Azure Key Vault hizmet sınırları
Azure Key Vault hizmeti iki kaynak türünü destekler: Kasalar ve Yönetilen HSM'ler. Aşağıdaki iki bölümde sırasıyla her biri için hizmet sınırları açıklanmaktadır.
Kaynak türü: kasa
Bu bölümde kaynak türü vaultsiçin hizmet sınırları açıklanmaktadır.
Anahtar işlemler (bölge başına kasa başına10 saniye içinde izin verilen maksimum işlem sayısı 1):
| Anahtar türü | HSM anahtarı CREATE anahtarı |
HSM anahtarı Diğer tüm işlemler |
Yazılım anahtarı CREATE anahtarı |
Yazılım anahtarı Diğer tüm işlemler |
|---|---|---|---|---|
| RSA 2.048 bit | 10 | 2,000 | 20 | 4.000 |
| RSA 3.072 bit | 10 | 500 | 20 | 1,000 |
| RSA 4.096 bit | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4.000 |
| ECC P-384 | 10 | 2,000 | 20 | 4.000 |
| ECC P-521 | 10 | 2,000 | 20 | 4.000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4.000 |
Not
Önceki tabloda, RSA 2.048 bit yazılım anahtarları için 10 saniye başına 4.000 GET işlemine izin verildiğini görüyoruz. RSA 2.048 bit HSM anahtarları için 10 saniyede 2.000 GET işlemine izin verilir.
Azaltma eşikleri ağırlıklıdır ve zorlama bunların toplamını alır. Örneğin, önceki tabloda gösterildiği gibi, RSA HSM anahtarları üzerinde GET işlemleri gerçekleştirdiğinizde, 2.048 bit anahtarlara kıyasla 4.096 bit anahtarları kullanmak sekiz kat daha pahalıdır. Bunun nedeni 2.000/250 = 8 olmasıdır.
Belirli bir 10 saniyelik aralıkta Azure Key Vault istemcisi azaltma HTTP durum koduyla karşılaşmadan 429 önce aşağıdaki işlemlerden yalnızca birini yapabilir:
- 4.000 RSA 2.048 bit yazılım anahtarı GET işlemleri
- 2.000 RSA 2.048 bit HSM anahtarı GET işlemleri
- 250 RSA 4.096 bit HSM anahtarı GET işlemleri
- 248 RSA 4.096 bit HSM anahtarlı GET işlemleri ve 16 RSA 2.048 bit HSM anahtarı GET işlemleri
Gizli diziler, yönetilen depolama hesabı anahtarları ve kasa işlemleri:
| İşlem türü | Bölge başına kasa başına10 saniye içinde izin verilen maksimum işlem sayısı 1 |
|---|---|
| Gizli dizi CREATE gizli dizisi |
300 |
| Diğer tüm işlemler | 4.000 |
Bu sınırlar aşıldığında azaltmayı işleme hakkında bilgi için bkz . Azure Key Vault azaltma kılavuzu.
1 Tüm işlem türleri için abonelik genelindeki bir sınır, anahtar kasası sınırı başına beş kezdir.
Yedekleme anahtarları, gizli diziler, sertifikalar
Gizli dizi, anahtar veya sertifika gibi bir anahtar kasası nesnesini yedeklediğinizde, yedekleme işlemi nesneyi şifrelenmiş blob olarak indirir. Bu blobun şifresi Azure dışında çözülemez. Bu blobdan kullanılabilir veriler almak için blobu aynı Azure aboneliği ve Azure coğrafyası içindeki bir anahtar kasasına geri yüklemeniz gerekir
| İşlem türü | İzin verilen en fazla anahtar kasası nesne sürümü sayısı |
|---|---|
| Tek tek anahtarı, gizli diziyi, sertifikayı yedekleme | 500 |
Not
Üst sınırdan daha fazla sürüme sahip bir anahtar, gizli dizi veya sertifika nesnesini yedeklemeye çalışmak hataya neden olur. Bir anahtarın, gizli anahtarın veya sertifikanın önceki sürümlerini silmek mümkün değildir.
Anahtar, gizli dizi ve sertifika sayısıyla ilgili sınırlar:
Key Vault bir kasada depolanabilecek anahtar, gizli dizi veya sertifika sayısını kısıtlamaz. İşlemlerin kısıtlanmadığından emin olmak için kasadaki işlem sınırları dikkate alınmalıdır.
Key Vault gizli dizi, anahtar veya sertifikadaki sürüm sayısını kısıtlamaz, ancak çok sayıda sürümün depolanması (500+) yedekleme işlemlerinin performansını etkileyebilir. Bkz. Azure Key Vault Yedekleme.
Kaynak türü: Yönetilen HSM
Bu bölümde kaynak türü managed HSMiçin hizmet sınırları açıklanmaktadır.
