Limity usługi Azure Key Vault
Usługa Azure Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM. W poniższych dwóch sekcjach opisano odpowiednio limity usług dla każdego z nich.
Typ zasobu: magazyn
W tej sekcji opisano limity usługi dla typu vaults
zasobu .
Transakcje kluczowe (maksymalna liczba transakcji dozwolonych w ciągu 10 sekund, na magazyn na region1):
Typ klucza | Klucz HSM KLUCZ CREATE |
Klucz HSM Wszystkie inne transakcje |
Klucz oprogramowania KLUCZ CREATE |
Klucz oprogramowania Wszystkie inne transakcje |
---|---|---|---|---|
RSA 2048-bitowe | 10 | 2,000 | 20 | 4000 |
RSA 3072-bitowy | 10 | 500 | 20 | 1,000 |
RSA 4096-bitowy | 10 | 250 | 20 | 500 |
ECC P-256 | 10 | 2,000 | 20 | 4000 |
ECC P-384 | 10 | 2,000 | 20 | 4000 |
ECC P-521 | 10 | 2,000 | 20 | 4000 |
ECC SECP256K1 | 10 | 2,000 | 20 | 4000 |
Uwaga
W poprzedniej tabeli widzimy, że w przypadku kluczy oprogramowania RSA 2048-bitowych dozwolone są 4000 transakcji GET na 10 sekund. W przypadku 2048-bitowych kluczy HSM RSA dozwolona jest 2000 transakcji GET na 10 sekund.
Progi ograniczania są ważone, a wymuszanie jest na ich sumę. Na przykład, jak pokazano w poprzedniej tabeli, podczas wykonywania operacji GET na kluczach HSM RSA, użycie 4096-bitowych kluczy w porównaniu z kluczami 2048-bitowymi jest osiem razy droższe. Dzieje się tak, ponieważ 2000/250 = 8.
W danym 10-sekundowym interwale klient usługi Azure Key Vault może wykonać tylko jedną z następujących operacji, zanim napotka 429
kod stanu HTTP ograniczania przepustowości:
- 4000 RSA 2048-bitowych transakcji GET klucza oprogramowania
- 2000 RSA 2048-bitowych transakcji GET klucza HSM
- 250 RSA 4096-bitowych transakcji GET klucza HSM
- 248 RSA 4096-bitowych transakcji GET HSM-key i 16 RSA 2048-bitowych transakcji GET klucza HSM
Wpisy tajne, klucze zarządzanego konta magazynu i transakcje magazynu:
Typ transakcji | Maksymalna liczba transakcji dozwolonych w ciągu 10 sekund na magazyn na region1 |
---|---|
Klucz tajny TWORZENIE wpisu tajnego |
300 |
Wszystkie inne transakcje | 4000 |
Aby uzyskać informacje na temat obsługi ograniczania przepustowości w przypadku przekroczenia tych limitów, zobacz Wskazówki dotyczące ograniczania przepustowości usługi Azure Key Vault.
1 Limit obejmujący całą subskrypcję dla wszystkich typów transakcji wynosi pięć razy na limit magazynu kluczy.
Klucze kopii zapasowej, wpisy tajne, certyfikaty
Podczas tworzenia kopii zapasowej obiektu magazynu kluczy, takiego jak wpis tajny, klucz lub certyfikat, operacja tworzenia kopii zapasowej pobierze obiekt jako zaszyfrowany obiekt blob. Nie można odszyfrować tego obiektu blob poza platformą Azure. Aby uzyskać użyteczne dane z tego obiektu blob, musisz przywrócić obiekt blob do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure
Typ transakcji | Dozwolone maksymalne wersje obiektów magazynu kluczy |
---|---|
Tworzenie kopii zapasowej pojedynczego klucza, wpisu tajnego, certyfikatu | 500 |
Uwaga
Próba utworzenia kopii zapasowej klucza, wpisu tajnego lub obiektu certyfikatu zawierającego więcej wersji niż powyżej limitu spowoduje wystąpienie błędu. Nie można usunąć poprzednich wersji klucza, wpisu tajnego lub certyfikatu.
Limity liczby kluczy, wpisów tajnych i certyfikatów:
Usługa Key Vault nie ogranicza liczby kluczy, wpisów tajnych ani certyfikatów, które mogą być przechowywane w magazynie. Należy wziąć pod uwagę limity transakcji w magazynie, aby upewnić się, że operacje nie są ograniczane.
Usługa Key Vault nie ogranicza liczby wersji wpisów tajnych, klucza lub certyfikatu, ale przechowywanie dużej liczby wersji (500+) może mieć wpływ na wydajność operacji tworzenia kopii zapasowych. Zobacz Kopia zapasowa usługi Azure Key Vault.
Typ zasobu: Zarządzany moduł HSM
W tej sekcji opisano limity usługi dla typu managed HSM
zasobu .
