel | 100 |
| Aantal aangepaste roldefinities per HSM-exemplaar | 50 |
| Aantal roltoewijzingen op HSM-bereik | 50 |
| Aantal roltoewijzingen voor elk afzonderlijk sleutelbereik | 10 |
Transactielimieten voor beheerbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
| Bewerking | Aantal bewerkingen per seconde |
|---|---|
| Alle RBAC-bewerkingen (bevat alle CRUD-bewerkingen voor roldefinities en roltoewijzingen) |
5 |
| Volledige HSM-back-up/herstel (er wordt slechts één gelijktijdige back-up- of herstelbewerking per HSM-exemplaar ondersteund) |
1 |
Transactielimieten voor cryptografische bewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
- Elk beheerd HSM-exemplaar bestaat uit drie HSM-partities met gelijke taakverdeling. De doorvoerlimieten zijn een functie van de onderliggende hardwarecapaciteit die voor elke partitie is toegewezen. In de onderstaande tabellen ziet u de maximale doorvoer met ten minste één beschikbare partitie. De werkelijke doorvoer kan tot 3x hoger zijn als alle drie de partities beschikbaar zijn.
- Bij vermelde doorvoerlimieten wordt ervan uitgegaan dat één sleutel wordt gebruikt om maximale doorvoer te bereiken. Als bijvoorbeeld één RSA-2048-sleutel wordt gebruikt, is de maximale doorvoer 1100 tekenbewerkingen. Als u 1100 verschillende sleutels gebruikt met één transactie per seconde, kunnen ze niet dezelfde doorvoer bereiken.
RSA-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
| Bewerking | 2048-bits | 3072-bits | 4096-bits |
|---|---|---|---|
| Sleutel maken | 1 | 1 | 1 |
| Sleutel verwijderen (voorlopig verwijderen) | 10 | 10 | 10 |
| Sleutel opschonen | 10 | 10 | 10 |
| Back-upsleutel | 10 | 10 | 10 |
| Herstelsleutel | 10 | 10 | 10 |
| Belangrijke informatie ophalen | 1100 | 1100 | 1100 |
| Versleutelen | 10.000 | 10.000 | 6000 |
| Ontsleutelen | 1100 | 360 | 160 |
| Wrap | 10.000 | 10.000 | 6000 |
| Unwrap | 1100 | 360 | 160 |
| Teken | 1100 | 360 | 160 |
| Verifiëren | 10.000 | 10.000 | 6000 |
EC-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
In deze tabel wordt het aantal bewerkingen per seconde voor elk curvetype beschreven.
| Bewerking | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Sleutel maken | 1 | 1 | 1 | 1 |
| Sleutel verwijderen (voorlopig verwijderen) | 10 | 10 | 10 | 10 |
| Sleutel opschonen | 10 | 10 | 10 | 10 |
| Back-upsleutel | 10 | 10 | 10 | 10 |
| Herstelsleutel | 10 | 10 | 10 | 10 |
| Belangrijke informatie ophalen | 1100 | 1100 | 1100 | 1100 |
| Teken | 260 | 260 | 165 | 56 |
| Verifiëren | 130 | 130 | 82 | 28 |
AES-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
- Versleutelings- en ontsleutelingsbewerkingen gaan uit van een pakketgrootte van 4 kB.
- Doorvoerlimieten voor versleutelen/ontsleutelen zijn van toepassing op AES-CBC- en AES-GCM-algoritmen.
- Doorvoerlimieten voor wrap/unwrap zijn van toepassing op het AES-KW-algoritme.
| Bewerking | 128-bits | 192-bits | 256-bits |
|---|---|---|---|
| Sleutel maken | 1 | 1 | 1 |
| Sleutel verwijderen (voorlopig verwijderen) | 10 | 10 | 10 |
| Sleutel opschonen | 10 | 10 | 10 |
| Back-upsleutel | 10 | 10 | 10 |
| Herstelsleutel | 10 | 10 | 10 |
| Belangrijke informatie ophalen | 1100 | 1100 | 1100 |
| Versleutelen | 8000 | 8000 | 8000 |
| Ontsleutelen | 8000 | 8000 | 8000 |
| Wrap | 9000 | 9000 | 9000 |
| Unwrap | 9000 | 9000 | 9000 |