Saltar al contenido principal
Estamos mejorando la seguridad de los servicios con claves de cifrado gestionadas por el cliente (CMEK). Ahora, todos los servicios están configurados con un AWS Role único por servicio para autorizar el uso de claves del cliente para cifrar y descifrar los servicios. Este nuevo rol solo se muestra en la pantalla de configuración del servicio. Este nuevo proceso es compatible tanto con OpenAPI como con Terraform. Para obtener más información, consulta nuestra documentación (Cifrado mejorado, Cloud API, Proveedor oficial de Terraform).
Los clientes que utilizan CMEK v1 deben migrar sus servicios no más tarde del 1 de junio de 2026. Después de esa fecha, las claves gestionadas por el cliente se rotarán de forma predeterminada a claves gestionadas por ClickHouse. Los clientes podrán volver a rotarlas para usar claves gestionadas por el cliente después de la migración predeterminada.

Migración manual

Completa los siguientes pasos para migrar al nuevo proceso:
  1. Inicia sesión en https://console.clickhouse.cloud
  2. Haz clic en el servicio cifrado
  3. Haz clic en Service Settings, a la izquierda
  4. Desplázate hasta la parte inferior de la pantalla y expande View service details
  5. Copia el ID del rol de cifrado (IAM)
  6. Ve a tu clave de KMS en AWS y actualiza la Key Policy para agregar lo siguiente:
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. En ClickHouse Cloud, abre un caso de soporte para avisarnos de que podemos habilitar el nuevo método. Este cambio requiere reiniciar el servicio; indícanos si hay algún día u hora que sea mejor para hacerlo.
  2. Una vez que reiniciemos el servicio, ve a tu clave de KMS en AWS y elimina lo siguiente de la Key Policy:
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. ¡La actualización se ha completado!

Migración de Terraform

  1. Actualiza a la versión 3.5.0 o superior de Terraform
  2. Aplica Terraform sin cambios. Aparecerá un nuevo campo para transparent_data_encryption en el estado de Terraform. Toma nota del role_id.
  3. Ve a tu clave de KMS en AWS y actualiza la Key Policy para añadir lo siguiente:
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. En ClickHouse Cloud, abre un caso de soporte con el service name para informarnos de que podemos habilitar el nuevo método. Este cambio requiere reiniciar el servicio; indícanos si hay algún día/hora que sea mejor para reiniciar el servicio.
  2. Después de que reiniciemos el servicio, puedes actualizar la configuración transparent_data_encryption.enabled a ‘True’, eliminar la configuración de tier en Terraform y aplicar los cambios. Esto no dará lugar a ningún cambio.
  3. Ve a tu clave de KMS en AWS y elimina lo siguiente de la Key Policy:
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. ¡La actualización se ha completado!
Última modificación el 10 de junio de 2026