Zabbix 可以配置为从安全保险库中检索敏感信息。支持以下密钥管理服务:HashiCorp Vault KV Secrets Engine - 版本 2、CyberArk Vault CV12。
密钥可用于检索:
Zabbix 提供对保险库中密钥的只读访问权限,假设密钥由其他人员进行管理。
有关特定保管库提供程序的配置信息,请参见:
Vault密钥宏的值由Zabbix server在每次刷新配置数据时检索,然后存储在configuration cache中。Zabbix proxy在每次配置同步时从Zabbix server接收Vault密钥宏的值,并将其存储在自己的configuration cache中。
必须在Zabbix server和proxy之间启用加密;否则将记录服务器警告消息。
要手动触发从Vault刷新缓存的密钥值,请使用命令行工具的'secrets_reload' 运行时控制。
对于Zabbix前端,默认情况下数据库凭证的缓存是禁用的,但可以通过在zabbix.conf.php中设置选项$DB['VAULT_CACHE'] = true
来启用。凭证将使用文件系统的临时file目录存储在本地缓存中。Web服务器必须允许在私有临时文件夹中写入(例如,对于Apache,必须设置配置选项PrivateTmp=True
)。要控制数据缓存刷新/失效的频率,请使用ZBX_DATA_CACHE_TTL constant。
要为 Zabbix 组件与 vault 之间的通信配置 TLS,请将由证书颁发机构 (CA) 签署的证书添加到系统范围的默认 CA 存储中。 要使用其他位置,请在SSLCALocation Zabbix server/proxy 配置参数中指定目录, 将证书 file 放入该目录中,然后 run 命令行界面(CLI)command: