Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В следующих двух разделах описаны ограничения службы для каждого из них.
Тип ресурса: хранилище
В этом разделе описаны ограничения службы для типа ресурса vaults.
Транзакции с ключами (максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1):
| Тип ключа | Ключ HSM Ключ СОЗДАТЬ |
Ключ HSM Все остальные транзакции |
Ключ ПО Ключ СОЗДАТЬ |
Ключ ПО Все остальные транзакции |
|---|---|---|---|---|
| 2048-битовый RSA | 10 | 2 000 | 20 | 4,000 |
| 3072-битовый RSA | 10 | 500 | 20 | 1 000 |
| 4096-битовый RSA | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2 000 | 20 | 4,000 |
| ECC P-384 | 10 | 2 000 | 20 | 4,000 |
| ECC P-521 | 10 | 2 000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2 000 | 20 | 4,000 |
Замечание
В таблице выше показано, что для 2048-разрядных программных ключей RSA разрешено 4000 транзакций GET за каждые 10 секунд. Для 2048-разрядных ключей RSA на основе HSM разрешено 2000 транзакций GET за каждые 10 секунд.
Пороговые значения дросселирования взвешены, и контроль осуществляется по их сумме. Например, как показано в таблице выше, при выполнении операций GET с HSM-ключами RSA затраты на использование 4096-битовых ключей будут в восемь раз выше по сравнению с 2048-битовыми ключами (так как 2000/250 = 8).
За заданный 10-секундный интервал клиент Azure Key Vault может выполнить только одну из следующих операций, прежде чем он столкнется с кодом состояния HTTP 429, ограничивающим частоту запросов.
- 4000 транзакций GET с 2048-разрядными программными ключами RSA;
- 2 000 транзакций GET с использованием 2048-разрядных ключей RSA и HSM.
- 250 транзакций GET с 4096-разрядными ключами RSA на основе HSM;
- 248 транзакции GET с 4096-разрядными ключами RSA на основе HSM и 16 транзакций GET с 2048-разрядными ключами RSA на основе HSM.
Секреты, ключи учетных записей управляемого хранилища и операции в хранилищах:
| Тип транзакций | Максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1 |
|---|---|
| Секрет создать секрет |
300 |
| Все остальные транзакции | 4,000 |
Дополнительные сведения о регулировании при превышении этих ограничений см. в руководстве по регулированию Azure Key Vault.
1 Ограничение для всех типов транзакций на уровне подписки в пять раз превышает ограничение на уровне хранилища ключей.
Резервные копии ключей, секретов, сертификатов
При резервном копировании объекта хранилища ключей, например секрета, ключа или сертификата, операция резервного копирования скачивает объект в виде зашифрованного объекта blob. Этот большой двоичный объект нельзя расшифровать за пределами Azure. Чтобы получить пригодные для использования данные из этого BLOB-объекта, необходимо восстановить его в хранилище ключей в той же подписке и в том же регионе Azure.
| Тип транзакций | Максимально допустимая версия объекта хранилища ключей |
|---|---|
| Резервное копирование отдельных ключей, секретов, сертификатов | 500 |
Замечание
Попытка создания резервного копирования ключа, секрета или объекта сертификата, используя количество версий, превышающее лимит, может привести к ошибке. Удалить предыдущие версии ключа, секрета или сертификата нельзя.
Ограничения на количество ключей, секретов и сертификатов:
Служба Key Vault не ограничивает количество ключей, секретов или сертификатов, которые могут храниться в хранилище. Следует учитывать ограничения транзакций в хранилище, чтобы гарантировать, что операции не будут ограничиваться.
Key Vault не ограничивает количество версий секрета, ключа или сертификата, но хранение большого количества версий (500+) может повлиять на производительность операций резервного копирования. См. Резервное копирование Azure Key Vault.
Тип ресурса: управляемый HSM
В этом разделе описаны ограничения службы для типа ресурса managed HSM.
