Udostępnij za pośrednictwem


Limity usługi Azure Key Vault

Usługa Azure Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM. W poniższych dwóch sekcjach opisano odpowiednio limity usług dla każdego z nich.

Typ zasobu: magazyn

W tej sekcji opisano limity usługi dla typu vaultszasobu .

Transakcje kluczowe (maksymalna liczba transakcji dozwolonych w ciągu 10 sekund, na magazyn na region1):

Typ klucza Klucz HSM
KLUCZ CREATE
Klucz HSM
Wszystkie inne transakcje
Klucz oprogramowania
KLUCZ CREATE
Klucz oprogramowania
Wszystkie inne transakcje
RSA 2048-bitowe 10 2,000 20 4000
RSA 3072-bitowy 10 500 20 1,000
RSA 4096-bitowy 10 250 20 500
ECC P-256 10 2,000 20 4000
ECC P-384 10 2,000 20 4000
ECC P-521 10 2,000 20 4000
ECC SECP256K1 10 2,000 20 4000

Uwaga

W poprzedniej tabeli widzimy, że w przypadku kluczy oprogramowania RSA 2048-bitowych dozwolone są 4000 transakcji GET na 10 sekund. W przypadku 2048-bitowych kluczy HSM RSA dozwolona jest 2000 transakcji GET na 10 sekund.

Progi ograniczania są ważone, a wymuszanie jest na ich sumę. Na przykład, jak pokazano w poprzedniej tabeli, podczas wykonywania operacji GET na kluczach HSM RSA, użycie 4096-bitowych kluczy w porównaniu z kluczami 2048-bitowymi jest osiem razy droższe. Dzieje się tak, ponieważ 2000/250 = 8.

W danym 10-sekundowym interwale klient usługi Azure Key Vault może wykonać tylko jedną z następujących operacji, zanim napotka 429 kod stanu HTTP ograniczania przepustowości:

  • 4000 RSA 2048-bitowych transakcji GET klucza oprogramowania
  • 2000 RSA 2048-bitowych transakcji GET klucza HSM
  • 250 RSA 4096-bitowych transakcji GET klucza HSM
  • 248 RSA 4096-bitowych transakcji GET HSM-key i 16 RSA 2048-bitowych transakcji GET klucza HSM

Wpisy tajne, klucze zarządzanego konta magazynu i transakcje magazynu:

Typ transakcji Maksymalna liczba transakcji dozwolonych w ciągu 10 sekund na magazyn na region1
Klucz tajny
TWORZENIE wpisu tajnego
300
Wszystkie inne transakcje 4000

Aby uzyskać informacje na temat obsługi ograniczania przepustowości w przypadku przekroczenia tych limitów, zobacz Wskazówki dotyczące ograniczania przepustowości usługi Azure Key Vault.

1 Limit obejmujący całą subskrypcję dla wszystkich typów transakcji wynosi pięć razy na limit magazynu kluczy.

Klucze kopii zapasowej, wpisy tajne, certyfikaty

Podczas tworzenia kopii zapasowej obiektu magazynu kluczy, takiego jak wpis tajny, klucz lub certyfikat, operacja tworzenia kopii zapasowej pobierze obiekt jako zaszyfrowany obiekt blob. Nie można odszyfrować tego obiektu blob poza platformą Azure. Aby uzyskać użyteczne dane z tego obiektu blob, musisz przywrócić obiekt blob do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure

Typ transakcji Dozwolone maksymalne wersje obiektów magazynu kluczy
Tworzenie kopii zapasowej pojedynczego klucza, wpisu tajnego, certyfikatu 500

Uwaga

Próba utworzenia kopii zapasowej klucza, wpisu tajnego lub obiektu certyfikatu zawierającego więcej wersji niż powyżej limitu spowoduje wystąpienie błędu. Nie można usunąć poprzednich wersji klucza, wpisu tajnego lub certyfikatu.

Limity liczby kluczy, wpisów tajnych i certyfikatów:

Usługa Key Vault nie ogranicza liczby kluczy, wpisów tajnych ani certyfikatów, które mogą być przechowywane w magazynie. Należy wziąć pod uwagę limity transakcji w magazynie, aby upewnić się, że operacje nie są ograniczane.

Usługa Key Vault nie ogranicza liczby wersji wpisów tajnych, klucza lub certyfikatu, ale przechowywanie dużej liczby wersji (500+) może mieć wpływ na wydajność operacji tworzenia kopii zapasowych. Zobacz Kopia zapasowa usługi Azure Key Vault.

