Azure Key Vault servicelimieten

Azure Key Vault-service ondersteunt twee resourcetypen: kluizen en beheerde HMS's. In de volgende twee secties worden de servicelimieten voor elk van beide beschreven.

Resourcetype: kluis

In deze sectie worden servicelimieten voor resourcetype vaults beschreven.

Belangrijkste transacties (maximum aantal transacties in 10 seconden per kluis per regio1):

Type sleutel HSM-sleutel
Sleutel maken
HSM-sleutel
Alle andere transacties
Softwaresleutel
Sleutel maken
Softwaresleutel
Alle andere transacties
RSA 2048-bits 5 1000 10 2.000
RSA 3072-bits 5 250 10 500
RSA 4096-bits 5 125 10 250
ECC P-256 5 1000 10 2.000
ECC P-384 5 1000 10 2.000
ECC P-521 5 1000 10 2.000
ECC SECP256K1 5 1000 10 2.000

Notitie

In de vorige tabel ziet u dat RSA 2048-bits-softwaresleutels met 2000 GET-transacties per 10 seconden zijn toegestaan. Voor RSA 2048-bits HSM-sleutels zijn 1000 GET-transacties per 10 seconden toegestaan.

De drempelwaarden voor beperking worden gewogen en afdwinging wordt bepaald op basis van de som. Wanneer u zoals aangeven in de vorige tabel GET-bewerkingen uitvoert op RSA HSM-sleutels, is het gebruik van 4096-bits sleutels achtmaal duurder in vergelijking met 2048-bits sleutels. En dat komt doordat 1000/125 = 8.

In een gegeven interval van 10 seconden kan een Azure Key Vault-client slechts één van de volgende bewerkingen uitvoeren voordat er een 429HTTP-statuscode voor beperking wordt aangetroffen:

  • 2000 RSA 2048-bits softwaresleutel voor GET-transacties
  • 1000 RSA 2048-bits HSM-sleutel voor GET-transacties
  • 125 RSA 4096-bits HSM-sleutel voor GET-transacties
  • 124 RSA 4096-bits HSM-sleutel voor GET-transacties en 8 RSA 2048-bits HSM-sleutels voor GET-transacties

Geheimen, sleutels voor beheerde opslagaccounts en kluistransacties:

Transactietype Maximum aantal transacties in 10 seconden per kluis per regio1
Alle transacties 2.000

Zie de Azure Key Vault-beperkingsrichtlijnen voor informatie over het verwerken van beperkingen wanneer deze limieten worden overschreden.

1 Een limiet voor het hele abonnement voor alle transactietypen is vijf keer per sleutelkluislimiet. Andere HSM-transacties per abonnement zijn bijvoorbeeld beperkt tot 5000 transacties binnen tien seconden per abonnement.

Back-upsleutels, geheimen, certificaten

Wanneer u een back-up maakt van een object dat is opgeslagen in een sleutelkluis (zoals een geheim, sleutel of certificaat), wordt het object door de back-upbewerking gedownload als een versleutelde blob. Deze blob kan niet buiten Azure worden ontsleuteld. Als u gebruiksgegevens uit deze blob wilt halen, moet u de blob herstellen in een sleutelkluis binnen hetzelfde Azure-abonnement en dezelfde Azure-geografie

Transactietype Maximale toegestane versies van key vault-objecten
Back-up maken van afzonderlijke sleutel, geheim, certificaat 500

Notitie

Als u probeert een back-up te maken van een sleutel-, geheim- of certificaatobject met meer versies dan de bovengrens, resulteert dit in een fout. Het is niet mogelijk om eerdere versies van een sleutel, geheim of certificaat te verwijderen.

Limieten voor het aantal sleutels, geheimen en certificaten:

Key Vault beperkt niet het aantal sleutels, geheimen of certificaten dat kan worden opgeslagen in een kluis. Er moet rekening worden gehouden met de transactielimieten voor de kluis om ervoor te zorgen dat bewerkingen niet worden beperkt.

Key Vault beperkt het aantal versies voor een geheim, sleutel of certificaat niet, maar het opslaan van een groot aantal versies (500+) kan van invloed zijn op de prestaties van back-upbewerkingen. Zie Azure Key Vault Backup.

