この記事では、Azure Cloud HSM で microsoft.hardwaresecuritymodules/cloudHsmClusters リソースの種類のサービス制限について説明します。
オブジェクト制限
次の表では、Azure Cloud HSM で作成できるオブジェクトの数の制限について説明します。 制限は、Cloud HSM インスタンスごとに行われます。 キーの種類は、Rivest-Shamir-Adleman (RSA)、楕円曲線 (EC)、Advanced Encryption Standard (AES) です。
重要
キーストレージの制限は、キーの種類が混在するセットを格納する場合に異なる場合があります。 Azure Cloud HSM では、キーの種類とサイズに関係なく、最大 3,200 個のキー ハンドルがサポートされています。
| キーの種類 | 極限 |
|---|---|
| RSA キー | 最大 1,600 RSA キー。 各キーは、2 つのハンドルを使用します。 |
| EC キー | 最大 1,600 EC キー。 各キーは、2 つのハンドルを使用します。 |
| AES キー | 最大 3,200 個の AES キー。 各キーは 1 つのハンドルを使用します。 |
トランザクションの制限
次の表では、Cloud HSM インスタンスあたりの 1 秒あたりの操作数で測定される、さまざまな暗号化操作のトランザクション制限について説明します。
各 Azure Cloud HSM インスタンスは、3 つの負荷分散されたハードウェア セキュリティ モジュール (HSM) パーティションを構成します。 スループット制限は、各パーティションに割り当てられた、基になるハードウェア容量の機能です。 次の表は、少なくとも 1 つのパーティションが使用可能な最大スループットを示しています。 3 つのパーティションすべてが使用可能な場合、実際のスループットは最大で 3 倍になる可能性があります。
テーブルに記載されているスループット制限は、最大スループットを実現するために 1 つのキーを使用することを前提としています。 たとえば、単一の RSA-2048 キーを使用する場合、最大スループットは 1,100 の署名操作です。 1 秒あたり 1 つのトランザクションで 1,100 個のキーを使用する場合、同じスループットは得られません。
RSA キー操作
次の表では、RSA キー操作の 1 秒あたりの操作数を、キー サイズ別に分類して説明します。
| オペレーション | 2,048 ビット | 3,072 ビット | 4,096 ビット |
|---|---|---|---|
| キーを作成する | 1 | 1 | 1 |
| 暗号化する | 12,000 | 8,800 | 5,500 |
| 復号化 | 1,100 | 360 | 160 |
| ラップ | 12,000 | 9,200 | 5,700 |
| 開封する | 1,100 | 360 | 160 |
| 署名 | 1,100 | 360 | 160 |
| 確認する | 12,000 | 9,200 | 5,700 |
EC キー操作
次の表では、EC キー操作の 1 秒あたりの操作数を、キーの種類別に分類して説明します。
| オペレーション | P-256 | P-256K | P-384 | P-521 | ED25519 |
|---|---|---|---|---|---|
| キーを作成する | 1 | 1 | 1 | 1 | 1 |
| 署名 | 330 | 330 | 200 | 70 | 420 |
| 確認する | 170 | 170 | 100 | 35 | 420 |
AES キー操作
次の表は、AES キー操作の 1 秒あたりの操作数を、キー サイズ別に分類して示しています。 この表で、
- 暗号化および復号化操作では、4 KB のパケット サイズが想定されます。
- 暗号化および復号化操作のスループット制限は、AES-CBC アルゴリズムと AES-GCM アルゴリズムに適用されます。
- ラップ操作とラップ解除操作のスループット制限は、AES-KW アルゴリズムに適用されます。
| オペレーション | 128 ビット | 192 ビット | 256 ビット |
|---|---|---|---|
| キーを作成する | 1 | 1 | 1 |
| 暗号化する | 1万 | 1万 | 1万 |
| 復号化 | 1万 | 1万 | 1万 |
| ラップ | 1万 | 1万 | 1万 |
| 開封する | 1万 | 1万 | 1万 |