Verschlüsselungsschlüssel erstellen und importieren

In diesem Lernprogramm machen Sie sich damit vertraut, wie Sie mithilfe von Hyper Protect Crypto Services Verschlüsselungsschlüssel erstellen und verschlüsseln sowie eigene Verschlüsselungsschlüssel für die Cloud bereitstellen.

Ziele

Dieses Lernprogramm führt Sie durch das Erstellen und sichere Importieren von Verschlüsselungsschlüsseln in den Hyper Protect Crypto Services-Service. Es ist für Benutzer gedacht, die mit der Schlüsselmanagementfunktion von Hyper Protect Crypto Services noch nicht vertraut sind, jedoch über gewisse Kenntnisse zu Schlüsselmanagementsystemen verfügen. Die folgenden Schritte nehmen ca. 20 Minuten in Anspruch.

API für Schlüsselmanagementservice einrichten
Hyper Protect Crypto Services-Serviceinstanz für den Beginn des Schlüsselimports vorbereiten
Schlüssel mit dem OpenSSL-Verschlüsselungstoolkit erstellen und verschlüsseln
Verschlüsselten Schlüssel in die Hyper Protect Crypto Services-Serviceinstanz importieren

Für dieses Lernprogramm fallen keine Gebühren zu Lasten Ihres IBM Cloud-Kontos an.

Ablauf

Das folgende Ablaufdiagramm enthält eine Übersicht über das Erstellen und Importieren von Verschlüsselungsschlüsseln. Sie können auf jeden Schritt im Diagramm klicken, um Details des Schritts anzuzeigen.

Vorbereitende Schritte

Zu Anfang benötigen Sie die IBM Cloud-CLI (Befehlszeilenschnittstelle), sodass Sie mit Services, die Sie in IBM Cloud bereitstellen, interagieren können. Darüber hinaus benötigen Sie die Pakete openssl und jq, die lokal auf Ihrer Workstation installiert sein müssen.

Erstellen Sie eine IBM Cloud-Account.
Laden Sie die IBM Cloud- CLI für Ihr Betriebssystem herunter und installieren Sie sie.
Laden Sie das IBM Key Protect-CLI-Plug-in Version 0.6.3 oder höher herunter, installieren Sie es und konfigurieren Sie es für die Verwendung in Hyper Protect Crypto Services. Stellen Sie sicher, dass die Variable KP_PRIVATE_ADDR auf die aktuelle Endpunkt-URL für das Instanzschlüsselmanagement aktualisiert wird.

Führen Sie den folgenden Befehl aus, um die Version Ihres IBM Key Protect-CLI-Plug-ins zu prüfen:
```
ibmcloud plugin show key-protect
```
Führen Sie den folgenden Befehl aus, um Ihr IBM Key Protect-CLI-Plug-in auf die neueste Version zu aktualisieren:
```
ibmcloud plugin update key-protect -r 'IBM Cloud'
```
Laden Sie die OpenSSL-Verschlüsselungsbibliothekherunter und installieren Sie sie.

Sie können openssl-Befehle verwenden, um Verschlüsselungsschlüssel auf Ihrer lokalen Workstation zu erstellen, wenn Sie Hyper Protect Crypto Services zum ersten Mal testen. Für dieses Lernprogramm ist OpenSSL Version 1.0.2r oder höher erforderlich.

Wenn Sie einen Mac verwenden, können Sie schnell mit OpenSSL arbeiten, indem Sie Homebrewverwenden. Führen Sie den Befehl brew install openssl aus, wenn Sie das Paket zum ersten Mal installieren, oder führen Sie den Befehl brew upgrade openssl aus, um ein Upgrade Ihres vorhandenen Pakets auf die neueste Version durchzuführen.
Laden Sie jqherunter und installieren Sie es.

jq unterstützt Sie beim Ausschneiden von JSON-Daten. Sie verwenden jq in diesem Lernprogramm, um bestimmte Daten zu erfassen und zu verwenden, die zurückgegeben werden, wenn Sie die API des Hyper Protect Crypto Services-Schlüsselmanagementservice aufrufen.
Erstellen Sie eine Hyper Protect Crypto Services-Serviceinstanz.
Initialisieren Sie die Hyper Protect Crypto Services-Serviceinstanz.
API für Hyper Protect Crypto Services -Schlüsselmanagementservice einrichten.

