Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В следующих двух разделах описаны ограничения службы для каждого из них.
Key Vault
Следующие ограничения применяются к стандартным операциям Key Vault, включая ограничения скорости транзакций для ключей, секретов и сертификатов. Azure Key Vault включает ограничения на пропускную способность транзакций и запросы API для обеспечения надежности и доступности служб. Эти ограничения предназначены для выявления приложений, которые могут негативно повлиять на других клиентов Key Vault, но по-прежнему позволяют соответствовать вашим операционным требованиям. Сведения о регулировании обработки при превышении этих ограничений см. в руководстве по регулированию Azure Key Vault.
Тип ресурса: хранилище
В этом разделе описаны ограничения службы для типа ресурса vaults.
Ключевые транзакции (максимальное число транзакций, разрешенных в 10 секунд, на хранилище в каждом регионе1)
| Тип ключа | Ключ HSM Ключ СОЗДАТЬ |
Ключ HSM Все остальные транзакции |
Ключ ПО Ключ СОЗДАТЬ |
Ключ ПО Все остальные транзакции |
|---|---|---|---|---|
| 2048-битовый RSA | 10 | 2,000 | 20 | 4,000 |
| 3072-битовый RSA | 10 | 500 | 20 | 1,000 |
| 4096-битовый RSA | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4,000 |
| ECC P-384 | 10 | 2,000 | 20 | 4,000 |
| ECC P-521 | 10 | 2,000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4,000 |
Note
В таблице выше показано, что для 2048-разрядных программных ключей RSA разрешено 4000 транзакций GET за каждые 10 секунд. Для 2048-разрядных ключей RSA на основе HSM разрешено 2000 транзакций GET за каждые 10 секунд.
Пороговые значения дросселирования взвешены, и контроль осуществляется по их сумме. Например, как показано в предыдущей таблице, при выполнении операций GET с ключами RSA HSM это в восемь раз дороже, чем 4096-разрядные ключи по сравнению с 2048-разрядными ключами, так как 2000/250 = 8.
За заданный 10-секундный интервал клиент Azure Key Vault может выполнить только одну из следующих операций, прежде чем он столкнется с кодом состояния HTTP 429, ограничивающим частоту запросов.
- 4000 транзакций GET с 2048-разрядными программными ключами RSA;
- 2 000 транзакций GET с использованием 2048-разрядных ключей RSA и HSM.
- 250 транзакций GET с 4096-разрядными ключами RSA на основе HSM;
- 248 транзакции GET с 4096-разрядными ключами RSA на основе HSM и 16 транзакций GET с 2048-разрядными ключами RSA на основе HSM.
Секреты, ключи управляемой учетной записи хранения и транзакции хранилища
| Тип транзакций | Максимальное количество транзакций, разрешенных в течение 10 секунд, на хранилище для одного региона1 |
|---|---|
| Secret создать секрет |
300 (совместно во всех трех операциях) |
| Certificate Импорт сертификата |
300 (совместно во всех трех операциях) |
| Key Ключ IMPORT |
300 (совместно во всех трех операциях) |
| Все остальные транзакции | 4,000 |
Note
Ограничение на 300 транзакций применяется совместно в операциях CREATE secret, IMPORT certificate и IMPORT key. Например, если в течение 10 секунд вы создаете 100 секретов, импортируете 100 сертификатов и 100 ключей, вы достигнете ограничений и столкнетесь с троттлингом. Дополнительные сведения о регулировании при превышении этих ограничений см. в руководстве по регулированию Azure Key Vault.
1 Ограничение для всех типов транзакций на уровне подписки в пять раз превышает ограничение на уровне хранилища ключей.
Резервные копии ключей, секретов, сертификатов
При резервном копировании объекта хранилища ключей, например секрета, ключа или сертификата, операция резервного копирования скачивает объект в виде зашифрованного большого двоичного объекта. Этот большой двоичный объект нельзя расшифровать за пределами Azure. Чтобы получить пригодные для использования данные из этого BLOB-объекта, необходимо восстановить его в хранилище ключей в той же подписке и в том же регионе Azure.
| Тип транзакций | Максимально допустимая версия объекта хранилища ключей |
|---|---|
| Резервное копирование отдельных ключей, секретов, сертификатов | 500 |
Note
Если вы пытаетесь создать резервную копию ключа, секрета или объекта сертификата с более поздними версиями, операция приведет к ошибке. Удалить предыдущие версии ключа, секрета или сертификата нельзя.
Ограничения на количество ключей, секретов и сертификатов
Служба Key Vault не ограничивает количество ключей, секретов или сертификатов, которые могут храниться в хранилище. Следует учитывать ограничения транзакций в хранилище, чтобы гарантировать, что операции не будут ограничиваться.
Key Vault не ограничивает количество версий секрета, ключа или сертификата, но хранение большого количества версий (500+) может повлиять на производительность операций резервного копирования. См. Резервное копирование Azure Key Vault.
Key Vault: управляемый HSM
Управляемый HSM предоставляет выделенные экземпляры HSM с различными ограничениями, чем стандартные хранилища Key Vault. Подробные сведения о характеристиках производительности и планировании емкости для управляемых рабочих нагрузок HSM см. в руководстве по масштабированию управляемого устройства HSM в Azure.
Тип ресурса: управляемый HSM
В этом разделе описаны ограничения службы для типа ресурса managed HSM.
Ограничения на объекты
| Item | Limits |
|---|---|
| Количество экземпляров HSM в рамках одной подписки в каждом регионе | 5 |
| Количество ключей на экземпляр HSM | 5000 |
| Число версий на ключ | 100 |
| Количество настраиваемых определений ролей на один HSM-экземпляр | 50 |
| Число присвоений ролей на область HSM | 50 |
| Число назначений ролей в каждом отдельном ключевом контексте | 10 |
Подробные рекомендации по планированию и масштабированию емкости производительности см. в руководстве по масштабированию управляемого устройства HSM в Azure.