13 secrets の保存

概要

Zabbix は、セキュアボールトから機密情報を取得するように設定できます。以下のシークレット管理サービスがサポートされています:HashiCorp Vault KV Secrets Engine - バージョン 2、CyberArk Vault CV12

シークレットは、以下の情報を取得するために使用できます。

Zabbix は、秘密鍵が他のユーザーによって管理されていることを前提として、vault内の秘密鍵への読み取り専用アクセスを提供します。

特定のVaultプロバイダーの設定については、以下を参照してください。

シークレット値のキャッシュ

Vault シークレットマクロの値は、設定データの更新ごとに Zabbix サーバーによって取得され、設定キャッシュに保存されます。Zabbix プロキシは、設定同期ごとに Zabbix サーバーから Vault シークレットマクロの値を受け取り、自身の設定キャッシュに保存します。

Zabbix サーバーとプロキシの間で暗号化を有効にする必要があります。有効にしないと、サーバーの警告メッセージがログに記録されます。

Vault からキャッシュされたシークレット値を手動で更新するには、コマンドラインオプション 'secrets_reload' を使用します。オプション

Zabbix フロントエンドのデータベース認証情報のキャッシュはデフォルトで無効になっていますが、zabbix.conf.php でオプション $DB['VAULT_CACHE'] = true を設定することで有効にできます。認証情報は、ファイルシステムの一時ファイルディレクトリを使用してローカルキャッシュに保存されます。ウェブサーバーは、プライベートな一時フォルダへの書き込みを許可する必要があります(例えば、Apacheの場合は設定オプション「PrivateTmp=True」を設定する必要があります)。データキャッシュの更新/無効化の頻度を制御するには、ZBX_DATA_CACHE_TTL 定数 を使用します。

TLS 設定

Zabbix コンポーネントと Vault 間の通信に TLS を設定するには、証明機関 (CA) によって署名された証明書をシステム全体のデフォルトの CA ストアに追加します。 別の場所を使用するには、SSLCALocation Zabbix server/proxy 設定パラメータでディレクトリを指定し、証明書ファイルをそのディレクトリ内に配置して、CLI コマンド を実行します。:

c_rehash .