Verwendung des Interoperabilitätsprotokolls für die Schlüsselverwaltung (KMIP)

Um die Verwendung von IBM® Key Protect for IBM Cloud®-Schlüsseln zur Erstellung von KMIP-Adaptern (Key Management Interoperability Protocol) zur Verwendung mit VMWare zu erleichtern, bietet Key Protect bietet jetzt direkt die Möglichkeit, Adapter zu erstellen und Zertifikate über die Key Protect-Kontrollebene (UI) hochzuladen.

Diese Lösungsarchitektur beschreibt die Key Protect Native KMIP-Support-Architektur zum Schutz Ihrer VMware®-Instanzen. Zum Schutz Ihrer VMware-Workloads stehen zahlreiche Speicherverschlüsselungsoptionen zur Verfügung. Key Protect Native KMIP-Unterstützung arbeitet mit VMware nativer vSphere-Verschlüsselung und vSAN™-Verschlüsselung zusammen. Die vSphere und vSAN Verschlüsselung bietet eine vereinfachte Verwaltung der Speicherverschlüsselung zusammen mit der Sicherheit und Flexibilität der IBM Cloud® Key Protect kundenverwalteten Schlüssel.

Diese Lösung ist eine Alternative zu der KMIP für VMWare-Lösung, die auf IBM Cloud angeboten wird. Aus diesem Grund deckt dieses Dokument die vorhandene Konfiguration dieser Basislösungen in IBM Cloud nicht ab. Weitere Informationen zur Architektur der Basislösung finden Sie unter Übersicht über VMware-Lösungen.

Diese Funktion arbeitet parallel zu der aktuellen KMIP for VMWare-Lösung. Es ist derzeit nicht möglich, mit der VMWare-Lösung erstellte Adapter in Key Protect (oder umgekehrt) zu importieren.

Vorteile

Es gibt zwar viele Speicherverschlüsselungslösungen für Ihre VMware Workloads, aber die Key Protect Native KMIP-Unterstützung bietet folgende Vorteile:

Die KMIP-Unterstützung in Key Protect ist von VMWare zertifiziert und kann direkt in jeden Dienst oder jede Plattform integriert werden, die eine Verschlüsselung über einen KMIP-KMS-Server akzeptiert. Wo andere KMS' die Unterstützung von KMIP-Servern von Drittanbietern erfordern, wird die Unterstützung für KMIP von Key Protect integriert und verwaltet.
Integration in die vSAN-Verschlüsselung und vSphere-Verschlüsselung von VMware. Beide werden in der Hypervisorebene und nicht in der Ebene des Speichers oder der virtuellen Maschinen implementiert. Dieser Ansatz ermöglicht ein einfaches Management sowie Transparenz für Ihre Speicherlösung und Anwendung.
Ein vollständig verwalteter Schlüsselmanagementserver ist in vielen IBM Cloud-Regionen mit mehreren Zonen (MZRs) verfügbar.
Durch die Integration Ihres VMware-Clusters mit IBM Cloud Key Protect verfügen Sie über vollständig vom Kunden verwaltete Schlüssel, die Sie jederzeit widerrufen können.
Da die symmetrischen KMIP-Schlüssel nur als einzelne Schlüsselversion berechnet werden, zahlen Sie nur für das, was Sie nutzen.

Erstellen eines Adapters

Es können maximal 200 Adapter auf einer einzigen Instanz erstellt werden. Jedem Adapter können bis zu 200 Zertifikate zugeordnet werden.

KMIP-Adapter werden mit Key Protect-Root-Schlüsseln erstellt. Wenn Sie keinen Stammschlüssel haben, erstellen Sie einen.

