Azure Key Vault 服務限制

Azure Key Vault 服務支援兩種資源類型:保存庫和受控 HSM。 下列兩節分別描述每種類型的服務限制。

資源類型:保存庫

本節描述資源類型 vaults 的服務限制。

金鑰交易 (每個區域中的每個保存庫在 10 秒內允許的交易上限1):

金鑰類型 HSM 金鑰
CREATE 金鑰
HSM 金鑰
所有其他交易
軟體金鑰
CREATE 金鑰
軟體金鑰
所有其他交易
RSA 2,048 位元 10 2,000 20 4,000
RSA 3,072 位元 10 500 20 1,000
RSA 4,096 位元 10 250 20 500
ECC P-256 10 2,000 20 4,000
ECC P-384 10 2,000 20 4,000
ECC P-521 10 2,000 20 4,000
ECC SECP256K1 10 2,000 20 4,000

注意

在上表中,我們看到對於 RSA 2,048 位元軟體金鑰,每 10 秒允許 4,000 個 GET 交易。 對於 RSA 2,048 位元 HSM 金鑰,每 10 秒允許 2,000 個 GET 交易。

節流閾值會進行加權,並依其總和強制執行。 例如,如上表所示,當您在 RSA HSM 金鑰上執行 GET 作業時,使用 4,096 位元金鑰比起使用 2,048 位元金鑰貴八倍。 這是因為 2,000/250 = 8。

在指定的 10 秒間隔內,Azure Key Vault 用戶端在遇到 429 節流 HTTP 狀態碼之前,只能執行下列其中一項作業:

  • 4,000 筆 RSA 2,048 位元軟體金鑰 GET 交易
  • 2,000 筆 RSA 2,048 位元 HSM 金鑰 GET 交易
  • 250 筆 RSA 4,096 位元 HSM 金鑰 GET 交易
  • 248 筆 RSA 4,096 位元 HSM 金鑰 GET 交易和 16 筆 RSA 2,048 位元 HSM 金鑰 GET 交易

祕密、受控儲存體帳戶金鑰和保存庫交易:

交易類型 每個區域中的每個保存庫在 10 秒內允許的交易上限1
所有交易 4,000

如需有關如何在超過這些限制時處理節流的相關資訊,請參閱 Azure Key Vault 節流指引

1 適用於所有交易類型的全訂用帳戶限制,是每個金鑰保存庫限制的五倍。

備份金鑰、祕密、憑證

備份儲存金鑰保存庫物件時 (例如祕密、金鑰或憑證),備份作業會將物件下載為加密的 Blob。 此 Blob 無法在 Azure 外部解密。 若要從此 Blob 取得可用的資料,您必須將 Blob 還原到相同 Azure 訂閱和 Azure 地理位置中的金鑰保存庫

交易類型 允許的金鑰保存庫物件版本數目上限
備份個別金鑰、祕密、憑證 500

注意

嘗試使用超過限制的版本數目備份金鑰、祕密或憑證物件將會導致錯誤。 無法刪除舊版的金鑰、密碼或憑證。

金鑰、祕密和憑證的計數限制:

Key Vault 不會限制可儲存在保存庫中的金鑰、祕密或憑證數目。 您應該將保存庫的交易限制列入考量,以確保不會對作業進行節流。

Key Vault 不會限制祕密、金鑰或憑證的版本數目,但儲存大量的版本 (500+) 可能會影響備份作業的效能。 請參閱 Azure Key Vault 備份

資源類型:受控 HSM

本節描述資源類型 managed HSM 的服務限制。

物件限制

項目 限制
每個區域每個訂閱的 HSM 執行個體數目 5
每個 HSM 執行個體的金鑰數目 5000
每個金鑰的版本數目 100
每個 HSM 執行個體的自訂角色定義數目 50
HSM 範圍的角色指派數目 50
每個金鑰範圍內的角色指派數目 10

管理作業的交易限制 (每個 HSM 執行個體每秒的作業數目)

作業 每秒作業數目
所有 RBAC 作業
(包括角色定義和角色指派的所有 CRUD 作業)
5
完整 HSM 備份/還原
(每個 HSM 執行個體只支援一個並行備份或還原作業)
1

密碼編譯作業的交易限制 (每個 HSM 執行個體每秒的作業數目)

  • 每個受控 HSM 執行個體都相當於三個經過負載平衡的 HSM 分割區。 輸送量限制是一項功能,旨在為每個分割區配置基礎硬體容量。 下表顯示至少有一個可用分割區的最大輸送量。 如果所有三個分割區都可供使用,則實際輸送量最高可達 3 倍。
  • 上述輸送量限制假設將使用單一金鑰來達到最大輸送量。 例如,如果使用單一 RSA-2048 金鑰,最大輸送量會是 1100 個簽署作業。 如果您使用 1100 個不同的金鑰每秒各進行一筆交易,則無法達到相同的輸送量。
RSA 金鑰作業 (每個 HSM 執行個體每秒的作業數目)
作業 2048 位元 3072 位元 4096 位元
建立機碼 1 1 1
刪除金鑰 (虛刪除) 10 10 10
清除金鑰 10 10 10
備份金鑰 10 10 10
還原金鑰 10 10 10
取得金鑰資訊 1100 1100 1100
Encrypt 10000 10000 6000
解密 1100 360 160
包裝 10000 10000 6000
解除包裝 1100 360 160
簽署 1100 360 160
驗證 10000 10000 6000
EC 金鑰作業 (每個 HSM 執行個體每秒的作業數目)

下表描述每個曲線類型每秒的作業數目。

作業 P-256 P-256K P-384 P-521
建立機碼 1 1 1 1
刪除金鑰 (虛刪除) 10 10 10 10
清除金鑰 10 10 10 10
備份金鑰 10 10 10 10
還原金鑰 10 10 10 10
取得金鑰資訊 1100 1100 1100 1100
簽署 260 260 165 56
驗證 130 130 82 28
AES 金鑰作業 (每個 HSM 執行個體每秒的作業數目)
  • 加密和解密作業採用 4KB 封包大小。
  • 加密/解密的輸送量限制適用於 AES-CBC 和 AES-GCM 演算法。
  • 包裝/解除包裝的輸送量限制適用於 AES-KW 演算法。
作業 128 位元 192 位元 256 位元
建立機碼 1 1 1
刪除金鑰 (虛刪除) 10 10 10
清除金鑰 10 10 10
備份金鑰 10 10 10
還原金鑰 10 10 10
取得金鑰資訊 1100 1100 1100
Encrypt 8000 8000 8000
解密 8000 8000 8000
包裝 9000 9000 9000
解除包裝 9000 9000 9000