Importtoken erstellen

Mit Ihren Serviceberechtigungsnachweisen können Sie mit der Interaktion mit der API des Schlüsselmanagementservice beginnen, um Ihre Verschlüsselungsschlüssel zu erstellen und in den Service zu bringen.

Im folgenden Schritt erstellen Sie ein Importtoken für Ihre Hyper Protect Crypto Services-Serviceinstanz. Durch das Erstellen eines Importtokens auf Basis einer Richtlinie, die Sie angeben, können Sie zusätzliche Sicherheitsmaßnahme für Ihren Verschlüsselungsschlüssel während der Übertragung in den Service aktivieren.

Wechseln Sie in der Befehlszeile in ein neues Verzeichnis hs-crypto-test.
```
mkdir hs-crypto-test && cd hs-crypto-test
```
In diesem Verzeichnis speichern Sie die Dateien, die Sie in späteren Schritten erstellen.
Sie können ein Importtoken für Ihre Hyper Protect Crypto Services-Serviceinstanz erstellen, indem Sie entweder die Schlüsselmanagementservice-API oder die Befehlszeilenschnittstelleverwenden, und dann die Antwort in einer JSON-Datei speichern.
- API verwenden
```
curl -X POST $HPCS_API_URL/api/v2/import_token \
    -H "Accept: application/vnd.ibm.collection+json" \
    -H "Authorization: $ACCESS_TOKEN" \
    -H "Content-Type: application/json" \
    -H "Bluemix-Instance: $INSTANCE_ID" \
    -d '{
        "expiration": 1200,
        "maxAllowedRetrievals": 1
      }' > createImportTokenResponse.json
```
  Sie können eine Richtlinie für das Importtoken angeben, die die Verwendung des Tokens nach Zeitraum und Nutzungszahl einschränkt. In diesem Beispiel legen Sie den Ablaufzeitraum für das Importtoken auf 1200 Sekunden (20 Minuten) fest und lassen nur einen Abruf dieses Tokens innerhalb des Ablaufzeitraums zu.
- Befehlszeilenschnittstelle von IBM Key Protect
```
ibmcloud kp import-token create --instance-id $INSTANCE_ID --max-retrievals=1 --expiration=1200 -o json > createImportTokenResponse.json
```
Zeigen Sie Details für das Importtoken an.
```
jq '.' createImportTokenResponse.json
```
Die Ausgabe enthält die Metadaten, die Ihrem Importtoken zugeordnet sind, wie z. B. das Erstellungsdatum und Richtliniendetails. Der folgende Ausschnitt zeigt eine Beispielausgabe.
```
{
  "creationDate": "2020-06-08T16:58:29Z",
  "expirationDate": "2020-06-08T17:18:29Z",
  "maxAllowedRetrievals": 1,
  "remainingRetrievals": 1
}
```

Importtoken abrufen

In den vorherigen Schritten haben Sie ein Importtoken erstellt und die Metadaten geprüft, die dem Token zugeordnet sind.

In diesem Schritt werden der öffentliche Schlüssel und der Nonce-Wert abgerufen, die dem Importtoken zugeordnet sind. Sie benötigen den öffentlichen Schlüssel, um Daten in einem späteren Schritt zu verschlüsseln, und den Nonce-Wert, um Ihre Anforderung für den sicheren Import in den Hyper Protect Crypto Services-Service zu verifizieren.

Gehen Sie wie folgt vor, um den Inhalt des Importtokens abzurufen:

Rufen Sie das Importtoken, das Sie im vorherigen Schritt generiert haben, ab und speichern Sie die Antwort in einer JSON-Datei.

API verwenden

curl -X GET $HPCS_API_URL/api/v2/import_token \
    -H "Accept: application/vnd.ibm.collection+json" \
    -H "Authorization: $ACCESS_TOKEN" \
    -H "Bluemix-Instance: $INSTANCE_ID" > getImportTokenResponse.json

