Поделиться через


Ограничения службы Azure Key Vault

Служба Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В следующих двух разделах описаны ограничения службы для каждого из них.

Тип ресурса: хранилище

В этом разделе описаны ограничения службы для типа ресурса vaults.

Транзакции с ключами (максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1):

Тип ключа Ключ HSM
Ключ СОЗДАТЬ
Ключ HSM
Все остальные транзакции
Ключ ПО
Ключ СОЗДАТЬ
Ключ ПО
Все остальные транзакции
2048-битовый RSA 10 2 000 20 4,000
3072-битовый RSA 10 500 20 1 000
4096-битовый RSA 10 250 20 500
ECC P-256 10 2 000 20 4,000
ECC P-384 10 2 000 20 4,000
ECC P-521 10 2 000 20 4,000
ECC SECP256K1 10 2 000 20 4,000

Замечание

В таблице выше показано, что для 2048-разрядных программных ключей RSA разрешено 4000 транзакций GET за каждые 10 секунд. Для 2048-разрядных ключей RSA на основе HSM разрешено 2000 транзакций GET за каждые 10 секунд.

Пороговые значения дросселирования взвешены, и контроль осуществляется по их сумме. Например, как показано в таблице выше, при выполнении операций GET с HSM-ключами RSA затраты на использование 4096-битовых ключей будут в восемь раз выше по сравнению с 2048-битовыми ключами (так как 2000/250 = 8).

За заданный 10-секундный интервал клиент Azure Key Vault может выполнить только одну из следующих операций, прежде чем он столкнется с кодом состояния HTTP 429, ограничивающим частоту запросов.

  • 4000 транзакций GET с 2048-разрядными программными ключами RSA;
  • 2 000 транзакций GET с использованием 2048-разрядных ключей RSA и HSM.
  • 250 транзакций GET с 4096-разрядными ключами RSA на основе HSM;
  • 248 транзакции GET с 4096-разрядными ключами RSA на основе HSM и 16 транзакций GET с 2048-разрядными ключами RSA на основе HSM.

Секреты, ключи учетных записей управляемого хранилища и операции в хранилищах:

Тип транзакций Максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1
Секрет
создать секрет
300
Все остальные транзакции 4,000

Дополнительные сведения о регулировании при превышении этих ограничений см. в руководстве по регулированию Azure Key Vault.

1 Ограничение для всех типов транзакций на уровне подписки в пять раз превышает ограничение на уровне хранилища ключей.

Резервные копии ключей, секретов, сертификатов

При резервном копировании объекта хранилища ключей, например секрета, ключа или сертификата, операция резервного копирования скачивает объект в виде зашифрованного объекта blob. Этот большой двоичный объект нельзя расшифровать за пределами Azure. Чтобы получить пригодные для использования данные из этого BLOB-объекта, необходимо восстановить его в хранилище ключей в той же подписке и в том же регионе Azure.

Тип транзакций Максимально допустимая версия объекта хранилища ключей
Резервное копирование отдельных ключей, секретов, сертификатов 500

Замечание

Попытка создания резервного копирования ключа, секрета или объекта сертификата, используя количество версий, превышающее лимит, может привести к ошибке. Удалить предыдущие версии ключа, секрета или сертификата нельзя.

Ограничения на количество ключей, секретов и сертификатов:

Служба Key Vault не ограничивает количество ключей, секретов или сертификатов, которые могут храниться в хранилище. Следует учитывать ограничения транзакций в хранилище, чтобы гарантировать, что операции не будут ограничиваться.

Key Vault не ограничивает количество версий секрета, ключа или сертификата, но хранение большого количества версий (500+) может повлиять на производительность операций резервного копирования. См. Резервное копирование Azure Key Vault.

Тип ресурса: управляемый HSM

В этом разделе описаны ограничения службы для типа ресурса managed HSM.

Ограничения на объекты

Товар Ограничения
Количество экземпляров HSM в рамках одной подписки в каждом регионе 5
Количество ключей на экземпляр HSM 5 000
Число версий на ключ 100
Количество настраиваемых определений ролей на один HSM-экземпляр 50
Число присвоений ролей на область HSM 50
Число назначений ролей в каждом отдельном ключевом контексте 10

Ограничения транзакций для административных операций (количество операций в секунду на экземпляр HSM)

Операция Число операций в секунду
Все операции RBAC
(включает все операции CRUD для определений ролей и назначений ролей)
5
Полное резервное копирование или восстановление HSM
(поддерживается только одна одновременно выполняемая операция резервного копирования или восстановления на каждый экземпляр HSM)
1

Ограничения на транзакции для операций шифрования (количество операций в секунду на каждый экземпляр HSM)

  • Каждый управляемый экземпляр HSM состоит из трех сбалансированных по нагрузке разделов HSM. Ограничения пропускной способности зависят от базовой мощности оборудования, выделенной для каждого раздела. В таблицах ниже показана максимальная пропускная способность при доступности по крайней мере одного раздела. Фактическая скорость передачи данных может быть до трёх раз выше, если доступны все три раздела.
  • В контексте указанных ограничений пропускной способности предполагается, что для достижения максимальной пропускной способности используется один ключ. Например, если используется один ключ RSA-2048, максимальная пропускная способность будет составлять 1100 операций входа. Если вы используете 1100 разных ключей, и для каждого выполняется одна транзакция в секунду, они не смогут достичь такой же пропускной способности.
Операции с ключами RSA (количество операций в секунду на каждый экземпляр HSM)
Операция 2048-битный 3072-бит 4096-битный
Создание ключа 1 1 1
Удаление ключа (мягкое удаление) 10 10 10
Ключ очистки 10 10 10
Создание резервной копии ключа 10 10 10
Восстановление ключа 10 10 10
Получить ключевую информацию 1 100 1 100 1 100
Шифрование 10 000 10 000 6 000
расшифровать 1 100 360 160
Завернуть 10 000 10 000 6 000
Распаковка 1 100 360 160
Подписание 1 100 360 160
Проверьте 10 000 10 000 6 000
Операции с ключами EC (количество операций в секунду на каждый экземпляр HSM)

В этой таблице указано количество операций в секунду для каждого типа кривой.

Операция P-256 P-256K P-384 P-521
Создание ключа 1 1 1 1
Удаление ключа (мягкое удаление) 10 10 10 10
Ключ очистки 10 10 10 10
Создание резервной копии ключа 10 10 10 10
Восстановление ключа 10 10 10 10
Получить ключевую информацию 1 100 1 100 1 100 1 100
Подписание 260 260 165 56
Проверьте 130 130 82 28
Операции с ключами AES (количество операций в секунду на каждый экземпляр HSM)
  • В контексте операций шифрования и расшифровки предполагается, что используется пакет размером 4 КБ.
  • Ограничения пропускной способности для шифрования и расшифровки применяются к алгоритмам AES-CBC и AES-GCM.
  • Ограничения пропускной способности для операций Wrap/Unwrap применяются к алгоритму AES-KW.
Операция 128-разрядное 192-битный 256-битный
Создание ключа 1 1 1
Удаление ключа (мягкое удаление) 10 10 10
Ключ очистки 10 10 10
Создание резервной копии ключа 10 10 10
Восстановление ключа 10 10 10
Получить ключевую информацию 1 100 1 100 1 100
Шифрование 8 000 8 000 8 000
расшифровать 8 000 8 000 8 000
Завернуть 9000 9000 9000
Распаковка 9000 9000 9000