Ограничения на объекты
| Товар | Ограничения |
|---|---|
| Количество экземпляров HSM в рамках одной подписки в каждом регионе | 5 |
| Количество ключей на экземпляр HSM | 5 000 |
| Число версий на ключ | 100 |
| Количество настраиваемых определений ролей на один HSM-экземпляр | 50 |
| Число присвоений ролей на область HSM | 50 |
| Число назначений ролей в каждом отдельном ключевом контексте | 10 |
Ограничения транзакций для административных операций (количество операций в секунду на экземпляр HSM)
| Операция | Число операций в секунду |
|---|---|
| Все операции RBAC (включает все операции CRUD для определений ролей и назначений ролей) |
5 |
| Полное резервное копирование или восстановление HSM (поддерживается только одна одновременно выполняемая операция резервного копирования или восстановления на каждый экземпляр HSM) |
1 |
Ограничения на транзакции для операций шифрования (количество операций в секунду на каждый экземпляр HSM)
- Каждый управляемый экземпляр HSM состоит из трех сбалансированных по нагрузке разделов HSM. Ограничения пропускной способности зависят от базовой мощности оборудования, выделенной для каждого раздела. В таблицах ниже показана максимальная пропускная способность при доступности по крайней мере одного раздела. Фактическая скорость передачи данных может быть до трёх раз выше, если доступны все три раздела.
- В контексте указанных ограничений пропускной способности предполагается, что для достижения максимальной пропускной способности используется один ключ. Например, если используется один ключ RSA-2048, максимальная пропускная способность будет составлять 1100 операций входа. Если вы используете 1100 разных ключей, и для каждого выполняется одна транзакция в секунду, они не смогут достичь такой же пропускной способности.
Операции с ключами RSA (количество операций в секунду на каждый экземпляр HSM)
| Операция | 2048-битный | 3072-бит | 4096-битный |
|---|---|---|---|
| Создание ключа | 1 | 1 | 1 |
| Удаление ключа (мягкое удаление) | 10 | 10 | 10 |
| Ключ очистки | 10 | 10 | 10 |
| Создание резервной копии ключа | 10 | 10 | 10 |
| Восстановление ключа | 10 | 10 | 10 |
| Получить ключевую информацию | 1 100 | 1 100 | 1 100 |
| Шифрование | 10 000 | 10 000 | 6 000 |
| расшифровать | 1 100 | 360 | 160 |
| Завернуть | 10 000 | 10 000 | 6 000 |
| Распаковка | 1 100 | 360 | 160 |
| Подписание | 1 100 | 360 | 160 |
| Проверьте | 10 000 | 10 000 | 6 000 |
Операции с ключами EC (количество операций в секунду на каждый экземпляр HSM)
В этой таблице указано количество операций в секунду для каждого типа кривой.
| Операция | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Создание ключа | 1 | 1 | 1 | 1 |
| Удаление ключа (мягкое удаление) | 10 | 10 | 10 | 10 |
| Ключ очистки | 10 | 10 | 10 | 10 |
| Создание резервной копии ключа | 10 | 10 | 10 | 10 |
| Восстановление ключа | 10 | 10 | 10 | 10 |
| Получить ключевую информацию | 1 100 | 1 100 | 1 100 | 1 100 |
| Подписание | 260 | 260 | 165 | 56 |
| Проверьте | 130 | 130 | 82 | 28 |
Операции с ключами AES (количество операций в секунду на каждый экземпляр HSM)
- В контексте операций шифрования и расшифровки предполагается, что используется пакет размером 4 КБ.
- Ограничения пропускной способности для шифрования и расшифровки применяются к алгоритмам AES-CBC и AES-GCM.
- Ограничения пропускной способности для операций Wrap/Unwrap применяются к алгоритму AES-KW.
| Операция | 128-разрядное | 192-битный | 256-битный |
|---|---|---|---|
| Создание ключа | 1 | 1 | 1 |
| Удаление ключа (мягкое удаление) | 10 | 10 | 10 |
| Ключ очистки | 10 | 10 | 10 |
| Создание резервной копии ключа | 10 | 10 | 10 |
| Восстановление ключа | 10 | 10 | 10 |
| Получить ключевую информацию | 1 100 | 1 100 | 1 100 |
| Шифрование | 8 000 | 8 000 | 8 000 |
| расшифровать | 8 000 | 8 000 | 8 000 |
| Завернуть | 9000 | 9000 | 9000 |
| Распаковка | 9000 | 9000 | 9000 |