1 CyberArkの設定

このセクションでは、ZabbixがCyberArk Vault CV12からシークレットを取得する方法を説明します。

Vaultは、公式のCyberArkドキュメントに記載されているようにインストールおよび設定する必要があります。

ZabbixでのTLSの設定については、シークレットの保存を参照してください。

データベース認証情報

データベース認証情報を含むシークレットへのアクセスは、Zabbix の各コンポーネントごとに個別に設定されます。

サーバーとプロキシ

Zabbix server または proxy 用に、vault からデータベース認証情報を取得するには、設定ファイルに次の設定パラメータを指定します。

  • Vault - どの vault プロバイダーを使用するか;
  • VaultURL - vault サーバーの HTTP[S] URL;
  • VaultDBPath - データベース認証情報を含む vault シークレットへのクエリ。取得される値は "Content" と "UserName" のキーで参照されます(このオプションは DBUser と DBPassword が指定されていない場合にのみ使用できます);
  • VaultTLSCertFile, VaultTLSKeyFile - SSL 証明書および鍵ファイル名。これらのオプションの設定は必須ではありませんが、強く推奨されます;
  • VaultPrefix - vault に応じた、vault パスまたはクエリのカスタムプレフィックス。指定されていない場合は、最適なデフォルトが使用されます。

Vault, VaultURL, VaultTLSCertFile, VaultTLSKeyFile, VaultPrefix の各設定パラメータは、Zabbix サーバー(および 設定済み の場合は Zabbix プロキシ)がシークレット vault マクロを処理する際の vault 認証にも使用されます。Zabbix サーバーとプロキシは、VaultDBPath から DB 認証情報を含む vault シークレットマクロを開きません。

Zabbix サーバーと Zabbix プロキシは、起動時に zabbix_server.conf および zabbix_proxy.conf ファイルから vault 関連の設定パラメータを読み込みます。

  1. zabbix_server.conf で、次のパラメータを指定します。
Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?
  1. Zabbix は、vault に対して次の API リクエストを送信します。
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. vault の応答には、"Content" と "UserName" のキーが含まれます。
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database": <Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
  1. その結果、Zabbix はデータベース認証に次の認証情報を使用します。
  • ユーザー名: <username>
  • パスワード: <password>

フロントエンド

Zabbixフロントエンドがボールトからデータベースの認証情報を取得するには、フロントエンドのインストール時に以下のパラメータを指定します。

  1. Configure DB Connection ステップで、Store credentials in パラメータを「CyberArk Vault」に設定します。

  1. 次に、追加パラメータを入力します:
パラメータ 必須 デフォルト値 説明
Vault API endpoint はい https://localhost:1858 scheme://host:port形式でボールトへの接続URLを指定します
Vault prefix いいえ /AIMWebService/api/Accounts? ボールトパスまたはクエリのカスタムプレフィックスを指定します。指定しない場合はデフォルトが使用されます。
Vault secret query string はい データベースの認証情報を取得する場所を指定するクエリ。
例: AppID=foo&Query=Safe=bar;Object=buzz
Vault certificates いいえ チェックボックスをオンにすると、クライアント認証を設定するための追加パラメータが表示されます。このパラメータは任意ですが、CyberArk Vaultとの通信には有効にすることを強く推奨します。
SSL certificate file いいえ conf/certs/cyberark-cert.pem SSL証明書ファイルへのパス。ファイルはPEM形式である必要があります。
証明書ファイルに秘密鍵も含まれている場合は、SSL key fileパラメータを空にしてください。
SSL key file いいえ conf/certs/cyberark-key.pem クライアント認証に使用するSSL秘密鍵ファイル名。ファイルはPEM形式である必要があります。

ユーザーマクロ値

Vault secret のユーザーマクロ値を保存するために CyberArk Vault を使用するには、次の条件を満たしていることを確認してください。

  • Zabbix サーバーが CyberArk Vault と連携するように設定されていること。
  • Administration > General > OtherVault provider パラメータが "CyberArk Vault" に設定されていること。

Zabbix サーバー(および 設定されている場合は Zabbix プロキシ)には、vault から Vault secret マクロ値へアクセスする権限が必要です。 Zabbix Webインターフェースにはそのようなアクセスは必要ありません。

マクロ値にはクエリ(query:key 形式)を含める必要があります。

Zabbix によるマクロ値の処理の詳細については、Vault secret macros を参照してください。

クエリ構文

コロン記号(":")は、クエリとキーを区切るために予約されています。

クエリ自体にスラッシュやコロンが含まれている場合、これらの記号はURLエンコードする必要があります("/"は"%2F"、":"は"%3A"としてエンコードされます)。

  1. Zabbixで、タイプVault secretのユーザーマクロ{$PASSWORD}を追加し、値をAppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Contentとします。

  1. Zabbixは以下のAPIリクエストをボールトに送信します:
curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
  1. ボールトのレスポンスには"Content"キーが含まれます:
{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database" :<Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}
  1. その結果、Zabbixはマクロ{$PASSWORD}を値-<password>に解決します。

既存の設定の更新

CyberArk Vault からシークレットを取得するための既存の設定を更新するには、次の手順を実行します。

  1. Database credentials セクションで説明されているとおり、Zabbix サーバーまたはプロキシの設定ファイルパラメータを更新します。

  2. Frontend セクションで説明されているとおり、Zabbix Webインターフェースを再設定して必要なパラメータを指定し、DB 接続設定を更新します。
    Zabbix Webインターフェースを再設定するには、ブラウザで Webインターフェースのセットアップ URL を開きます。

  • Apache の場合: http://<server_ip_or_name>/zabbix/setup.php
  • Nginx の場合: http://<server_ip_or_name>/setup.php

または、これらのパラメータは Webインターフェース設定ファイル (zabbix.conf.php) で設定できます。

$DB['VAULT']                    = 'CyberArk';
$DB['VAULT_URL']                = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH']            = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN']              = '';
$DB['VAULT_CERT_FILE']          = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE']           = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX']             = '';
  1. 必要に応じて、User macro values セクションで説明されているとおり、ユーザーマクロを設定します。

HashiCorp Vault からシークレットを取得するための既存の設定を更新するには、HashiCorp configuration を参照してください。