Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В следующих двух разделах описаны ограничения службы для каждого из них.
Тип ресурса: хранилище
В этом разделе описаны ограничения службы для типа ресурса vaults
.
Транзакции с ключами (максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1):
Тип ключа | Ключ HSM Ключ СОЗДАТЬ |
Ключ HSM Все остальные транзакции |
Ключ ПО Ключ СОЗДАТЬ |
Ключ ПО Все остальные транзакции |
---|---|---|---|---|
2048-битовый RSA | 10 | 2 000 | 20 | 4,000 |
3072-битовый RSA | 10 | 500 | 20 | 1 000 |
4096-битовый RSA | 10 | 250 | 20 | 500 |
ECC P-256 | 10 | 2 000 | 20 | 4,000 |
ECC P-384 | 10 | 2 000 | 20 | 4,000 |
ECC P-521 | 10 | 2 000 | 20 | 4,000 |
ECC SECP256K1 | 10 | 2 000 | 20 | 4,000 |
Замечание
В таблице выше показано, что для 2048-разрядных программных ключей RSA разрешено 4000 транзакций GET за каждые 10 секунд. Для 2048-разрядных ключей RSA на основе HSM разрешено 2000 транзакций GET за каждые 10 секунд.
Пороговые значения дросселирования взвешены, и контроль осуществляется по их сумме. Например, как показано в таблице выше, при выполнении операций GET с HSM-ключами RSA затраты на использование 4096-битовых ключей будут в восемь раз выше по сравнению с 2048-битовыми ключами (так как 2000/250 = 8).
За заданный 10-секундный интервал клиент Azure Key Vault может выполнить только одну из следующих операций, прежде чем он столкнется с кодом состояния HTTP 429
, ограничивающим частоту запросов.
- 4000 транзакций GET с 2048-разрядными программными ключами RSA;
- 2 000 транзакций GET с использованием 2048-разрядных ключей RSA и HSM.
- 250 транзакций GET с 4096-разрядными ключами RSA на основе HSM;
- 248 транзакции GET с 4096-разрядными ключами RSA на основе HSM и 16 транзакций GET с 2048-разрядными ключами RSA на основе HSM.
Секреты, ключи учетных записей управляемого хранилища и операции в хранилищах:
Тип транзакций | Максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1 |
---|---|
Секрет создать секрет |
300 |
Все остальные транзакции | 4,000 |
Дополнительные сведения о регулировании при превышении этих ограничений см. в руководстве по регулированию Azure Key Vault.
1 Ограничение для всех типов транзакций на уровне подписки в пять раз превышает ограничение на уровне хранилища ключей.
Резервные копии ключей, секретов, сертификатов
При резервном копировании объекта хранилища ключей, например секрета, ключа или сертификата, операция резервного копирования скачивает объект в виде зашифрованного объекта blob. Этот большой двоичный объект нельзя расшифровать за пределами Azure. Чтобы получить пригодные для использования данные из этого BLOB-объекта, необходимо восстановить его в хранилище ключей в той же подписке и в том же регионе Azure.
Тип транзакций | Максимально допустимая версия объекта хранилища ключей |
---|---|
Резервное копирование отдельных ключей, секретов, сертификатов | 500 |
Замечание
Попытка создания резервного копирования ключа, секрета или объекта сертификата, используя количество версий, превышающее лимит, может привести к ошибке. Удалить предыдущие версии ключа, секрета или сертификата нельзя.
Ограничения на количество ключей, секретов и сертификатов:
Служба Key Vault не ограничивает количество ключей, секретов или сертификатов, которые могут храниться в хранилище. Следует учитывать ограничения транзакций в хранилище, чтобы гарантировать, что операции не будут ограничиваться.
Key Vault не ограничивает количество версий секрета, ключа или сертификата, но хранение большого количества версий (500+) может повлиять на производительность операций резервного копирования. См. Резервное копирование Azure Key Vault.
Тип ресурса: управляемый HSM
В этом разделе описаны ограничения службы для типа ресурса managed HSM
.
