[comment]: # ({72ab9926-72ab9926}) # 13 Conservazione dei segreti [comment]: # ({/72ab9926-72ab9926}) [comment]: # ({efea1097-5a5d507b}) #### Panoramica Zabbix può essere configurato per recuperare informazioni sensibili da un vault sicuro. Sono supportati i seguenti servizi di gestione dei segreti: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12. I segreti possono essere utilizzati per recuperare: - [valori delle macro utente](/manual/config/macros/secret_macros#vault-secret) - credenziali di accesso al database Zabbix fornisce accesso in sola lettura ai segreti in un vault, presumendo che i segreti siano gestiti da qualcun altro. [comment]: # ({/efea1097-5a5d507b}) [comment]: # ({0f1ca980-5cd2f0a1}) For information about specific vault provider configuration, see: - [HashiCorp configuration](/manual/config/secrets/hashicorp) - [CyberArk configuration](/manual/config/secrets/cyberark) [comment]: # ({/0f1ca980-5cd2f0a1}) [comment]: # ({46b1c53a-44c0f649}) #### Memorizzazione nella cache dei valori segreti Per impostazione predefinita, i valori delle macro segrete del vault vengono recuperati da Zabbix server a ogni aggiornamento dei dati di configurazione e quindi memorizzati nella cache di configurazione. Zabbix proxy riceve i valori delle macro segrete del vault da Zabbix server a ogni sincronizzazione della configurazione e li memorizza nella propria cache di configurazione. ::: noteimportant La crittografia deve essere abilitata tra Zabbix server e proxy; in caso contrario, viene registrato un messaggio di avviso del server. ::: È inoltre possibile [configurare](/manual/web_interface/frontend_sections/administration/general#other) che i valori delle macro vengano recuperati in modo indipendente da Zabbix server e Zabbix proxy. Per attivare manualmente l'aggiornamento dei valori segreti memorizzati nella cache da un vault, utilizzare l'[opzione](/manual/concepts/server#runtime-control) da riga di comando 'secrets_reload'. Per le credenziali del database di Zabbix frontend, la memorizzazione nella cache è disabilitata per impostazione predefinita, ma può essere abilitata impostando l'opzione ``$DB['VAULT_CACHE'] = true`` in zabbix.conf.php. Le credenziali verranno memorizzate in una cache locale utilizzando la directory dei file temporanei del filesystem. Il web server deve consentire la scrittura in una cartella temporanea privata (ad esempio, per Apache deve essere impostata l'opzione di configurazione ``PrivateTmp=True``). Per controllare la frequenza con cui la cache dei dati viene aggiornata/invalida, utilizzare la [costante](/manual/web_interface/definitions) ZBX\_DATA\_CACHE\_TTL . [comment]: # ({/46b1c53a-44c0f649}) [comment]: # ({94f1101e-df569dd2}) #### Configurazione TLS Per configurare TLS per la comunicazione tra i componenti di Zabbix e il vault, aggiungere al repository CA predefinito a livello di sistema un certificato firmato da un'autorità di certificazione (CA). Per utilizzare un'altra posizione, specificare la directory nel parametro di configurazione SSLCALocation di Zabbix [server](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy), inserire il file del certificato all'interno di tale directory, quindi eseguire il [comando](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) CLI: c_rehash . [comment]: # ({/94f1101e-df569dd2})