サービス・インスタンスの削除
UI または IBM Cloud CLI を使用して、 IBM Cloud® Hyper Protect Crypto Services インスタンスを削除できます。 これを行うには、暗号装置をゼロ化して、サービス・インスタンスのすべての 暗号装置A single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. を インプリント・モードAn operational mode in which crypto units are assigned to a user. に戻す必要があります。
開始前に
ステップ 1: 鍵の削除
サービス・インスタンス内の鍵を削除するには、標準プランを使用してルート鍵を削除し、UI または CLI を使用して Unified Key Orchestrator プランを使用して管理対象鍵を削除する必要があります。
UI からのルート鍵の削除-標準プラン
以下のステップを実行して、UI リソース・ページから Hyper Protect Crypto Services のルート鍵を削除できます。
- UI にログインします。
- 「メニュー」>**「リソース・リスト」**に移動し、リソースのリストを表示します。
- IBM Cloud リソース・リストで、Hyper Protect Crypto Services のプロビジョン済みインスタンスを選択します。
- **「KMS 鍵 (KMS keys)」ページで、「鍵」**テーブルを使用して、このサービスの鍵を参照します。
- 削除したいキーを選択し、アクション・アイコン
をクリックしてそのキーのオプションのリストを開きます。
- オプション・メニューから、**「鍵の削除 (Delete key)」をクリックし、削除する鍵を確認するために鍵名を入力してから、「鍵の削除 (Delete key)」**をクリックします。
UI からの管理対象鍵の削除- Unified Key Orchestrator プラン
以下のステップを実行して、UI リソース・ページから Hyper Protect Crypto Services Unified Key Orchestrator の管理対象鍵を削除できます。
- Hyper Protect Crypto Services インスタンスにログインします。
- ナビゲーションから**「マネージド・キー」**をクリックして、使用可能なすべてのキーを表示します。
- 削除する管理対象鍵がアクティブ状態の場合は、「アクション」アイコン
をクリックし、最初に 「非アクティブ化」 を選択して鍵を非アクティブ化します。
- 事前アクティブまたは非アクティブの鍵を破棄するには、「アクション」アイコン
をクリックし、 「破棄」 を選択します。
- **「キーの破棄」**をクリックして確認します。
- キーとそのメタデータをボールトから削除するには、アクション・アイコン
をクリックし、**「ボールトから削除」**を選択します。
IBM Cloud CLI からのルート鍵の削除-標準プラン
以下のコマンドを実行して、 IBM Cloud CLI から Hyper Protect Crypto Services のルート鍵を削除できます。
ibmcloud kp key delete KEY_ID_OR_ALIAS
-i, --instance-id INSTANCE_ID
[--key-ring KEY_RING_ID]
[-f, --force]
[-o, --output OUTPUT]
- Key_ID_OR_ALIAS は、削除しようとする鍵の v4 UUID または別名です。
- -i, -- instance-id は、 サービス・インスタンス ID です。
- オプション・パラメーターについて詳しくは、 Key Protect CLI リファレンス を参照してください。
IBM Cloud CLI からの管理対象鍵の削除- Unified Key Orchestrator プラン
以下のコマンドを実行して、 IBM Cloud CLI から Hyper Protect Crypto Services の管理対象鍵を削除できます。
ibmcloud hpcs uko managed-key-delete --id ID --uko-vault UKO-VAULT --if-match IF-MATCH
- ID は鍵の UUID です。
ibmcloud hpcs uko managed-keys
コマンドを使用して、鍵 UUID を取得できます。 - UC-VAULT はボールトの UUID であり、
ibmcloud hpcs uko vaults
コマンドを使用してボールト UUID を取得できます。 - IF-MATCH は、GET 要求のヘッダーにある ETag の値です。
ibmcloud hpcs uko managed-key
コマンドを使用して ETag を取得できます。
ステップ 2: 削除する暗号装置を選択する
-
TKE コマンドに署名する管理者を選択するには、以下のコマンドを使用します。
ibmcloud tke sigkey-sel
ワークステーションで検出された署名キーのリストが表示されます。プロンプトが出されたら、これ以降の管理コマンドに署名するために選択する署名キー・ファイルのキー番号を入力します。 プロンプトが出されたら、署名鍵ファイルのパスワードを入力します。
-
現行ユーザー・アカウントの下のターゲット・リソース・グループ内の暗号装置の数をリストするには、次のコマンドを実行します。
ibmcloud tke cryptounits
-
ゼロ化する暗号装置に
true
のマークが付いているかどうかを確認します。 そうでない場合は、以下のコマンドを実行して暗号装置を追加します。ibmcloud tke cryptounit-add
