删除服务实例
您可以使用 UI 或 IBM Cloud CLI 删除 IBM Cloud® Hyper Protect Crypto Services 实例。 为此,您需要通过将加密单元清零,将服务实例的所有 加密单元A single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. 设置回 印记方式An operational mode in which crypto units are assigned to a user.。
准备工作
步骤 1: 删除密钥
要删除服务实例中的密钥,需要通过 UI 或 CLI 删除具有标准套餐的根密钥和具有 Unified Key Orchestrator 套餐的受管密钥。
从 UI-Standard 套餐中删除根密钥
您可以通过完成以下步骤从 UI 资源页面中删除 Hyper Protect Crypto Services 的根密钥:
- 登录 UI。
- 转至 菜单 > 资源列表 以查看资源列表。
- 从 IBM Cloud 资源列表,选择 Hyper Protect Crypto Services 的已供应实例。
- 在“KMS 密钥”页面上,使用 密钥 表来浏览服务中的密钥。
- 选择要删除的密钥,然后单击 操作 图标
以打开密钥的选项列表。 - 从选项菜单中,单击 删除密钥,输入密钥名称以确认要删除的密钥,然后单击 删除密钥。
从 UI 中删除受管密钥- Unified Key Orchestrator 套餐
您可以通过完成以下步骤从 UI 资源页面中删除 Hyper Protect Crypto Services Unified Key Orchestrator 的受管密钥:
- 登录到 Hyper Protect Crypto Services 实例。
- 从导航中单击 受管密钥 以查看所有可用密钥。
- 如果要删除的受管密钥处于“活动”状态,请单击“操作”图标 ,然后选择 取消激活 以首先取消激活该密钥。
- 要销毁预激活或取消激活的密钥,请单击“操作”图标 ,然后选择 已销毁。
- 单击 销毁密钥 以确认。
- 要从保险库中除去密钥和元数据,请单击“操作”图标 ,然后选择 从保险库中除去。
从 IBM Cloud CLI-标准套餐中删除根密钥
您可以通过运行以下命令从 IBM Cloud CLI 中删除 Hyper Protect Crypto Services 的根密钥:
ibmcloud kp key delete KEY_ID_OR_ALIAS
-i, --instance-id INSTANCE_ID
[--key-ring KEY_RING_ID]
[-f, --force]
[-o, --output OUTPUT]
- Key_ID_OR_ALIAS 是要删除的密钥的 v4 UUID 或别名。
- -i,-- instance-id 是您的 服务实例标识。
- 有关可选参数的更多信息,请参阅 Key Protect CLI 参考。
从 IBM Cloud CLI- Unified Key Orchestrator 计划中删除受管密钥
您可以通过运行以下命令从 IBM Cloud CLI 中删除 Hyper Protect Crypto Services 的受管密钥:
ibmcloud hpcs uko managed-key-delete --id ID --uko-vault UKO-VAULT --if-match IF-MATCH
- ID 是密钥的 UUID,您可以使用
ibmcloud hpcs uko managed-keys命令来检索密钥 UUID。 - UKO-VAULT 是保险库文件的 UUID,您可以使用
ibmcloud hpcs uko vaults命令来检索保险库文件 UUID。 - IF-MATCH 是 GET 请求的头中 ETag 的值,您可以使用
ibmcloud hpcs uko managed-key命令来检索 ETag。
步骤 2: 选择要删除的加密单元
-
要选择管理员以签署 TKE 命令,请使用以下命令:
ibmcloud tke sigkey-sel将显示在工作站上找到的签名密钥的列表。 提示时,输入签名密钥文件的密钥编号,以选择对将来的管理命令进行签名。 提示时,输入签名密钥文件的密码。
-
要在当前用户帐户下列出目标资源组中的加密单元数,请运行以下命令:
ibmcloud tke cryptounits -
检查要将其归零的加密单元是否标记为
true。 如果没有,请通过运行以下命令来添加加密单元:ibmcloud tke cryptounit-add此时将显示当前用户帐户下目标资源组中的加密单元的列表。 提示时,输入要将其归零到所选加密单元列表的加密单元号。
步骤 3: 对加密单元进行 Zeroize
如果初始化服务实例并将 主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. 装入到服务实例,那么需要通过以下步骤将加密单元设置回印记方式:
-
使用下列其中一个选项清除所有加密单元管理员和主密钥寄存器:
-
如果通过 IBM Cloud Trusted Key Entry (TKE) 命令行界面 (CLI) 插件初始化服务实例,请运行以下命令将 TKE CLI 插件中的加密单元归零:
ibmcloud tke cryptounit-zeroize -
如果通过“管理实用程序”初始化服务实例,请在 TKE 应用程序的用户界面中选择 印记方式 > Zeroize 加密单元。
-
-
要将加密单元归零,请输入提示时要使用的管理员签名密钥的密码。 确保在工作站或智能卡上正确保存签名密钥文件。 否则,您无法执行此操作。
将加密单元归零后,管理员 签名密钥An encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. 和主密钥将从加密单元中清除,这意味着您无法访问受主密钥保护的密钥。 无法访问与根密钥关联的任何资源。 但是,只要强制实施策略,您仍可能需要为资源 (例如 不可变 Object Storage) 付费。
步骤 4: 可选-卸载 Hyper Protect Crypto Services 实用程序
在删除服务实例之前,您可能首先要卸载与 Hyper Protect Crypto Services 相关联的实用程序。
卸载 TKE CLI 插件
如果通过从工作站装入主密钥部件来初始化服务实例,请使用以下命令卸载 TKE CLI 插件:
ibmcloud plugin uninstall tke
如果要卸载整个 IBM Cloud CLI,请参阅 卸载独立 IBM Cloud CLI。
卸载管理实用程序
如果通过从智能卡装入主密钥部件来初始化服务实例,请遵循以下步骤来卸载 Hyper Protect Crypto Services 管理实用程序。
-
Linux 操作系统
-
从命令行输入使用以下命令安装管理实用程序的目录:
cd <management_utilities_directory> -
使用以下命令输入
_installation子目录:cd _installation -
要卸载管理实用程序,请运行以下命令:
./uninstall
-
步骤 5: 删除服务实例
将加密单元设置为印记方式后,可以选择通过 UI 资源页面,实例详细信息页面或 CLI 来删除服务实例。
从 UI 资源页面中删除实例
您可以通过完成以下步骤从 UI 资源页面中删除 Hyper Protect Crypto Services 的实例:
- 在 UI 中,单击导航中的 资源列表。
- 在 服务 部分下找到要删除的 Hyper Protect Crypto Services 服务实例。
- 单击 操作 图标 以打开“操作”菜单。
- 单击删除。
从 UI 实例详细信息页面删除实例
您可以通过完成以下步骤从 UI 实例详细信息页面中删除 Hyper Protect Crypto Services 的实例:
- 在 UI 中,单击导航中的 资源列表。
- 在 服务 部分下找到要删除的 Hyper Protect Crypto Services 服务实例,然后单击实例名称以打开实例详细信息页面。
- 单击 操作 图标 以打开服务实例操作菜单。
- 单击删除服务。
从 IBM Cloud CLI 中删除实例
可以通过运行以下命令从 IBM Cloud CLI 删除 Hyper Protect Crypto Services 的实例:
ibmcloud resource service-instance-delete <instance_name|instance_ID>
将 instance_name 替换为实例名称,将 instance_ID 替换为 服务实例标识。 您可以使用实例名称或服务实例标识来运行该命令。