Поделиться через


Ограничения службы Azure Key Vault

Служба Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В следующих двух разделах описаны ограничения службы для каждого из них.

Тип ресурса: хранилище

В этом разделе описаны ограничения службы для типа ресурса vaults.

Транзакции с ключами (максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1):

Тип ключа Ключ HSM
Ключ CREATE
Ключ HSM
Все остальные транзакции
Ключ ПО
Ключ CREATE
Ключ ПО
Все остальные транзакции
2048-битовый RSA 10 2,000 20 4000
3072-битовый RSA 10 500 20 1,000
4096-битовый RSA 10 250 20 500
ECC P-256 10 2,000 20 4000
ECC P-384 10 2,000 20 4000
ECC P-521 10 2,000 20 4000
ECC SECP256K1 10 2,000 20 4000

Примечание.

В таблице выше показано, что для 2048-разрядных программных ключей RSA разрешено 4000 транзакций GET за каждые 10 секунд. Для 2048-разрядных ключей RSA на основе HSM разрешено 2000 транзакций GET за каждые 10 секунд.

Пороговые значения регулирования являются взвешенными, и ограничения применяются к их суммарным значениям. Например, как показано в таблице выше, при выполнении операций GET с HSM-ключами RSA затраты на использование 4096-битовых ключей будут в восемь раз выше по сравнению с 2048-битовыми ключами (так как 2000/250 = 8).

За заданный 10-секундный интервал клиент Azure Key Vault может выполнить только одну из следующих операций, прежде чем он получит код состояния HTTP 429 для регулирования:

  • 4000 транзакций GET с 2048-разрядными программными ключами RSA;
  • 2000 транзакций GET с 2048-разрядными ключами RSA на основе HSM;
  • 250 транзакций GET с 4096-разрядными ключами RSA на основе HSM;
  • 248 транзакции GET с 4096-разрядными ключами RSA на основе HSM и 16 транзакций GET с 2048-разрядными ключами RSA на основе HSM.

Секреты, ключи управляемой учетной записи хранения и транзакции с хранилищем:

Тип транзакций Максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1
Секретный
CREATE secret
300
Все остальные транзакции 4000

Дополнительные сведения о регулировании при превышении этих ограничений см. в руководстве по регулированию Azure Key Vault.

1 Ограничение для всех типов транзакций на уровне подписки в пять раз превышает ограничение на уровне хранилища ключей.

Резервные копии ключей, секретов, сертификатов

При создании резервной копии объекта, хранимого в хранилище ключей (секрета, ключа или сертификата), он скачивается как зашифрованный большой двоичный объект. Этот большой двоичный объект нельзя расшифровать за пределами Azure. Чтобы получить пригодные для использования данные из этого большого двоичного объекта, необходимо восстановить его в хранилище ключей в той же подписке и географической области Azure

Тип транзакций Максимально допустимая версия объекта хранилища ключей
Резервное копирование отдельных ключей, секретов, сертификатов 500

Примечание.

Попытка создания резервного копирования ключа, секрета или объекта сертификата, используя количество версий, превышающее лимит, может привести к ошибке. Удалить предыдущие версии ключа, секрета или сертификата нельзя.

Ограничения на количество ключей, секретов и сертификатов:

Служба Key Vault не ограничивает количество ключей, секретов или сертификатов, которые могут храниться в хранилище. Следует учитывать ограничения транзакций в хранилище, чтобы гарантировать, что операции не будут регулироваться.

Key Vault не ограничивает количество версий секрета, ключа или сертификата, но хранение большого количества версий (500+) может повлиять на производительность операций резервного копирования. См. Резервное копирование Azure Key Vault.

Тип ресурса: управляемый HSM

В этом разделе описаны ограничения службы для типа ресурса managed HSM.

Ограничения на объекты

Товар Ограничения
Количество экземпляров HSM на одну подписку для одного региона 5
Число ключей на один экземпляр HSM 5000
Число версий на ключ 100
Число определений настраиваемых ролей на один экземпляр HSM 50
Число назначений ролей на область HSM 50
Число назначений ролей в каждой области действия ключа 10

Ограничения на транзакции для административных операций (количество операций в секунду на каждый экземпляр HSM)

Операция Число операций в секунду
Все операции RBAC
(включает все операции CRUD для определений ролей и назначений ролей)
5
Полное резервное копирование или восстановление HSM
(поддерживается только одна одновременно выполняемая операция резервного копирования или восстановления на каждый экземпляр HSM)
1

Ограничения на транзакции для операций шифрования (количество операций в секунду на каждый экземпляр HSM)

  • Каждый управляемый экземпляр HSM состоит из трех разделов HSM с балансировкой нагрузки. Ограничения пропускной способности зависят от базовой мощности оборудования, выделенной для каждого раздела. В таблицах ниже показана максимальная пропускная способность при доступности минимум одного раздела. Фактическая пропускная способность может быть в три раза выше, если доступны все три раздела.
  • В контексте указанных ограничений пропускной способности предполагается, что для достижения максимальной пропускной способности используется один ключ. Например, если используется один ключ RSA-2048, максимальная пропускная способность будет составлять 1100 операций входа. Если вы используете 1100 разных ключей, и для каждого выполняется одна транзакция в секунду, они не смогут достичь такой же пропускной способности.
Операции с ключами RSA (количество операций в секунду на каждый экземпляр HSM)
Операция 2048-битный 3072-битный 4096-битный
Создание ключа 1 1 1
Удаление ключа (обратимое удаление) 10 10 10
Очистка ключа 10 10 10
Создание резервной копии ключа 10 10 10
Восстановление ключа 10 10 10
Получение сведений о ключе 1 100 1 100 1 100
Шифрование 10000 10000 6000
расшифровка; 1 100 360 160
Переносить 10000 10000 6000
Распаковка 1 100 360 160
Подписание 1 100 360 160
Проверка 10000 10000 6000
Операции с ключами EC (количество операций в секунду на каждый экземпляр HSM)

В этой таблице указано количество операций в секунду для каждого типа кривой.

Операция P-256 P-256K P-384 P-521
Создание ключа 1 1 1 1
Удаление ключа (обратимое удаление) 10 10 10 10
Очистка ключа 10 10 10 10
Создание резервной копии ключа 10 10 10 10
Восстановление ключа 10 10 10 10
Получение сведений о ключе 1 100 1 100 1 100 1 100
Подписание 260 260 165 56
Проверка 130 130 82 28
Операции с ключами AES (количество операций в секунду на каждый экземпляр HSM)
  • В контексте операций шифрования и расшифровки предполагается, что используется пакет размером 4 КБ.
  • Ограничения пропускной способности для шифрования и расшифровки применяются к алгоритмам AES-CBC и AES-GCM.
  • Ограничения пропускной способности для упаковки и распаковки применяются к алгоритму AES-KW.
Операция 128-разрядное 192-битный 256-битный
Создание ключа 1 1 1
Удаление ключа (обратимое удаление) 10 10 10
Очистка ключа 10 10 10
Создание резервной копии ключа 10 10 10
Восстановление ключа 10 10 10
Получение сведений о ключе 1 100 1 100 1 100
Шифрование 8000 8000 8000
расшифровка; 8000 8000 8000
Переносить 9000 9000 9000
Распаковка 9000 9000 9000