Befehlszeilenschnittstelle von IBM Key Protect

ibmcloud kp import-token show -o json > getImportTokenResponse.json

Optional: Untersuchen Sie den Inhalt des Importtokens.
```
jq '.' getImportTokenResponse.json
```
Die Ausgabe zeigt detaillierte Informationen zu dem Importtoken an. Der folgende Ausschnitt zeigt eine Beispielausgabe mit abgeschnittenen Werten.
```
{
  "creationDate": "2020-06-08T16:58:29Z",
  "expirationDate": "2020-06-08T17:18:29Z",
  "maxAllowedRetrievals": 1,
  "remainingRetrievals": 0,
  "payload": "MIICIjANBgkqhkiG...",
  "nonce": "8zJE9pKVdXVe/nLb"
}
```
Der Nutzdatenwert payload stellt den öffentlichen Schlüssel dar, der dem Importtoken zugeordnet ist. Dieser Wert liegt in Base64-Codierung vor. Im Hinblick auf zusätzliche Sicherheit wird von Hyper Protect Crypto Services ein Wert nonce bereitgestellt, mit dem die Ursprünglichkeit einer Anforderung an den Service überprüft wird. Sie müssen diesen Wert verschlüsseln und angeben, wenn Sie Ihren Verschlüsselungsschlüssel importieren.
Decodieren und speichern Sie den öffentlichen Schlüssel in einer Datei namens PublicKey.pem und extrahieren Sie Werte in Variablen, die später verwendet werden sollen.
```
jq -r '.payload' getImportTokenResponse.json | openssl enc -base64 -A -d -out PublicKey.pem
```
```
HPCS_PUBKEY="$(jq -r '.payload' getImportTokenResponse.json)"
NONCE="$(jq -r '.nonce' getImportTokenResponse.json)"
```
Der öffentliche Schlüssel wurde nun auf Ihre Workstation im PEM-Format heruntergeladen. Fahren Sie mit dem nächsten Schritt fort.

Verschlüsselungsschlüssel erstellen

Mit Hyper Protect Crypto Services können Sie die Sicherheitsvorteile von KYOK (Keep Your Own Key) aktivieren, indem Sie eigene Verschlüsselungsschlüssel zur Verwendung in IBM Cloud erstellen und hochladen.

Im folgenden Schritt erstellen Sie einen symmetrischen 256-Bit-AES-Schlüssel auf Ihrer lokalen Workstation.

In diesem Lernprogramm wird das OpenSSL-Verschlüsselungstoolkit verwendet, um einen Pseudozufallsschlüssel zu generieren. Sie können jedoch auch andere Optionen erkunden, mit denen stärkere Schlüssel entsprechend Ihrer Sicherheitsanforderungen generiert werden können. Sie könnten zum Beispiel das interne Schlüsselmanagementsystem Ihrer Organisation, das durch ein lokales Hardwaresicherheitsmodul (HSM) gestützt wird, verwenden, um Schlüssel zu erstellen und zu exportieren.

Wenn Sie einen symmetrischen 256-Bit-AES-Schlüssel erstellen möchten, führen Sie in der Befehlszeile den folgenden openssl-Befehl aus:

openssl rand 32 > PlainTextKey.bin

Sie können diesen Schritt überspringen, wenn Sie in diesem Lernprogramm einen eigenen Schlüssel verwenden.

Erfolgreich! Ihr Verschlüsselungsschlüssel ist jetzt in einer Datei mit dem Namen PlainTextKey.bin gespeichert. Fahren Sie mit dem nächsten Schritt fort.

Verschlüsselungsschlüssel als Umgebungsvariable festlegen

Wenn Sie den Schlüssel gemäß Schritt 3 erstellen, führen Sie den folgenden Befehl aus, um den Schlüssel zu codieren und den codierten Wert als Umgebungsvariable festzulegen. Sie können diesen Schritt überspringen, wenn Sie in diesem Lernprogramm Ihren eigenen Schlüssel verwenden:

KEY_MATERIAL=$(openssl enc -base64 -A -in PlainTextKey.bin)

Nonce mit Verschlüsselungsschlüssel verschlüsseln

Für zusätzliche Sicherheit erfordert Hyper Protect Crypto Services die Nonce-Verifizierung, wenn Sie einen Chiffrierschlüssel in den Service importieren.

In der Kryptografie dient eine Nonce als Sitzungstoken, an dem die Ursprünglichkeit einer Anforderung geprüft wird, um einen Schutz gegen böswillige Angriffe und unberechtigte Aufrufe einzurichten. Durch Verwendung desselben Nonce-Werts, der von Hyper Protect Crypto Services verteilt wurde, können Sie dabei helfen, sicherzustellen, dass Ihre Anforderung zum Hochladen eines Schlüssels gültig ist. Der Nonce-Wert muss mit demselben Schlüssel verschlüsselt werden, den Sie auch in den Service importieren wollen.

