1 CyberArkの設定

このセクションでは、ZabbixがCyberArk Vault CV12からシークレットを取得する方法を説明します。

Vaultは、公式のCyberArkドキュメントに記載されているようにインストールおよび設定する必要があります。

ZabbixでのTLSの設定については、シークレットの保存を参照してください。

データベース認証情報

データベース認証情報を含むシークレットへのアクセスは、各 Zabbix コンポーネントごとに個別に設定します。

サーバーとプロキシ

Zabbix サーバー または プロキシ が vault からデータベース認証情報を取得するには、設定ファイルに次の設定パラメーターを指定します。

• Vault - 使用する vault プロバイダー;
• VaultURL - vault サーバーの HTTP[S] URL;
• VaultDBPath - データベース認証情報を含む vault シークレットへのクエリ。取得されるキーは "Content" と "UserName" です（このオプションは DBUser と DBPassword が指定されていない場合にのみ使用できます）;
• VaultTLSCertFile, VaultTLSKeyFile - SSL 証明書およびキーのファイル名。これらのオプションの設定は必須ではありませんが、強く推奨されます;
• VaultPrefix - vault に応じた、vault パスまたはクエリのカスタムプレフィックス。指定されていない場合は、最適なデフォルトが使用されます。

Zabbix サーバーと Zabbix プロキシは、起動時に zabbix_server.conf および zabbix_proxy.conf ファイルから vault 関連の設定パラメーターを読み込みます。

例

1. zabbix_server.confで、以下のパラメータを指定します。

Vault=CyberArk
VaultURL=https://127.0.0.1:1858
VaultDBPath=AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database
VaultTLSCertFile=cert.pem
VaultTLSKeyFile=key.pem
VaultPrefix=/AIMWebService/api/Accounts?

2. Zabbixは、ボールトに以下のAPIリクエストを送信します。

curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

3. ボールトのレスポンスには "Content" と "UserName" のキーが含まれます。

{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database": <Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}

4. その結果、Zabbixはデータベース認証に以下の認証情報を使用します。

• ユーザー名: <username>
• パスワード: <password>

フロントエンド

Zabbixフロントエンドがボールトからデータベースの認証情報を取得するには、フロントエンドのインストール時に以下のパラメータを指定します。

1. Configure DB Connection ステップで、Store credentials in パラメータを「CyberArk Vault」に設定します。

2. 次に、追加パラメータを入力します:

ユーザーマクロ値

Vault secret ユーザーマクロ値の保存にCyberArk Vaultを使用するには、次のことを確認してください。

• Zabbixサーバーが、CyberArk Vaultと連携するように設定されていること。
• 管理 → 一般 → その他の Vault provider パラメータが「CyberArk Vault」に設定されていること。

マクロ値には、クエリ（query:key の形式）を含める必要があります。

マクロ値のZabbixによる処理の詳細については、Vault secret macrosを参照してください。

クエリ構文

コロン記号（":"）は、クエリとキーを区切るために予約されています。

クエリ自体にスラッシュやコロンが含まれている場合、これらの記号はURLエンコードする必要があります（"/"は"%2F"、":"は"%3A"としてエンコードされます）。

例

1. Zabbixで、タイプVault secretのユーザーマクロ{$PASSWORD}を追加し、値をAppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix:Contentとします。

2. Zabbixは以下のAPIリクエストをボールトに送信します:

curl \
--header "Content-Type: application/json" \
--cert cert.pem \
--key key.pem \
https://127.0.0.1:1858/AIMWebService/api/Accounts?AppID=zabbix_server&Query=Safe=passwordSafe;Object=zabbix_server_database

3. ボールトのレスポンスには"Content"キーが含まれます:

{
    "Content": <password>,
    "UserName": <username>,
    "Address": <address>,
    "Database" :<Database>,
    "PasswordChangeInProcess":<PasswordChangeInProcess>
}

4. その結果、Zabbixはマクロ{$PASSWORD}を値-<password>に解決します。

既存の設定の更新

CyberArk Vaultからシークレットを取得するための既存の設定を更新するには、以下の手順を実行します。

1. データベース認証情報のセクションで説明されているように、Zabbixサーバーまたはプロキシの設定ファイルパラメータを更新します。

2. フロントエンドのセクションで説明されているように、Zabbixフロントエンドを再設定し、必要なパラメータを指定してDB接続設定を更新します。 Zabbixフロントエンドを再設定するには、ブラウザでフロントエンドセットアップURLを開きます。

• Apacheの場合: http://<server_ip_or_name>/zabbix/setup.php
• Nginxの場合: http://<server_ip_or_name>/setup.php

または、これらのパラメータはフロントエンド設定ファイル（zabbix.conf.php）で設定できます。

$DB['VAULT']                    = 'CyberArk';
$DB['VAULT_URL']                = 'https://127.0.0.1:1858';
$DB['VAULT_DB_PATH']            = 'AppID=foo&Query=Safe=bar;Object=buzz';
$DB['VAULT_TOKEN']              = '';
$DB['VAULT_CERT_FILE']          = 'conf/certs/cyberark-cert.pem';
$DB['VAULT_KEY_FILE']           = 'conf/certs/cyberark-key.pem';
$DB['VAULT_PREFIX']             = '';

3. 必要に応じて、ユーザーマクロ値のセクションで説明されているように、ユーザーマクロを設定します。

HashiCorp Vaultからシークレットを取得するための既存の設定を更新するには、HashiCorpの設定を参照してください。