Limity obiektów
Towar | Limity |
---|---|
Liczba wystąpień modułu HSM na subskrypcję na region | 5 |
Liczba kluczy na wystąpienie modułu HSM | 5000 |
Liczba wersji na klucz | 100 |
Liczba niestandardowych definicji ról na wystąpienie modułu HSM | 50 |
Liczba przypisań ról w zakresie modułu HSM | 50 |
Liczba przypisań ról w każdym zakresie klucza | 10 |
Limity transakcji dla operacji administracyjnych (liczba operacji na sekundę na wystąpienie modułu HSM)
Operacja | Liczba operacji na sekundę |
---|---|
Wszystkie operacje kontroli dostępu opartej na rolach (obejmuje wszystkie operacje CRUD dla definicji ról i przypisań ról) |
5 |
Pełna kopia zapasowa/przywracanie modułu HSM (obsługiwana jest tylko jedna współbieżna operacja tworzenia kopii zapasowej lub przywracania na wystąpienie modułu HSM) |
1 |
Limity transakcji dla operacji kryptograficznych (liczba operacji na sekundę na wystąpienie modułu HSM)
- Każde zarządzane wystąpienie modułu HSM składa się z trzech partycji HSM ze zrównoważonym obciążeniem. Limity przepływności są funkcją podstawowej pojemności sprzętowej przydzielonej dla każdej partycji. W poniższych tabelach przedstawiono maksymalną przepływność z co najmniej jedną dostępną partycją. Rzeczywista przepływność może być do 3 razy wyższa, jeśli wszystkie trzy partycje są dostępne.
- Limity przepływności zakładają, że jeden klucz jest używany do osiągnięcia maksymalnej przepływności. Jeśli na przykład jeden klucz RSA-2048 jest używany, maksymalna przepływność będzie wynosić 1100 operacji podpisywania. Jeśli używasz 1100 różnych kluczy z jedną transakcją na sekundę, nie będą one mogły osiągnąć tej samej przepływności.
Operacje klucza RSA (liczba operacji na sekundę na wystąpienie modułu HSM)
Operacja | 2048-bitowy | 3072-bitowy | 4096-bitowy |
---|---|---|---|
Utwórz klucz | 1 | 1 | 1 |
Usuń klucz (usuwanie nietrwałe) | 10 | 10 | 10 |
Przeczyszczanie klucza | 10 | 10 | 10 |
Klucz kopii zapasowej | 10 | 10 | 10 |
Przywracanie klucza | 10 | 10 | 10 |
Uzyskiwanie kluczowych informacji | 1100 | 1100 | 1100 |
Szyfrowanie | 10 000 | 10 000 | 6000 |
Odszyfrowywanie | 1100 | 360 | 160 |
Zawijanie | 10 000 | 10 000 | 6000 |
Rozpakować | 1100 | 360 | 160 |
Zaloguj | 1100 | 360 | 160 |
Weryfikacja | 10 000 | 10 000 | 6000 |
Operacje klucza EC (liczba operacji na sekundę na wystąpienie modułu HSM)
W tej tabeli opisano liczbę operacji na sekundę dla każdego typu krzywej.
Operacja | P-256 | P-256K | P-384 | P-521 |
---|---|---|---|---|
Utwórz klucz | 1 | 1 | 1 | 1 |
Usuń klucz (usuwanie nietrwałe) | 10 | 10 | 10 | 10 |
Przeczyszczanie klucza | 10 | 10 | 10 | 10 |
Klucz kopii zapasowej | 10 | 10 | 10 | 10 |
Przywracanie klucza | 10 | 10 | 10 | 10 |
Uzyskiwanie kluczowych informacji | 1100 | 1100 | 1100 | 1100 |
Zaloguj | 260 | 260 | 165 | 56 |
Weryfikacja | 130 | 130 | 82 | 28 |
Operacje klucza AES (liczba operacji na sekundę na wystąpienie modułu HSM)
- Operacje szyfrowania i odszyfrowywania zakładają rozmiar pakietu o rozmiarze 4 KB.
- Limity przepływności szyfrowania/odszyfrowywania mają zastosowanie do algorytmów AES-CBC i AES-GCM.
- Limity przepływności zawijania/odpakowania mają zastosowanie do algorytmu AES-KW.
Operacja | 128-bitowy | 192-bitowy | 256-bitowy |
---|---|---|---|
Utwórz klucz | 1 | 1 | 1 |
Usuń klucz (usuwanie nietrwałe) | 10 | 10 | 10 |
Przeczyszczanie klucza | 10 | 10 | 10 |
Klucz kopii zapasowej | 10 | 10 | 10 |
Przywracanie klucza | 10 | 10 | 10 |
Uzyskiwanie kluczowych informacji | 1100 | 1100 | 1100 |
Szyfrowanie | 8000 | 8000 | 8000 |
Odszyfrowywanie | 8000 | 8000 | 8000 |
Zawijanie | 9000 | 9000 | 9000 |
Rozpakować | 9000 | 9000 | 9000 |