IBM Cloud Docs
Supresión de instancias de servicio

Supresión de instancias de servicio

Puede suprimir la instancia de IBM Cloud® Hyper Protect Crypto Services con la interfaz de usuario o la CLI de IBM Cloud. Para ello, debe volver a establecer todas las unidades criptográficasA single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. de la instancia de servicio en la modalidad de impresiónAn operational mode in which crypto units are assigned to a user. mediante la puesta a cero de las unidades criptográficas.

Antes de empezar

  1. Siga estas instrucciones para establecer la variable de entorno CLOUDTKEFILES en la estación de trabajo para especificar el directorio donde ha guardado los archivos de partes de clave maestra y los archivos de claves de firma que ha creado al inicializar la instancia de servicio.
  2. Inicie sesión en IBM Cloud también siguiendo estas instrucciones.

Paso 1: Suprimir claves

Para suprimir claves en la instancia de servicio, debe suprimir las claves raíz con el plan estándar y las claves gestionadas con el plan Unified Key Orchestrator a través de la interfaz de usuario o la CLI.

Supresión de claves raíz de la interfaz de usuario-Plan estándar

Puede suprimir las claves raíz de Hyper Protect Crypto Services de la página de recursos de la interfaz de usuario realizando los pasos siguientes:

  1. Inicie sesión en la interfaz de usuario.
  2. Vaya a Menú > Lista de recursos para ver una lista de sus recursos.
  3. Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Hyper Protect Crypto Services.
  4. En la página Claves KMS, utilice la tabla Claves para explorar las claves de su servicio.
  5. Seleccione la clave que desea suprimir y pulse el icono Acciones Icono Acciones para abrir una lista de opciones para la clave.
  6. En el menú de opciones, pulse Suprimir clave, especifique el nombre de clave para confirmar la clave que se va a suprimir y pulse Suprimir clave.

Supresión de claves gestionadas desde la interfaz de usuario-Plan Unified Key Orchestrator

Puede suprimir las claves gestionadas de Hyper Protect Crypto Services Unified Key Orchestrator de la página de recursos de la interfaz de usuario realizando los pasos siguientes:

  1. Inicie sesión en la instancia de Hyper Protect Crypto Services.
  2. Pulse Claves gestionadas en la navegación para ver todas las claves disponibles.
  3. Si la clave gestionada que desea suprimir está en estado Activo, pulse el icono Acciones icono Acciones y elija Desactivado para desactivar primero la clave.
  4. Para destruir una tecla Preactiva o Desactivada, pulse el icono Acciones icono Acciones y elija Destruido.
  5. Pulse Destruir clave para confirmar.
  6. Para eliminar la clave y los metadatos de la caja fuerte, pulse el icono Acciones Icono Acciones y seleccione Eliminar de la caja fuerte.

Supresión de claves raíz de la CLI de IBM Cloud-Plan estándar

Puede suprimir las claves raíz de Hyper Protect Crypto Services desde la CLI de IBM Cloud ejecutando el mandato siguiente:

ibmcloud kp key delete KEY_ID_OR_ALIAS
        -i, --instance-id INSTANCE_ID
    [--key-ring          KEY_RING_ID]
    [-f, --force]
    [-o, --output      OUTPUT]

Supresión de claves gestionadas desde la CLI de IBM Cloud-Plan Unified Key Orchestrator

Puede suprimir las claves gestionadas de Hyper Protect Crypto Services desde la CLI IBM Cloud ejecutando el mandato siguiente:

ibmcloud hpcs uko managed-key-delete --id ID --uko-vault UKO-VAULT --if-match IF-MATCH
  • ID es el UUID de la clave, que puede utilizar el mandato ibmcloud hpcs uko managed-keys para recuperar el UUID de clave.
  • UKO-VAULT es el UUID de la caja fuerte, que puede utilizar el mandato ibmcloud hpcs uko vaults para recuperar el UUID de la caja fuerte.
  • IF-MATCH es el valor del ETag de la cabecera en una solicitud GET, que puede utilizar el mandato ibmcloud hpcs uko managed-key para recuperar el ETag.

Paso 2: Seleccionar las unidades criptográficas que se van a suprimir

  1. Para seleccionar los administradores para firmar mandatos TKE, utilice el mandato siguiente:

    ibmcloud tke sigkey-sel

    Aparecerá una lista de las claves de firma que se encuentran en la estación de trabajo.Cuando se le solicite, especifique los números de clave de los archivos de claves de firma que se deben seleccionar para firmar futuros mandatos administrativos. Cuando se le solicite, escriba las contraseñas para los archivos de claves de firma.

  2. Para listar los números de unidades criptográficas en el grupo de recursos de destino bajo la cuenta de usuario actual, ejecute el mandato siguiente:

    ibmcloud tke cryptounits

  3. Compruebe si las unidades criptográficas que desea poner a cero están marcadas como true. Si no es así, añada las unidades criptográficas ejecutando el mandato siguiente:

    ibmcloud tke cryptounit-add

    Se muestra una lista de las unidades criptográficas en el grupo de recursos de destino bajo la cuenta de usuario actual. Cuando se le solicite, especifique los números de unidad criptográfica que se van a poner a cero en la lista de unidades criptográficas seleccionada.

