Servicelimieten voor Azure Key Vault
De Azure Key Vault-service ondersteunt twee resourcetypen: kluizen en beheerde HSM's. In de volgende twee secties worden de servicelimieten voor elk van deze secties beschreven.
Resourcetype: kluis
In deze sectie worden servicelimieten voor het resourcetype vaultsbeschreven.
Belangrijkste transacties (maximum aantal transacties in 10 seconden per kluis per regio1):
| Type sleutel | HSM-sleutel Sleutel maken |
HSM-sleutel Alle andere transacties |
Softwaresleutel Sleutel maken |
Softwaresleutel Alle andere transacties |
|---|---|---|---|---|
| RSA 2048-bits | 10 | 2,000 | 20 | 4000 |
| RSA 3072-bits | 10 | 500 | 20 | 1.000 |
| RSA 4096-bits | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4000 |
| ECC P-384 | 10 | 2,000 | 20 | 4000 |
| ECC P-521 | 10 | 2,000 | 20 | 4000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4000 |
Notitie
In de vorige tabel zien we dat voor RSA 2048-bits softwaresleutels 4000 GET-transacties per 10 seconden zijn toegestaan. Voor RSA 2048-bits HSM-sleutels zijn 2000 GET-transacties per 10 seconden toegestaan.
De drempelwaarden voor beperking worden gewogen en afdwinging wordt bepaald op basis van de som. Wanneer u zoals aangeven in de vorige tabel GET-bewerkingen uitvoert op RSA HSM-sleutels, is het gebruik van 4096-bits sleutels achtmaal duurder in vergelijking met 2048-bits sleutels. Dat komt doordat 2000/250 = 8.
In een gegeven interval van 10 seconden kan een Azure Key Vault-client slechts één van de volgende bewerkingen uitvoeren voordat er een 429HTTP-statuscode voor beperking wordt aangetroffen:
- 4.000 RSA 2.048-bits GET-transacties met softwaresleutels
- 2000 RSA 2.048-bits HSM-key GET-transacties
- 250 RSA 4.096-bits HSM-key GET-transacties
- 248 RSA 4.096-bits HSM-key GET-transacties en 16 RSA 2048-bits HSM-key GET-transacties
Geheimen, sleutels voor beheerde opslagaccounts en kluistransacties:
| Transactietype | Maximum aantal transacties in 10 seconden per kluis per regio1 |
|---|---|
| Geheim CREATE secret |
300 |
| Alle andere transacties | 4000 |
Zie de Azure Key Vault-beperkingsrichtlijnen voor informatie over het verwerken van beperkingen wanneer deze limieten worden overschreden.
1 Een limiet voor het hele abonnement voor alle transactietypen is vijf keer per sleutelkluislimiet.
Back-upsleutels, geheimen, certificaten
Wanneer u een back-up maakt van een object dat is opgeslagen in een sleutelkluis (zoals een geheim, sleutel of certificaat), wordt het object door de back-upbewerking gedownload als een versleutelde blob. Deze blob kan niet buiten Azure worden ontsleuteld. Als u bruikbare gegevens uit deze blob wilt ophalen, moet u de blob herstellen in een sleutelkluis binnen hetzelfde Azure-abonnement en azure-geografie
| Transactietype | Maximaal toegestane key vault-objectversies |
|---|---|
| Een back-up maken van afzonderlijke sleutel, geheim, certificaat | 500 |
Notitie
Als u een back-up probeert te maken van een sleutel, geheim of certificaatobject met meer versies dan de bovenstaande limiet, treedt er een fout op. Het is niet mogelijk om eerdere versies van een sleutel, geheim of certificaat te verwijderen.
Limieten voor het aantal sleutels, geheimen en certificaten:
Key Vault beperkt niet het aantal sleutels, geheimen of certificaten dat in een kluis kan worden opgeslagen. Er moet rekening worden gehouden met de transactielimieten voor de kluis om ervoor te zorgen dat bewerkingen niet worden beperkt.
Key Vault beperkt het aantal versies op een geheim, sleutel of certificaat niet, maar het opslaan van een groot aantal versies (500+) kan van invloed zijn op de prestaties van back-upbewerkingen. Zie Azure Key Vault Backup.
Resourcetype: Beheerde HSM
In deze sectie worden servicelimieten voor het resourcetype managed HSMbeschreven.