So erstellen Sie einen Adapter:

Navigieren Sie über die linke Navigation zum Bereich KMIP-Adapter. Wenn dies Ihr erster Adapter ist, sollte die Tabelle leer sein. Beachten Sie, dass Sie entweder die Manager Rolle oder die KmipAdapterManager Rolle auf der Instanz haben müssen, um einen Adapter zu erstellen.
Suchen Sie die Schaltfläche Adapter erstellen und klicken Sie sie an.
Geben Sie dem Adapter in der offenen Seitenleiste einen Namen und optional eine Beschreibung. Beachten Sie, dass die Namen mindestens zwei und höchstens 40 Zeichen enthalten müssen. Wenn Sie eine Beschreibung angeben, muss diese mindestens zwei und darf höchstens 240 Zeichen umfassen. Danach können Sie den Root-Schlüssel auswählen, den Sie zur Erstellung dieses Adapters und zur Verschlüsselung der von ihm erstellten KMIP-Schlüssel verwenden möchten. Die Wahl eines Stammschlüssels ist obligatorisch. Beachten Sie, dass Ihr Root-Schlüssel in einem active Zustand sein muss, damit Ihr Adapter korrekt funktioniert.
Das Hinzufügen eines öffentlichen TLS-Zertifikats ermöglicht dem Inhaber des entsprechenden privaten Zertifikats die Kommunikation mit Key Protect über seinen zugehörigen KMIP-Adapter. Nur Zertifikate, die unter einem KMIP-Adapter autorisiert sind, dürfen KMIP-Protokollanforderungen an Ihre Instanz stellen. Beachten Sie, dass auf Ressourcen, die über das KMIP-Protokoll verwaltet werden, nicht über die HTTP-API zugegriffen werden kann.

Während der Erstellung des Adapters müssen Sie keine Zertifikate hinzufügen, aber wenn Sie wissen, welche Zertifikate Sie hinzufügen möchten, können Sie dies tun, indem Sie auf die Registerkarte Zertifikate hinzufügen (optional) im Panel klicken. Klicken Sie auf dem folgenden Bildschirm auf die Schaltfläche Zertifikat hochladen, geben Sie dem Zertifikat einen Namen und geben Sie den Inhalt des Zertifikats ein (das Material muss im PEM-Format vorliegen und die Tags BEGIN CERTIFICATE und END CERTIFICATE enthalten). Beachten Sie, dass es ein paar Minuten dauern kann, bis das Zertifikat zugeordnet wird. Außerdem kann ein Zertifikat nur mit einem einzigen Adapter in einer Key Protect-Region verbunden werden.

Bewahren Sie den privaten Schlüssel aller hochgeladenen Zertifikate sicher auf, da jedes Zertifikat, das in einen KMIP-Adapter hochgeladen wird, die Fähigkeit hat, alle unterstützten KMIP-Operationen durchzuführen.

Konfigurieren eines KMIP-Clients zur Kommunikation mit einem Adapter

Um mit Ihrem Adapter zu kommunizieren, müssen Sie entweder VMWare einrichten (das sich um die Kommunikation mit Ihrem Client kümmert, sobald Sie das von VMWare zur Verfügung gestellte Zertifikat damit verknüpft haben) oder einen KMIP-Client erstellt haben, der über TCP mit mTLS kommunizieren kann und Nachrichten unter Verwendung des TTLV-Nachrichtenformats sowie in den KMIP-Spezifikationen beschrieben senden kann.

Für VMWare vSphere, befolgen Sie die unter Hinzufügen eines Standard-Schlüsselanbieters mit dem vSphere Client beschriebenen Schritte. Wenn Sie einen Standard-Schlüsselanbieter hinzufügen, verwenden Sie den Key Protect Endpunkt, der für die Region Ihrer Instanz spezifisch ist. Für die Instanz Key Protect im Bereich us-south verwenden Sie beispielsweise us-south.kms.cloud.ibm.com als Adresse und 5696 als Port, was der Standard für den KMIP-Server ist.

