Перейти к основному содержанию
Мы повышаем безопасность сервисов с ключами шифрования, управляемыми клиентом (CMEK). Теперь для каждого сервиса настраивается уникальная роль AWS, которая авторизует использование клиентских ключей для шифрования и расшифровки данных сервиса. Эта новая роль отображается только на экране конфигурации сервиса. Для этого нового процесса поддерживаются OpenAPI и Terraform. Подробнее см. в нашей документации (Улучшенное шифрование, Cloud API, Официальный Terraform-провайдер).
Клиенты, использующие CMEK v1, должны выполнить миграцию сервисов не позднее 1 июня 2026 года. После этой даты ключи, управляемые клиентом, по умолчанию будут заменены на ключи, управляемые ClickHouse. После такой миграции клиенты смогут снова перейти на ключи, управляемые клиентом.

Ручная миграция

Выполните следующие шаги, чтобы перейти на новую процедуру:
  1. Войдите в https://console.clickhouse.cloud
  2. Нажмите на сервис с включённым шифрованием
  3. Выберите слева Service Settings
  4. Прокрутите страницу вниз и раскройте View service details
  5. Скопируйте Encryption Role ID (IAM)
  6. Перейдите к своему ключу KMS в AWS и обновите Key Policy, добавив следующее:
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. В ClickHouse Cloud создайте обращение в поддержку, чтобы сообщить нам, что можно включить новый метод. Это изменение требует перезапуска сервиса, поэтому, пожалуйста, сообщите, есть ли предпочтительный день/время для перезапуска сервиса.
  2. После того как мы перезапустим сервис, перейдите к своему ключу KMS в AWS и удалите следующее из Key Policy:
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. Обновление завершено!

Миграция Terraform

  1. Обновите Terraform до версии 3.5.0 или выше
  2. Примените Terraform без изменений. В состоянии Terraform появится новое поле transparent_data_encryption. Запишите role_id.
  3. Перейдите к своему ключу KMS в AWS и обновите Key Policy, добавив следующее:
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. В ClickHouse Cloud откройте обращение в поддержку, указав имя сервиса, чтобы сообщить нам, что мы можем включить новый метод. Это изменение требует перезапуска сервиса, поэтому, пожалуйста, сообщите, есть ли день/время, когда сервис лучше всего перезапустить.
  2. После того как мы перезапустим сервис, вы сможете обновить настройку transparent_data_encryption.enabled до ‘True’, удалить настройку tier в Terraform и выполнить apply. Это не приведет ни к каким изменениям.
  3. Перейдите к своему ключу KMS в AWS и удалите следующее из Key Policy:
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. Обновление завершено!
Последнее изменение 10 июня 2026 г.