Azure Key Vault 服务限制

Azure 密钥保管库服务支持两种资源类型:“保管库”和“托管 HSM”。 以下两个部分将分别说明每种类型的服务限制。

资源类型:保管库

本部分说明 vaults 资源类型的服务限制。

密钥事务数(每个区域的每个保管库在 10 秒内允许的事务数上限1):

密钥类型 HSM 密钥
CREATE 密钥
HSM 密钥
所有其他事务
软件密钥
CREATE 密钥
软件密钥
所有其他事务
RSA 2,048 位 10 2,000 20 4,000
RSA 3,072 位 10 500 20 1,000
RSA 4,096 位 10 250 20 500
ECC P-256 10 2,000 20 4,000
ECC P-384 10 2,000 20 4,000
ECC P-521 10 2,000 20 4,000
ECC SECP256K1 10 2,000 20 4,000

注意

在上表中,我们看到,对于 RSA 2,048 位软件密钥,每 10 秒允许 4,000 个 GET 事务。 对于 RSA 2,048 位 HSM 密钥,允许每 10 秒 2,000 个 GET 事务。

限制阈值是加权的,并且是针对其总和施加的。 例如,如上表所示,对 RSA HSM 密钥执行 GET 操作时,使用 4,096 位密钥比使用 2,048 位密钥贵 8 倍。 这是因为 2,000/250 = 8。

在给定的 10 秒间隔内,Azure Key Vault 客户端在遇到 429 限制 HTTP 状态代码之前,只能执行以下操作之一

  • 4,000 个 RSA 2,048 位软件密钥 GET 事务
  • 2,000 个 RSA 2,048 位 HSM 密钥 GET 事务
  • 250 个 RSA 4,096 位 HSM 密钥 GET 事务
  • 248 个 RSA 4,096 位 HSM 密钥 GET 事务和 16 RSA 2,048 位 HSM 密钥 GET 事务

机密、托管存储帐户密钥,以及保管库事务:

事务类型 每个区域的每个保管库在 10 秒内允许的事务数上限1
机密
创建机密
300
所有其他事务 4,000

有关超出这些限制时如何处理限制的信息,请参阅 Azure Key Vault 限制指南

1 所有事务类型的订阅范围限制是每个密钥保管库限制的 5 倍。

备份密钥、机密和证书

备份密钥保管库对象(如机密、密钥或证书)时,备份操作会将该对象作为加密的 blob 下载。 无法在 Azure 外部解密此 blob。 要从此 blob 获取可用数据,必须将 blob 还原到同一 Azure 订阅和 Azure 地理位置内的密钥保管库中

事务类型 允许的最大密钥保管库对象版本数
备份单个密钥、机密、证书 500

注意

如果尝试备份的密钥、机密或证书对象版本数超出上限,将会导致错误。 无法删除密钥、机密或证书的历史版本。

对密钥、机密和证书的数量限制:

密钥保管库不限制可存储在保管库中的密钥、机密或证书的数量。 应考虑保管库的事务限制,以确保操作不会受到限制。

密钥保管库不限制存储的机密、密钥或证书的版本数量,但存储大量版本 (500+) 可能会影响备份操作性能。 请参阅 Azure Key Vault 备份

资源类型:托管 HSM

本部分说明 managed HSM 资源类型的服务限制。

对象限制

限制
每个区域每个订阅的 HSM 实例数 5
每个 HSM 实例的密钥数 5000
每个密钥的版本数 100
每个 HSM 实例的自定义角色定义数 50
HSM 范围的角色分配数 50
每个密钥范围的角色分配数 10

管理操作的事务限制(每个 HSM 实例每秒的操作次数)

操作 每秒操作次数
所有 RBAC 操作
(包括用于角色定义和角色分配的所有 CRUD 操作)
5
完整 HSM 备份/还原
(每个 HSM 实例仅支持一个并发备份或还原操作)
1

加密操作的事务限制(每个 HSM 实例每秒的操作次数)

  • 每个托管 HSM 实例构成 3 个负载均衡的 HSM 分区。 吞吐量限制取决于分配给每个分区的底层硬件容量。 下表显示了至少有一个分区可用的情况下的最大吞吐量。 如果所有 3 个分区都可用,则实际吞吐量最高可以为原来的 3 倍。

  • 所述吞吐量限制是假设使用单个密钥来实现最大吞吐量的前提下给出的。 例如,如果使用单个 RSA-2048 密钥,则最大吞吐量为 1100 次符号运算。 如果使用 1100 个不同的密钥,每个密钥每秒处理 1 个事务,则这些密钥无法实现相同的吞吐量。

RSA 密钥操作(每个 HSM 实例每秒的操作次数)
操作 2048 位 3072 位 4096 位
创建键 1 1 1
删除密钥(软删除) 10 10 10
清除密钥 10 10 10
备份密钥 10 10 10
还原密钥 10 10 10
获取密钥信息 1100 1100 1100
加密 10000 10000 6000
解密 1100 360 160
包装 10000 10000 6000
解包 1100 360 160
签名 1100 360 160
验证 10000 10000 6000
EC 密钥操作(每个 HSM 实例每秒的操作次数)

下表说明了针对每个曲线类型每秒可执行的操作次数。

操作 P-256 P-256K P-384 P-521
创建键 1 1 1 1
删除密钥(软删除) 10 10 10 10
清除密钥 10 10 10 10
备份密钥 10 10 10 10
还原密钥 10 10 10 10
获取密钥信息 1100 1100 1100 1100
签名 260 260 165 56
验证 130 130 82 28
AES 密钥操作(每个 HSM 实例每秒的操作次数)
  • 加密和解密操作假设数据包大小为 4KB。
  • 加密/解密吞吐量限制适用于 AES-CBC 和 AES GCM 算法。
  • 包装/解包吞吐量限制适用于 AES-KW 算法。
操作 128 位 192 位 256 位
创建键 1 1 1
删除密钥(软删除) 10 10 10
清除密钥 10 10 10
备份密钥 10 10 10
还原密钥 10 10 10
获取密钥信息 1100 1100 1100
加密 8000 8000 8000
解密 8000 8000 8000
包装 9000 9000 9000
解包 9000 9000 9000