Ограничения службы Azure Key Vault
Служба Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В следующих двух разделах описаны ограничения службы для каждого из них.
Тип ресурса: хранилище
В этом разделе описаны ограничения службы для типа ресурса vaults.
Транзакции с ключами (максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1):
| Тип ключа | Ключ HSM Ключ CREATE |
Ключ HSM Все остальные транзакции |
Ключ ПО Ключ CREATE |
Ключ ПО Все остальные транзакции |
|---|---|---|---|---|
| 2048-битовый RSA | 10 | 2 000 | 20 | 4000 |
| 3072-битовый RSA | 10 | 500 | 20 | 1000 |
| 4096-битовый RSA | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2 000 | 20 | 4000 |
| ECC P-384 | 10 | 2 000 | 20 | 4000 |
| ECC P-521 | 10 | 2 000 | 20 | 4000 |
| ECC SECP256K1 | 10 | 2 000 | 20 | 4000 |
Примечание
В таблице выше показано, что для 2048-разрядных программных ключей RSA разрешено 4000 транзакций GET за каждые 10 секунд. Для 2048-разрядных ключей RSA на основе HSM разрешено 2000 транзакций GET за каждые 10 секунд.
Пороговые значения регулирования являются взвешенными, и ограничения применяются к их суммарным значениям. Например, как показано в таблице выше, при выполнении операций GET с HSM-ключами RSA затраты на использование 4096-битовых ключей будут в восемь раз выше по сравнению с 2048-битовыми ключами (так как 2000/250 = 8).
За заданный 10-секундный интервал клиент Azure Key Vault может выполнить только одну из следующих операций, прежде чем он получит код состояния HTTP для регулирования:
- 4000 транзакций GET с 2048-разрядными программными ключами RSA;
- 2000 транзакций GET с 2048-разрядными ключами RSA на основе HSM;
- 250 транзакций GET с 4096-разрядными ключами RSA на основе HSM;
- 248 транзакции GET с 4096-разрядными ключами RSA на основе HSM и 16 транзакций GET с 2048-разрядными ключами RSA на основе HSM.
Секреты, ключи управляемой учетной записи хранения и транзакции с хранилищем:
| Тип транзакций | Максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1 |
|---|---|
| Секрет CREATE secret |
300 |
| Все остальные транзакции | 4000 |
Дополнительные сведения о регулировании при превышении этих ограничений см. в руководстве по регулированию Azure Key Vault.
1 Ограничение для всех типов транзакций на уровне подписки в пять раз превышает ограничение на уровне хранилища ключей.
Резервные копии ключей, секретов, сертификатов
При создании резервной копии объекта, хранимого в хранилище ключей (секрета, ключа или сертификата), он скачивается как зашифрованный большой двоичный объект. Этот большой двоичный объект нельзя расшифровать за пределами Azure. Чтобы получить пригодные для использования данные из этого большого двоичного объекта, необходимо восстановить его в хранилище ключей в той же подписке и географической области Azure
| Тип транзакций | Максимально допустимая версия объекта хранилища ключей |
|---|---|
| Резервное копирование отдельных ключей, секретов, сертификатов | 500 |
Примечание
Попытка создания резервного копирования ключа, секрета или объекта сертификата, используя количество версий, превышающее лимит, может привести к ошибке. Удалить предыдущие версии ключа, секрета или сертификата нельзя.
Ограничения на количество ключей, секретов и сертификатов:
Служба Key Vault не ограничивает количество ключей, секретов или сертификатов, которые могут храниться в хранилище. Следует учитывать ограничения транзакций в хранилище, чтобы гарантировать, что операции не будут регулироваться.
Key Vault не ограничивает количество версий секрета, ключа или сертификата, но хранение большого количества версий (500+) может повлиять на производительность операций резервного копирования. См. Резервное копирование Azure Key Vault.
Тип ресурса: управляемый HSM
В этом разделе описаны ограничения службы для типа ресурса managed HSM.
