Limites de serviço do Azure Key Vault
O serviço Azure Key Vault suporta dois tipos de recursos: Cofres e HSMs Geridos. As duas secções seguintes descrevem os limites de serviço para cada uma delas, respetivamente.
Tipo de recurso: cofre
Esta secção descreve os limites de serviço para o tipo vaultsde recurso .
Transações principais (máximo de transações permitidas em 10 segundos, por cofre por região1):
| Tipo de chave | Chave HSM Tecla CREATE |
Chave HSM Todas as outras transações |
Chave de software Tecla CREATE |
Chave de software Todas as outras transações |
|---|---|---|---|---|
| RSA 2,048 bits | 10 | 2.000 | 20 | 4000 |
| RSA 3,072 bits | 10 | 500 | 20 | 1,000 |
| RSA 4,096 bits | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2.000 | 20 | 4000 |
| ECC P-384 | 10 | 2.000 | 20 | 4000 |
| ECC P-521 | 10 | 2.000 | 20 | 4000 |
| ECC SECP256K1 | 10 | 2.000 | 20 | 4000 |
Nota
Na tabela anterior, vemos que para chaves de software RSA de 2048 bits, são permitidas 4000 transações GET por 10 segundos. Para chaves HSM de 2048 bits RSA, são permitidas 2000 transações GET por 10 segundos.
Os limiares de limitação são ponderados e a imposição está na sua soma. Por exemplo, conforme mostrado na tabela anterior, quando executa operações GET em chaves de HSM RSA, é oito vezes mais caro utilizar chaves de 4096 bits em comparação com chaves de 2048 bits. Isto deve-se a 2000/250 = 8.
Num determinado intervalo de 10 segundos, um cliente do Azure Key Vault só pode efetuar uma das seguintes operações antes de encontrar um 429 código de estado HTTP de limitação:
- Transações GET de chave de software de 2.048 bits RSA
- Transações GET de chave HSM de 2000 RSA de 2048 bits
- Transações GET de chave HSM de 4.096 bits RSA
- Transações GET de chave HSM de 4.096 bits RSA e transações GET de chave HSM de 16 RSA de 2.048 bits
Segredos, chaves de contas de armazenamento geridas e transações do cofre:
| Tipo de transações | Máximo de transações permitidas em 10 segundos, por cofre por região1 |
|---|---|
| Segredo CRIAR segredo |
300 |
| Todas as outras transações | 4000 |
Para obter informações sobre como lidar com a limitação quando estes limites são excedidos, veja Azure Key Vault throttling guidance (Orientação de limitação do Azure Key Vault).
1 Um limite ao nível da subscrição para todos os tipos de transação é cinco vezes por limite do cofre de chaves.
Chaves de cópia de segurança, segredos, certificados
Quando cria uma cópia de segurança de um objeto do cofre de chaves, como um segredo, chave ou certificado, a operação de cópia de segurança irá transferir o objeto como um blob encriptado. Não é possível desencriptar este blob fora do Azure. Para obter dados utilizáveis deste blob, tem de restaurar o blob para um cofre de chaves na mesma subscrição do Azure e geografia do Azure
| Tipo de transações | Versões máximas de objetos do cofre de chaves permitidas |
|---|---|
| Criar cópias de segurança de chave individual, segredo, certificado | 500 |
Nota
Tentar fazer uma cópia de segurança de uma chave, segredo ou objeto de certificado com mais versões do que o limite acima resultará num erro. Não é possível eliminar versões anteriores de uma chave, segredo ou certificado.
Limites na contagem de chaves, segredos e certificados:
Key Vault não restringe o número de chaves, segredos ou certificados que podem ser armazenados num cofre. Os limites de transação no cofre devem ser tidos em conta para garantir que as operações não são limitadas.
Key Vault não restringe o número de versões num segredo, chave ou certificado, mas armazenar um grande número de versões (mais de 500) pode afetar o desempenho das operações de cópia de segurança. Veja Azure Key Vault Backup.
Tipo de recurso: HSM Gerido
Esta secção descreve os limites de serviço para o tipo managed HSMde recurso .
