Tjänstbegränsningar för Azure Key Vault
Azure Key Vault-tjänsten stöder två resurstyper: Valv och hanterade HSM:er. I följande två avsnitt beskrivs tjänstbegränsningarna för var och en av dem.
Resurstyp: valv
I det här avsnittet beskrivs tjänstbegränsningar för resurstypen vaults.
Nyckeltransaktioner (maximalt antal transaktioner tillåtna på 10 sekunder, per valv per region1):
| Nyckeltyp | HSM-nyckel CREATE-nyckel |
HSM-nyckel Alla andra transaktioner |
Programvarunyckel CREATE-nyckel |
Programvarunyckel Alla andra transaktioner |
|---|---|---|---|---|
| RSA 2 048 bitar | 10 | 2,000 | 20 | 4 000 |
| RSA 3 072-bitars | 10 | 500 | 20 | 1 000 |
| RSA 4 096-bitars | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4 000 |
| ECC P-384 | 10 | 2,000 | 20 | 4 000 |
| ECC P-521 | 10 | 2,000 | 20 | 4 000 |
| ECC-SECP256K1 | 10 | 2,000 | 20 | 4 000 |
Kommentar
I föregående tabell ser vi att för RSA 2 048-bitars programvarunycklar tillåts 4 000 GET-transaktioner per 10 sekunder. För RSA 2 048-bitars HSM-nycklar tillåts 2 000 GET-transaktioner per 10 sekunder.
Tröskelvärdena för begränsning viktas och tillämpningen ligger på deras summa. Som du ser i föregående tabell är det till exempel åtta gånger dyrare att använda 4 096-bitars nycklar jämfört med 2 048-bitarsnycklar när du utför GET-åtgärder på RSA HSM-nycklar. Det beror på att 2 000/250 = 8.
I ett givet intervall på 10 sekunder kan en Azure Key Vault-klient bara utföra en av följande åtgärder innan den stöter på en 429 begränsning av HTTP-statuskoden:
- 4 000 RSA 2 048-bitars GET-transaktioner med programvarunyckel
- 2 000 RSA 2 048-bitars HSM-nyckel GET-transaktioner
- 250 RSA 4 096-bitars HSM-nyckel GET-transaktioner
- 248 RSA 4 096-bitars HSM-nyckel GET-transaktioner och 16 RSA 2 048-bitars HSM-nyckel GET-transaktioner
Hemligheter, hanterade lagringskontonycklar och valvtransaktioner:
| Transaktionstyp | Maximalt antal tillåtna transaktioner på 10 sekunder, per valv per region1 |
|---|---|
| Hemlig SKAPA hemlighet |
300 |
| Alla andra transaktioner | 4 000 |
Information om hur du hanterar begränsningar när dessa gränser överskrids finns i Vägledning för Azure Key Vault-begränsning.
1 En prenumerationsomfattande gräns för alla transaktionstyper är fem gånger per nyckelvalvgräns.
Säkerhetskopieringsnycklar, hemligheter, certifikat
När du säkerhetskopierar ett key vault-objekt, till exempel en hemlighet, nyckel eller ett certifikat, hämtar säkerhetskopieringsåtgärden objektet som en krypterad blob. Det går inte att dekryptera den här bloben utanför Azure. Om du vill hämta användbara data från den här bloben måste du återställa bloben till ett nyckelvalv inom samma Azure-prenumeration och Azure-geografi
| Transaktionstyp | Högsta tillåtna key vault-objektversioner |
|---|---|
| Säkerhetskopiera enskild nyckel, hemlighet, certifikat | 500 |
Kommentar
Om du försöker säkerhetskopiera ett nyckel-, hemlighets- eller certifikatobjekt med fler versioner än gränsen över resulterar det i ett fel. Det går inte att ta bort tidigare versioner av en nyckel, hemlighet eller ett certifikat.
Begränsningar för antalet nycklar, hemligheter och certifikat:
Key Vault begränsar inte antalet nycklar, hemligheter eller certifikat som kan lagras i ett valv. Transaktionsgränserna för valvet bör beaktas för att säkerställa att åtgärderna inte begränsas.
Key Vault begränsar inte antalet versioner på en hemlighet, nyckel eller ett certifikat, men lagring av ett stort antal versioner (500+) kan påverka säkerhetskopieringsåtgärdernas prestanda. Se Säkerhetskopiering av Azure Key Vault.
Resurstyp: Hanterad HSM
I det här avsnittet beskrivs tjänstbegränsningar för resurstypen managed HSM.
