Azure Key Vault サービスの制限

  • [アーティクル]

Azure Key Vault サービスでは、コンテナーとマネージド HSM という 2 つのリソースの種類がサポートされています。 次の 2 つのセクションでは、それぞれのサービスの制限について説明します。

リソースの種類: コンテナー

このセクションでは、リソースの種類 vaults のサービスの制限について説明します。

キーのトランザクション (リージョンあたりのコンテナーごとに、10 秒間に許可される最大トランザクション数1):

キーの種類 HSM キー
CREATE キー		 HSM キー
その他すべてのトランザクション		 ソフトウェア キー
CREATE キー		 ソフトウェア キー
その他すべてのトランザクション
RSA 2,048 ビット 10 2,000 20 4,000
RSA 3,072 ビット 10 500 20 1,000
RSA 4,096 ビット 10 250 20 500
ECC P-256 10 2,000 20 4,000
ECC P-384 10 2,000 20 4,000
ECC P-521 10 2,000 20 4,000
ECC SECP256K1 10 2,000 20 4,000

Note

前の表を見ると、RSA 2,048 ビット ソフトウェア キーでは、10 秒間に 4,000 件の GET トランザクションが許可されます。 RSA 2,048 ビット HSM キーでは、10 秒間に 2,000 件の GET トランザクションが許可されます。

スロットルのしきい値は重み付けされ、合計に対して適用されます。 たとえば、前の表で示されているように、RSA HSM キーで GET 操作を実行する場合に 4,096 ビット キーを使用すると、2,048 ビット キーと比較して 8 倍のコストがかかります。 これは、2,000/250 = 8 によります。

10 秒間に、Azure Key Vault クライアントは、429 のスロットル HTTP 状態コードが発生するまで、次の操作のいずれか 1 つのみを実行できます。

  • 4,000 件の RSA 2,048 ビット ソフトウェア キー GET トランザクション
  • 2,000 件の RSA 2,048 ビット HSM キー GET トランザクション
  • 250 件の RSA 4,096 ビット HSM キー GET トランザクション
  • 248 件の RSA 4,096 ビット HSM キー GET トランザクションおよび 16 件の RSA 2,048 ビット HSM キー GET トランザクション

シークレット、管理ストレージ アカウント キー、およびコンテナーのトランザクション:

トランザクションの種類 リージョンあたりのコンテナーごとに、10 秒間に許可される最大トランザクション数1
Secret
シークレットの作成		 300
その他すべてのトランザクション 4,000

これらの制限を超えたときにスロットルを処理する方法については、「Azure Key Vault のスロットル ガイダンス」をご覧ください。

1 すべてのトランザクションの種類に適用されるサブスクリプション レベルの制限は、キー コンテナーの制限の 5 倍です。

キー、シークレット、証明書をバックアップする

キー コンテナー オブジェクト (シークレット、キー、証明書など) をバックアップすると、そのオブジェクトは、バックアップ操作によって、暗号化された BLOB としてダウンロードされます。 Azure の外部でこの BLOB の暗号化を解除することはできません。 この BLOB から有効なデータを取得するには、同じ Azure サブスクリプションと Azure 地域内のキー コンテナーに BLOB を復元する必要があります。

トランザクションの種類 許容されるキー コンテナー オブジェクトのバージョン数の上限
個々のキー、シークレット、証明書をバックアップする 500

Note

バージョン数が上記の制限を超えるキー、シークレット、または証明書オブジェクトをバックアップしようとすると、エラーが発生します。 キー、シークレット、または証明書の以前のバージョンを削除することはできません。

キー、シークレット、および証明書の数に関する制限:

Key Vault では、コンテナーに格納できるキー、シークレット、または証明書の数は制限されません。 コンテナーに関するトランザクション制限を考慮して、操作が調整されないようにする必要があります。

Key Vault では、シークレット、キー、または証明書に対するバージョン数は制限されませんが、多数のバージョン (500 個以上) を格納すると、バックアップ操作のパフォーマンスに影響を与える可能性があります。 「Azure Key Vault のバックアップ」を参照してください。

リソースの種類: マネージド HSM

このセクションでは、リソースの種類 managed HSM のサービスの制限について説明します。

オブジェクト制限

アイテム 制限
リージョンごとのサブスクリプションあたりの HSM インスタンスの数 5
HSM インスタンスあたりのキー数 5000
キーあたりのバージョン数 100
HSM インスタンスあたりのカスタム ロール定義の数 50
HSM スコープでのロールの割り当て数 50
個々のキー スコープでのロールの割り当て数 10

管理操作のトランザクション制限 (HSM インスタンスごとの 1 秒あたりの操作数)

操作 1 秒あたりの操作数
すべての RBAC 操作
(ロールの定義とロールの割り当てに関するすべての CRUD 操作が含まれます)		 5
HSM の完全なバックアップまたは復元
(HSM インスタンスごとに 1 つの同時バックアップまたは復元操作のみがサポートされています)		 1

暗号化操作のトランザクション制限 (HSM インスタンスごとの 1 秒あたりの操作数)

  • 各マネージド HSM インスタンスは、負荷分散された 3 つの HSM パーティションを構成します。 スループット制限は、各パーティションに割り当てられた、基になるハードウェア容量の機能です。 下の表は、使用可能なパーティションが少なくとも 1 つある最大スループットを示しています。 3 つすべてのパーティションが使用可能な場合、実際のスループットは最大 3 倍になります。
  • スループット制限は、最大スループットを実現するために 1 つのキーが使用されていることを前提としています。 たとえば、1 つの RSA-2048 キーが使用されている場合、最大スループットは 1100 回の署名操作になります。 それぞれ 1 秒あたり 1 トランザクションの、1100 個の異なるキーを使用する場合は、同じスループットを実現することはできません。
RSA キー操作 (HSM インスタンスごとの 1 秒あたりの操作数)
操作 2048 ビット 3072 ビット 4096 ビット
キーの作成 1 1 1
キーの削除 (論理的な削除) 10 10 10
キーの消去 10 10 10
キーのバックアップ 10 10 10
キーの復元 10 10 10
キー情報の取得 1100 1100 1100
Encrypt 10000 10000 6000
復号化 1100 360 160
ラップ 10000 10000 6000
ラップ解除 1100 360 160
署名 1100 360 160
確認 10000 10000 6000
EC キー操作 (HSM インスタンスごとの 1 秒あたりの操作数)

この表は、各曲線の種類に対する 1 秒あたりの操作数を示しています。

操作 P-256 P-256K P-384 P-521
キーの作成 1 1 1 1
キーの削除 (論理的な削除) 10 10 10 10
キーの消去 10 10 10 10
キーのバックアップ 10 10 10 10
キーの復元 10 10 10 10
キー情報の取得 1100 1100 1100 1100
署名 260 260 165 56
確認 130 130 82 28
AES キー操作 (HSM インスタンスごとの 1 秒あたりの操作数)
  • 暗号化と復号化の操作では、4 KB のパケット サイズが想定されます。
  • 暗号化または復号化のスループット制限は、AES-CBC および AES GCM アルゴリズムに適用されます。
  • ラップまたはラップ解除のスループット制限は、AES-KW アルゴリズムに適用されます。
操作 128 ビット 192 ビット 256 ビット
キーの作成 1 1 1
キーの削除 (論理的な削除) 10 10 10
キーの消去 10 10 10
キーのバックアップ 10 10 10
キーの復元 10 10 10
キー情報の取得 1100 1100 1100
Encrypt 8000 8000 8000
復号化 8000 8000 8000
ラップ 9000 9000 9000
ラップ解除 9000 9000 9000