現在のユーザー・アカウントに属するターゲット・リソース・グループに含まれる暗号装置のリストが表示されます。 プロンプトが出されたら、選択した暗号装置リストにゼロ化する暗号装置番号を入力します。
ステップ 3: 暗号装置のゼロ化
サービス・インスタンスを初期化し、 マスター鍵An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. をサービス・インスタンスにロードする場合は、以下の手順で暗号装置をインプリント・モードに戻す必要があります。
-
以下のいずれかのオプションを使用して、すべての暗号装置管理者およびマスター鍵レジスターをクリアします。
-
IBM Cloud の Trusted Key Entry (TKE) コマンド・ライン・インターフェース (CLI) プラグインを使用してサービス・インスタンスを初期設定する場合は、TKE CLI プラグインで次のコマンドを実行して暗号装置をゼロ化します。
ibmcloud tke cryptounit-zeroize
-
管理ユーティリティーを使用してサービス・インスタンスを初期化する場合は、TKE アプリケーションのユーザー・インターフェースで**「インプリント・モード」>「暗号装置のゼロ化」**を選択します。
-
-
暗号装置をゼロ化するために、プロンプトが表示されたら、使用する管理者署名鍵のパスワードを入力します。 署名鍵ファイルがワークステーションまたはスマート・カードに正しく保存されていることを確認してください。 そうでないと、この操作は実行できません。
暗号装置をゼロ化すると、管理者 署名鍵An encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. とマスター鍵が暗号装置からクリアされます。これは、マスター鍵で保護されている鍵にアクセスできないことを意味します。 ルート鍵に関連付けられているリソースにはアクセスできません。 ただし、ポリシーが適用されている限り、 Immutable Object Storage などのリソースに対して課金される可能性があります。
ステップ 4: オプション- Hyper Protect Crypto Services ユーティリティーをアンインストールする
サービス・インスタンスを削除する前に、Hyper Protect Crypto Services に関連付けられているユーティリティーをアンインストールしておくことをお勧めします。
TKE CLI プラグインのアンインストール
ワークステーションからマスター鍵パーツをロードしてサービス・インスタンスを初期設定した場合は、以下のコマンドを使用して TKE CLI プラグインをアンインストールします。
ibmcloud plugin uninstall tke
IBM Cloud CLI 全体をアンインストールする場合は、スタンドアロン IBM Cloud のアンインストールを参照してください。
管理ユーティリティーのアンインストール
スマート・カードからマスター鍵パーツをロードしてサービス・インスタンスを初期設定した場合は、以下の手順に従って Hyper Protect Crypto Services 管理ユーティリティーをアンインストールします。
-
Linux オペレーティング・システム
-
コマンド・ラインで、以下のコマンドを使用して、管理ユーティリティーがインストールされているディレクトリーに入ります。
cd <management_utilities_directory>
-
以下のコマンドを使用して、
_installation
サブディレクトリーを入力します。cd _installation
-
管理ユーティリティーをアンインストールするために、次のコマンドを実行します。
./uninstall
-
ステップ 5: サービス・インスタンスを削除する
暗号装置をインプリント・モードに設定した後、UI リソース・ページ、インスタンス詳細ページ、または CLI を使用してサービス・インスタンスを削除することを選択できます。
UI リソース・ページからのインスタンスの削除
以下のステップを実行して、UI リソース・ページから Hyper Protect Crypto Services のインスタンスを削除できます。
- UI で、ナビゲーションから 「リソース・リスト」 をクリックします。
- **「サービス」**セクションで、削除する Hyper Protect Crypto Services サービス・インスタンスを見つけます。
- アクション・アイコン
をクリックして、アクション・メニューを開きます。
- **「削除」**をクリックします。
UI インスタンスの詳細ページからのインスタンスの削除
以下のステップを実行して、UI インスタンスの詳細ページから Hyper Protect Crypto Services のインスタンスを削除できます。
- UI で、ナビゲーションから 「リソース・リスト」 をクリックします。
- **「サービス」**セクションで、削除する Hyper Protect Crypto Services サービス・インスタンスを見つけ、インスタンス名をクリックしてインスタンスの詳細ページを開きます。
- アクション・アイコン
をクリックして、サービス・インスタンス・アクション・メニューを開きます。
- **「サービスの削除」**をクリックします。
IBM Cloud CLI からのインスタンスの削除
Hyper Protect Crypto Services CLI から IBM Cloud のインスタンスを削除するには、以下のコマンドを実行します。
ibmcloud resource service-instance-delete <instance_name|instance_ID>
instance_name はインスタンス名に置き換え、instance_ID はサービス・インスタンス ID に置き換えてください。 このコマンドは、インスタンス名またはサービス・インスタンス ID のどちらでも実行できます。