Limites de objetos
| Item | Limites |
|---|---|
| Número de instâncias de HSM por subscrição por região | 5 |
| Número de chaves por instância do HSM | 5000 |
| Número de versões por chave | 100 |
| Número de definições de funções personalizadas por instância do HSM | 50 |
| Número de atribuições de funções no âmbito do HSM | 50 |
| Número de atribuições de funções em cada âmbito de chave individual | 10 |
Limites de transação para operações administrativas (número de operações por segundo por instância do HSM)
| Operação | Número de operações por segundo |
|---|---|
| Todas as operações RBAC (inclui todas as operações CRUD para definições de funções e atribuições de funções) |
5 |
| Cópia de Segurança/Restauro completo do HSM (apenas uma operação de cópia de segurança ou restauro simultânea por instância do HSM suportada) |
1 |
Limites de transação para operações criptográficas (número de operações por segundo por instância do HSM)
- Cada instância do HSM Gerido constitui três partições HSM com balanceamento de carga. Os limites de débito são uma função da capacidade de hardware subjacente alocada para cada partição. As tabelas abaixo mostram o débito máximo com, pelo menos, uma partição disponível. O débito real pode ser até 3 vezes superior se as três partições estiverem disponíveis.
- Os limites de débito indicados partem do princípio de que uma única chave está a ser utilizada para alcançar o débito máximo. Por exemplo, se for utilizada uma única chave RSA-2048, o débito máximo será de 1100 operações de sinal. Se utilizar 1100 chaves diferentes com uma transação por segundo cada, estas não conseguirão obter o mesmo débito.
Operações de chave RSA (número de operações por segundo por instância do HSM)
| Operação | 2048 bits | 3072 bits | 4096 bits |
|---|---|---|---|
| Criar Chave | 1 | 1 | 1 |
| Eliminar Chave (eliminação recuperável) | 10 | 10 | 10 |
| Remover Chave | 10 | 10 | 10 |
| Chave de Cópia de Segurança | 10 | 10 | 10 |
| Restaurar Chave | 10 | 10 | 10 |
| Obter Informações de Chave | 1100 | 1100 | 1100 |
| Encriptar | 10000 | 10000 | 6000 |
| Desencriptar | 1100 | 360 | 160 |
| Moldar | 10000 | 10000 | 6000 |
| Desembrulhar | 1100 | 360 | 160 |
| Assinar | 1100 | 360 | 160 |
| Verificação | 10000 | 10000 | 6000 |
Operações de chaves EC (número de operações por segundo por instância do HSM)
Esta tabela descreve o número de operações por segundo para cada tipo de curva.
| Operação | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Criar Chave | 1 | 1 | 1 | 1 |
| Eliminar Chave (eliminação recuperável) | 10 | 10 | 10 | 10 |
| Remover Chave | 10 | 10 | 10 | 10 |
| Chave de Cópia de Segurança | 10 | 10 | 10 | 10 |
| Restaurar Chave | 10 | 10 | 10 | 10 |
| Obter Informações de Chave | 1100 | 1100 | 1100 | 1100 |
| Assinar | 260 | 260 | 165 | 56 |
| Verificação | 130 | 130 | 82 | 28 |
Operações de chave AES (número de operações por segundo por instância do HSM)
- As operações Encrypt e Decrypt assumem um tamanho de pacote de 4 KB.
- Os limites de débito para Encriptar/Desencriptar aplicam-se aos algoritmos AES-CBC e AES-GCM.
- Os limites de débito para Wrap/Unwrap aplicam-se ao algoritmo AES-KW.
| Operação | 128 bits | 192 bits | 256 bits |
|---|---|---|---|
| Criar Chave | 1 | 1 | 1 |
| Eliminar Chave (eliminação recuperável) | 10 | 10 | 10 |
| Remover Chave | 10 | 10 | 10 |
| Chave de Cópia de Segurança | 10 | 10 | 10 |
| Restaurar Chave | 10 | 10 | 10 |
| Obter Informações de Chave | 1100 | 1100 | 1100 |
| Encriptar | 8000 | 8000 | 8000 |
| Desencriptar | 8000 | 8000 | 8000 |
| Moldar | 9000 | 9000 | 9000 |
| Desembrulhar | 9000 | 9000 | 9000 |