4 Macros de usuário secretas
Visão geral
O Zabbix fornece duas opções para proteger informações confidenciais nos valores das macros de usuário:
- Texto secreto
- Segredo do Vault
Embora o valor de uma macro secreta fique oculto, ele pode ser revelado por meio do uso em items.
Por exemplo, em um script externo, uma instrução echo referenciando uma macro secreta pode ser usada para revelar o valor da macro para o frontend, porque o Zabbix server tem acesso ao valor real da macro.
Veja locais onde os valores das macros secretas são desmascarados.
Macros secretas não podem ser usadas em expressões de trigger.
Texto secreto
Com macros de texto secreto, o valor da macro é mascarado com asteriscos.
Para tornar o valor de uma macro secreto, clique no botão no final do campo Value e selecione a opção Secret text:
Depois que a configuração for salva, não será mais possível visualizar o valor.
Para alterar o valor da macro, passe o mouse sobre o campo Value e clique no botão Set new value (aparece ao passar o mouse):
Quando você clica no botão Set new value (ou altera o tipo de valor da macro), o valor atual será apagado.
Você pode restaurar o valor original clicando na seta 
no final do campo Value (disponível apenas antes de salvar a nova configuração).
Observe que restaurar o valor original não o revelará.
URLs que contenham uma macro secreta não funcionarão, pois a macro nelas será resolvida como "******".
Segredo do Vault
Com macros de segredo do Vault, o valor da macro é armazenado em um software externo de gerenciamento de segredos (vault).
Para configurar uma macro de segredo do Vault, clique no botão no final do campo Value e selecione a opção Vault secret:
O valor da macro deve apontar para um segredo do vault. O formato de entrada depende do provedor do vault. Para exemplos de configuração específicos de cada provedor, consulte:
Os valores das macros secretas do Vault são recuperados do vault pelo Zabbix server a cada atualização dos dados de configuração e, em seguida, armazenados no cache de configuração.
O Zabbix proxy recebe os valores das macros secretas do Vault do Zabbix server em cada sincronização de configuração e os armazena em seu próprio cache de configuração. O proxy nunca recupera os valores das macros diretamente do vault. Isso significa que um Zabbix proxy não pode iniciar a coleta de dados após uma reinicialização até receber a atualização de configuração do Zabbix server.
Para atualizar manualmente os valores secretos do vault, use a opção secrets_reload runtime control.
A criptografia deve estar habilitada entre o Zabbix server e o proxy; caso contrário, uma mensagem de aviso do server será registrada.
Se um valor de macro não puder ser recuperado com sucesso, o item correspondente que usa esse valor ficará unsupported.
Locais sem mascaramento
Esta lista fornece os locais dos parâmetros em que os valores de macro secreta não são mascarados.
Desde o Zabbix 7.0.13, os valores de macro secreta permanecerão mascarados nos locais abaixo se forem referenciados indiretamente.
Por exemplo, {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} macros internos usados em tipos de mídia (parâmetros de Script ou Webhook) serão resolvidos para chaves de item contendo macros secretas mascaradas, como net.tcp.port[******,******] em vez de net.tcp.port[192.0.2.1,80].
| Contexto | Parâmetro | |
|---|---|---|
| Items, protótipos de item, regras LLD | ||
| Item | Parâmetros da chave do item | |
| Protótipo de item | Parâmetros da chave do protótipo de item | |
| Regra de descoberta de baixo nível | Parâmetros da chave do item de descoberta | |
| SNMP agent | Comunidade SNMP | |
| Nome do contexto (SNMPv3) | ||
| Nome de segurança (SNMPv3) | ||
| Frase-senha de autenticação (SNMPv3) | ||
| Frase-senha de privacidade (SNMPv3) | ||
| HTTP agent | URL | |
| Campos de consulta | ||
| Corpo da requisição | ||
| Cabeçalhos | ||
| Nome de usuário | ||
| Senha | ||
| Senha da chave SSL | ||
| Script | Parâmetros | |
| Script | ||
| Browser | Parâmetros | |
| Script | ||
| Database monitor | Consulta SQL | |
| TELNET agent | Script | |
| Nome de usuário | ||
| Senha | ||
| SSH agent | Script | |
| Nome de usuário | ||
| Senha | ||
| Simple check | Nome de usuário | |
| Senha | ||
| JMX agent | Nome de usuário | |
| Senha | ||
| Pré-processamento do valor do item | ||
| Etapa de pré-processamento JavaScript | Script | |
| Cenários web | ||
| Cenário web | Valor da variável | |
| Valor do cabeçalho | ||
| URL | ||
| Valor do campo de consulta | ||
| Valor do campo de postagem | ||
| Postagem bruta | ||
| Autenticação do cenário web | Usuário | |
| Senha | ||
| Senha da chave SSL | ||
| Conectores | ||
| Conector | URL | |
| Nome de usuário | ||
| Senha | ||
| Token | ||
| Proxy HTTP | ||
| Arquivo de certificado SSL | ||
| Arquivo de chave SSL | ||
| Senha da chave SSL | ||
| Descoberta de rede | ||
| SNMP | Comunidade SNMP | |
| Nome do contexto (SNMPv3) | ||
| Nome de segurança (SNMPv3) | ||
| Frase-senha de autenticação (SNMPv3) | ||
| Frase-senha de privacidade (SNMPv3) | ||
| Scripts globais | ||
| Webhook | Script JavaScript | |
| Valor do parâmetro do script JavaScript | ||
| Telnet | Nome de usuário | |
| Senha | ||
| SSH | Nome de usuário | |
| Senha | ||
| Script | Script | |
| Tipos de mídia | ||
| Script | Parâmetros do script | |
| Webhook | Parâmetros | |
| Gerenciamento IPMI | ||
| Host | Nome de usuário | |
| Senha | ||