Ограничения на объекты
| Элемент | Ограничения |
|---|---|
| Количество экземпляров HSM на одну подписку для одного региона | 5 |
| Число ключей на один экземпляр HSM | 5000 |
| Число версий на ключ | 100 |
| Число определений настраиваемых ролей на один экземпляр HSM | 50 |
| Число назначений ролей на область HSM | 50 |
| Число назначений ролей в каждой области действия ключа | 10 |
Ограничения на транзакции для административных операций (количество операций в секунду на каждый экземпляр HSM)
| Операция | Число операций в секунду |
|---|---|
| Все операции RBAC (включает все операции CRUD для определений ролей и назначений ролей) |
5 |
| Полное резервное копирование или восстановление HSM (поддерживается только одна одновременно выполняемая операция резервного копирования или восстановления на каждый экземпляр HSM) |
1 |
Ограничения на транзакции для операций шифрования (количество операций в секунду на каждый экземпляр HSM)
- Каждый управляемый экземпляр HSM состоит из трех разделов HSM с балансировкой нагрузки. Ограничения пропускной способности зависят от базовой мощности оборудования, выделенной для каждого раздела. В таблицах ниже показана максимальная пропускная способность при доступности минимум одного раздела. Фактическая пропускная способность может быть в три раза выше, если доступны все три раздела.
- В контексте указанных ограничений пропускной способности предполагается, что для достижения максимальной пропускной способности используется один ключ. Например, если используется один ключ RSA-2048, максимальная пропускная способность будет составлять 1100 операций входа. Если вы используете 1100 разных ключей, и для каждого выполняется одна транзакция в секунду, они не смогут достичь такой же пропускной способности.
Операции с ключами RSA (количество операций в секунду на каждый экземпляр HSM)
| Операция | 2048-битный | 3072-битный | 4096-битный |
|---|---|---|---|
| Создать ключ | 1 | 1 | 1 |
| Удаление ключа (обратимое удаление) | 10 | 10 | 10 |
| Очистка ключа | 10 | 10 | 10 |
| Создание резервной копии ключа | 10 | 10 | 10 |
| Восстановление ключа | 10 | 10 | 10 |
| Получение сведений о ключе | 1100 | 1100 | 1100 |
| Шифрование | 10000 | 10000 | 6000 |
| расшифровка; | 1100 | 360 | 160 |
| оборачивание; | 10000 | 10000 | 6000 |
| разворачивание; | 1100 | 360 | 160 |
| Sign | 1100 | 360 | 160 |
| Проверка | 10000 | 10000 | 6000 |
Операции с ключами EC (количество операций в секунду на каждый экземпляр HSM)
В этой таблице указано количество операций в секунду для каждого типа кривой.
| Операция | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Создать ключ | 1 | 1 | 1 | 1 |
| Удаление ключа (обратимое удаление) | 10 | 10 | 10 | 10 |
| Очистка ключа | 10 | 10 | 10 | 10 |
| Создание резервной копии ключа | 10 | 10 | 10 | 10 |
| Восстановление ключа | 10 | 10 | 10 | 10 |
| Получение сведений о ключе | 1100 | 1100 | 1100 | 1100 |
| Sign | 260 | 260 | 165 | 56 |
| Проверка | 130 | 130 | 82 | 28 |
Операции с ключами AES (количество операций в секунду на каждый экземпляр HSM)
- В контексте операций шифрования и расшифровки предполагается, что используется пакет размером 4 КБ.
- Ограничения пропускной способности для шифрования и расшифровки применяются к алгоритмам AES-CBC и AES-GCM.
- Ограничения пропускной способности для упаковки и распаковки применяются к алгоритму AES-KW.
| Операция | 128-разрядное | 192-битный | 256-битный |
|---|---|---|---|
| Создать ключ | 1 | 1 | 1 |
| Удаление ключа (обратимое удаление) | 10 | 10 | 10 |
| Очистка ключа | 10 | 10 | 10 |
| Создание резервной копии ключа | 10 | 10 | 10 |
| Восстановление ключа | 10 | 10 | 10 |
| Получение сведений о ключе | 1100 | 1100 | 1100 |
| Шифрование | 8000 | 8000 | 8000 |
| расшифровка; | 8000 | 8000 | 8000 |
| оборачивание; | 9000 | 9000 | 9000 |
| разворачивание; | 9000 | 9000 | 9000 |