Paso 3: Zeroize crypto units

Si inicializa la instancia de servicio y carga la clave maestraAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. en la instancia de servicio, debe volver a establecer las unidades criptográficas en modalidad de impresión con los pasos siguientes:

  1. Borre todos los administradores de unidad criptográfica y la clave maestra se registra con una de las opciones siguientes:

    • Si inicializa la instancia de servicio mediante el plugin de la interfaz de línea de mandatos (CLI) TKE (Trusted Key Entry) de IBM Cloud, ejecute el mandato siguiente para poner a cero las unidades criptográficas del plugin TKE CLI:

      ibmcloud tke cryptounit-zeroize

    • Si inicializa la instancia de servicio a través de los Programas de utilidad de gestión, en la interfaz de usuario de la aplicación TKE, seleccione Modalidad de impresión > Poner a cero las unidades criptográficas.

  2. Para poner a cero las unidades criptográficas, especifique la contraseña para la clave de firma de administrador que se ha de utilizar cuando se le solicite. Asegúrese de que los archivos de claves de firma se guarden correctamente en la estación de trabajo o en las tarjetas inteligentes. De lo contrario, no podrá realizar esta acción.

Después de poner a cero la unidad criptográfica, las claves de firmaAn encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. del administrador y la clave maestra se borran de la unidad criptográfica, lo que significa que no puede acceder a las claves protegidas por la clave maestra. No se puede acceder a los recursos asociados con las claves raíz. Sin embargo, es posible que se le siga cargando por los recursos, como por ejemplo Immutable Object Storage, siempre que se aplique la política.

Paso 4: Opcional-Desinstale los programas de utilidad Hyper Protect Crypto Services

Antes de suprimir la instancia de servicio, es posible que desee desinstalar primero los programas de utilidad que están asociados con Hyper Protect Crypto Services.

Desinstalar el plugin de CLI TKE

Si inicializa la instancia de servicio cargando componentes de clave maestra desde la estación de trabajo, desinstale el plugin de CLI TKE con el mandato siguiente:

ibmcloud plugin uninstall tke

Si desea desinstalar la CLI de IBM Cloud completa, consulte Desinstalación de la CLI de IBM Cloud autónoma.

Desinstalación de programas de utilidad de gestión

Si inicializa la instancia de servicio cargando componentes de clave maestra desde tarjetas inteligentes, siga estos pasos para desinstalar los programas de utilidad de gestión de Hyper Protect Crypto Services.

  • Sistema operativo Linux

    1. Desde la línea de mandatos, escriba el directorio en el que se han instalado los programas de utilidad de gestión con el siguiente mandato:

      cd <management_utilities_directory>

    2. Especifique el subdirectorio _installation con el mandato siguiente:

      cd _installation

    3. Para desinstalar los programas de utilidad de gestión, ejecute el siguiente mandato:

      ./uninstall

Paso 5: Suprimir la instancia de servicio

Después de establecer las unidades criptográficas en modalidad de impresión, puede optar por suprimir la instancia de servicio a través de la página de recursos de la interfaz de usuario, la página de detalles de la instancia o la CLI.

Supresión de instancias de la página de recursos de interfaz de usuario

Puede suprimir una instancia de Hyper Protect Crypto Services de la página de recursos de la interfaz de usuario realizando los pasos siguientes:

  1. En la interfaz de usuario, pulse Lista de recursos en la navegación.
  2. Busque la instancia de servicio de Hyper Protect Crypto Services que desea suprimir bajo la sección Servicios.
  3. Pulse el icono Acciones Icono Acciones para abrir el menú de acciones.
  4. Pulse Suprimir.

Supresión de instancias de la página de detalles de instancia de interfaz de usuario

Puede suprimir una instancia de Hyper Protect Crypto Services de la página de detalles de instancia de interfaz de usuario realizando los pasos siguientes:

  1. En la interfaz de usuario, pulse Lista de recursos en la navegación.
  2. Busque la instancia de servicio de Hyper Protect Crypto Services que desea suprimir bajo la sección Servicios y pulse el nombre de instancia para abrir la página de detalles de instancia.
  3. Pulse el icono Acciones Icono Acciones para abrir el menú de acciones de la instancia de servicio.
  4. Pulse Suprimir servicio.

Supresión de instancias de la CLI de IBM Cloud

Puede suprimir una instancia de Hyper Protect Crypto Services desde la CLI de IBM Cloud ejecutando el mandato siguiente:

ibmcloud resource service-instance-delete <instance_name|instance_ID>

Sustituya nombre_instancia por el nombre de instancia e ID_instancia con su ID de instancia de servicio. Puede utilizar el nombre de instancia o el ID de instancia de servicio para ejecutar el mandato.