Limity usługi Azure Key Vault
Usługa Azure Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM. W poniższych dwóch sekcjach opisano odpowiednio limity usług dla każdego z nich.
Typ zasobu: magazyn
W tej sekcji opisano limity usługi dla typu vaultszasobu .
Transakcje klucza (maksymalna liczba transakcji dozwolonych w ciągu 10 sekund, na magazyn na region1):
| Typ klucza | Klucz modułu HSM KLUCZ CREATE |
Klucz modułu HSM Wszystkie inne transakcje |
Klucz oprogramowania KLUCZ CREATE |
Klucz oprogramowania Wszystkie inne transakcje |
|---|---|---|---|---|
| RSA 2,048-bitowy | 10 | 2000 | 20 | 4000 |
| RSA 3,072-bitowa | 10 | 500 | 20 | 1000 |
| RSA 4,096-bitowy | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2000 | 20 | 4000 |
| ECC P-384 | 10 | 2000 | 20 | 4000 |
| ECC P-521 | 10 | 2000 | 20 | 4000 |
| ECC SECP256K1 | 10 | 2000 | 20 | 4000 |
Uwaga
W poprzedniej tabeli widzimy, że w przypadku kluczy oprogramowania RSA 2048-bitowych 4000 transakcji GET na 10 sekund jest dozwolonych. W przypadku 2048-bitowych kluczy HSM RSA 2000 transakcji GET na 10 sekund jest dozwolonych.
Progi ograniczania przepustowości są ważone, a wymuszanie jest na ich sumie. Na przykład, jak pokazano w poprzedniej tabeli, podczas wykonywania operacji GET na kluczach HSM RSA jest osiem razy droższy do użycia kluczy 4096-bitowych w porównaniu z kluczami 2048-bitowymi. Wynika to z faktu, że 2000/250 = 8.
W danym 10-sekundowym interwale klient usługi Azure Key Vault może wykonać tylko jedną z następujących operacji, zanim napotka 429 kod stanu HTTP ograniczania przepustowości:
- 4000 RSA 2 048-bitowych transakcji GET klucza oprogramowania
- 2000 RSA 2 048-bitowych transakcji GET klucza HSM
- 250 RSA 4 096-bitowych transakcji GET klucza HSM
- 248 RSA 4 096-bitowych transakcji GET modułu HSM-key i 16 RSA 2 048-bitowych transakcji GET klucza HSM
Wpisy tajne, klucze zarządzanego konta magazynu i transakcje magazynu:
| Typ transakcji | Maksymalna liczba transakcji dozwolonych w 10 sekundach na magazyn na region1 |
|---|---|
| Wpis tajny TWORZENIE wpisu tajnego |
300 |
| Wszystkie inne transakcje | 4000 |
Aby uzyskać informacje na temat obsługi ograniczania przepustowości po przekroczeniu tych limitów, zobacz Azure Key Vault wskazówki dotyczące ograniczania przepustowości.
1 Limit dotyczący całej subskrypcji dla wszystkich typów transakcji wynosi pięć razy na limit magazynu kluczy.
Klucze kopii zapasowej, wpisy tajne, certyfikaty
Po utworzeniu kopii zapasowej obiektu magazynu kluczy, takiego jak wpis tajny, klucz lub certyfikat, operacja tworzenia kopii zapasowej pobierze obiekt jako zaszyfrowany obiekt blob. Nie można odszyfrować tego obiektu blob poza platformą Azure. Aby uzyskać użyteczne dane z tego obiektu blob, należy przywrócić obiekt blob do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure
| Typ transakcji | Dozwolone maksymalne wersje obiektów magazynu kluczy |
|---|---|
| Tworzenie kopii zapasowej pojedynczego klucza, wpisu tajnego, certyfikatu | 500 |
Uwaga
Próba utworzenia kopii zapasowej klucza, wpisu tajnego lub obiektu certyfikatu o większej wersji niż powyżej limitu spowoduje wystąpienie błędu. Nie można usunąć poprzednich wersji klucza, wpisu tajnego lub certyfikatu.
Limity liczby kluczy, wpisów tajnych i certyfikatów:
Key Vault nie ogranicza liczby kluczy, wpisów tajnych ani certyfikatów, które mogą być przechowywane w magazynie. Należy wziąć pod uwagę limity transakcji w magazynie, aby upewnić się, że operacje nie są ograniczane.
Key Vault nie ogranicza liczby wersji wpisów tajnych, klucza lub certyfikatu, ale przechowywanie dużej liczby wersji (500+) może mieć wpływ na wydajność operacji tworzenia kopii zapasowych. Zobacz Tworzenie kopii zapasowej usługi Azure Key Vault.
Typ zasobu: zarządzany moduł HSM
W tej sekcji opisano limity usługi dla typu managed HSMzasobu .
