4 Secretユーザーマクロ
概要
Zabbix は、ユーザーマクロの値に含まれる機密情報を保護するために、2 つのオプションを提供しています。
- 秘密のテキスト
- Vault の秘密
秘密マクロの値は非表示ですが、アイテム内での使用によって公開される可能性があります。
例えば、外部スクリプトで、秘密マクロを参照する echo ステートメントを使用すると、Zabbix サーバーが実際のマクロ値にアクセスできるため、フロントエンドにマクロ値が公開される可能性があります。
秘密マクロ値がマスク解除される 場所 を参照してください。
秘密マクロはトリガー式では使用できません。
シークレットテキスト
シークレットテキストマクロでは、マクロの値はアスタリスクで表示されます。
マクロの値をシークレットにするには、値フィールドの末尾にあるボタンをクリックし、シークレットテキストオプションを選択します。
設定を保存すると、値は表示されなくなります。
マクロの値を変更するには、値フィールドにマウスオーバーし、新しい値を設定ボタンをクリックします(マウスオーバー時に表示されます)
新しい値を設定ボタンをクリックするか、マクロの値のタイプを変更すると、現在の値が消去されます。
値 フィールドの末尾にある 
矢印をクリックすると、元の値を復元できます(新しい設定を保存する前のみ)。
元の値を復元しても、その値は公開されませんのでご注意ください。
シークレットマクロを含むURLは、そのマクロが "****** として解決されるため、機能しません。
Vault シークレット
Vault シークレットマクロでは、マクロの値は外部のシークレット管理ソフトウェア(Vault)に保存されます。
Vault シークレットマクロを設定するには、値フィールドの末尾にあるボタンをクリックし、Vault シークレットオプションを選択します。
マクロの値は Vault シークレットを指す必要があります。 入力形式は Vault プロバイダーによって異なります。プロバイダー固有の設定例については、以下を参照してください。
Vault シークレットマクロ値は、設定データの更新ごとに Zabbix サーバーによって Vault から取得され、設定キャッシュに保存されます。
Zabbix プロキシは、設定同期ごとに Zabbix サーバーから Vault シークレットマクロの値を受け取り、自身の設定キャッシュに保存します。 プロキシは Vault からマクロ値を直接取得することはありません。 つまり、Zabbix プロキシは、再起動後、Zabbix サーバーから設定の更新を受け取るまで、データ収集を開始できません。
Vault からシークレット値を手動で更新するには、secrets_reload ランタイム制御 オプションを使用します。
Zabbix サーバーとプロキシ間で暗号化を有効にする必要があります。有効になっていない場合、サーバーの警告メッセージがログに記録されます。
マクロ値が正常に取得できない場合、その値を使用している対応するアイテムはサポート対象外になります。
マスク解除される場所
この一覧は、秘密マクロの値がマスク解除されるパラメーターの場所を示します。
Zabbix 7.0.13 以降では、秘密マクロの値が間接的に参照される場合、以下の場所でもマスクされたままになります。
たとえば、メディアタイプ(Script または Webhook パラメーター)で使用される {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} 組み込みマクロ は、net.tcp.port[192.0.2.1,80] の代わりに net.tcp.port[******,******] のような、マスクされた秘密マクロを含むアイテムキーに展開されます。
| コンテキスト | パラメーター | |
|---|---|---|
| アイテム、アイテムプロトタイプ、LLD ルール | ||
| アイテム | アイテムキーのパラメーター | |
| アイテムプロトタイプ | アイテムプロトタイプキーのパラメーター | |
| 低レベルディスカバリルール | ディスカバリーアイテムキーのパラメーター | |
| SNMPコミュニティ | ||
| コンテキスト名 (SNMPv3) | ||
| セキュリティ名 (SNMPv3) | ||
| 認証パスフレーズ (SNMPv3) | ||
| プライバシーパスフレーズ (SNMPv3) | ||
| HTTP エージェント | URL | |
| クエリフィールド | ||
| リクエストボディ | ||
| ヘッダー | ||
| ユーザー名 | ||
| パスワード | ||
| SSL キーパスワード | ||
| スクリプト | パラメーター | |
| スクリプト | ||
| ブラウザ | パラメーター | |
| スクリプト | ||
| データベース監視 | SQL クエリ | |
| TELNET エージェント | スクリプト | |
| ユーザー名 | ||
| パスワード | ||
| SSH エージェント | スクリプト | |
| ユーザー名 | ||
| パスワード | ||
| シンプルチェック | ユーザー名 | |
| パスワード | ||
| JMX エージェント | ユーザー名 | |
| パスワード | ||
| アイテム値の前処理 | ||
| JavaScript 前処理ステップ | スクリプト | |
| Web シナリオ | ||
| Web シナリオ | 変数値 | |
| ヘッダー値 | ||
| URL | ||
| クエリフィールド値 | ||
| POST フィールド値 | ||
| 生の POST | ||
| Web シナリオ認証 | ユーザー | |
| パスワード | ||
| SSL キーパスワード | ||
| コネクター | ||
| コネクター | URL | |
| ユーザー名 | ||
| パスワード | ||
| トークン | ||
| HTTP プロキシ | ||
| SSL 証明書ファイル | ||
| SSL キーファイル | ||
| SSL キーパスワード | ||
| ネットワークディスカバリ | ||
| SNMP | SNMPコミュニティ | |
| コンテキスト名 (SNMPv3) | ||
| セキュリティ名 (SNMPv3) | ||
| 認証パスフレーズ (SNMPv3) | ||
| プライバシーパスフレーズ (SNMPv3) | ||
| グローバルスクリプト | ||
| Webhook | JavaScript スクリプト | |
| JavaScript スクリプトパラメーター値 | ||
| Telnet | ユーザー名 | |
| パスワード | ||
| SSH | ユーザー名 | |
| パスワード | ||
| スクリプト | スクリプト | |
| メディアタイプ | ||
| スクリプト | スクリプトパラメーター | |
| Webhook | パラメーター | |
| IPMI 管理 | ||
| ホスト | ユーザー名 | |
| パスワード | ||