Azure Key Vault サービスでは、コンテナーとマネージド HSM という 2 つのリソースの種類がサポートされています。 次の 2 つのセクションでは、それぞれのサービスの制限について説明します。
Key Vault
キー、シークレット、証明書のトランザクション レート制限など、標準の Key Vault 操作には、次の制限が適用されます。 Azure Key Vault には、サービスの信頼性と可用性を確保するためのトランザクション スループットと API 要求に関する制限が含まれています。 これらの制限は、他の Key Vault のお客様に悪影響を与える可能性のあるアプリケーションを特定しながら、運用要件を満たせるように設計されています。 これらの制限を超えたときの調整の処理については、 Azure Key Vault の調整ガイダンスを参照してください。
リソースの種類: コンテナー
このセクションでは、リソースの種類 vaults のサービスの制限について説明します。
キー トランザクション (リージョン 1 ごとにコンテナーごとに 10 秒で許可される最大トランザクション数)
| キーの種類 | HSM キー CREATE キー |
HSM キー その他すべてのトランザクション |
ソフトウェア キー CREATE キー |
ソフトウェア キー その他すべてのトランザクション |
|---|---|---|---|---|
| RSA 2,048 ビット | 10 | 2,000 | 20 | 4,000 |
| RSA 3,072 ビット | 10 | 500 | 20 | 1,000 |
| RSA 4,096 ビット | 10 | 250 | 20 | 500 |
| ECC P-256 | 10 | 2,000 | 20 | 4,000 |
| ECC P-384 | 10 | 2,000 | 20 | 4,000 |
| ECC P-521 | 10 | 2,000 | 20 | 4,000 |
| ECC SECP256K1 | 10 | 2,000 | 20 | 4,000 |
Note
前の表を見ると、RSA 2,048 ビット ソフトウェア キーでは、10 秒間に 4,000 件の GET トランザクションが許可されます。 RSA 2,048 ビット HSM キーでは、10 秒間に 2,000 件の GET トランザクションが許可されます。
スロットルのしきい値は重み付けされ、合計に対して適用されます。 たとえば、前の表で示されているように、RSA HSM キーで GET 操作を実行する場合、4,096 ビット キーを使用すると、2,000/250 = 8 であるため、2,048 ビット キーと比較して 8 倍のコストがかかります。
10 秒間に、Azure Key Vault クライアントは、スロットリング HTTP ステータスコードが発生するまで、次の操作のいずれかを1 つのみ実行できます。
- 4,000 件の RSA 2,048 ビット ソフトウェア キー GET トランザクション
- 2,000 件の RSA 2,048 ビット HSM キー GET トランザクション
- 250 件の RSA 4,096 ビット HSM キー GET トランザクション
- 248 件の RSA 4,096 ビット HSM キー GET トランザクションおよび 16 件の RSA 2,048 ビット HSM キー GET トランザクション
シークレット、マネージド ストレージ アカウント キー、コンテナー トランザクション
| トランザクションの種類 | リージョンあたりのボールトごとに、10秒間に許可される最大トランザクション数1 |
|---|---|
| Secret シークレットの作成 |
300 (3 つの操作すべてでまとめて) |
| Certificate IMPORT 証明書 |
300 (3 つの操作すべてでまとめて) |
| Key インポートキー |
300 (3 つの操作すべてでまとめて) |
| その他すべてのトランザクション | 4,000 |
Note
300 トランザクションの制限は、"CREATE シークレット"、"IMPORT 証明書"、および "インポート キー" 操作全体にまとめて適用されます。 たとえば、10 秒以内に 100 個のシークレットを作成し、100 個の証明書をインポートし、100 個のキーをインポートすると、上限に達し、調整が発生します。 これらの制限を超えたときにスロットルを処理する方法については、「Azure Key Vault のスロットル ガイダンス」をご覧ください。
1 すべてのトランザクションの種類に適用されるサブスクリプション レベルの制限は、キー コンテナーの制限の 5 倍です。
キー、シークレット、証明書をバックアップする
キー コンテナー オブジェクト (シークレット、キー、証明書など) をバックアップすると、そのオブジェクトは、バックアップ操作によって、暗号化された BLOB としてダウンロードされます。 Azure の外部でこの BLOB の暗号化を解除することはできません。 この BLOB から有効なデータを取得するには、同じ Azure サブスクリプションと Azure 地域内のキー コンテナーに BLOB を復元する必要があります。
| トランザクションの種類 | 許可されるキーボールトオブジェクトのバージョン数の最大値 |
|---|---|
| 個々のキー、シークレット、証明書をバックアップする | 500 |
Note
バージョン数が制限を超えるキー、シークレット、または証明書オブジェクトをバックアップしようとすると、操作でエラーが発生します。 キー、シークレット、または証明書の以前のバージョンを削除することはできません。
キー、シークレット、および証明書の数に関する制限
Key Vault では、コンテナーに格納できるキー、シークレット、または証明書の数は制限されません。 コンテナーに関するトランザクション制限を考慮して、操作が調整されないようにする必要があります。
Key Vault では、シークレット、キー、または証明書に対するバージョン数は制限されませんが、多数のバージョン (500 個以上) を格納すると、バックアップ操作のパフォーマンスに影響を与える可能性があります。 「Azure Key Vault のバックアップ」を参照してください。
Key Vault: Managed HSM
Managed HSM では、標準の Key Vault コンテナーとは異なる制限を持つ専用 HSM インスタンスが提供されます。 Managed HSM ワークロードのパフォーマンス特性と容量計画の詳細については、 Azure Managed HSM のスケーリング ガイダンスを参照してください。
リソースの種類: マネージド HSM
このセクションでは、リソースの種類 managed HSM のサービスの制限について説明します。
オブジェクト制限
| Item | Limits |
|---|---|
| リージョンごとのサブスクリプションあたりの HSM インスタンスの数 | 5 |
| HSM インスタンスあたりのキー数 | 5000 |
| キーあたりのバージョン数 | 100 |
| HSM インスタンスあたりのカスタム ロール定義の数 | 50 |
| HSM スコープでのロールの割り当て数 | 50 |
| 個々のキー スコープでのロールの割り当て数 | 10 |
詳細なパフォーマンス容量の計画とスケーリング ガイダンスについては、「Azure Managed HSM のスケーリング ガイダンス」を参照してください。