メインコンテンツへスキップ
顧客管理暗号化キー (CMEK) サービスのセキュリティ強化を進めています。現在、すべてのサービスは、サービスごとに固有の AWS Role を使用するよう構成されており、顧客キーを用いたサービスの暗号化と復号を許可します。この新しいロールは、サービス設定画面にのみ表示されます。 この新しいプロセスは、OpenAPI と Terraform の両方に対応しています。詳細については、ドキュメント (Enhanced EncryptionCloud APIOfficial Terraform Provider) を参照してください。
CMEK v1 を利用しているお客様は、2026 年 6 月 1 日までにサービスを移行する必要があります。この日以降、顧客管理キーはデフォルトで ClickHouse 管理キーに切り替えられます。デフォルト移行後は、顧客管理キーに戻すこともできます。

手動移行

新しい手順に移行するには、次の手順を実行してください。
  1. https://console.clickhouse.cloud にサインインします
  2. 暗号化されたサービスをクリックします
  3. 左側の Service Settings をクリックします
  4. 画面下部までスクロールし、View service details を展開します
  5. Encryption Role ID (IAM) をコピーします
  6. AWS の KMSキーに移動し、Key Policy を更新して次の内容を追加します:
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. ClickHouse Cloud で新しい方式を有効にできるよう、サポートケースを作成してご連絡ください。この変更にはサービスの再起動が必要ですので、再起動に適した曜日や時間帯があればお知らせください。
  2. サービスの再起動後、AWS の KMS キーに移動し、キーポリシーから以下を削除します。
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. 更新が完了しました!

Terraform への移行

  1. Terraform バージョン 3.5.0 以降に更新します
  2. 変更を加えずに Terraform を適用します。Terraform の state に transparent_data_encryption の新しいフィールドが表示されるので、role_id を控えておいてください。
  3. AWS の KMS キーに移動し、Key Policy を更新して以下を追加します:
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. ClickHouse Cloud で、service name を添えてサポートケースを作成し、新しい方法を有効化できるようお知らせください。この変更にはサービスの再起動が必要となるため、再起動に適した曜日・時間帯があればお知らせください。
  2. サービスの再起動後、transparent_data_encryption.enabled 設定を ‘True’ に更新し、Terraform の tier 設定を削除して適用できます。これによる変更はありません。
  3. AWS の KMSキーに移動し、Key Policy から以下を削除します:
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. 更新が完了しました!
最終更新日 2026年6月10日