Azure Key Vault hizmet sınırları

Azure Key Vault hizmeti iki kaynak türünü destekler: Kasalar ve Yönetilen HSM'ler. Aşağıdaki iki bölümde sırasıyla her biri için hizmet sınırları açıklanmaktadır.

Kaynak türü: kasa

Bu bölümde kaynak türü vaultsiçin hizmet sınırları açıklanmaktadır.

Anahtar işlemler (bölge 1 başına kasa başına 10 saniye içinde izin verilen maksimumişlem sayısı):

Anahtar türü HSM anahtarı
CREATE tuşu
HSM anahtarı
Diğer tüm işlemler
Yazılım anahtarı
CREATE tuşu
Yazılım anahtarı
Diğer tüm işlemler
RSA 2.048 bit 10 2.000 20 4.000
RSA 3.072 bit 10 500 20 1.000
RSA 4.096 bit 10 250 20 500
ECC P-256 10 2.000 20 4.000
ECC P-384 10 2.000 20 4.000
ECC P-521 10 2.000 20 4.000
ECC SECP256K1 10 2.000 20 4.000

Not

Önceki tabloda RSA 2.048 bit yazılım anahtarları için 10 saniyede 4.000 GET işlemine izin verildiğini görüyoruz. RSA 2.048 bit HSM anahtarları için 10 saniyede 2.000 GET işlemine izin verilir.

Azaltma eşikleri ağırlıklıdır ve zorlama bunların toplamını alır. Örneğin, önceki tabloda gösterildiği gibi, RSA HSM tuşları üzerinde GET işlemleri gerçekleştirdiğinizde, 2.048 bit anahtarlara kıyasla 4.096 bit anahtarları kullanmak sekiz kat daha pahalıdır. Bunun nedeni 2.000/250 = 8 olmasıdır.

Belirli bir 10 saniyelik aralıkta Azure Key Vault istemcisi, azaltma HTTP durum koduyla karşılaşmadan 429 önce aşağıdaki işlemlerden yalnızca birini yapabilir:

  • 4.000 RSA 2.048 bit yazılım anahtarı GET işlemleri
  • 2.000 RSA 2.048 bit HSM anahtarı GET işlemleri
  • 250 RSA 4.096 bit HSM anahtarı GET işlemleri
  • 248 RSA 4.096 bit HSM anahtarı GET işlemleri ve 16 RSA 2.048 bit HSM anahtarı GET işlemleri

Gizli diziler, yönetilen depolama hesabı anahtarları ve kasa işlemleri:

İşlem türü Bölge başına kasa başına 10 saniye içinde izin verilen maksimum işlem sayısı1
Gizli dizi
CREATE gizli dizisi
300
Diğer tüm işlemler 4.000

Bu sınırlar aşıldığında azaltmayı işleme hakkında bilgi için bkz. Azure Key Vault azaltma kılavuzu.

1 Tüm işlem türleri için abonelik genelinde bir sınır, anahtar kasası sınırı başına beş kezdir.

Yedekleme anahtarları, gizli diziler, sertifikalar

Gizli dizi, anahtar veya sertifika gibi bir anahtar kasası nesnesini yedeklediğinizde, yedekleme işlemi nesneyi şifrelenmiş blob olarak indirir. Bu blobun şifresi Azure dışında çözülemez. Bu blobdan kullanılabilir veriler almak için blobu aynı Azure aboneliğinde ve Azure coğrafyasında bir anahtar kasasına geri yüklemeniz gerekir

İşlem türü İzin verilen en fazla anahtar kasası nesne sürümü sayısı
Tek tek anahtarı, gizli diziyi, sertifikayı yedekleme 500

Not

Üst sınırdan daha fazla sürüme sahip bir anahtar, gizli dizi veya sertifika nesnesini yedeklemeye çalışmak hataya neden olur. Bir anahtarın, gizli anahtarın veya sertifikanın önceki sürümlerini silmek mümkün değildir.

Anahtar, gizli dizi ve sertifika sayısıyla ilgili sınırlar:

Key Vault kasada depolanabilecek anahtar, gizli dizi veya sertifika sayısını kısıtlamaz. İşlemlerin kısıtlanmadığından emin olmak için kasadaki işlem sınırları dikkate alınmalıdır.

Key Vault gizli dizi, anahtar veya sertifikadaki sürüm sayısını kısıtlamaz, ancak çok sayıda sürümün depolanması (500+) yedekleme işlemlerinin performansını etkileyebilir. Bkz. Azure Key Vault Yedekleme.

