Azure Key Vault 服務限制
Azure Key Vault 服務支援兩種資源類型:保存庫和受控 HSM。 下列兩節分別描述每種類型的服務限制。
資源類型:保存庫
本節描述資源類型 vaults 的服務限制。
金鑰交易 (每個區域中的每個保存庫在 10 秒內允許的交易上限1):
| 金鑰類型 | HSM 金鑰 CREATE 金鑰 |
HSM 金鑰 所有其他交易 |
軟體金鑰 CREATE 金鑰 |
軟體金鑰 所有其他交易 |
|---|---|---|---|---|
| RSA 2,048 位元 | 10 | 2,000 | 20 | 4,000 |
| RSA 3,072 位元 | 10 | 500 | 20 | 1,000 |
| RSA 4,096 位元 | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4,000 |
| ECC P-384 | 10 | 2,000 | 20 | 4,000 |
| ECC P-521 | 10 | 2,000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4,000 |
注意
在上表中,我們看到對於 RSA 2,048 位元軟體金鑰,每 10 秒允許 4,000 個 GET 交易。 對於 RSA 2,048 位元 HSM 金鑰,每 10 秒允許 2,000 個 GET 交易。
節流閾值會進行加權,並依其總和強制執行。 例如,如上表所示,當您在 RSA HSM 金鑰上執行 GET 作業時,使用 4,096 位元金鑰比起使用 2,048 位元金鑰貴八倍。 這是因為 2,000/250 = 8。
在指定的 10 秒間隔內,Azure Key Vault 用戶端在遇到 429 節流 HTTP 狀態碼之前,只能執行下列其中一項作業:
- 4,000 筆 RSA 2,048 位元軟體金鑰 GET 交易
- 2,000 筆 RSA 2,048 位元 HSM 金鑰 GET 交易
- 250 筆 RSA 4,096 位元 HSM 金鑰 GET 交易
- 248 筆 RSA 4,096 位元 HSM 金鑰 GET 交易和 16 筆 RSA 2,048 位元 HSM 金鑰 GET 交易
祕密、受控儲存體帳戶金鑰和保存庫交易:
| 交易類型 | 每個區域中的每個保存庫在 10 秒內允許的交易上限1 |
|---|---|
| 祕密 CREATE 秘密 |
300 |
| 所有其他交易 | 4,000 |
如需有關如何在超過這些限制時處理節流的相關資訊,請參閱 Azure Key Vault 節流指引。
1 適用於所有交易類型的全訂用帳戶限制,是每個金鑰保存庫限制的五倍。
備份金鑰、祕密、憑證
備份儲存金鑰保存庫物件時 (例如祕密、金鑰或憑證),備份作業會將物件下載為加密的 Blob。 此 Blob 無法在 Azure 外部解密。 若要從此 Blob 取得可用的資料,您必須將 Blob 還原到相同 Azure 訂用帳戶和 Azure 地理位置中的金鑰保存庫
| 交易類型 | 允許的金鑰保存庫物件版本數目上限 |
|---|---|
| 備份個別金鑰、祕密、憑證 | 500 |
注意
嘗試使用超過限制的版本數目備份金鑰、祕密或憑證物件將會導致錯誤。 您無法刪除舊版的金鑰、秘密或憑證。
金鑰、祕密和憑證的計數限制:
Key Vault 不會限制可儲存在保存庫中的金鑰、祕密或憑證數目。 您應該將保存庫的交易限制列入考量,以確保不會對作業進行節流。
Key Vault 不會限制祕密、金鑰或憑證的版本數目,但儲存大量的版本 (500+) 可能會影響備份作業的效能。 請參閱 Azure Key Vault 備份。
資源類型:受控 HSM
本節描述資源類型 managed HSM 的服務限制。
物件限制
| 項目 | 限制 |
|---|---|
| 每個區域每個訂閱的 HSM 執行個體數目 | 5 |
| 每個 HSM 執行個體的金鑰數目 | 5000 |