Gehen Sie wie folgt vor, um den Nonce-Wert zu verschlüsseln:

Wenn Sie die API verwenden wollen, führen Sie die nachfolgenden Schritte zu folgenden Zwecken aus:

Sie brauchen diesen Schritt nicht auszuführen, wenn Sie die IBM Key Protect-CLI verwenden wollen.
1. Laden Sie die kms-encrypt-nonce Binärdatei herunter, die mit Ihrem Betriebssystem kompatibel ist. Extrahieren Sie die Datei und verschieben Sie die Binärdatei in das Verzeichnis hs-crypto-test.
  
  Die Binärdatei enthält ein Script, mit dem Sie die AES-CBC-Verschlüsselung für den Nonce-Wert ausführen können, indem Sie den in Schritt 2generierten Schlüssel verwenden. Wenn Sie mehr über das Script erfahren möchten, checken Sie die Quellendatei auf GitHubaus.
2. Wenn Sie Linuxverwenden, markieren Sie die Datei mit dem folgenden chmod-Befehl als ausführbare Datei. Wenn Sie Windows verwenden, können Sie diesen Schritt überspringen.
```
chmod +x ./kms-encrypt-nonce
```
3. Führen Sie das Script aus, um den Nonce-Wert mit dem Schlüssel zu verschlüsseln, den Sie in Schritt 2 generiert haben.

Speichern Sie die verschlüsselte Nonce in einer Datei namens EncryptedValues.json.

API verwenden

./kms-encrypt-nonce -key $KEY_MATERIAL -nonce $NONCE -alg "CBC" > EncryptedValues.json

Befehlszeilenschnittstelle von IBM Key Protect

ibmcloud kp import-token nonce-encrypt --key "$KEY_MATERIAL" --nonce "$NONCE" --cbc -o json > EncryptedValues.json

Optional: Untersuchen Sie den Inhalt der JSON-Datei.
```
jq '.' EncryptedValues.json
```
Die Ausgabe zeigt die Werte an, die Sie für den nächsten Schritt angeben müssen. Der folgende Ausschnitt zeigt eine Beispielausgabe mit abgeschnittenen Werten.
```
{
  "encryptedNonce": "DVy/Dbk37X8gSVwRA5U6vrHdWQy8T2ej+riIVw==",
  "iv": "puQrzDX7gU1TcTTx"
}
```
Der Wert encryptedNonce stellt den ursprünglichen Nonce dar, der durch den Schlüssel eingeschlossen (oder verschlüsselt) wird, den Sie mit OpenSSL generiert haben. Der Wert iv ist der Initialisierungsvektor (IV), der durch den AES-CBC-Algorithmus erstellt wird und der später benötigt wird, damit der Nonce-Wert von Hyper Protect Crypto Services erfolgreich entschlüsselt werden kann.

Erstellten Verschlüsselungsschlüssel verschlüsseln

Verwenden Sie anschließend den öffentlichen Schlüssel, der von Hyper Protect Crypto Services in Schritt 2 verteilt wurde, um den Verschlüsselungsschlüssel zu verschlüsseln, den Sie mit OpenSSL erstellt haben.

Verschlüsseln Sie den erstellten Verschlüsselungsschlüssel mit der API und ordnen Sie den Schlüssel der Umgebungsvariablen zu:
```
openssl pkeyutl \
  -encrypt \
  -pubin \
  -keyform PEM \
  -inkey PublicKey.pem \
  -pkeyopt rsa_padding_mode:oaep \
  -pkeyopt rsa_oaep_md:sha1 \
  -in PlainTextKey.bin \
  -out EncryptedKey.bin
```
```
ENCRYPTED_KEY=$(openssl enc -base64 -A -in EncryptedKey.bin)
```
Wenn ein Fehler in Bezug auf Parametereinstellungen bei der Ausführung des openssl-Befehls unter Mac OSX auftritt, müssen Sie möglicherweise sicherstellen, dass OpenSSL für Ihre Umgebung ordnungsgemäß konfiguriert ist. Wenn Sie OpenSSL mithilfe von Homebrew installiert haben, führen Sie den Befehl brew update und anschließend den Befehl brew install openssl aus, um die neueste Version abzurufen. Führen Sie dann den Befehl export PATH="/usr/local/opt/openssl/bin:$PATH"' >> ~/.bash_profile aus, um das Paket symbolisch zu verbinden. Führen Sie über die Befehlszeile den Befehl which openssl && openssl version aus, um zu überprüfen, ob die neueste Version von OpenSSL an der Position /usr/local/ verfügbar ist. Wenn weiterhin Fehler auftreten, stellen Sie sicher, dass Sie nur die Parameter verwenden, die in diesem Beispiel aufgeführt werden.
Verschlüsseln Sie den erstellten Verschlüsselungsschlüssel mit der IBM Key Protect-CLI:
```
ibmcloud kp import-token key-encrypt -k "$KEY_MATERIAL" -p "$HPCS_PUBKEY" --hash SHA1 -o json > EncryptedKey.json
ENCRYPTED_KEY=$(jq -r '.encryptedKey' EncryptedKey.json)
```
Erfolgreich! Jetzt ist alles bereit, um den verschlüsselten Schlüssel in Hyper Protect Crypto Services hochzuladen. Fahren Sie mit dem nächsten Schritt fort.

