메인 콘텐츠로 건너뛰기
고객 관리형 암호화 키(CMEK) 서비스의 보안을 강화하고 있습니다. 이제 모든 서비스는 고객 키를 사용해 서비스를 암호화하고 복호화할 수 있도록 서비스마다 고유한 AWS Role로 구성됩니다. 이 새로운 AWS Role은 서비스 구성 화면에서만 표시됩니다. 이 새로운 프로세스는 OpenAPI와 Terraform을 모두 지원합니다. 자세한 내용은 문서를 확인하십시오(향상된 암호화, Cloud API, 공식 Terraform 프로바이더).
CMEK v1을 사용하는 고객은 2026년 6월 1일까지 서비스를 반드시 마이그레이션해야 합니다. 이 날짜 이후에는 고객 관리형 키가 기본적으로 ClickHouse 관리형 키로 교체됩니다. 기본 마이그레이션 이후에는 다시 고객 관리형 키로 전환할 수 있습니다.

수동 마이그레이션

새 프로세스로 마이그레이션하려면 다음 단계를 수행하십시오:
  1. https://console.clickhouse.cloud에 로그인합니다
  2. 암호화된 서비스를 클릭합니다
  3. 왼쪽에서 Service Settings를 클릭합니다
  4. 화면 맨 아래로 스크롤한 다음 View service details를 펼칩니다
  5. Encryption Role ID (IAM)를 복사합니다
  6. AWS의 KMS 키로 이동하여 다음 내용을 추가하도록 Key Policy를 업데이트합니다:
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. ClickHouse Cloud에서 지원 요청을 열어 새 메서드를 활성화할 수 있도록 알려주십시오. 이 변경 사항을 적용하려면 서비스 재시작이 필요하므로, 서비스를 재시작하기에 가장 적절한 날짜/시간이 있으면 알려주십시오.
  2. 서비스를 재시작한 후 AWS의 KMS 키로 이동하여 Key Policy에서 다음 내용을 제거하십시오:
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. 업데이트가 완료되었습니다!

Terraform 마이그레이션

  1. Terraform 버전 3.5.0 이상으로 업데이트합니다.
  2. 변경 사항 없이 Terraform을 적용합니다. 그러면 Terraform state에 transparent_data_encryption용 새 필드가 나타납니다. 여기서 role_id를 기록해 두십시오.
  3. AWS의 KMS 키로 이동한 다음 Key Policy를 업데이트하여 다음 내용을 추가합니다.
{
   "Sid": "Allow ClickHouse Access",
   "Effect": "Allow",
   "Principal": {
       "AWS": ["Encryption role ID (ARN)"]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
  1. ClickHouse Cloud에서 service name을 포함해 support case를 등록하여 새 메서드를 활성화할 수 있도록 알려주십시오. 이 변경 사항을 적용하려면 서비스를 재시작해야 하므로, 재시작에 가장 적합한 날짜/시간이 있으면 알려주십시오.
  2. 서비스 재시작 후 transparent_data_encryption.enabled 설정을 ‘True’로 업데이트하고, Terraform에서 tier 설정을 제거한 다음 적용할 수 있습니다. 이렇게 해도 변경 사항은 없습니다.
  3. AWS에서 KMS 키로 이동한 다음, Key Policy에서 다음 내용을 제거하십시오:
{
   "Sid": "Allow ClickHouse Access",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::576599896960:role/prod-kms-request-role"
       },
       "Action": ["kms:GetPublicKey",
       "kms:Decrypt",
       "kms:GenerateDataKeyPair",
       "kms:Encrypt",
       "kms:GetKeyRotationStatus",
       "kms:GenerateDataKey",
       "kms:DescribeKey"],
       "Resource": "*"
}
  1. 업데이트가 완료되었습니다!
마지막 수정일 2026년 6월 10일