Limites de serviço do Azure Key Vault
O serviço Azure Key Vault dá suporte a dois tipos de recursos: Vaults e HSMs gerenciados. As duas seções a seguir descrevem os limites de serviço para cada um deles, respectivamente.
Tipo de recurso: vault
Esta seção descreve os limites de serviço para o tipo vaultsde recurso .
Principais transações (máximo de transações permitidas em 10 segundos, por cofre por região1):
| Tipo de chave | Chave HSM Chave CREATE |
Chave HSM Todas as outras operações |
Chave de software Chave CREATE |
Chave de software Todas as outras operações |
|---|---|---|---|---|
| RSA de 2.048 bits | 10 | 2.000 | 20 | 4,000 |
| RSA de 3.072 bits | 10 | 500 | 20 | 1,000 |
| RSA de 4.096 bits | 10 | 250 | 20 | 500 |
| CEC P-256 | 10 | 2.000 | 20 | 4,000 |
| CEC P-384 | 10 | 2.000 | 20 | 4,000 |
| CEC P-521 | 10 | 2.000 | 20 | 4,000 |
| SECP256K1 CEC | 10 | 2.000 | 20 | 4,000 |
Nota
Na tabela anterior, vemos que, para chaves de software RSA de 2.048 bits, são permitidas 4.000 transações GET por 10 segundos. Para chaves HSM RSA de 2.048 bits, são permitidas 2.000 transações GET por 10 segundos.
Os limiares de limitação são ponderados e a execução é feita de acordo com o seu montante. Por exemplo, como mostrado na tabela anterior, quando você executa operações GET em chaves RSA HSM, é oito vezes mais caro usar chaves de 4.096 bits em comparação com chaves de 2.048 bits. Isso porque 2.000/250 = 8.
Em um determinado intervalo de 10 segundos, um cliente do Azure Key Vault pode fazer apenas uma das seguintes operações antes de encontrar um 429 código de status HTTP limitado:
- 4.000 transações RSA de 2.048 bits com chave de software GET
- 2.000 transações RSA 2.048-bit HSM-key GET
- 250 transações RSA 4.096-bit HSM-key GET
- 248 transações RSA 4.096-bit HSM-key GET e 16 RSA 2.048-bit HSM-key GET
Segredos, chaves de conta de armazenamento gerenciado e transações do cofre:
| Tipo de transações | Máximo de transações permitidas em 10 segundos, por cofre por região1 |
|---|---|
| Segredo CRIAR segredo |
300 |
| Todas as outras operações | 4,000 |
Para obter informações sobre como lidar com a limitação quando esses limites são excedidos, consulte Diretrizes de limitação do Cofre de Chaves do Azure.
1 Um limite de toda a subscrição para todos os tipos de transação é de cinco vezes por limite do cofre de chaves.
Chaves de backup, segredos, certificados
Quando você faz backup de um objeto do cofre de chaves, como um segredo, chave ou certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não pode ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, você deve restaurar o blob em um cofre de chaves dentro da mesma assinatura do Azure e da mesma geografia do Azure
| Tipo de transações | Máximo de versões de objetos do cofre de chaves permitidas |
|---|---|
| Fazer backup de chave individual, segredo, certificado | 500 |
Nota
A tentativa de fazer backup de uma chave, segredo ou objeto de certificado com mais versões do que o limite acima resultará em um erro. Não é possível excluir versões anteriores de uma chave, segredo ou certificado.
Limites na contagem de chaves, segredos e certificados:
O Cofre da Chave não restringe o número de chaves, segredos ou certificados que podem ser armazenados em um cofre. Os limites de transação no cofre devem ser levados em conta para garantir que as operações não sejam limitadas.
O Key Vault não restringe o número de versões em um segredo, chave ou certificado, mas armazenar um grande número de versões (500+) pode afetar o desempenho das operações de backup. Consulte Backup do Cofre de Chaves do Azure.
Tipo de recurso: HSM gerenciado
Esta seção descreve os limites de serviço para o tipo managed HSMde recurso .