Wie in Schritt 4 oben beschrieben, muss der vSphere-Client sein Client-Zertifikat in den Adapter hochladen, damit er mit dem KMIP-Adapter kommunizieren kann. Führen Sie die in der Anleitung Verwenden Sie die Zertifikatsoption, um eine vertrauenswürdige Standard-Schlüsselanbieterverbindung herzustellen beschriebenen Schritte aus, um das Client-Zertifikat herunterzuladen. Dieses Zertifikat kann in den Adapter hochgeladen werden.

Gewährung des Zugangs zu KMIP

Überprüfen Sie die Rollen und Berechtigungen auf Informationen zum Zuordnen der IBM Cloud IAM-Rollen zu Key Protect-Aktionen.

Die folgenden IAM-Aktionen regeln Ressourcen, die für die Verwaltung des Zugriffs auf KMIP-Ressourcen verwendet werden:

kms.kmip-management.create
kms.kmip-management.list
kms.kmip-management.read
kms.kmip-management.delete

Jede Aktion gewährt das genannte Verhalten allen kmip_adapter certificate und kmip_object Ressourcen in der Instanz, ohne Granularität.

Anzeigen und Aktualisieren von Adapterdetails

Das Adapter-Detail-Panel ermöglicht es Ihnen, mehr über einen Adapter zu erfahren (z.B. durch seine Beschreibung) und erlaubt Ihnen auch, Aktionen wie das Hinzufügen von Zertifikaten durchzuführen.

Zur Anzeige der Adapterdetails klicken Sie auf das Symbol ⋯. Hier werden alle Details des Adapters angezeigt. Hier sehen Sie seinen Namen, seine Beschreibung, alle mit dem Adapter verbundenen symmetrischen KMIP-Schlüssel und die Zertifikate, die auf den Adapter hochgeladen wurden. Hier können Sie auch weitere Zertifikate hochladen, wenn Sie dies wünschen.

Symmetrische KMIP-Schlüssel können nicht über die Benutzeroberfläche gelöscht werden. Um Schlüssel zu löschen, müssen Sie die CLI verwenden. Es können nur symmetrische KMIP-Schlüssel gelöscht werden, die sich in einem anderen Zustand als Active (Zustand 1) befinden. Ein Adapter kann nicht gelöscht werden, wenn er Schlüssel enthält, die sich im Zustand Active befinden.

Die Ressourcen jedes Adapters sind mit einem CRK geschützt. Sie können keinen CRK löschen, der aktiv und mit einem Adapter verbunden ist.

Jeder erstellte symmetrische KMIP-Schlüssel zählt als eine einzelne Schlüsselversion und verursacht eine Gebühr für eine Schlüsselversion. Wenn Sie einen symmetrischen KMIP-Schlüssel löschen möchten, können Sie dies nur über die API, die CLI oder das SDK tun. Sie können die Benutzeroberfläche nicht verwenden. Beachten Sie, dass die Löschung einer KMIP-Symmetrie dauerhaft ist.

Von KMIP unterstützte Objekte und Operationen

Siehe Result Reason in der KMIP Version 1.4 Dokumentation für die Gründe für erwartete Fehlschläge, wie z.B. eine Anfrage gegen eine nicht unterstützte Operation.

KMIP-unterstützte Operationen

Nur diese Vorgänge werden unterstützt.

| Vorgang | Zusammenfassung | | - | - | - | | 4.1 | Erstellen | Erstellt ein KMIP-Objekt | 4.11 | Get | Abrufen von Objektinformationen, insbesondere des Schlüsselmaterials. | 4.12 | Get Attributes | Abrufen von Attribut-Metadaten über das Objekt. | 4.14 | Attribut hinzufügen | Attribut-Metadaten zum Objekt hinzufügen. | 4.19 | Aktivieren | Versetzt das Objekt in den Zustand "Aktiv". Das Objekt darf nicht zerstört werden, solange der Zustand aktiv ist. | 4.20 | Revoke | Versetzt das Objekt in den Zustand "Compromised", wenn der angegebene Sperrgrund "Key Compromise" oder "CA Compromise" lautet. Andernfalls wird das Objekt in den Zustand "Deaktiviert" versetzt. | 4.21 | Zerstören | Zerstört das Schlüsselmaterial des Objekts. Diese Aktion kann nicht rückgängig gemacht werden | 4.26 | Versionen ermitteln | Fordert vom Server unterstützte KMIP-Protokollversionen an. Es wird nur v1.4 zurückgegeben. | 4.9 | Suchen | Suche nach Objekten, die den angegebenen Kriterien oder Attribut-Metadaten entsprechen.

