本文說明 Azure Cloud HSM 中資源類型的 microsoft.hardwaresecuritymodules/cloudHsmClusters 服務限制。
物件限制
下表說明您可以在 Azure Cloud HSM 中建立的物件數目限制。 這些限制是每個雲端 HSM 實例。 密鑰類型為 Rivest-Shamir-Adleman (RSA)、橢圓曲線 (EC)和進階加密標準 (AES)。
這很重要
如果您要儲存一組混合的密鑰類型,金鑰儲存限制可能會有所不同。 Azure Cloud HSM 支援最多 3,200 個密鑰句柄,不論金鑰類型和大小為何。
| 鍵類型 | 限制 |
|---|---|
| RSA 金鑰 | 最多 1,600 個 RSA 金鑰。 每個金鑰都會取用兩個句柄。 |
| EC 金鑰 | 最多 1,600 個 EC 金鑰。 每個金鑰都會取用兩個句柄。 |
| AES 金鑰 | 最多 3,200 個 AES 金鑰。 每個金鑰都會取用一個句柄。 |
交易限制
下表描述各種密碼編譯作業的交易限制,以每個雲端 HSM 實例每秒的作業數目來測量。
每個 Azure 雲端 HSM 實例都會構成三個負載平衡的硬體安全性模組 (HSM) 磁碟分區。 輸送量限制取決於為每個分割區配置的基礎硬體容量。 下表顯示至少有一個數據分割可用的最大輸送量。 如果所有三個分割區都可用,實際輸送量可能高達三倍。
數據表中所指出的輸送量限制假設您使用單一索引鍵來達到最大輸送量。 例如,如果您使用單一 RSA-2048 金鑰,最大輸送量為 1,100 個簽署作業。 如果您使用每秒一個交易的 1,100 個金鑰,它們將無法達到相同的輸送量。
RSA 金鑰作業
下表描述 RSA 金鑰作業每秒的作業數目,依金鑰大小分類。
| 行動 | 2048 位元 | 3072 位元 | 4096 位元 |
|---|---|---|---|
| 建立金鑰 | 1 | 1 | 1 |
| 加密 | 12,000 | 8,800 | 5,500 |
| 解密 | 1,100 | 360 | 160 |
| 包裝 | 12,000 | 9,200 | 5,700 |
| 拆開 | 1,100 | 360 | 160 |
| 簽名 | 1,100 | 360 | 160 |
| 驗證 | 12,000 | 9,200 | 5,700 |
EC 金鑰作業
下表描述 EC 金鑰作業每秒的作業數目,依索引鍵類型分類。
| 行動 | P-256 | P-256K | P-384 | P-521 | ED25519 |
|---|---|---|---|---|---|
| 建立金鑰 | 1 | 1 | 1 | 1 | 1 |
| 簽名 | 330 | 330 | 200 | 70 | 420 |
| 驗證 | 170 | 170 | 100 | 35 | 420 |
AES 金鑰作業
下表描述 AES 金鑰作業每秒的作業數目,依金鑰大小分類。 在此表格中:
- 加密和解密作業假設 4 KB 封包大小。
- 加密和解密作業的輸送量限制適用於 AES-CBC 和 AES-GCM 演算法。
- 包裝和解除包裝作業的輸送量限制適用於 AES-KW 演算法。
| 行動 | 128 位元 | 192 位元 | 256 位元 |
|---|---|---|---|
| 建立金鑰 | 1 | 1 | 1 |
| 加密 | 1萬 | 1萬 | 1萬 |
| 解密 | 1萬 | 1萬 | 1萬 |
| 包裝 | 1萬 | 1萬 | 1萬 |
| 拆開 | 1萬 | 1萬 | 1萬 |