Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il servizio Azure Key Vault supporta due tipi di risorse: insiemi di credenziali e moduli di protezione hardware gestiti. Le due sezioni seguenti descrivono rispettivamente i limiti del servizio per ognuno di essi.
Key Vault
I limiti seguenti si applicano alle operazioni standard di Key Vault, inclusi i limiti di frequenza delle transazioni per chiavi, segreti e certificati. Azure Key Vault include limiti per la velocità effettiva delle transazioni e le richieste API per garantire l'affidabilità e la disponibilità del servizio. Questi limiti sono progettati per identificare le applicazioni che possono influire negativamente su altri clienti di Key Vault, consentendo comunque di soddisfare i requisiti operativi. Per informazioni sulla gestione della limitazione quando questi limiti vengono superati, vedere Linee guida per la limitazione delle richieste di Azure Key Vault.
Tipo di risorsa: insieme di credenziali
Questa sezione descrive i limiti del servizio per il tipo di risorsa vaults.
Transazioni chiave (numero massimo di transazioni consentite in 10 secondi, per insieme di credenziali per area1)
| Tipo di chiave | Chiave del modulo di protezione hardware Chiave CREATE |
Chiave del modulo di protezione hardware Tutte le altre transazioni |
Chiave software Chiave CREATE |
Chiave software Tutte le altre transazioni |
|---|---|---|---|---|
| RSA a 2.048 bit | 10 | 2,000 | 20 | 4,000 |
| RSA a 3.072 bit | 10 | 500 | 20 | 1,000 |
| RSA a 4.096 bit | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4,000 |
| ECC P-384 | 10 | 2,000 | 20 | 4,000 |
| ECC P-521 | 10 | 2,000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4,000 |
Note
Nella tabella precedente si è visto ce per chiavi software RSA a 2.048 bit sono consentite 4.000 transazioni GET ogni 10 secondi. Per le chiavi del modulo di protezione hardware RSA a 2.048 bit sono consentite 2.000 transazioni GET ogni 10 secondi.
Le soglie di limitazione delle richieste sono ponderate e l'imposizione viene applicata alla somma. Ad esempio, come illustrato nella tabella precedente, quando si eseguono operazioni GET su chiavi RSA HSM, è otto volte più costoso usare chiavi a 4.096 bit rispetto alle chiavi a 2.048 bit perché 2.000/250 = 8.
In un intervallo specificato di 10 secondi un client Azure Key Vault può eseguire una sola delle operazioni seguenti prima che venga restituito un codice di stato HTTP di limitazione delle richieste 429:
- 4.000 transazioni GET con chiave software RSA a 2.048 bit
- 2.000 transazioni GET con chiave del modulo di protezione hardware RSA a 2.048 bit
- 250 transazioni GET con chiave HSM RSA a 4.096 bit
- 248 transazioni GET con chiave del modulo di protezione hardware RSA a 4.096 bit e 16 transazioni GET con chiave del modulo di protezione hardware RSA a 2.048 bit
Segreti, chiavi dell'account di archiviazione gestito e transazioni dell'insieme di credenziali
| Tipo di transazioni | Numero massimo di transazioni consentite entro 10 secondi, per ogni archivio e ogni area1 |
|---|---|
| Secret CREA un segreto |
300 (collettivamente in tutte e tre le operazioni) |
| Certificate Certificato IMPORT |
300 (collettivamente in tutte e tre le operazioni) |
| Key Chiave IMPORT |
300 (collettivamente in tutte e tre le operazioni) |
| Tutte le altre transazioni | 4,000 |
Note
Il limite di 300 transazioni si applica collettivamente alle operazioni "CREATE secret", "IMPORT certificate" e "IMPORT key". Ad esempio, se entro 10 secondi si creano 100 segreti, si importano 100 certificati e si importano 100 chiavi, si raggiungerà il limite e si verrà soggetti a limitazione. Per informazioni su come gestire la limitazione delle richieste in caso di superamento dei limiti, vedere Guida alla limitazione delle richieste per Azure Key Vault.
1 Il limite a livello di sottoscrizione per tutti i tipi di transazione corrisponde a un valore pari a cinque volte quello del limite a livello di insieme di credenziali delle chiavi.
Chiavi di backup, segreti, certificati
Quando si esegue il backup di un oggetto insieme di credenziali delle chiavi, ad esempio un segreto, una chiave o un certificato, l'operazione di backup scarica l'oggetto come BLOB crittografato. Questo BLOB non può essere decrittografato all'esterno di Azure. Per ottenere dati utilizzabili da questo BLOB, è necessario ripristinarlo in un Key Vault all'interno della stessa sottoscrizione di Azure e della stessa regione geografica di Azure.
| Tipo di transazioni | Numero massimo di versioni degli oggetti dell'insieme di credenziali delle chiavi consentite |
|---|---|
| Eseguire il backup di singole chiavi, segreti, certificati | 500 |
Note
Se si tenta di eseguire il backup di una chiave, un segreto o un oggetto certificato con più versioni rispetto al limite, l'operazione genera un errore. Non è possibile eliminare le versioni precedenti di una chiave, un segreto o un certificato.
Limiti per il numero di chiavi, segreti e certificati
Key Vault non limita il numero di chiavi, segreti o certificati che possono essere archiviati in un vault. I limiti delle transazioni nell'insieme di credenziali devono essere presi in considerazione per garantire che le operazioni non siano limitate.
Key Vault non limita il numero di versioni in un segreto, una chiave o un certificato, ma l'archiviazione di un numero elevato di versioni (oltre 500) può influire sulle prestazioni delle operazioni di backup. Vedere Backup di Azure Key Vault.
Key Vault: modulo di protezione hardware gestito
Il modulo di protezione hardware gestito fornisce istanze HSM dedicate con limiti diversi rispetto agli insiemi di credenziali di Key Vault standard. Per informazioni dettagliate sulle caratteristiche delle prestazioni e sulla pianificazione della capacità per i carichi di lavoro del modulo di protezione hardware gestito, vedere Linee guida per il ridimensionamento del modulo di protezione hardware gestito di Azure.
Tipo di risorsa: HSM gestito
Questa sezione descrive i limiti del servizio per il tipo di risorsa managed HSM.
Limiti di oggetto
| Item | Limits |
|---|---|
| Numero di istanze del modulo di protezione hardware per sottoscrizione per area | 5 |
| Numero di chiavi per ogni istanza del modulo di protezione hardware | 5000 |
| Numero di versioni per chiave | 100 |
| Numero di definizioni di ruolo personalizzate per ogni istanza di HSM | 50 |
| Numero di assegnazioni di ruolo nell'ambito HSM | 50 |
| Numero di assegnazioni di ruolo in ogni ambito chiave | 10 |
Per indicazioni dettagliate sulla pianificazione e la scalabilità della capacità delle prestazioni, vedere Indicazioni per il ridimensionamento del modulo di protezione hardware gestito di Azure.