Unterstützte Objekte

| | Objekt | - | - | | 2.2 | Symmetrischer Schlüssel

Erstellen und Verwenden von KMIP-Adaptern in der API

Hier wird die Verwendung von KMIP-Adaptern des Profils native_1.0 unter Verwendung der API, das Hinzufügen und Entfernen von KMIP-Client-Zertifikaten aus dem Adapter und das Anzeigen und Löschen von KMIP-Objekten, die mit dem Adapter verbunden sind, erläutert.

Sie können einen KMIP-Adapter erstellen, indem Sie einen POST-Aufruf an den folgenden Endpunkt tätigen.

https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters

Operationen auf KMIP-Adapter-Subressourcen, einschließlich KMIP-Client-Zertifikaten und KMIP-Objekten, finden an den folgenden Endpunkten statt:

https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_name_or_ID>/certificates
https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_name_or_ID>/kmip_objects

Rufen Sie die Authentifizierungsnachweise ab, um mit Schlüsseln im Service zu arbeiten.
Kopieren Sie die ID des Root-Schlüssels, den Sie zum Erstellen Ihres KMIP-Adapters verwenden wollen.

Sie können die ID für einen Schlüssel in Ihrer Key Protect-Instanz finden, indem Sie eine Liste Ihrer Schlüssel abrufen oder auf das Key Protect- Armaturenbrett.

Erstellen Sie einen KMIP-Adapter mit dem folgenden curl Befehl:

$ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters" \
    -H "accept: application/vnd.ibm.kms.kmip_adapter+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.kmip_adapter+json" \
    -d '{
            "metadata": {
                "collectionType": "application/vnd.ibm.kms.kmip_adapter+json",
                "collectionTotal": 1
            },
            "resources": [
                {
                "name": "<adapter_name>",
                "description": "<adapter_description>",
                "profile": "native_1.0",
                "profile_data": {
                    "crk_id": "<root_keyID_or_alias>"
                }
                }
            ]
        }'

Ersetzen Sie die Variablen in der Beispielanforderung entsprechend der folgenden Tabelle.

Beschreibt die Variablen, die zur Erstellung eines KMIP-Adapters in Key Protect benötigt werden.
Variable	Beschreibung
Bereich	Erforderlich. Die Abkürzung der Region, z. B. `us-south` oder `eu-gb`, die das geografische Gebiet angibt, in dem sich Ihre Key Protect Instanz befindet. Weitere Informationen finden Sie in Regionale Serviceendpunkte.
root_keyID_or_alias	Erforderlich. Der eindeutige Bezeichner oder Alias für den Stammschlüssel, den Sie für den Adapter verwenden möchten.
IAM_token	Erforderlich. Ihr IBM Cloud-Zugriffstoken. Fügen Sie den vollständigen Inhalt des IAM-Tokens, einschließlich des Träger-Wertes, in die Curl-Anforderung ein. Weitere Informationen finden Sie unter Abrufen eines Zugriffstokens.
instance_id	Erforderlich. Die eindeutige ID, die Ihrer Key Protect-Serviceinstanz zugewiesen ist. Weitere Informationen finden Sie unter Abrufen einer Instanz-ID.
adapter_name	Optional. Ein von Menschen lesbarer Name des KMIP-Adapters, der innerhalb der kms-Instanz eindeutig ist. Wird keine angegeben, so wird automatisch eine im Format `kmip_adapter_<random_string>` erzeugt. Um Ihre Privatsphäre zu schützen, sollten Sie keine persönlichen Daten, wie z.B. Ihren Namen oder Ihren Standort, als Namen für Ihren KMIP-Adapter verwenden. Der Name muss alphanumerisch sein und darf keine Leer- oder Sonderzeichen außer - oder _ enthalten. Der Name kann nicht eine UUID sein.
adapter_description	Optional Die Beschreibung des KMIP-Adapters. Die maximale Länge beträgt 240 Zeichen. Um Ihre Privatsphäre zu schützen, sollten Sie keine persönlichen Daten, wie z.B. Ihren Namen oder Ihren Wohnort, als Beschreibung für Ihren KMIP-Adapter verwenden.