Notitie

Het aantal sleutelkluizen met ingeschakelde privé-eindpunten per abonnement is een aanpasbare limiet. De limiet die hieronder wordt weergegeven, is de standaardlimiet. Als u een verhoging van de limiet voor uw service wilt aanvragen, maakt u een ondersteuningsaanvraag en wordt deze per geval beoordeeld.

Resource Limiet
Privé-eindpunten per sleutelkluis 64
Sleutelkluizen met privé-eindpunten per abonnement 400

Resourcetype: Beheerde HSM

In deze sectie worden servicelimieten voor resourcetype managed HSM beschreven.

Objectlimieten

Item Limieten
Aantal HSM-exemplaren per abonnement per regio 5
Aantal sleutels per HSM-pool 5000
Aantal versies per sleutel 100
Aantal aangepaste roldefinities per HSM 50
Aantal roltoewijzingen op HSM-bereik 50
Aantal roltoewijzingen voor elk afzonderlijk sleutelbereik 10

Transactielimieten voor beheerbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)

Bewerking Aantal bewerkingen per seconde
Alle RBAC-bewerkingen
(inclusief alle CRUD-bewerkingen voor roldefinities en roltoewijzingen)
5
Volledige back-up/herstel van HSM
(slechts één gelijktijdige back-up- of herstelbewerking per ondersteund HSM-exemplaar)
1

Transactielimieten voor cryptografische bewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)

  • Elk beheerd hSM-exemplaar bestaat uit drie HSM-partities met load balanced. De doorvoerlimieten zijn een functie van de onderliggende hardwarecapaciteit die is toegewezen voor elke partitie. In de onderstaande tabellen wordt de maximale doorvoer weergegeven met ten minste één beschikbare partitie. De werkelijke doorvoer kan tot 3 x hoger zijn als alle 3 de partities beschikbaar zijn.
  • Bij het genoteerde doorvoerlimieten wordt ervan uitgenomen dat één sleutel wordt gebruikt om een maximale doorvoer te bereiken. Als bijvoorbeeld één RSA-2048-sleutel wordt gebruikt, is de maximale doorvoer 1100 aanmeldingsbewerkingen. Als u 1100 verschillende sleutels gebruikt met elk 1 transactie per seconde, kunnen ze niet dezelfde doorvoer bereiken.
RSA-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
Bewerking 2048-bits 3072-bits 4096-bits
Sleutel maken 1 1 1
Sleutel verwijderen (soft-delete) 10 10 10
Sleutel opskeren 10 10 10
Back-upsleutel 10 10 10
Sleutel herstellen 10 10 10
Sleutelgegevens op halen 1100 1100 1100
Versleutelen 10.000 10.000 6000
Ontsleutelen 1100 360 160
Wrap 10.000 10.000 6000
Unwrap 1100 360 160
Teken 1100 360 160
Verifiëren 10.000 10.000 6000
EC-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)

In deze tabel wordt het aantal bewerkingen per seconde voor elk curvetype beschreven.

Bewerking P-256 P-256K P-384 P-521
Sleutel maken 1 1 1 1
Sleutel verwijderen (soft-delete) 10 10 10 10
Sleutel opskeren 10 10 10 10
Back-upsleutel 10 10 10 10
Sleutel herstellen 10 10 10 10
Sleutelgegevens op halen 1100 1100 1100 1100
Teken 260 260 165 56
Verifiëren 130 130 82 28
AES-sleutelbewerkingen (aantal bewerkingen per seconde per HSM-exemplaar)
  • Versleutelings- en ontsleutelingsbewerkingen gaan uit van een pakketgrootte van 4 KB.
  • Doorvoerlimieten voor versleutelen/ontsleutelen zijn van toepassing op AES-CBC- en AES-GCM-algoritmen.
  • Doorvoerlimieten voor Wrap/Unwrap zijn van toepassing op het AES-KW-algoritme.
Bewerking 128-bits 192-bits 256-bits
Sleutel maken 1 1 1
Sleutel verwijderen (soft-delete) 10 10 10
Sleutel opskeren 10 10 10
Back-upsleutel 10 10 10
Sleutel herstellen 10 10 10
Sleutelgegevens op halen 1100 1100 1100
Versleutelen 8000 8000 8000
Ontsleutelen 8000 8000 8000
Wrap 9000 9000 9000
Unwrap 9000 9000 9000