Verschlüsselten Schlüssel importieren

Sie können den verschlüsselten Schlüssel nun mithilfe der API des Schlüsselmanagementservice importieren.

Gehen Sie wie folgt vor, um den verschlüsselten Schlüssel zu importieren:

Erfassen Sie den verschlüsselten Nonce-Wert und den verschlüsselten Wert des Initialisierungsvektors (IV).

ENCRYPTED_NONCE=$(jq -r '.encryptedNonce' EncryptedValues.json)

IV=$(jq -r '.iv' EncryptedValues.json)

Speichern Sie den verschlüsselten Schlüssel in Ihrer Hyper Protect Crypto Services-Serviceinstanz.
- API verwenden
```
curl -X POST  $HPCS_API_URL/api/v2/keys \
    -H "Accept: application/vnd.ibm.collection+json" \
    -H "Authorization: $ACCESS_TOKEN" \
    -H "Content-Type: application/json" \
    -H "Bluemix-Instance: $INSTANCE_ID" \
    -d '{
      "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
      },
      "resources": [
      {
        "name": "encrypted-root-key",
        "type": "application/vnd.ibm.kms.key+json",
        "payload": "'"$ENCRYPTED_KEY"'",
        "extractable": false,
        "encryptionAlgorithm": "RSAES_OAEP_SHA_1",
        "encryptedNonce": "'"$ENCRYPTED_NONCE"'",
        "iv": "'"$IV"'"
      }
    ]
  }' > createRootKeyResponse.json
```
  Geben Sie im Anforderungshauptteil den Verschlüsselungsschlüssel an, den Sie im vorherigen Schritt vorbereitet haben. Sie können auch den verschlüsselten Nonce-Wert und den verschlüsselten IV-Wert angeben, die zur Überprüfung der Anforderung erforderlich sind. Und schließlich gibt der Wert extractable für false an, dass Ihr neuer Schlüssel als Rootschlüssel im Service vorgesehen wird, den Sie zur Envelope-Verschlüsselung verwenden können.
  