Typ zasobu: Zarządzany moduł HSM

W tej sekcji opisano limity usługi dla typu managed HSMzasobu .

Limity obiektów

Towar Limity
Liczba wystąpień modułu HSM na subskrypcję na region 5
Liczba kluczy na wystąpienie modułu HSM 5000
Liczba wersji na klucz 100
Liczba niestandardowych definicji ról na wystąpienie modułu HSM 50
Liczba przypisań ról w zakresie modułu HSM 50
Liczba przypisań ról w każdym zakresie klucza 10

Limity transakcji dla operacji administracyjnych (liczba operacji na sekundę na wystąpienie modułu HSM)

Operacja Liczba operacji na sekundę
Wszystkie operacje kontroli dostępu opartej na rolach
(obejmuje wszystkie operacje CRUD dla definicji ról i przypisań ról)
5
Pełna kopia zapasowa/przywracanie modułu HSM
(obsługiwana jest tylko jedna współbieżna operacja tworzenia kopii zapasowej lub przywracania na wystąpienie modułu HSM)
1

Limity transakcji dla operacji kryptograficznych (liczba operacji na sekundę na wystąpienie modułu HSM)

  • Każde zarządzane wystąpienie modułu HSM składa się z trzech partycji HSM ze zrównoważonym obciążeniem. Limity przepływności są funkcją podstawowej pojemności sprzętowej przydzielonej dla każdej partycji. W poniższych tabelach przedstawiono maksymalną przepływność z co najmniej jedną dostępną partycją. Rzeczywista przepływność może być do 3 razy wyższa, jeśli wszystkie trzy partycje są dostępne.
  • Limity przepływności zakładają, że jeden klucz jest używany do osiągnięcia maksymalnej przepływności. Jeśli na przykład jeden klucz RSA-2048 jest używany, maksymalna przepływność będzie wynosić 1100 operacji podpisywania. Jeśli używasz 1100 różnych kluczy z jedną transakcją na sekundę, nie będą one mogły osiągnąć tej samej przepływności.
Operacje klucza RSA (liczba operacji na sekundę na wystąpienie modułu HSM)
Operacja 2048-bitowy 3072-bitowy 4096-bitowy
Utwórz klucz 1 1 1
Usuń klucz (usuwanie nietrwałe) 10 10 10
Przeczyszczanie klucza 10 10 10
Klucz kopii zapasowej 10 10 10
Przywracanie klucza 10 10 10
Uzyskiwanie kluczowych informacji 1100 1100 1100
Szyfrowanie 10 000 10 000 6000
Odszyfrowywanie 1100 360 160
Zawijanie 10 000 10 000 6000
Rozpakować 1100 360 160
Zaloguj 1100 360 160
Weryfikacja 10 000 10 000 6000
Operacje klucza EC (liczba operacji na sekundę na wystąpienie modułu HSM)

W tej tabeli opisano liczbę operacji na sekundę dla każdego typu krzywej.

Operacja P-256 P-256K P-384 P-521
Utwórz klucz 1 1 1 1
Usuń klucz (usuwanie nietrwałe) 10 10 10 10
Przeczyszczanie klucza 10 10 10 10
Klucz kopii zapasowej 10 10 10 10
Przywracanie klucza 10 10 10 10
Uzyskiwanie kluczowych informacji 1100 1100 1100 1100
Zaloguj 260 260 165 56
Weryfikacja 130 130 82 28
Operacje klucza AES (liczba operacji na sekundę na wystąpienie modułu HSM)
  • Operacje szyfrowania i odszyfrowywania zakładają rozmiar pakietu o rozmiarze 4 KB.
  • Limity przepływności szyfrowania/odszyfrowywania mają zastosowanie do algorytmów AES-CBC i AES-GCM.
  • Limity przepływności zawijania/odpakowania mają zastosowanie do algorytmu AES-KW.
Operacja 128-bitowy 192-bitowy 256-bitowy
Utwórz klucz 1 1 1
Usuń klucz (usuwanie nietrwałe) 10 10 10
Przeczyszczanie klucza 10 10 10
Klucz kopii zapasowej 10 10 10
Przywracanie klucza 10 10 10
Uzyskiwanie kluczowych informacji 1100 1100 1100
Szyfrowanie 8000 8000 8000
Odszyfrowywanie 8000 8000 8000
Zawijanie 9000 9000 9000
Rozpakować 9000 9000 9000