13 secrets の保存

概要

Zabbix は、セキュアボールトから機密情報を取得するように設定できます。以下のシークレット管理サービスがサポートされています：HashiCorp Vault KV Secrets Engine - バージョン 2、CyberArk Vault CV12

シークレットは、以下の情報を取得するために使用できます。

• ユーザーマクロ値
• データベースアクセス認証情報

Zabbix は、秘密鍵が他のユーザーによって管理されていることを前提として、vault内の秘密鍵への読み取り専用アクセスを提供します。

特定のVaultプロバイダーの設定については、以下を参照してください。

• HashiCorpの設定
• CyberArkの設定

Caching of secret values

Vault secret macro values are retrieved by Zabbix server on every refresh of configuration data and then stored in the configuration cache. Zabbix proxy receives values of vault secret macros from Zabbix server on each configuration sync and stores them in its own configuration cache.

To manually trigger refresh of cached secret values from a vault, use the 'secrets_reload' command-line option.

For Zabbix frontend database credentials caching is disabled by default, but can be enabled by setting the option $DB['VAULT_CACHE'] = true in zabbix.conf.php. The credentials will be stored in a local cache using the filesystem temporary file directory. The web server must allow writing in a private temporary folder (for example, for Apache the configuration option PrivateTmp=True must be set). To control how often the data cache is refreshed/invalidated, use the ZBX_DATA_CACHE_TTL constant .

TLS 設定

Zabbix コンポーネントと Vault 間の通信に TLS を設定するには、証明機関 (CA) によって署名された証明書をシステム全体のデフォルトの CA ストアに追加します。 別の場所を使用するには、SSLCALocation Zabbix server/proxy 設定パラメータでディレクトリを指定し、証明書ファイルをそのディレクトリ内に配置して、CLI コマンド を実行します。:

c_rehash .