Limity služby Azure Key Vault
Služba Azure Key Vault podporuje dva typy prostředků: trezory a spravované hsmy. Následující dvě části popisují limity služeb pro každou z nich.
Typ prostředku: trezor
Tato část popisuje limity služby pro typ vaultsprostředku .
Transakce s klíči (maximální počet transakcí povolených za 10 sekund, na trezor a oblast1):
| Typ klíče | Klíč HSM CREATE klíč |
Klíč HSM Všechny ostatní transakce |
Softwarový klíč CREATE klíč |
Softwarový klíč Všechny ostatní transakce |
|---|---|---|---|---|
| RSA (2,048 bitů) | 10 | 2 000 | 20 | 4 000 |
| RSA (3,072 bitů) | 10 | 500 | 20 | 1 000 |
| RSA 4,096-bit | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2 000 | 20 | 4 000 |
| ECC P-384 | 10 | 2 000 | 20 | 4 000 |
| ECC P-521 | 10 | 2 000 | 20 | 4 000 |
| ECC SECP256K1 | 10 | 2 000 | 20 | 4 000 |
Poznámka
V předchozí tabulce vidíme, že pro 2 048bitové softwarové klíče RSA je povoleno 4 000 transakcí GET za 10 sekund. U 2 048bitových klíčů HSM RSA je povoleno 2 000 transakcí GET za 10 sekund.
Prahové hodnoty omezování jsou vážené a vynucování je na jejich součtu. Například jak je znázorněno v předchozí tabulce, když provádíte operace GET s klíči RSA HSM, je použití 4 096bitových klíčů ve srovnání s 2 048bitovými klíči osmkrát dražší. Je to proto, že 2 000/250 = 8.
V daném 10sekundovém intervalu může klient Azure Key Vault provést pouze jednu z následujících operací, než narazí na 429 omezování stavového kódu HTTP:
- 4 000 2 048bitových transakcí GET se softwarovým klíčem RSA
- 2 000 2 048bitových transakcí GET s klíčem HSM RSA
- 250 rsa 4,096-bit HSM-key GET transakce
- 248 rsa 4,096-bit HSM-key GET transakce a 16 RSA 2,048-bit HSM-key GET transakce
Tajné kódy, spravované klíče účtu úložiště a transakce trezoru:
| Typ transakcí | Maximální povolený počet transakcí za 10 sekund na trezor a oblast1 |
|---|---|
| Tajný kód CREATE tajný kód |
300 |
| Všechny ostatní transakce | 4 000 |
Informace o tom, jak zvládnout omezování při překročení těchto limitů, najdete v tématu Doprovodné materiály k omezování azure Key Vault.
1 Limit pro všechny typy transakcí v rámci předplatného je pětkrát na jeden trezor klíčů.
Zálohovací klíče, tajné kódy, certifikáty
Při zálohování objektu trezoru klíčů, jako je tajný klíč, klíč nebo certifikát, operace zálohování stáhne objekt jako šifrovaný objekt blob. Tento objekt blob nejde dešifrovat mimo Azure. Pokud chcete získat použitelná data z tohoto objektu blob, musíte objekt blob obnovit do trezoru klíčů v rámci stejného předplatného Azure a zeměpisné oblasti Azure.
| Typ transakcí | Maximální povolený počet verzí objektů trezoru klíčů |
|---|---|
| Zálohování jednotlivých klíčů, tajných klíčů a certifikátů | 500 |
Poznámka
Při pokusu o zálohování klíče, tajného klíče nebo objektu certifikátu s více verzemi, než je vyšší limit, dojde k chybě. Není možné odstranit předchozí verze klíče, tajného klíče nebo certifikátu.
Omezení počtu klíčů, tajných klíčů a certifikátů:
Key Vault neomezuje počet klíčů, tajných klíčů nebo certifikátů, které je možné uložit do trezoru. Aby nedošlo k omezování operací, je potřeba vzít v úvahu limity transakcí v trezoru.
Key Vault neomezuje počet verzí tajného klíče, klíče nebo certifikátu, ale uložení velkého počtu verzí (500+) může ovlivnit výkon operací zálohování. Viz Azure Key Vault Backup.
Typ prostředku: Spravovaný HSM
Tato část popisuje limity služby pro typ managed HSMprostředku .