Optional: Sie können die KMIP-Adapter, die in einer Instanz vorhanden sind, mit dem folgenden curl-Befehl auflisten:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters" \
    -H "accept: application/vnd.ibm.kms.kmip_adapter+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.kmip_adapter+json"

Sie können auch einen bestimmten KMIP-Adapter abrufen, indem Sie den folgenden curl Befehl verwenden:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_name_or_ID>" \
    -H "accept: application/vnd.ibm.kms.kmip_adapter+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.kmip_adapter+json"

Beachten Sie, dass Sie entweder die UUID des Adapters oder den Namen des Adapters verwenden können, um einen bestimmten Adapter zu erhalten.

Sie können einen KMIP-Adapter mit dem folgenden curl Befehl löschen:

$ curl -X DELETE \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_name_or_ID>" \
    -H "accept: application/vnd.ibm.kms.kmip_adapter+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.kmip_adapter+json"

Sie können den KMIP-Adapter nur löschen, wenn alle KMIP-Objekte unter dem Adapter gelöscht werden.

Hinzufügen eines KMIP-Client-Zertifikats zu einem KMIP-Adapter

Nachdem ein KMIP-Adapter erstellt wurde, können Sie ein KMIP-Client-Zertifikat hinzufügen, das mit dem KMIP-Adapter verknüpft wird. Sobald ein Zertifikat registriert wurde, können Sie dieses Zertifikat verwenden, um mit dem KMIP-Server mit mTLS zu kommunizieren, wie in den KMIP-Spezifikationen beschrieben. Es kann bis zu fünf Minuten dauern, bis das Zertifikat für den KMIP-Server nutzbar ist. Die Zertifikate müssen innerhalb derselben Region eindeutig sein.

Rufen Sie die Authentifizierungsnachweise ab, um mit Schlüsseln im Service zu arbeiten.
Identifizieren Sie den KMIP-Adapter, dem Sie Ihr Zertifikat hinzufügen möchten.

Fügen Sie das KMIP-Client-Zertifikat mit dem folgenden curl Befehl hinzu:

$ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_id>/certificates" \
    -H "accept: application/vnd.ibm.kms.kmip_client_certificate+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.kmip_client_certificate+json" \
    -d '{
            "metadata": {
                "collectionType": "application/vnd.ibm.kms.kmip_client_certificate+json",
                "collectionTotal": 1
            },
            "resources": [
                {
                "certificate": "<certificate_pem>",
                "name": "<certificate_name>"
                }
            ]
        }'

Ersetzen Sie die Variablen in der Beispielanforderung entsprechend der folgenden Tabelle.

