Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O serviço Azure Key Vault dá suporte a dois tipos de recursos: Vaults e HSMs gerenciados. As duas seções a seguir descrevem os limites de serviço para cada um deles, respectivamente.
Tipo de recurso: vault
Esta seção descreve os limites de serviço para o tipo vaultsde recurso .
Principais transações (máximo de transações permitidas dentro de 10 segundos, por cofre por região1):
| Tipo de chave | Chave HSM chave criar |
Chave HSM Todas as outras operações |
Chave de software Chave CREATE |
Chave de software Todas as outras operações |
|---|---|---|---|---|
| RSA de 2.048 bits | 10 | 2.000 | 20 | 4,000 |
| RSA de 3.072 bits | 10 | 500 | 20 | 1,000 |
| RSA de 4.096 bits | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2.000 | 20 | 4,000 |
| ECC P-384 | 10 | 2.000 | 20 | 4,000 |
| CCE P-521 | 10 | 2.000 | 20 | 4,000 |
| SECP256K1 CEC | 10 | 2.000 | 20 | 4,000 |
Observação
Na tabela anterior, vemos que, para chaves de software RSA de 2.048 bits, são permitidas 4.000 transações GET por 10 segundos. Para chaves HSM RSA de 2.048 bits, são permitidas 2.000 transações GET por 10 segundos.
Os limiares de limitação são ponderados, e a aplicação é feita com base na sua soma. Por exemplo, como mostrado na tabela anterior, quando você executa operações GET em chaves RSA HSM, é oito vezes mais caro usar chaves de 4.096 bits em comparação com chaves de 2.048 bits. Isso porque 2.000/250 = 8.
Em um determinado intervalo de 10 segundos, um cliente do Azure Key Vault pode fazer apenas uma das seguintes operações antes de encontrar um 429 código de status HTTP limitado:
- 4.000 transações RSA de 2.048 bits com chave de software GET
- 2.000 transações de chave RSA de 2.048 bits em HSM para GET
- 250 transações GET de chave HSM de 4.096 bits RSA
- 248 transações GET com chave HSM RSA de 4.096 bits e 16 transações GET com chave HSM RSA de 2.048 bits
Segredos, chaves de conta de armazenamento gerenciado e transações do cofre.
| Tipo de transações | Máximo de transações permitidas em 10 segundos, por cofre e por região1 |
|---|---|
| Segredo CRIAR segredo |
300 |
| Todas as outras operações | 4,000 |
Para obter informações sobre como lidar com a limitação quando esses limites são excedidos, consulte Diretrizes de limitação do Cofre de Chaves do Azure.
1 Um limite de toda a subscrição para todos os tipos de transação é de cinco vezes por limite do cofre de chaves.
Chaves de backup, segredos, certificados
Quando você faz backup de um objeto do cofre de chaves, como um segredo, chave ou certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não pode ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, você deve restaurar o blob em um cofre de chaves dentro da mesma assinatura do Azure e da mesma geografia do Azure
| Tipo de transações | Máximo de versões de objetos do cofre de chaves permitidas |
|---|---|
| Fazer backup de chave individual, segredo, certificado | 500 |
Observação
A tentativa de fazer backup de uma chave, segredo ou objeto de certificado com mais versões do que o limite acima resultará em um erro. Não é possível excluir versões anteriores de uma chave, segredo ou certificado.
Limites na contagem de chaves, segredos e certificados:
O Cofre da Chave não restringe o número de chaves, segredos ou certificados que podem ser armazenados em um cofre. Os limites de transação no cofre devem ser levados em conta para garantir que as operações não sejam limitadas.
O Key Vault não restringe o número de versões em um segredo, chave ou certificado, mas armazenar um grande número de versões (500+) pode afetar o desempenho das operações de backup. Consulte Backup do Cofre de Chaves Azure.
Tipo de recurso: HSM gerenciado
Esta seção descreve os limites de serviço para o tipo managed HSMde recurso .