Omezení objektů
| Položka | Omezení |
|---|---|
| Počet instancí HSM na předplatné a oblast | 5 |
| Počet klíčů na instanci HSM | 5000 |
| Počet verzí na klíč | 100 |
| Počet definic vlastních rolí na instanci HSM | 50 |
| Počet přiřazení rolí v oboru HSM | 50 |
| Počet přiřazení rolí v každém oboru jednotlivých klíčů | 10 |
Limity transakcí pro operace správy (počet operací za sekundu na instanci HSM)
| Operace | Počet operací za sekundu |
|---|---|
| Všechny operace RBAC (zahrnuje všechny operace CRUD pro definice rolí a přiřazení rolí) |
5 |
| Úplné zálohování/obnovení HSM (podporovaná pouze jedna souběžná operace zálohování nebo obnovení na instanci HSM) |
1 |
Limity transakcí pro kryptografické operace (počet operací za sekundu na instanci HSM)
- Každá instance spravovaného HSM tvoří tři oddíly HSM s vyrovnáváním zatížení. Limity propustnosti jsou funkcí základní hardwarové kapacity přidělené jednotlivým oddílům. Následující tabulky ukazují maximální propustnost s alespoň jedním dostupným oddílem. Skutečná propustnost může být až 3x vyšší, pokud jsou k dispozici všechny tři oddíly.
- Uvedené limity propustnosti předpokládají, že se k dosažení maximální propustnosti používá jeden klíč. Pokud se například použije jeden klíč RSA-2048, bude maximální propustnost 1100 operací podepisování. Pokud použijete 1100 různých klíčů s jednou transakcí za sekundu, nebudou moci dosáhnout stejné propustnosti.
Operace s klíčem RSA (počet operací za sekundu na instanci HSM)
| Operace | 2048 bitů | 3072 bitů | 4096 bitů |
|---|---|---|---|
| Vytvořit klíč | 1 | 1 | 1 |
| Delete Key (obnovitelné odstranění) | 10 | 10 | 10 |
| Vyprázdnit klíč | 10 | 10 | 10 |
| Záložní klíč | 10 | 10 | 10 |
| Obnovit klíč | 10 | 10 | 10 |
| Získání informací o klíči | 1100 | 1100 | 1100 |
| Encrypt | 10000 | 10000 | 6000 |
| Decrypt | 1100 | 360 | 160 |
| Zábal | 10000 | 10000 | 6000 |
| Rozbalit | 1100 | 360 | 160 |
| Znaménko | 1100 | 360 | 160 |
| Ověření | 10000 | 10000 | 6000 |
Operace s klíčem EC (počet operací za sekundu na instanci HSM)
Tato tabulka popisuje počet operací za sekundu pro každý typ křivky.
| Operace | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Vytvořit klíč | 1 | 1 | 1 | 1 |
| Delete Key (obnovitelné odstranění) | 10 | 10 | 10 | 10 |
| Vyprázdnit klíč | 10 | 10 | 10 | 10 |
| Záložní klíč | 10 | 10 | 10 | 10 |
| Obnovit klíč | 10 | 10 | 10 | 10 |
| Získání informací o klíči | 1100 | 1100 | 1100 | 1100 |
| Znaménko | 260 | 260 | 165 | 56 |
| Ověření | 130 | 130 | 82 | 28 |
Operace s klíči AES (počet operací za sekundu na instanci HSM)
- Operace šifrování a dešifrování předpokládají velikost paketu 4 kB.
- Omezení propustnosti pro šifrování/dešifrování platí pro algoritmy AES-CBC a AES-GCM.
- Omezení propustnosti pro wrap/unwrap platí pro algoritmus AES-KW.
| Operace | 128bitová verze | 192bitová verze | 256 bitů |
|---|---|---|---|
| Vytvořit klíč | 1 | 1 | 1 |
| Delete Key (obnovitelné odstranění) | 10 | 10 | 10 |
| Vyprázdnit klíč | 10 | 10 | 10 |
| Záložní klíč | 10 | 10 | 10 |
| Obnovit klíč | 10 | 10 | 10 |
| Získání informací o klíči | 1100 | 1100 | 1100 |
| Encrypt | 8000 | 8000 | 8000 |
| Decrypt | 8000 | 8000 | 8000 |
| Zábal | 9000 | 9000 | 9000 |
| Rozbalit | 9000 | 9000 | 9000 |