1 CyberArkの設定

このセクションでは、ZabbixがCyberArk Vault CV12からシークレットを取得する方法を説明します。

Vaultは、公式のCyberArkドキュメントに記載されているようにインストールおよび設定する必要があります。

ZabbixでのTLSの設定については、シークレットの保存を参照してください。

データベース認証情報

データベース認証情報を含むシークレットへのアクセスは、各Zabbixコンポーネントごとに個別に設定されます。

サーバーとプロキシ

Zabbixサーバーまたはプロキシがボールトからデータベース認証情報を取得するには、設定ファイルに以下のパラメータを指定します。

• Vault - どのボールトプロバイダーを使用するか;
• VaultURL - ボールトサーバーのHTTP[S] URL;
• VaultDBPath - データベース認証情報を含むボールトシークレットへのクエリ。キー"Content"と"UserName"で取得されます（このオプションはDBUserおよびDBPasswordが指定されていない場合のみ使用できます）;
• VaultTLSCertFile, VaultTLSKeyFile - SSL証明書およびキーファイル名。これらのオプションの設定は必須ではありませんが、強く推奨されます;
• VaultPrefix - ボールトのパスまたはクエリのカスタムプレフィックス。指定しない場合は、最も適切なデフォルトが使用されます。

ZabbixサーバーおよびZabbixプロキシは、起動時にzabbix_server.confおよびzabbix_proxy.confファイルからボールト関連の設定パラメータを読み込みます。

例

1. zabbix_server.confで、以下のパラメータを指定します。

Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?

2. Zabbixは、ボールトに以下のAPIリクエストを送信します。

curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

3. ボールトのレスポンスには "Content" と "UserName" のキーが含まれます。

{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database": <Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}

4. その結果、Zabbixはデータベース認証に以下の認証情報を使用します。

• ユーザー名: <username>
• パスワード: <password>

フロントエンド

Zabbixフロントエンドがボールトからデータベースの認証情報を取得するには、フロントエンドのインストール時に以下のパラメータを指定します。

1. Configure DB Connection ステップで、Store credentials in パラメータを「CyberArk Vault」に設定します。

2. 次に、追加パラメータを入力します:

ユーザーマクロの値

Vault secret ユーザーマクロの値を保存するためにCyberArk Vaultを使用するには、以下を確認してください。

• ZabbixサーバーがCyberArk Vaultで動作するように設定されていること
• 管理 → 一般 → その他のVaultプロバイダーパラメータが「CyberArk Vault」に設定されていること

マクロ値にはクエリ（query:key）を含める必要があります。

Zabbixによるマクロ値の処理の詳細については、Vault secretマクロを参照してください。

クエリ構文

コロン記号（":"）は、クエリとキーを区切るために予約されています。

クエリ自体にスラッシュやコロンが含まれている場合、これらの記号はURLエンコードする必要があります（"/"は"%2F"、":"は"%3A"としてエンコードされます）。

例

1. Zabbixで、タイプVault secretのユーザーマクロ{$PASSWORD}を追加し、値をAppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Contentとします。

2. Zabbixは以下のAPIリクエストをボールトに送信します:

curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

3. ボールトのレスポンスには"Content"キーが含まれます:

{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database" :<Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}

4. その結果、Zabbixはマクロ{$PASSWORD}を値-<password>に解決します。

既存の設定の更新

CyberArk Vaultからシークレットを取得するための既存の設定を更新するには、以下の手順を実行します。

1. データベース認証情報のセクションで説明されているように、Zabbixサーバーまたはプロキシの設定ファイルパラメータを更新します。

2. フロントエンドのセクションで説明されているように、Zabbixフロントエンドを再設定し、必要なパラメータを指定してDB接続設定を更新します。 Zabbixフロントエンドを再設定するには、ブラウザでフロントエンドセットアップURLを開きます。

• Apacheの場合: http://<server_ip_or_name>/zabbix/setup.php
• Nginxの場合: http://<server_ip_or_name>/setup.php

または、これらのパラメータはフロントエンド設定ファイル（zabbix.conf.php）で設定できます。

$DB['VAULT']                    = 'CyberArk';
$DB['VAULT_URL']                = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH']            = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN']              = '';
$DB['VAULT_CERT_FILE']          = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE']           = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX']             = '';

3. 必要に応じて、ユーザーマクロ値のセクションで説明されているように、ユーザーマクロを設定します。

HashiCorp Vaultからシークレットを取得するための既存の設定を更新するには、HashiCorpの設定を参照してください。