Limity obiektów
| Element | Limity |
|---|---|
| Liczba wystąpień modułu HSM na subskrypcję na region | 5 |
| Liczba kluczy na wystąpienie modułu HSM | 5000 |
| Liczba wersji na klucz | 100 |
| Liczba niestandardowych definicji ról na wystąpienie modułu HSM | 50 |
| Liczba przypisań ról w zakresie modułu HSM | 50 |
| Liczba przypisań ról w każdym zakresie klucza | 10 |
Limity transakcji dla operacji administracyjnych (liczba operacji na sekundę na wystąpienie modułu HSM)
| Operacja | Liczba operacji na sekundę |
|---|---|
| Wszystkie operacje kontroli dostępu opartej na rolach (obejmuje wszystkie operacje CRUD dla definicji ról i przypisań ról) |
5 |
| Pełna kopia zapasowa/przywracanie modułu HSM (obsługiwana jest tylko jedna współbieżna operacja tworzenia kopii zapasowej lub przywracania na wystąpienie modułu HSM) |
1 |
Limity transakcji dla operacji kryptograficznych (liczba operacji na sekundę na wystąpienie modułu HSM)
- Każde wystąpienie zarządzanego modułu HSM składa się z trzech partycji modułu HSM ze zrównoważonym obciążeniem. Limity przepływności są funkcją bazowej pojemności sprzętowej przydzielonej dla każdej partycji. W poniższych tabelach przedstawiono maksymalną przepływność z co najmniej jedną dostępną partycją. Rzeczywista przepływność może być do 3 razy wyższa, jeśli wszystkie trzy partycje są dostępne.
- Zanotowano limity przepływności, założono, że jeden klucz jest używany do osiągnięcia maksymalnej przepływności. Jeśli na przykład jeden klucz RSA-2048 zostanie użyty, maksymalna przepływność będzie wynosić 1100 operacji podpisywania. Jeśli używasz 1100 różnych kluczy z jedną transakcją na sekundę, nie będą w stanie osiągnąć tej samej przepływności.
Operacje klucza RSA (liczba operacji na sekundę na wystąpienie modułu HSM)
| Operacja | 2048-bitowy | 3072-bitowy | 4096-bitowy |
|---|---|---|---|
| Utwórz klucz | 1 | 1 | 1 |
| Usuń klucz (usuwanie nietrwałe) | 10 | 10 | 10 |
| Przeczyszczanie klucza | 10 | 10 | 10 |
| Klucz kopii zapasowej | 10 | 10 | 10 |
| Klucz przywracania | 10 | 10 | 10 |
| Uzyskiwanie informacji o kluczu | 1100 | 1100 | 1100 |
| Encrypt | 10 000 | 10 000 | 6000 |
| Decrypt | 1100 | 360 | 160 |
| Zawijanie | 10 000 | 10 000 | 6000 |
| Unwrap | 1100 | 360 | 160 |
| Znak | 1100 | 360 | 160 |
| Weryfikacja | 10 000 | 10 000 | 6000 |
Operacje klucza ec (liczba operacji na sekundę na wystąpienie modułu HSM)
W tej tabeli opisano liczbę operacji na sekundę dla każdego typu krzywej.
| Operacja | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Utwórz klucz | 1 | 1 | 1 | 1 |
| Usuń klucz (usuwanie nietrwałe) | 10 | 10 | 10 | 10 |
| Przeczyszczanie klucza | 10 | 10 | 10 | 10 |
| Klucz kopii zapasowej | 10 | 10 | 10 | 10 |
| Klucz przywracania | 10 | 10 | 10 | 10 |
| Uzyskiwanie informacji o kluczu | 1100 | 1100 | 1100 | 1100 |
| Znak | 260 | 260 | 165 | 56 |
| Weryfikacja | 130 | 130 | 82 | 28 |
Operacje klucza AES (liczba operacji na sekundę na wystąpienie modułu HSM)
- Operacje szyfrowania i odszyfrowywania zakładają rozmiar pakietu 4 KB.
- Limity przepływności dla algorytmów szyfrowania/odszyfrowywania dotyczą algorytmów AES-CBC i AES-GCM.
- Limity przepływności zawijania/odpakowania dotyczą algorytmu AES-KW.
| Operacja | 128-bitowy | 192-bitowy | 256-bitowy |
|---|---|---|---|
| Utwórz klucz | 1 | 1 | 1 |
| Usuń klucz (usuwanie nietrwałe) | 10 | 10 | 10 |
| Przeczyszczanie klucza | 10 | 10 | 10 |
| Klucz kopii zapasowej | 10 | 10 | 10 |
| Klucz przywracania | 10 | 10 | 10 |
| Uzyskiwanie informacji o kluczu | 1100 | 1100 | 1100 |
| Encrypt | 8000 | 8000 | 8000 |
| Decrypt | 8000 | 8000 | 8000 |
| Zawijanie | 9000 | 9000 | 9000 |
| Unwrap | 9000 | 9000 | 9000 |