Limites de serviços do Azure Key Vault
O serviço do Azure Key Vault é compatível com dois tipos de recursos: cofres e HSMs gerenciados. As duas seções a seguir descrevem os limites de serviço de cada um deles, respectivamente.
Tipo de recurso: cofre
Esta seção descreve os limites de serviço para o tipo de recurso vaults.
Principais transações (máximo de transações permitidas a cada 10 segundos por cofre e por região1):
| Tipo de chave | Chave HSM Chave CREATE |
Chave HSM Todas as outras transações |
Chave de software Chave CREATE |
Chave de software Todas as outras transações |
|---|---|---|---|---|
| RSA de 2.048 bits | 10 | 2\.000 | 20 | 4.000 |
| RSA de 3.072 bits | 10 | 500 | 20 | 1,000 |
| RSA de 4.096 bits | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2\.000 | 20 | 4.000 |
| ECC P-384 | 10 | 2\.000 | 20 | 4.000 |
| ECC P-521 | 10 | 2\.000 | 20 | 4.000 |
| ECC SECP256K1 | 10 | 2\.000 | 20 | 4.000 |
Observação
Na tabela anterior, vimos que, para chaves de software do tipo RSA de 2.048 bits, são permitidas 4 mil transações GET a cada dez segundos. Para chaves HSM do tipo RSA de 2.048 bits, são permitidas 2 mil transações GET a cada dez segundos.
Os limites da limitação acima são ponderados, e a imposição está na soma. Por exemplo, conforme mostrado na tabela anterior, quando você executa operações GET em chaves HSM do tipo RSA, o uso de chaves de 4.096 bits é oito vezes mais caro em comparação com as chaves de 2.048 bits. Isso ocorre porque 2.000/250 = 8.
Em um determinado intervalo de 10 segundos, um cliente do Azure Key Vault poderá fazer somente uma das seguintes operações antes de encontrar um código de status HTTP de limitação de 429:
- Quatro mil transações GET de chave de software do tipo RSA de 2.048 bits
- Duas mil transações GET de chave HSM do tipo RSA de 2.048 bits
- 250 mil transações GET de chave HSM do tipo RSA de 4.096 bits
- 248 transações GET de chave HSM do tipo RSA de 4.096 bits e 16 transações GET de chave HSM do tipo RSA de 2.048 bits
Segredos, chaves de conta de armazenamento gerenciado e transações de cofre:
| Tipo de transação | Máximo de transações permitidas a cada 10 segundos por cofre e por região1 |
|---|---|
| Segredo CRIAR segredo |
300 |
| Todas as outras transações | 4.000 |
Para obter informações sobre como lidar com a limitação quando esses limites forem excedidos, confira Diretrizes de limitação do Azure Key Vault.
1 O limite de assinaturas para todos os tipos de transações será cinco vezes o limite do cofre de chaves.
Chaves de backup, segredos, certificados
Quando você fizer backup de um objeto do cofre de chaves, como um segredo, uma chave ou um certificado, a operação de backup baixará o objeto como um blob criptografado. Este blob não pode ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, restaure o blob em um cofre de chaves na mesma assinatura e geografia do Azure
| Tipo de transação | Máximo permitido de versões de objeto do cofre de chaves |
|---|---|
| Fazer backup de uma chave, um segredo ou um certificado individual | 500 |
Observação
A tentativa de fazer backup de um objeto de chave, segredo ou certificado com mais versões do que o limite acima resultará em um erro. Não é possível excluir versões anteriores de uma chave, um segredo ou um certificado.
Limites de contagem de chaves, segredos e certificados:
O Key Vault não restringe o número de chaves, segredos ou certificados que podem ser armazenados em um cofre. Os limites de transação no cofre devem ser levados em conta para garantir que as operações não sejam limitadas.
O Key Vault não restringe o número de versões de um segredo, chave ou certificado, mas o armazenamento de um grande número de versões (mais de 500) pode afetar o desempenho das operações de backup. Consulte Backup do Azure Key Vault.
Tipo de recurso: HSM gerenciado
Esta seção descreve os limites de serviço para o tipo de recurso managed HSM.