Limites de objetos
| Item | Limites |
|---|---|
| Número de instâncias do HSM por assinatura e por região | 5 |
| Número de chaves por instância do HSM | 5000 |
| Número de versões por chave | 100 |
| Número de definições de função personalizadas por instância do HSM | 50 |
| Número de atribuições de função no escopo do HSM | 50 |
| Número de atribuições de função em cada escopo chave individual | 10 |
Limites de transação para operações administrativas (número de operações por segundo por instância do HSM)
| Operação | Número de operações por segundo |
|---|---|
| Todas as operações RBAC (inclui todas as operações CRUD para definições de funções e atribuições de funções) |
5 |
| Backup/restauração completa do HSM (apenas uma operação simultânea de backup ou restauração por instância do HSM suportada) |
1 |
Limites de transação para operações criptográficas (número de operações por segundo por instância de HSM)
- Cada instância do HSM gerenciado constitui três partições HSM com balanceamento de carga. Os limites de taxa de transferência são uma função da capacidade de hardware subjacente alocada para cada partição. As tabelas abaixo mostram a taxa de transferência máxima com pelo menos uma partição disponível. A taxa de transferência real pode ser até 3x maior se todas as três partições estiverem disponíveis.
- Os limites de taxa de transferência observados pressupõem que uma única chave está sendo usada para atingir a taxa de transferência máxima. Por exemplo, se uma única chave RSA-2048 for usada, a taxa de transferência máxima será de 1100 operações de sinal. Se você usar 1100 chaves diferentes com uma transação por segundo cada, elas não poderão atingir a mesma taxa de transferência.
Operações-chave RSA (número de operações por segundo por instância HSM)
| Operação | 2048-bit | 3072 bits | 4096 bits |
|---|---|---|---|
| Criar chave | 1 | 1 | 1 |
| Excluir chave (soft-delete) | 10 | 10 | 10 |
| Chave de limpeza | 10 | 10 | 10 |
| Chave de backup | 10 | 10 | 10 |
| Chave de restauração | 10 | 10 | 10 |
| Obter informações importantes | 1100 | 1100 | 1100 |
| Encriptar | 10000 | 10000 | 6.000 |
| Desencriptar | 1100 | 360 | 160 |
| Moldar | 10000 | 10000 | 6.000 |
| Desembrulhar | 1100 | 360 | 160 |
| Assinar | 1100 | 360 | 160 |
| Verificar | 10000 | 10000 | 6.000 |
Operações-chave EC (número de operações por segundo por instância HSM)
Esta tabela descreve o número de operações por segundo para cada tipo de curva.
| Operação | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Criar chave | 1 | 1 | 1 | 1 |
| Excluir chave (soft-delete) | 10 | 10 | 10 | 10 |
| Chave de limpeza | 10 | 10 | 10 | 10 |
| Chave de backup | 10 | 10 | 10 | 10 |
| Chave de restauração | 10 | 10 | 10 | 10 |
| Obter informações importantes | 1100 | 1100 | 1100 | 1100 |
| Assinar | 260 | 260 | 165 | 56 |
| Verificar | 130 | 130 | 82 | 28 |
Operações-chave AES (número de operações por segundo por instância HSM)
- As operações Criptografar e Descriptografar assumem um tamanho de pacote de 4KB.
- Os limites de taxa de transferência para Encrypt/Decrypt aplicam-se aos algoritmos AES-CBC e AES-GCM.
- Os limites de taxa de transferência para Wrap/Unwrap aplicam-se ao algoritmo AES-KW.
| Operação | 128 bits | 192 bits | 256 bits |
|---|---|---|---|
| Criar chave | 1 | 1 | 1 |
| Excluir chave (soft-delete) | 10 | 10 | 10 |
| Chave de limpeza | 10 | 10 | 10 |
| Chave de backup | 10 | 10 | 10 |
| Chave de restauração | 10 | 10 | 10 |
| Obter informações importantes | 1100 | 1100 | 1100 |
| Encriptar | 8000 | 8000 | 8000 |
| Desencriptar | 8000 | 8000 | 8000 |
| Moldar | 9000 | 9000 | 9000 |
| Desembrulhar | 9000 | 9000 | 9000 |