Compartilhar via


Limites de serviços do Azure Key Vault

O serviço do Azure Key Vault é compatível com dois tipos de recursos: cofres e HSMs gerenciados. As duas seções a seguir descrevem os limites de serviço de cada um deles, respectivamente.

Tipo de recurso: cofre

Esta seção descreve os limites de serviço para o tipo de recurso vaults.

Principais transações (máximo de transações permitidas a cada 10 segundos por cofre e por região1):

Tipo de chave Chave HSM
Chave CREATE
Chave HSM
Todas as outras transações
Chave de software
Chave CREATE
Chave de software
Todas as outras transações
RSA de 2.048 bits 10 2\.000 20 4.000
RSA de 3.072 bits 10 500 20 1,000
RSA de 4.096 bits 10 250 20 500
ECC P-256 10 2\.000 20 4.000
ECC P-384 10 2\.000 20 4.000
ECC P-521 10 2\.000 20 4.000
ECC SECP256K1 10 2\.000 20 4.000

Observação

Na tabela anterior, vimos que, para chaves de software do tipo RSA de 2.048 bits, são permitidas 4 mil transações GET a cada dez segundos. Para chaves HSM do tipo RSA de 2.048 bits, são permitidas 2 mil transações GET a cada dez segundos.

Os limites da limitação acima são ponderados, e a imposição está na soma. Por exemplo, conforme mostrado na tabela anterior, quando você executa operações GET em chaves HSM do tipo RSA, o uso de chaves de 4.096 bits é oito vezes mais caro em comparação com as chaves de 2.048 bits. Isso ocorre porque 2.000/250 = 8.

Em um determinado intervalo de 10 segundos, um cliente do Azure Key Vault poderá fazer somente uma das seguintes operações antes de encontrar um código de status HTTP de limitação de 429:

  • Quatro mil transações GET de chave de software do tipo RSA de 2.048 bits
  • Duas mil transações GET de chave HSM do tipo RSA de 2.048 bits
  • 250 mil transações GET de chave HSM do tipo RSA de 4.096 bits
  • 248 transações GET de chave HSM do tipo RSA de 4.096 bits e 16 transações GET de chave HSM do tipo RSA de 2.048 bits

Segredos, chaves de conta de armazenamento gerenciado e transações de cofre:

Tipo de transação Máximo de transações permitidas a cada 10 segundos por cofre e por região1
Segredo
CRIAR um segredo
300
Todas as outras transações 4.000

Para obter informações sobre como lidar com a limitação quando esses limites forem excedidos, confira Diretrizes de limitação do Azure Key Vault.

1 O limite de assinaturas para todos os tipos de transações será cinco vezes o limite do cofre de chaves.

Chaves de backup, segredos, certificados

Quando você fizer backup de um objeto do cofre de chaves, como um segredo, uma chave ou um certificado, a operação de backup baixará o objeto como um blob criptografado. Este blob não pode ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, restaure o blob em um cofre de chaves na mesma assinatura e geografia do Azure

Tipo de transação Máximo permitido de versões de objeto do cofre de chaves
Fazer backup de uma chave, um segredo ou um certificado individual 500

Observação

A tentativa de fazer backup de um objeto de chave, segredo ou certificado com mais versões do que o limite acima resultará em um erro. Não é possível excluir versões anteriores de uma chave, um segredo ou um certificado.

Limites de contagem de chaves, segredos e certificados:

O Key Vault não restringe o número de chaves, segredos ou certificados que podem ser armazenados em um cofre. Os limites de transação no cofre devem ser levados em conta para garantir que as operações não sejam limitadas.

O Key Vault não restringe o número de versões de um segredo, chave ou certificado, mas o armazenamento de um grande número de versões (mais de 500) pode afetar o desempenho das operações de backup. Consulte Backup do Azure Key Vault.

Tipo de recurso: HSM gerenciado

Esta seção descreve os limites de serviço para o tipo de recurso managed HSM.

Limites do objeto

Item limites
Número de instâncias de HSM por assinatura por região 5
Número de chaves por instância do HSM 5.000
Número de versões por chave 100
Número de definições de função personalizadas por instância do HSM 50
Número de atribuições de função no escopo do HSM 50
Número de atribuições de função em cada escopo de chave individual 10

Limites de transação para operações administrativas (número de operações por segundo por instância de HSM)

Operação Número de operações por segundo
Todas as operações de RBAC
(inclui todas as operações CRUD para definições de função e atribuições de função)
5
Backup/restauração completo do HSM
(apenas uma operação de backup ou restauração simultânea por instância de HSM com suporte)
1

Limites de transação para operações criptográficas (número de operações por segundo por instância de HSM)

  • Cada instância do HSM Gerenciado constitui três partições do HSM com balanceamento de carga. Os limites de taxa de transferência são uma função de capacidade de hardware subjacente alocada para cada partição. As tabelas a seguir mostram a taxa de transferência máxima com pelo menos uma partição disponível. A taxa de transferência real poderá ser até três vezes maior se todas as três partições estiverem disponíveis.
  • Os limites de taxa de transferência indicados presumem que uma única chave está sendo usada para alcançar a taxa de transferência máxima. Por exemplo, se uma única chave RSA-2048 for usada, a taxa de transferência máxima será de 1.100 operações de sinal. Se você usar 1.100 chaves diferentes com uma transação por segundo, elas não poderão alcançar a mesma taxa de transferência.
Operações de chave RSA (número de operações por segundo por instância de HSM)
Operação 2048 bits 3072 bits 4096 bits
Criar Chave 1 1 1
Excluir chave (exclusão reversível) 10 10 10
Limpar a Chave 10 10 10
Chave de Backup 10 10 10
Restaurar chave 10 10 10
Obter Informações da Chave 1100 1100 1100
Encrypt 10000 10000 6000
Descriptografar 1100 360 160
Encapsular 10000 10000 6000
Desencapsular 1100 360 160
Assinar 1100 360 160
Verificar 10000 10000 6000
Operações de chave EC (número de operações por segundo por instância HSM)

Esta tabela descreve o número de operações por segundo para cada tipo de curva.

Operação P-256 P-256K P-384 P-521
Criar Chave 1 1 1 1
Excluir chave (exclusão reversível) 10 10 10 10
Limpar a Chave 10 10 10 10
Chave de Backup 10 10 10 10
Restaurar chave 10 10 10 10
Obter Informações da Chave 1100 1100 1100 1100
Assinar 260 260 165 56
Verificar 130 130 82 28
Operações de chave AES (número de operações por segundo por instância HSM)
  • Operações de Criptografar e Descriptografar assumem um tamanho de pacote de 4 KB.
  • Os limites de taxa de transferência para Criptografar/Descriptografar se aplicam a algoritmos AES-CBC e AES-GCM.
  • Os limites de taxa de transferência para encapsulamento/desencapsulamento se aplicam ao algoritmo AES-KW.
Operação 128 bits 192 bits 256 bits
Criar Chave 1 1 1
Excluir chave (exclusão reversível) 10 10 10
Limpar a Chave 10 10 10
Chave de Backup 10 10 10
Restaurar chave 10 10 10
Obter Informações da Chave 1100 1100 1100
Encrypt 8000 8000 8000
Descriptografar 8000 8000 8000
Encapsular 9000 9000 9000
Desencapsular 9000 9000 9000