Objektbegränsningar
| Artikel | Gränser |
|---|---|
| Antal HSM-instanser per prenumeration per region | 5 |
| Antal nycklar per HSM-instans | 5000 |
| Antal versioner per nyckel | 100 |
| Antal anpassade rolldefinitioner per HSM-instans | 50 |
| Antal rolltilldelningar i HSM-omfång | 50 |
| Antal rolltilldelningar i varje enskilt nyckelomfång | 10 |
Transaktionsgränser för administrativa åtgärder (antal åtgärder per sekund per HSM-instans)
| Åtgärd | Antal åtgärder per sekund |
|---|---|
| Alla RBAC-åtgärder (innehåller alla CRUD-åtgärder för rolldefinitioner och rolltilldelningar) |
5 |
| Fullständig HSM-säkerhetskopiering/återställning (endast en samtidig säkerhetskopierings- eller återställningsåtgärd per HSM-instans stöds) |
1 |
Transaktionsgränser för kryptografiska åtgärder (antal åtgärder per sekund per HSM-instans)
- Varje Hanterad HSM-instans utgör tre belastningsutjämnings-HSM-partitioner. Dataflödesgränserna är en funktion av underliggande maskinvarukapacitet som allokerats för varje partition. Tabellerna nedan visar maximalt dataflöde med minst en tillgänglig partition. Det faktiska dataflödet kan vara upp till 3 gånger högre om alla tre partitionerna är tillgängliga.
- Antecknade dataflödesgränser förutsätter att en enda nyckel används för att uppnå maximalt dataflöde. Om till exempel en enda RSA-2048-nyckel används är det maximala dataflödet 1 100 teckenåtgärder. Om du använder 1100 olika nycklar med en transaktion per sekund kan de inte uppnå samma dataflöde.
RSA-nyckelåtgärder (antal åtgärder per sekund per HSM-instans)
| Åtgärd | 2048-bitars | 3072-bitars | 4096-bitars |
|---|---|---|---|
| Skapa nyckel | 1 | 1 | 1 |
| Ta bort nyckel (mjuk borttagning) | 10 | 10 | 10 |
| Rensa nyckel | 10 | 10 | 10 |
| Säkerhetskopieringsnyckel | 10 | 10 | 10 |
| Återställningsnyckel | 10 | 10 | 10 |
| Hämta nyckelinformation | 1100 | 1100 | 1100 |
| Kryptera | 10000 | 10000 | 6000 |
| Avkryptera | 1100 | 360 | 160 |
| Radbryt | 10000 | 10000 | 6000 |
| Packa upp | 1100 | 360 | 160 |
| Signera | 1100 | 360 | 160 |
| Verifiera | 10000 | 10000 | 6000 |
EC-nyckelåtgärder (antal åtgärder per sekund per HSM-instans)
I den här tabellen beskrivs antalet åtgärder per sekund för varje kurvtyp.
| Åtgärd | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Skapa nyckel | 1 | 1 | 1 | 1 |
| Ta bort nyckel (mjuk borttagning) | 10 | 10 | 10 | 10 |
| Rensa nyckel | 10 | 10 | 10 | 10 |
| Säkerhetskopieringsnyckel | 10 | 10 | 10 | 10 |
| Återställningsnyckel | 10 | 10 | 10 | 10 |
| Hämta nyckelinformation | 1100 | 1100 | 1100 | 1100 |
| Signera | 260 | 260 | 165 | 56 |
| Verifiera | 130 | 130 | 82 | 28 |
AES-nyckelåtgärder (antal åtgärder per sekund per HSM-instans)
- Krypterings- och dekrypteringsåtgärder förutsätter en paketstorlek på 4 KB.
- Dataflödesgränser för Kryptering/Dekryptering gäller för AES-CBC- och AES-GCM-algoritmer.
- Dataflödesgränser för Wrap/Unwrap gäller för AES-KW-algoritmen.
| Åtgärd | 128-bitars | 192-bitars | 256-bitars |
|---|---|---|---|
| Skapa nyckel | 1 | 1 | 1 |
| Ta bort nyckel (mjuk borttagning) | 10 | 10 | 10 |
| Rensa nyckel | 10 | 10 | 10 |
| Säkerhetskopieringsnyckel | 10 | 10 | 10 |
| Återställningsnyckel | 10 | 10 | 10 |
| Hämta nyckelinformation | 1100 | 1100 | 1100 |
| Kryptera | 8000 | 8000 | 8000 |
| Avkryptera | 8000 | 8000 | 8000 |
| Radbryt | 9 000 | 9 000 | 9 000 |
| Packa upp | 9 000 | 9 000 | 9 000 |