Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

13 Almacenamiento de secretos

Descripción general

Zabbix se puede configurar para recuperar información sensible de un almacén seguro. Se admiten los siguientes servicios de gestión de secretos: HashiCorp Vault KV Secrets Engine - Versión 2, CyberArk Vault CV12.

Los secretos se pueden utilizar para recuperar:

Zabbix proporciona acceso de solo lectura a los secretos en un almacén, asumiendo que los secretos son gestionados por otra persona.

Para obtener información sobre la configuración específica del proveedor de vault, consulte:

Almacenamiento en caché de valores secretos

Por defecto, los valores de macros secretas del vault son recuperados por el servidor Zabbix en cada actualización de los datos de configuración y luego almacenados en la caché de configuración. El proxy Zabbix recibe los valores de las macros secretas del vault desde el servidor Zabbix en cada sincronización de configuración y los almacena en su propia caché de configuración.

Debe estar habilitado el cifrado entre el servidor Zabbix y el proxy; de lo contrario, se registra un mensaje de advertencia en el servidor.

También es posible configurar que los valores de las macros sean recuperados por el servidor Zabbix y el proxy Zabbix de forma independiente.

Para forzar manualmente la actualización de los valores secretos almacenados en caché desde un vault, utilice la opción de línea de comandos 'secrets_reload' opción.

Para las credenciales de la base de datos del frontend de Zabbix, el almacenamiento en caché está deshabilitado por defecto, pero puede habilitarse estableciendo la opción $DB['VAULT_CACHE'] = true en zabbix.conf.php. Las credenciales se almacenarán en una caché local utilizando el directorio de archivos temporales del sistema de archivos. El servidor web debe permitir la escritura en una carpeta temporal privada (por ejemplo, para Apache debe establecerse la opción de configuración PrivateTmp=True). Para controlar la frecuencia con la que se actualiza/invalida la caché de datos, utilice la constante ZBX_DATA_CACHE_TTL constante.

Configuración de TLS

Para configurar TLS para la comunicación entre los componentes de Zabbix y el vault, agregue un certificado firmado por una autoridad certificadora (CA) al almacén de CA predeterminado del sistema. Para usar otra ubicación, especifique el directorio en el parámetro de configuración SSLCALocation de Zabbix server/proxy, coloque el archivo de certificado dentro de ese directorio y luego ejecute el comando CLI:

c_rehash .