[comment]: # ({72ab9926-72ab9926}) # 13 Stockage des secrets [comment]: # ({/72ab9926-72ab9926}) [comment]: # ({fdc00467-5a5d507b}) ## Vue d'ensemble Zabbix peut être configuré pour récupérer des informations sensibles depuis un coffre-fort sécurisé. Les services de gestion des secrets suivants sont pris en charge: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12. Les secrets peuvent être utilisés pour récupérer: - [valeurs de macros utilisateur](/manual/config/macros/secret_macros#vault-secret) - des identifiants d'accès à la base de données Zabbix fournit un accès en lecture seule aux secrets dans un coffre-fort, en supposant que les secrets sont gérés par une autre personne. [comment]: # ({/fdc00467-5a5d507b}) [comment]: # ({0f1ca980-5cd2f0a1}) For information about specific vault provider configuration, see: - [HashiCorp configuration](/manual/config/secrets/hashicorp) - [CyberArk configuration](/manual/config/secrets/cyberark) [comment]: # ({/0f1ca980-5cd2f0a1}) [comment]: # ({176cd8b3-44c0f649}) ## Mise en cache des valeurs secrètes Les valeurs des macros de secrets du coffre-fort sont récupérées par le serveur Zabbix à chaque actualisation des données de configuration, puis stockées dans le cache de configuration. Le proxy Zabbix reçoit les valeurs des macros de secrets du coffre-fort depuis le serveur Zabbix à chaque synchronisation de configuration et les stocke dans son propre cache de configuration. ::: noteimportant Le chiffrement doit être activé entre le serveur Zabbix et le proxy ; sinon, un message d'avertissement du serveur est consigné. ::: Pour déclencher manuellement l'actualisation des valeurs secrètes mises en cache depuis un coffre-fort, utilisez l'option de ligne de commande 'secrets_reload' [option](/manual/concepts/server#runtime-control). Pour les identifiants de base de données de l'interface Zabbix, la mise en cache est désactivée par défaut, mais peut être activée en définissant l'option ``$DB['VAULT_CACHE'] = true`` dans zabbix.conf.php. Les identifiants seront stockés dans un cache local à l'aide du répertoire de fichiers temporaires du système de fichiers. Le serveur web doit autoriser l'écriture dans un dossier temporaire privé (par exemple, pour Apache, l'option de configuration ``PrivateTmp=True`` doit être définie). Pour contrôler la fréquence à laquelle le cache de données est actualisé/invalide, utilisez la constante ZBX\_DATA\_CACHE\_TTL [constant](/manual/web_interface/definitions) . [comment]: # ({/176cd8b3-44c0f649}) [comment]: # ({2922f25e-df569dd2}) ## Configuration TLS Pour configurer TLS pour la communication entre les composants Zabbix et le coffre-fort, ajoutez un certificat signé par une autorité de certification (CA) au magasin CA par défaut du système. Pour utiliser un autre emplacement, spécifiez le répertoire dans le paramètre de configuration SSLCALocation de Zabbix [serveur](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy), placez le fichier de certificat dans ce répertoire, puis exécutez la [commande](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) CLI : c_rehash . [comment]: # ({/2922f25e-df569dd2})