Ограничения на объекты
Товар | Ограничения |
---|---|
Количество экземпляров HSM в рамках одной подписки в каждом регионе | 5 |
Количество ключей на экземпляр HSM | 5 000 |
Число версий на ключ | 100 |
Количество настраиваемых определений ролей на один HSM-экземпляр | 50 |
Число присвоений ролей на область HSM | 50 |
Число назначений ролей в каждом отдельном ключевом контексте | 10 |
Ограничения транзакций для административных операций (количество операций в секунду на экземпляр HSM)
Операция | Число операций в секунду |
---|---|
Все операции RBAC (включает все операции CRUD для определений ролей и назначений ролей) |
5 |
Полное резервное копирование или восстановление HSM (поддерживается только одна одновременно выполняемая операция резервного копирования или восстановления на каждый экземпляр HSM) |
1 |
Ограничения на транзакции для операций шифрования (количество операций в секунду на каждый экземпляр HSM)
- Каждый управляемый экземпляр HSM состоит из трех сбалансированных по нагрузке разделов HSM. Ограничения пропускной способности зависят от базовой мощности оборудования, выделенной для каждого раздела. В таблицах ниже показана максимальная пропускная способность при доступности по крайней мере одного раздела. Фактическая скорость передачи данных может быть до трёх раз выше, если доступны все три раздела.
- В контексте указанных ограничений пропускной способности предполагается, что для достижения максимальной пропускной способности используется один ключ. Например, если используется один ключ RSA-2048, максимальная пропускная способность будет составлять 1100 операций входа. Если вы используете 1100 разных ключей, и для каждого выполняется одна транзакция в секунду, они не смогут достичь такой же пропускной способности.
Операции с ключами RSA (количество операций в секунду на каждый экземпляр HSM)
Операция | 2048-битный | 3072-бит | 4096-битный |
---|---|---|---|
Создание ключа | 1 | 1 | 1 |
Удаление ключа (мягкое удаление) | 10 | 10 | 10 |
Ключ очистки | 10 | 10 | 10 |
Создание резервной копии ключа | 10 | 10 | 10 |
Восстановление ключа | 10 | 10 | 10 |
Получить ключевую информацию | 1 100 | 1 100 | 1 100 |
Шифрование | 10 000 | 10 000 | 6 000 |
расшифровать | 1 100 | 360 | 160 |
Завернуть | 10 000 | 10 000 | 6 000 |
Распаковка | 1 100 | 360 | 160 |
Подписание | 1 100 | 360 | 160 |
Проверьте | 10 000 | 10 000 | 6 000 |
Операции с ключами EC (количество операций в секунду на каждый экземпляр HSM)
В этой таблице указано количество операций в секунду для каждого типа кривой.
Операция | P-256 | P-256K | P-384 | P-521 |
---|---|---|---|---|
Создание ключа | 1 | 1 | 1 | 1 |
Удаление ключа (мягкое удаление) | 10 | 10 | 10 | 10 |
Ключ очистки | 10 | 10 | 10 | 10 |
Создание резервной копии ключа | 10 | 10 | 10 | 10 |
Восстановление ключа | 10 | 10 | 10 | 10 |
Получить ключевую информацию | 1 100 | 1 100 | 1 100 | 1 100 |
Подписание | 260 | 260 | 165 | 56 |
Проверьте | 130 | 130 | 82 | 28 |
Операции с ключами AES (количество операций в секунду на каждый экземпляр HSM)
- В контексте операций шифрования и расшифровки предполагается, что используется пакет размером 4 КБ.
- Ограничения пропускной способности для шифрования и расшифровки применяются к алгоритмам AES-CBC и AES-GCM.
- Ограничения пропускной способности для операций Wrap/Unwrap применяются к алгоритму AES-KW.
Операция | 128-разрядное | 192-битный | 256-битный |
---|---|---|---|
Создание ключа | 1 | 1 | 1 |
Удаление ключа (мягкое удаление) | 10 | 10 | 10 |
Ключ очистки | 10 | 10 | 10 |
Создание резервной копии ключа | 10 | 10 | 10 |
Восстановление ключа | 10 | 10 | 10 |
Получить ключевую информацию | 1 100 | 1 100 | 1 100 |
Шифрование | 8 000 | 8 000 | 8 000 |
расшифровать | 8 000 | 8 000 | 8 000 |
Завернуть | 9000 | 9000 | 9000 |
Распаковка | 9000 | 9000 | 9000 |