Objectlimieten
| Artikel | Limieten |
|---|---|
| Aantal HSM-exemplaren per abonnement per regio | 5 |
| Aantal sleutels per HSM-exemplaar | 5000 |
| Aantal versies per sleutel | 100 |
| Aantal aangepaste roldefinities per HSM-exemplaar | 50 |
| Aantal roltoewijzingen op HSM-bereik | 50 |
| Aantal roltoewijzingen voor elk afzonderlijk sleutelbereik | 10 |
Transactielimieten voor beheerbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
| Operation | Aantal bewerkingen per seconde |
|---|---|
| Alle RBAC-bewerkingen (omvat alle CRUD-bewerkingen voor roldefinities en roltoewijzingen) |
5 |
| Volledige back-up/herstel van HSM (slechts één gelijktijdige back-up- of herstelbewerking per HSM-exemplaar ondersteund) |
1 |
Transactielimieten voor cryptografische bewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
- Elk beheerd HSM-exemplaar bestaat uit drie HSM-partities met gelijke taakverdeling. De doorvoerlimieten zijn een functie van de onderliggende hardwarecapaciteit die voor elke partitie is toegewezen. In de onderstaande tabellen ziet u de maximale doorvoer met ten minste één partitie die beschikbaar is. De werkelijke doorvoer kan maximaal 3x hoger zijn als alle drie de partities beschikbaar zijn.
- De doorvoerlimieten die zijn genoteerd, gaan ervan uit dat één sleutel wordt gebruikt om maximale doorvoer te bereiken. Als bijvoorbeeld één RSA-2048-sleutel wordt gebruikt, is de maximale doorvoer 1100 tekenbewerkingen. Als u 1100 verschillende sleutels met één transactie per seconde gebruikt, kunnen ze niet dezelfde doorvoer bereiken.
RSA-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
| Operation | 2048-bits | 3072-bits | 4096-bits |
|---|---|---|---|
| Sleutel maken | 1 | 1 | 1 |
| Sleutel verwijderen (voorlopig verwijderen) | 10 | 10 | 10 |
| Sleutel leegmaken | 10 | 10 | 10 |
| Back-upsleutel | 10 | 10 | 10 |
| Sleutel herstellen | 10 | 10 | 10 |
| Sleutelgegevens ophalen | 1100 | 1100 | 1100 |
| Versleutelen | 10000 | 10000 | 6000 |
| Ontsleutelen | 1100 | 360 | 160 |
| Terugloop | 10000 | 10000 | 6000 |
| Unwrap | 1100 | 360 | 160 |
| Aanmelden | 1100 | 360 | 160 |
| Verifiëren | 10000 | 10000 | 6000 |
EC-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
In deze tabel wordt het aantal bewerkingen per seconde voor elk curvetype beschreven.
| Operation | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Sleutel maken | 1 | 1 | 1 | 1 |
| Sleutel verwijderen (voorlopig verwijderen) | 10 | 10 | 10 | 10 |
| Sleutel leegmaken | 10 | 10 | 10 | 10 |
| Back-upsleutel | 10 | 10 | 10 | 10 |
| Sleutel herstellen | 10 | 10 | 10 | 10 |
| Sleutelgegevens ophalen | 1100 | 1100 | 1100 | 1100 |
| Aanmelden | 260 | 260 | 165 | 56 |
| Verifiëren | 130 | 130 | 82 | 28 |
AES-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
- Versleutelings- en ontsleutelingsbewerkingen gaan uit van een pakketgrootte van 4 KB.
- Doorvoerlimieten voor Encrypt/Decrypt zijn van toepassing op AES-CBC- en AES-GCM-algoritmen.
- Doorvoerlimieten voor Wrap/Unwrap zijn van toepassing op AES-KW-algoritme.
| Operation | 128-bits | 192-bits | 256-bits |
|---|---|---|---|
| Sleutel maken | 1 | 1 | 1 |
| Sleutel verwijderen (voorlopig verwijderen) | 10 | 10 | 10 |
| Sleutel leegmaken | 10 | 10 | 10 |
| Back-upsleutel | 10 | 10 | 10 |
| Sleutel herstellen | 10 | 10 | 10 |
| Sleutelgegevens ophalen | 1100 | 1100 | 1100 |
| Versleutelen | 8000 | 8000 | 8000 |
| Ontsleutelen | 8000 | 8000 | 8000 |
| Terugloop | 9000 | 9000 | 9000 |
| Unwrap | 9000 | 9000 | 9000 |