  Wenn die API-Anforderung mit dem Fehler fehlschlägt, dass das Importtoken abgelaufen ist, kehren Sie zu Schritt 1 zurück, um ein neues Importtoken zu erstellen. Beachten Sie, dass Importtokens und die zugeordneten öffentlichen Schlüssel nach Maßgabe der Richtlinie ablaufen, die Sie bei der Erstellung angeben.
- Befehlszeilenschnittstelle von IBM Key Protect
```
ibmcloud kp key create new-imported-key --key-material "$ENCRYPTED_KEY" --encrypted-nonce "$ENCRYPTED_NONCE" --iv "$IV" --sha1 -o json > createRootKeyResponse.json
```
  Im Hintergrund empfangen Hyper Protect Crypto Services Ihr verschlüsseltes Paket über eine TLS 1.2-Verbindung. Innerhalb eines Hardwaresicherheitsmoduls verwendet das System den privaten Schlüssel, um den symmetrischen Schlüssel zu entschlüsseln. Das System verwendet schließlich diesen symmetrischen Schlüssel und den IV-Wert, um den Nonce-Wert zu entschlüsseln und die Anforderung zu überprüfen. Ihr Schlüssel ist jetzt in einem manipulationssicheren, mit FIPS 140-2 Stufe 4 validierten Hardwaresicherheitsmodul gespeichert.
Details für den Schlüssel anzeigen.
```
jq '.' createRootKeyResponse.json
```
Der folgende Ausschnitt zeigt eine Beispielausgabe.
```
{
  "metadata": {
    "collectionType": "application/vnd.ibm.kms.key+json",
    "collectionTotal": 1
  },
  "resources": [
    {
      "id": "644cba65-e240-471f-8b84-14115447d2ae",
      "type": "application/vnd.ibm.kms.key+json",
      "name": "encrypted-root-key",
      "state": 1,
      "crn": "crn:v1:bluemix:public:hs-crypto:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:346d9f67-4bb2-481e-a3e1-3c2c646aa886:key:644cba65-e240-471f-8b84-14115447d2ae",
      "extractable": false,
      "imported": true
    }
  ]
}
```
- Der Wert id ist eine eindeutige Kennung, die Ihrem Schlüssel zugeordnet ist und für nachfolgende Aufrufe der API des Schlüsselmanagementservice verwendet wird.
- Der Wert 1 für state gibt an, dass sich Ihr Schlüssel jetzt im aktiven Schlüsselstatus befindet.
- Der Wert für crn gibt den vollständigen, bereichsorientierten Pfad zu dem Schlüssel an, der angibt, wo sich die Ressource in IBM Cloud befindet.
- Und schließlich beschreiben die Werte für extractable und imported diese Ressource als Rootschlüssel, den Sie in den Service importiert haben. Wenn Sie das Attribut extractable auf true setzen, legt der Service den Schlüssel als Standardschlüssel fest, den Sie in Ihren Apps oder Services speichern können. Andernfalls legt der Service den Schlüssel als Rootschlüssel fest, wenn Sie das Attribut extractable auf false setzen.
Optional: Navigieren Sie zum Hyper Protect Crypto Services-Dashboard, um Ihren Schlüssel anzuzeigen und zu verwalten.

Sie können die allgemeinen Merkmale Ihrer Schlüssel über die Seite für Anwendungsdetails untersuchen. Treffen Sie Ihre Auswahl in einer Liste von Optionen zur Verwaltung des Schlüssels aus, wie zum Beispiel Schlüssel wechseln oder Schlüssel löschen.

Bereinigen

Erfassen Sie die ID für den Verschlüsselungsschlüssel, den Sie im vorherigen Schritt importiert haben.
```
ROOT_KEY_ID=$(jq -r '.resources[].id' createRootKeyResponse.json)
```

Entfernen Sie den Verschlüsselungsschlüssel aus Ihrer Hyper Protect Crypto Services-Serviceinstanz.

API verwenden

curl -X DELETE $HPCS_API_URL/api/v2/keys/$ROOT_KEY_ID \
  -H "Accept: application/vnd.ibm.collection+json" \
  -H "Authorization: $ACCESS_TOKEN" \
  -H "Bluemix-Instance: $INSTANCE_ID" | jq .

Befehlszeilenschnittstelle von IBM Key Protect
```
ibmcloud kp key delete {ROOT_KEY_ID}
```

Entfernen Sie alle lokalen Dateien, die diesem Lernprogramm zugeordnet sind.
```
rm kms-encrypt-nonce *.json *.bin *.pem
```
Löschen Sie das Testverzeichnis, das Sie für dieses Lernprogramm erstellt haben.
```
cd .. && rm -r hs-crypto-test
```
Optional: Entfernen Sie Ihre Hyper Protect Crypto Services-Serviceinstanz.
```
ibmcloud resource service-instance-delete import-keys-demo
```
Wenn Sie mehrere Testschlüssel in Ihrer Serviceinstanz erstellt haben, stellen Sie sicher, dass Sie alle Verschlüsselungsschlüssel aus Ihrer Serviceinstanz entfernen, bevor Sie die Bereitstellung der Instanz löschen.

Nächste Schritte

In diesem Lernprogramm haben Sie gelernt, wie Sie die API des Hyper Protect Crypto Services-Schlüsselmanagementservice einrichten, einen Chiffrierschlüssel erstellen und einen verschlüsselten Schlüssel sicher in Ihre Hyper Protect Crypto Services-Serviceinstanz importieren.

Machen Sie sich mit der Verwendung des Rootschlüssels zum Schutz ruhender Daten vertraut.
Stellen Sie Ihren Rootschlüssel in unterstützten Cloud-Services bereit.
Weitere Informationen zur Schlüsselmanagementservice-API.