Limites do objeto
| Item | limites |
|---|---|
| Número de instâncias de HSM por assinatura por região | 5 |
| Número de chaves por instância do HSM | 5.000 |
| Número de versões por chave | 100 |
| Número de definições de função personalizadas por instância do HSM | 50 |
| Número de atribuições de função no escopo do HSM | 50 |
| Número de atribuições de função em cada escopo de chave individual | 10 |
Limites de transação para operações administrativas (número de operações por segundo por instância de HSM)
| Operação | Número de operações por segundo |
|---|---|
| Todas as operações de RBAC (inclui todas as operações CRUD para definições de função e atribuições de função) |
5 |
| Backup/restauração completo do HSM (apenas uma operação de backup ou restauração simultânea por instância de HSM com suporte) |
1 |
Limites de transação para operações criptográficas (número de operações por segundo por instância de HSM)
- Cada instância do HSM Gerenciado constitui três partições do HSM com balanceamento de carga. Os limites de taxa de transferência são uma função de capacidade de hardware subjacente alocada para cada partição. As tabelas a seguir mostram a taxa de transferência máxima com pelo menos uma partição disponível. A taxa de transferência real poderá ser até três vezes maior se todas as três partições estiverem disponíveis.
- Os limites de taxa de transferência indicados presumem que uma única chave está sendo usada para alcançar a taxa de transferência máxima. Por exemplo, se uma única chave RSA-2048 for usada, a taxa de transferência máxima será de 1.100 operações de sinal. Se você usar 1.100 chaves diferentes com uma transação por segundo, elas não poderão alcançar a mesma taxa de transferência.
Operações de chave RSA (número de operações por segundo por instância de HSM)
| Operação | 2048 bits | 3072 bits | 4096 bits |
|---|---|---|---|
| Criar Chave | 1 | 1 | 1 |
| Excluir chave (exclusão reversível) | 10 | 10 | 10 |
| Limpar a Chave | 10 | 10 | 10 |
| Chave de Backup | 10 | 10 | 10 |
| Restaurar chave | 10 | 10 | 10 |
| Obter Informações da Chave | 1100 | 1100 | 1100 |
| Encrypt | 10000 | 10000 | 6000 |
| Descriptografar | 1100 | 360 | 160 |
| Encapsular | 10000 | 10000 | 6000 |
| Desencapsular | 1100 | 360 | 160 |
| Assinar | 1100 | 360 | 160 |
| Verificar | 10000 | 10000 | 6000 |
Operações de chave EC (número de operações por segundo por instância HSM)
Esta tabela descreve o número de operações por segundo para cada tipo de curva.
| Operação | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Criar Chave | 1 | 1 | 1 | 1 |
| Excluir chave (exclusão reversível) | 10 | 10 | 10 | 10 |
| Limpar a Chave | 10 | 10 | 10 | 10 |
| Chave de Backup | 10 | 10 | 10 | 10 |
| Restaurar chave | 10 | 10 | 10 | 10 |
| Obter Informações da Chave | 1100 | 1100 | 1100 | 1100 |
| Assinar | 260 | 260 | 165 | 56 |
| Verificar | 130 | 130 | 82 | 28 |
Operações de chave AES (número de operações por segundo por instância HSM)
- Operações de Criptografar e Descriptografar assumem um tamanho de pacote de 4 KB.
- Os limites de taxa de transferência para Criptografar/Descriptografar se aplicam a algoritmos AES-CBC e AES-GCM.
- Os limites de taxa de transferência para encapsulamento/desencapsulamento se aplicam ao algoritmo AES-KW.
| Operação | 128 bits | 192 bits | 256 bits |
|---|---|---|---|
| Criar Chave | 1 | 1 | 1 |
| Excluir chave (exclusão reversível) | 10 | 10 | 10 |
| Limpar a Chave | 10 | 10 | 10 |
| Chave de Backup | 10 | 10 | 10 |
| Restaurar chave | 10 | 10 | 10 |
| Obter Informações da Chave | 1100 | 1100 | 1100 |
| Encrypt | 8000 | 8000 | 8000 |
| Descriptografar | 8000 | 8000 | 8000 |
| Encapsular | 9000 | 9000 | 9000 |
| Desencapsular | 9000 | 9000 | 9000 |