13 存储密钥
概述
Zabbix 可配置为从安全保管库中检索敏感信息。支持以下密钥管理服务:HashiCorp Vault KV Secrets Engine - Version 2、CyberArk Vault CV12。
密钥可用于检索:
- 用户宏值
- 数据库访问凭据
Zabbix 为保管库中的密钥提供只读访问,前提是这些密钥由其他人管理。
有关特定保险库提供者配置的信息,请参阅以下链接:
密钥值缓存
默认情况下,vault 密钥宏值由 Zabbix 服务器在每次刷新配置数据时获取,然后存储在配置缓存中。Zabbix proxy 在每次配置同步时从 Zabbix 服务器接收 vault 密钥宏值,并将其存储在自己的配置缓存中。
必须在 Zabbix 服务器和 proxy 之间启用加密;否则会记录一条服务器警告消息。
也可以配置,使宏值由 Zabbix 服务器和 Zabbix proxy 分别独立获取。
要手动触发从 vault 刷新缓存的密钥值,请使用命令行选项 'secrets_reload'。
对于 Zabbix 前端,默认禁用数据库凭据缓存,但可通过在 zabbix.conf.php 中设置选项 $DB['VAULT_CACHE'] = true 来启用。凭据将使用文件系统临时文件目录存储在本地缓存中。Web 服务器必须允许在私有临时文件夹中写入(例如,对于 Apache,必须设置配置选项 PrivateTmp=True)。要控制数据缓存刷新的频率/失效时间,请使用 ZBX_DATA_CACHE_TTL 常量 。
TLS 配置
要为 Zabbix 组件与保管库之间的通信配置 TLS,请将由证书颁发机构(CA)签名的证书添加到系统范围的默认 CA 存储中。
如果要使用其他位置,请在 Zabbix server/proxy 配置参数 SSLCALocation 中指定该目录,
将证书文件放入该目录中,然后运行 CLI 命令:
c_rehash .