Kaynak türü: Yönetilen HSM

Bu bölümde kaynak türü managed HSMiçin hizmet sınırları açıklanmaktadır.

Nesne sınırları

Öğe Sınırlar
Bölge başına abonelik başına HSM örneği sayısı 5
HSM örneği başına anahtar sayısı 5000
Anahtar başına sürüm sayısı 100
HSM örneği başına özel rol tanımlarının sayısı 50
HSM kapsamındaki rol atamalarının sayısı 50
Her bir anahtar kapsamındaki rol atamalarının sayısı 10

Yönetim işlemleri için işlem sınırları (HSM örneği başına saniye başına işlem sayısı)

İşlem Saniye başına işlem sayısı
Tüm RBAC işlemleri
(rol tanımları ve rol atamaları için tüm CRUD işlemlerini içerir)
5
Tam HSM Yedekleme/Geri Yükleme
(HSM örneği başına yalnızca bir eşzamanlı yedekleme veya geri yükleme işlemi desteklenir)
1

Şifreleme işlemleri için işlem sınırları (HSM örneği başına saniye başına işlem sayısı)

  • Her Yönetilen HSM örneği üç yük dengeli HSM bölümü oluşturur. Aktarım hızı sınırları, her bölüm için ayrılan temel donanım kapasitesinin bir işlevidir. Aşağıdaki tablolarda en az bir bölümün kullanılabilir olduğu en yüksek aktarım hızı gösterilir. Üç bölümün de kullanılabilir olması durumunda gerçek aktarım hızı en fazla 3 kat daha yüksek olabilir.
  • Aktarım hızı sınırları, en yüksek aktarım hızına ulaşmak için tek bir anahtarın kullanıldığını varsayar. Örneğin, tek bir RSA-2048 anahtarı kullanılırsa maksimum aktarım hızı 1100 imzalama işlemi olacaktır. Saniyede bir işlemle 1100 farklı anahtar kullanırsanız, bunlar aynı aktarım hızına ulaşamaz.
RSA anahtar işlemleri (HSM örneği başına saniye başına işlem sayısı)
İşlem 2048 bit 3072 bit 4096 bit
Anahtar Oluştur 1 1 1
Anahtarı Sil (geçici silme) 10 10 10
Temizleme Anahtarı 10 10 10
Yedekleme Anahtarı 10 10 10
Anahtarı Geri Yükle 10 10 10
Anahtar Bilgilerini Alma 1100 1100 1100
Encrypt 10000 10000 6000
Decrypt 1100 360 160
Sarma 10000 10000 6000
Unwrap 1100 360 160
İşaret 1100 360 160
Doğrulama 10000 10000 6000
EC anahtar işlemleri (HSM örneği başına saniye başına işlem sayısı)

Bu tabloda her eğri türü için saniye başına işlem sayısı açıklanmaktadır.

İşlem P-256 P-256K P-384 P-521
Anahtar Oluştur 1 1 1 1
Anahtarı Sil (geçici silme) 10 10 10 10
Temizleme Anahtarı 10 10 10 10
Yedekleme Anahtarı 10 10 10 10
Anahtarı Geri Yükle 10 10 10 10
Anahtar Bilgilerini Alma 1100 1100 1100 1100
İşaret 260 260 165 56
Doğrulama 130 130 82 28
AES anahtar işlemleri (HSM örneği başına saniye başına işlem sayısı)
  • Şifreleme ve Şifre Çözme işlemlerinin 4 KB paket boyutu olduğu varsayılır.
  • Şifreleme/Şifre Çözme için aktarım hızı sınırları AES-CBC ve AES-GCM algoritmaları için geçerlidir.
  • Sarmalama/Sarmalama için aktarım hızı sınırları AES-KW algoritmasına uygulanır.
İşlem 128 bit 192 bit 256 bit
Anahtar Oluştur 1 1 1
Anahtarı Sil (geçici silme) 10 10 10
Temizleme Anahtarı 10 10 10
Yedekleme Anahtarı 10 10 10
Anahtarı Geri Yükle 10 10 10
Anahtar Bilgilerini Alma 1100 1100 1100
Encrypt 8000 8000 8000
Decrypt 8000 8000 8000
Sarma 9000 9000 9000
Unwrap 9000 9000 9000