Beschreibt die Variablen, die zur Erstellung eines KMIP-Client-Zertifikats in Key Protect benötigt werden.
Variable	Beschreibung
Bereich	Erforderlich. Die Abkürzung der Region, z. B. `us-south` oder `eu-gb`, die das geografische Gebiet angibt, in dem sich Ihre Key Protect Instanz befindet. Weitere Informationen finden Sie in Regionale Serviceendpunkte.
ADAPTER_ID	Erforderlich. Der eindeutige Bezeichner oder Name des KMIP-Adapters, mit dem Sie das Zertifikat registrieren möchten.
IAM_token	Erforderlich. Ihr IBM Cloud-Zugriffstoken. Fügen Sie den vollständigen Inhalt des IAM-Tokens, einschließlich des Träger-Wertes, in die Curl-Anforderung ein. Weitere Informationen finden Sie unter Abrufen eines Zugriffstokens.
instance_id	Erforderlich. Die eindeutige ID, die Ihrer Key Protect-Serviceinstanz zugewiesen ist. Weitere Informationen finden Sie unter Abrufen einer Instanz-ID.
zertifikat_pem	Erforderlich Der Inhalt des KMIP-Client-Zertifikats. Sie muss im PEM-Format x509 vorliegen. Sie sollte ausdrücklich die Tags BEGIN CERTIFICATE und END CERTIFICATE enthalten.
zertifikatname	Optional. Ein von Menschen lesbarer Name, der ein Zertifikat innerhalb des angegebenen Adapters eindeutig identifiziert. Wird keine angegeben, so wird automatisch eine im Format `kmip_cert_<random_string>` erzeugt. Um Ihre Privatsphäre zu schützen, sollten Sie keine persönlichen Daten, wie z.B. Ihren Namen oder Ihren Standort, als Namen für Ihren KMIP-Adapter verwenden. Der Name muss alphanumerisch sein und darf keine Leer- oder Sonderzeichen außer - oder _ enthalten. Der Name kann nicht eine UUID sein.

Optional: Sie können KMIP-Client-Zertifikate, die mit einem Adapter verbunden sind, mit dem folgenden curl-Befehl auflisten:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_id>/certificates" \
    -H "accept: application/vnd.ibm.kms.kmip_client_certificate+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sie können auch ein bestimmtes KMIP-Client-Zertifikat abrufen, indem Sie den folgenden curl Befehl verwenden:

$ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_id>/certificates/<certificate_name_or_id>" \
    -H "accept: application/vnd.ibm.kms.kmip_client_certificate+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Beachten Sie, dass Sie entweder die UUID des Zertifikats oder den Namen des Zertifikats verwenden können, um einen bestimmten Adapter zu erhalten.

Sie können ein KMIP-Client-Zertifikat mit dem folgenden curl Befehl löschen:

$ curl -X DELETE \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_name_or_ID>" \
    -H "accept: application/vnd.ibm.kms.kmip_adapter+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sie können den KMIP-Adapter nur löschen, wenn alle KMIP-Objekte unter dem Adapter gelöscht werden.

Anzeigen und Löschen von KMIP-Objekten innerhalb eines Adapters

KMIP-Objekte können nicht über die REST-API erstellt werden, aber sie können angezeigt und gelöscht werden.

Rufen Sie die Authentifizierungsnachweise ab, um mit Schlüsseln im Service zu arbeiten.
Identifizieren Sie den KMIP-Adapter, dem Sie Ihr Zertifikat hinzufügen möchten.

Sie können KMIP-Objekte innerhalb eines KMIP-Adapters mit dem folgenden curl Befehl anzeigen:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_id>/kmip_objects" \
    -H "accept: application/vnd.ibm.kms.kmip_object+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sie können ein bestimmtes KMIP-Objekt innerhalb eines KMIP-Adapters mit dem folgenden curl Befehl anzeigen:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_id>/kmip_objects/<object_id>" \
    -H "accept: application/vnd.ibm.kms.kmip_object+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sie können ein bestimmtes KMIP-Objekt innerhalb eines KMIP-Adapters mit dem folgenden curl Befehl löschen:

$ curl -X DELETE \
    "https://<region>.kms.cloud.ibm.com/api/v2/kmip_adapters/<adapter_id>/kmip_objects/<object_id>" \
    -H "accept: application/vnd.ibm.kms.kmip_object+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Dabei ist <object_id> die UUID des KMIP-Objekts. Sie können KMIP-Objekte im Zustand Aktiv (state=2) nicht löschen.