Tjänstbegränsningar för Azure Key Vault
Azure Key Vault-tjänsten stöder två resurstyper: Valv och hanterade HSM:er. I följande två avsnitt beskrivs tjänstbegränsningarna för var och en av dem.
Resurstyp: valv
I det här avsnittet beskrivs tjänstbegränsningar för resurstypen vaults.
Nyckeltransaktioner (högsta tillåtna transaktioner på 10 sekunder, per valv per region1):
| Nyckeltyp | HSM-nyckel CREATE-nyckel |
HSM-nyckel Alla andra transaktioner |
Programvarunyckel CREATE-nyckel |
Programvarunyckel Alla andra transaktioner |
|---|---|---|---|---|
| RSA 2 048 bitar | 10 | 2 000 | 20 | 4 000 |
| RSA 3 072-bitars | 10 | 500 | 20 | 1 000 |
| RSA 4 096-bitars | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2 000 | 20 | 4 000 |
| ECC P-384 | 10 | 2 000 | 20 | 4 000 |
| ECC P-521 | 10 | 2 000 | 20 | 4 000 |
| ECC-SECP256K1 | 10 | 2 000 | 20 | 4 000 |
Anteckning
I föregående tabell ser vi att för RSA 2 048-bitars programvarunycklar tillåts 4 000 GET-transaktioner per 10 sekunder. För RSA 2 048-bitars HSM-nycklar tillåts 2 000 GET-transaktioner per 10 sekunder.
Tröskelvärdena för begränsning viktas och tillämpningen ligger på deras summa. Som du ser i föregående tabell är det till exempel åtta gånger dyrare att använda 4 096-bitars nycklar jämfört med 2 048-bitars nycklar när du utför GET-åtgärder på RSA HSM-nycklar. Det beror på att 2 000/250 = 8.
I ett visst intervall på 10 sekunder kan en Azure Key Vault-klient bara utföra en av följande åtgärder innan den påträffar en 429 begränsning av HTTP-statuskoden:
- 4 000 RSA 2 048-bitars GET-transaktioner med programvarunycklar
- 2 000 RSA 2 048-bitars HSM-nyckel GET-transaktioner
- 250 RSA 4 096-bitars GET-transaktioner med HSM-nyckel
- 248 RSA 4 096-bitars GET-transaktioner med HSM-nyckel och 16 RSA 2 048-bitars GET-transaktioner med HSM-nyckel
Hemligheter, hanterade lagringskontonycklar och valvtransaktioner:
| Transaktionstyp | Maximalt antal transaktioner som tillåts på 10 sekunder, per valv per region1 |
|---|---|
| Hemlighet SKAPA hemlighet |
300 |
| Alla andra transaktioner | 4 000 |
Information om hur du hanterar begränsningar när dessa gränser överskrids finns i Vägledning för Azure Key Vault-begränsning.
1 En prenumerationsomfattande gräns för alla transaktionstyper är fem gånger per gräns för nyckelvalv.
Säkerhetskopieringsnycklar, hemligheter, certifikat
När du säkerhetskopierar ett key vault-objekt, till exempel en hemlighet, nyckel eller ett certifikat, hämtar säkerhetskopieringsåtgärden objektet som en krypterad blob. Den här bloben kan inte dekrypteras utanför Azure. Om du vill hämta användbara data från den här bloben måste du återställa bloben till ett nyckelvalv inom samma Azure-prenumeration och geografi i Azure
| Transaktionstyp | Maximalt antal tillåtna key vault-objektversioner |
|---|---|
| Säkerhetskopiera enskild nyckel, hemlighet, certifikat | 500 |
Anteckning
Om du försöker säkerhetskopiera en nyckel, en hemlighet eller ett certifikatobjekt med fler versioner än gränsen ovan resulterar det i ett fel. Det går inte att ta bort tidigare versioner av en nyckel, en hemlighet eller ett certifikat.
Begränsningar för antalet nycklar, hemligheter och certifikat:
Key Vault begränsar inte antalet nycklar, hemligheter eller certifikat som kan lagras i ett valv. Transaktionsgränserna för valvet bör beaktas för att säkerställa att åtgärderna inte begränsas.
Key Vault begränsar inte antalet versioner på en hemlighet, nyckel eller ett certifikat, men lagring av ett stort antal versioner (500+) kan påverka prestanda för säkerhetskopieringsåtgärder. Se Azure Key Vault Backup.
Resurstyp: Managed HSM
I det här avsnittet beskrivs tjänstbegränsningar för resurstypen managed HSM.
