You are viewing documentation for the development version, it may be incomplete.
Join our translation project and help translate Zabbix documentation into your native language.

13 Opslag van geheimen

Overview

Zabbix can be configured to retrieve sensitive information from a secure vault. The following secret management services are supported: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Secrets can be used for retrieving:

Zabbix provides read-only access to the secrets in a vault, assuming that secrets are managed by someone else.

Voor informatie over de configuratie van specifieke vault-providers, zie:

Cachen van geheime waarden

Vault-geheimmacro-waarden worden door de Zabbix-server opgehaald bij elke vernieuwing van configuratiegegevens en vervolgens opgeslagen in de configuratiecache. De Zabbix-proxy ontvangt waarden van vault-geheimmacro's van de Zabbix-server bij elke synchronisatie van de configuratie en slaat ze op in zijn eigen configuratiecache.

Versleuteling moet ingeschakeld zijn tussen de Zabbix-server en -proxy; anders wordt er een waarschuwingsbericht in het logboek van de server opgeslagen.

Om handmatig het vernieuwen van gecachte geheime waarden uit een vault te activeren, gebruik je de 'secrets_reload' command-line optie.

Voor het cachen van Zabbix frontend-databasegegevens zijn de instellingen standaard uitgeschakeld, maar ze kunnen ingeschakeld worden door de optie $DB['VAULT_CACHE'] = true in zabbix.conf.php in te stellen. De referenties zullen worden opgeslagen in een lokale cache met behulp van de tijdelijke map van het bestandssysteem. De webserver moet schrijven in een privé-tijdelijke map toestaan (bijvoorbeeld voor Apache moet de configuratieoptie PrivateTmp=True ingesteld zijn). Om te bepalen hoe vaak de datagegevenscache vernieuwd/ongeldig gemaakt wordt, gebruik je de ZBX_DATA_CACHE_TTL constante.

TLS-configuratie

Om TLS te configureren voor communicatie tussen Zabbix-componenten en de vault, voeg je een door een certificaatautoriteit (CA) ondertekend certificaat toe aan de systeembrede standaard-CA-opslag. Om een andere locatie te gebruiken, specificeer je de map in de SSLCALocation Zabbix server/proxy configuratieparameter, plaats het certificaatbestand binnen die map en voer dan het CLI commando uit:

$ c_rehash .