Nesne sınırları
| Kalem | Sınırlar |
|---|---|
| Bölge başına abonelik başına HSM örneği sayısı | 5 |
| HSM örneği başına anahtar sayısı | Kategori 5000 |
| Anahtar başına sürüm sayısı | 100 |
| HSM örneği başına özel rol tanımlarının sayısı | 50 |
| HSM kapsamındaki rol atamalarının sayısı | 50 |
| Her bir anahtar kapsamındaki rol atamalarının sayısı | 10 |
Yönetim işlemleri için işlem sınırları (HSM örneği başına saniye başına işlem sayısı)
| İşlem | Saniye başına işlem sayısı |
|---|---|
| Tüm RBAC işlemleri (rol tanımları ve rol atamaları için tüm CRUD işlemlerini içerir) |
5 |
| Tam HSM Yedekleme/Geri Yükleme (HSM örneği başına desteklenen tek bir eşzamanlı yedekleme veya geri yükleme işlemi) |
1 |
Şifreleme işlemleri için işlem sınırları (HSM örneği başına saniye başına işlem sayısı)
- Her Yönetilen HSM örneği üç yük dengeli HSM bölümü oluşturur. Aktarım hızı sınırları, her bölüm için ayrılan temel donanım kapasitesinin bir işlevidir. Aşağıdaki tablolarda en az bir bölümün kullanılabilir olduğu en yüksek aktarım hızı gösterilmektedir. Üç bölümün de kullanılabilir olması durumunda gerçek aktarım hızı 3 kat daha yüksek olabilir.
- Aktarım hızı sınırları, en yüksek aktarım hızına ulaşmak için tek bir anahtarın kullanıldığı varsayılır. Örneğin, tek bir RSA-2048 anahtarı kullanılırsa maksimum aktarım hızı 1100 imzalama işlemi olur. Her biri saniyede bir işlemle 1100 farklı anahtar kullanırsanız, bunlar aynı aktarım hızına ulaşamaz.
RSA anahtar işlemleri (HSM örneği başına saniye başına işlem sayısı)
| İşlem | 2048 bit | 3072 bit | 4096 bit |
|---|---|---|---|
| Anahtar Oluştur | 1 | 1 | 1 |
| Anahtarı Sil (geçici silme) | 10 | 10 | 10 |
| Temizleme Anahtarı | 10 | 10 | 10 |
| Yedekleme Anahtarı | 10 | 10 | 10 |
| Anahtarı Geri Yükle | 10 | 10 | 10 |
| Anahtar Bilgilerini Alma | 1100 | 1100 | 1100 |
| Şifreleme | 10000 | 10000 | 6000 |
| Şifre Çözme | 1100 | 360 | 160 |
| Kaydır | 10000 | 10000 | 6000 |
| Unwrap | 1100 | 360 | 160 |
| Oturum aç | 1100 | 360 | 160 |
| Doğrulama | 10000 | 10000 | 6000 |
EC anahtar işlemleri (HSM örneği başına saniye başına işlem sayısı)
Bu tabloda her eğri türü için saniye başına işlem sayısı açıklanmaktadır.
| İşlem | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Anahtar Oluştur | 1 | 1 | 1 | 1 |
| Anahtarı Sil (geçici silme) | 10 | 10 | 10 | 10 |
| Temizleme Anahtarı | 10 | 10 | 10 | 10 |
| Yedekleme Anahtarı | 10 | 10 | 10 | 10 |
| Anahtarı Geri Yükle | 10 | 10 | 10 | 10 |
| Anahtar Bilgilerini Alma | 1100 | 1100 | 1100 | 1100 |
| Oturum aç | 260 | 260 | 165 | 56 |
| Doğrulama | 130 | 130 | Kategori 82 | 28 |
AES anahtar işlemleri (HSM örneği başına saniye başına işlem sayısı)
- Şifreleme ve Şifre Çözme işlemleri için 4 KB paket boyutu varsayılır.
- Şifreleme/Şifre Çözme için aktarım hızı sınırları AES-CBC ve AES-GCM algoritmaları için geçerlidir.
- Sarmalama/Sarmayı Kaldırma için aktarım hızı sınırları AES-KW algoritmasına uygulanır.
| İşlem | 128 bit | 192 bit | 256 bit |
|---|---|---|---|
| Anahtar Oluştur | 1 | 1 | 1 |
| Anahtarı Sil (geçici silme) | 10 | 10 | 10 |
| Temizleme Anahtarı | 10 | 10 | 10 |
| Yedekleme Anahtarı | 10 | 10 | 10 |
| Anahtarı Geri Yükle | 10 | 10 | 10 |
| Anahtar Bilgilerini Alma | 1100 | 1100 | 1100 |
| Şifreleme | 8000 | 8000 | 8000 |
| Şifre Çözme | 8000 | 8000 | 8000 |
| Kaydır | 9000 | 9000 | 9000 |
| Unwrap | 9000 | 9000 | 9000 |