Objektbegränsningar
| Objekt | Gränser |
|---|---|
| Antal HSM-instanser per prenumeration per region | 5 |
| Antal nycklar per HSM-instans | 5000 |
| Antal versioner per nyckel | 100 |
| Antal anpassade rolldefinitioner per HSM-instans | 50 |
| Antal rolltilldelningar i HSM-omfång | 50 |
| Antal rolltilldelningar i varje enskilt nyckelomfång | 10 |
Transaktionsgränser för administrativa åtgärder (antal åtgärder per sekund per HSM-instans)
| Åtgärd | Antal åtgärder per sekund |
|---|---|
| Alla RBAC-åtgärder (innehåller alla CRUD-åtgärder för rolldefinitioner och rolltilldelningar) |
5 |
| Fullständig HSM-säkerhetskopiering/återställning (endast en samtidig säkerhetskopierings- eller återställningsåtgärd per HSM-instans stöds) |
1 |
Transaktionsgränser för kryptografiska åtgärder (antal åtgärder per sekund per HSM-instans)
- Varje hanterad HSM-instans utgör tre belastningsbalanserade HSM-partitioner. Dataflödesgränserna är en funktion av underliggande maskinvarukapacitet som allokerats för varje partition. Tabellerna nedan visar maximalt dataflöde med minst en tillgänglig partition. Det faktiska dataflödet kan vara upp till 3 gånger högre om alla tre partitionerna är tillgängliga.
- Antecknade dataflödesgränser förutsätter att en enda nyckel används för att uppnå maximalt dataflöde. Om till exempel en enda RSA-2048-nyckel används är det maximala dataflödet 1 100 teckenåtgärder. Om du använder 1100 olika nycklar med en transaktion per sekund kan de inte uppnå samma dataflöde.
RSA-nyckelåtgärder (antal åtgärder per sekund per HSM-instans)
| Åtgärd | 2048-bitars | 3072-bitars | 4096-bitars |
|---|---|---|---|
| Skapa nyckel | 1 | 1 | 1 |
| Ta bort nyckel (mjuk borttagning) | 10 | 10 | 10 |
| Rensa nyckel | 10 | 10 | 10 |
| Säkerhetskopieringsnyckel | 10 | 10 | 10 |
| Återställningsnyckel | 10 | 10 | 10 |
| Hämta nyckelinformation | 1100 | 1100 | 1100 |
| Kryptera | 10000 | 10000 | 6000 |
| Avkryptera | 1100 | 360 | 160 |
| Wrap | 10000 | 10000 | 6000 |
| Packa upp | 1100 | 360 | 160 |
| Tecken | 1100 | 360 | 160 |
| Verifiera | 10000 | 10000 | 6000 |
EC-nyckelåtgärder (antal åtgärder per sekund per HSM-instans)
Den här tabellen beskriver antalet åtgärder per sekund för varje kurvtyp.
| Åtgärd | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Skapa nyckel | 1 | 1 | 1 | 1 |
| Ta bort nyckel (mjuk borttagning) | 10 | 10 | 10 | 10 |
| Rensa nyckel | 10 | 10 | 10 | 10 |
| Säkerhetskopieringsnyckel | 10 | 10 | 10 | 10 |
| Återställ nyckel | 10 | 10 | 10 | 10 |
| Hämta nyckelinformation | 1100 | 1100 | 1100 | 1100 |
| Tecken | 260 | 260 | 165 | 56 |
| Verifiera | 130 | 130 | 82 | 28 |
AES-nyckelåtgärder (antal åtgärder per sekund per HSM-instans)
- Krypterings- och dekrypteringsåtgärder förutsätter en paketstorlek på 4 KB.
- Dataflödesgränser för Encrypt/Decrypt gäller för AES-CBC- och AES-GCM-algoritmer.
- Dataflödesgränser för Wrap/Unwrap gäller för AES-KW-algoritmen.
| Åtgärd | 128-bitars | 192-bitars | 256-bitars |
|---|---|---|---|
| Skapa nyckel | 1 | 1 | 1 |
| Ta bort nyckel (mjuk borttagning) | 10 | 10 | 10 |
| Rensa nyckel | 10 | 10 | 10 |
| Säkerhetskopieringsnyckel | 10 | 10 | 10 |
| Återställ nyckel | 10 | 10 | 10 |
| Hämta nyckelinformation | 1100 | 1100 | 1100 |
| Kryptera | 8000 | 8000 | 8000 |
| Avkryptera | 8000 | 8000 | 8000 |
| Wrap | 9000 | 9000 | 9000 |
| Packa upp | 9000 | 9000 | 9000 |