Limites de objetos
| Artigo | Limites |
|---|---|
| Número de instâncias do HSM por assinatura e por região | 5 |
| Número de chaves por instância do HSM | 5 000 |
| Número de versões por chave | 100 |
| Número de definições de função personalizadas por instância do HSM | 50 |
| Número de atribuições de função no escopo do HSM | 50 |
| Número de atribuições de função em cada escopo chave individual | 10 |
Limites de transação para operações administrativas (número de operações por segundo por instância do HSM)
| Funcionamento | Número de operações por segundo |
|---|---|
| Todas as operações RBAC (inclui todas as operações CRUD para definições de funções e atribuições de funções) |
5 |
| Backup/restauração completa do HSM (apenas uma operação simultânea de backup ou restauração por instância do HSM suportada) |
1 |
Limites de transação para operações criptográficas (número de operações por segundo por instância de HSM)
- Cada instância do HSM gerenciado constitui três partições HSM com balanceamento de carga. Os limites de taxa de transferência são uma função da capacidade de hardware subjacente alocada para cada partição. As tabelas abaixo mostram a taxa de transferência máxima com pelo menos uma partição disponível. A taxa de transferência real pode ser até 3x maior se todas as três partições estiverem disponíveis.
- Os limites de taxa de transferência observados pressupõem que uma única chave está sendo usada para atingir a taxa de transferência máxima. Por exemplo, se uma única chave RSA-2048 for usada, a taxa de transferência máxima será de 1100 operações de sinal. Se você usar 1100 chaves diferentes com uma transação por segundo cada, elas não poderão atingir a mesma taxa de transferência.
Operações-chave RSA (número de operações por segundo por instância HSM)
| Funcionamento | 2048-bit | 3072 bits | 4096-bit |
|---|---|---|---|
| Criar chave | 1 | 1 | 1 |
| Eliminar chave (eliminação temporária) | 10 | 10 | 10 |
| Tecla de Purga | 10 | 10 | 10 |
| Chave de backup | 10 | 10 | 10 |
| Chave de restauração | 10 | 10 | 10 |
| Obter informações importantes | 1100 | 1100 | 1100 |
| Criptografar | 10 000 | 10 000 | 6.000 |
| Desencriptar | 1100 | 360 | 160 |
| Embrulho | 10 000 | 10 000 | 6.000 |
| Desembrulhar | 1100 | 360 | 160 |
| Assinar | 1100 | 360 | 160 |
| Verificar | 10 000 | 10 000 | 6.000 |
Operações-chave EC (número de operações por segundo por instância HSM)
Esta tabela descreve o número de operações por segundo para cada tipo de curva.
| Funcionamento | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Criar chave | 1 | 1 | 1 | 1 |
| Eliminar Chave (eliminação suave) | 10 | 10 | 10 | 10 |
| Tecla de Purga | 10 | 10 | 10 | 10 |
| Chave de backup | 10 | 10 | 10 | 10 |
| Chave de restauração | 10 | 10 | 10 | 10 |
| Obter informações importantes | 1100 | 1100 | 1100 | 1100 |
| Assinar | 260 | 260 | 165 | 56 |
| Verificar | 130 | 130 | 82 | 28 |
Operações-chave AES (número de operações por segundo por instância HSM)
- As operações Criptografar e Descriptografar assumem um tamanho de pacote de 4KB.
- Os limites de taxa de transferência para Encrypt/Decrypt aplicam-se aos algoritmos AES-CBC e AES-GCM.
- Os limites de taxa de transferência para Wrap/Unwrap aplicam-se ao algoritmo AES-KW.
| Funcionamento | 128 bits | 192 bits | 256 bits |
|---|---|---|---|
| Criar chave | 1 | 1 | 1 |
| Excluir chave (exclusão temporária) | 10 | 10 | 10 |
| Chave de purga | 10 | 10 | 10 |
| Chave de backup | 10 | 10 | 10 |
| Chave de restauração | 10 | 10 | 10 |
| Obter informações importantes | 1100 | 1100 | 1100 |
| Criptografar | oito mil | oito mil | oito mil |
| Desencriptar | oito mil | oito mil | oito mil |
| Embrulho | 9000 | 9000 | 9000 |
| Desembrulhar | 9000 | 9000 | 9000 |