| 每個金鑰的版本數目 | 100 |
| 每個 HSM 執行個體的自訂角色定義數目 | 50 |
| HSM 範圍的角色指派數目 | 50 |
| 每個金鑰範圍內的角色指派數目 | 10 |
管理作業的交易限制 (每個 HSM 執行個體每秒的作業數目)
| 作業 | 每秒作業數目 |
|---|---|
| 所有 RBAC 作業 (包括角色定義和角色指派的所有 CRUD 作業) |
5 |
| 完整 HSM 備份/還原 (每個 HSM 執行個體只支援一個並行備份或還原作業) |
1 |
密碼編譯作業的交易限制 (每個 HSM 執行個體每秒的作業數目)
- 每個受控 HSM 執行個體都相當於三個經過負載平衡的 HSM 分割區。 輸送量限制是一項功能,旨在為每個分割區配置基礎硬體容量。 下表顯示至少有一個可用分割區的最大輸送量。 如果所有三個分割區都可供使用,則實際輸送量最高可達 3 倍。
- 上述輸送量限制假設將使用單一金鑰來達到最大輸送量。 例如,如果使用單一 RSA-2048 金鑰,最大輸送量會是 1100 個簽署作業。 如果您使用 1100 個不同的金鑰每秒各進行一筆交易,則無法達到相同的輸送量。
RSA 金鑰作業 (每個 HSM 執行個體每秒的作業數目)
| 作業 | 2048 位元 | 3072 位元 | 4096 位元 |
|---|---|---|---|
| 建立金鑰 | 1 | 1 | 1 |
| 刪除金鑰 (虛刪除) | 10 | 10 | 10 |
| 清除金鑰 | 10 | 10 | 10 |
| 備份金鑰 | 10 | 10 | 10 |
| 還原金鑰 | 10 | 10 | 10 |
| 取得金鑰資訊 | 1100 | 1100 | 1100 |
| Encrypt | 10000 | 10000 | 6000 |
| 解密 | 1100 | 360 | 160 |
| 換行 | 10000 | 10000 | 6000 |
| 解除包裝 | 1100 | 360 | 160 |
| 簽署 | 1100 | 360 | 160 |
| Verify | 10000 | 10000 | 6000 |
EC 金鑰作業 (每個 HSM 執行個體每秒的作業數目)
下表描述每個曲線類型每秒的作業數目。
| 作業 | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| 建立金鑰 | 1 | 1 | 1 | 1 |
| 刪除金鑰 (虛刪除) | 10 | 10 | 10 | 10 |
| 清除金鑰 | 10 | 10 | 10 | 10 |
| 備份金鑰 | 10 | 10 | 10 | 10 |
| 還原金鑰 | 10 | 10 | 10 | 10 |
| 取得金鑰資訊 | 1100 | 1100 | 1100 | 1100 |
| 簽署 | 260 | 260 | 165 | 56 |
| Verify | 130 | 130 | 82 | 28 |
AES 金鑰作業 (每個 HSM 執行個體每秒的作業數目)
- 加密和解密作業採用 4KB 封包大小。
- 加密/解密的輸送量限制適用於 AES-CBC 和 AES-GCM 演算法。
- 包裝/解除包裝的輸送量限制適用於 AES-KW 演算法。
| 作業 | 128 位元 | 192 位元 | 256 位元 |
|---|---|---|---|
| 建立金鑰 | 1 | 1 | 1 |
| 刪除金鑰 (虛刪除) | 10 | 10 | 10 |
| 清除金鑰 | 10 | 10 | 10 |
| 備份金鑰 | 10 | 10 | 10 |
| 還原金鑰 | 10 | 10 | 10 |
| 取得金鑰資訊 | 1100 | 1100 | 1100 |
| Encrypt | 8000 | 8000 | 8000 |
| 解密 | 8000 | 8000 | 8000 |
| 換行 | 9000 | 9000 | 9000 |
| 解除包裝 | 9000 | 9000 | 9000 |