[comment]: # ({72ab9926-72ab9926})
# 13 Przechowywanie sekretów

[comment]: # ({/72ab9926-72ab9926})

[comment]: # ({fdc00467-5a5d507b})
## Przegląd

Zabbix można skonfigurować tak, aby pobierał poufne informacje z bezpiecznego sejfu. Obsługiwane są następujące usługi zarządzania sekretami: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Sekrety mogą być używane do pobierania:

-   [wartości makr użytkownika](/manual/config/macros/secret_macros#vault-secret)
-   poświadczeń dostępu do bazy danych

Zabbix zapewnia dostęp tylko do odczytu do sekretów w sejfie, zakładając, że sekrety są zarządzane przez inną osobę.

[comment]: # ({/fdc00467-5a5d507b})

[comment]: # ({0f1ca980-5cd2f0a1})
Aby uzyskać informacje o konfiguracji konkretnego dostawcy sejfu, zobacz:

- [Konfiguracja HashiCorp](/manual/config/secrets/hashicorp)
- [Konfiguracja CyberArk](/manual/config/secrets/cyberark)

[comment]: # ({/0f1ca980-5cd2f0a1})

[comment]: # ({176cd8b3-44c0f649})
## Buforowanie wartości tajnych

Wartości makr tajnych z Vault są pobierane przez serwer Zabbix przy każdym odświeżeniu danych konfiguracyjnych, a następnie zapisywane w pamięci podręcznej konfiguracji. Proxy Zabbix otrzymuje wartości makr tajnych z Vault od serwera Zabbix przy każdej synchronizacji konfiguracji i zapisuje je we własnej pamięci podręcznej konfiguracji.

::: noteimportant
Szyfrowanie musi być włączone między serwerem Zabbix a proxy; w przeciwnym razie zostanie zapisany komunikat ostrzegawczy serwera.
:::

Aby ręcznie wymusić odświeżenie buforowanych wartości tajnych z Vault, użyj opcji wiersza poleceń [secrets_reload](/manual/concepts/server#runtime-control).

W przypadku frontend Zabbix buforowanie poświadczeń bazy danych jest domyślnie wyłączone, ale można je włączyć, ustawiając opcję ``$DB['VAULT_CACHE'] = true`` w pliku zabbix.conf.php. Poświadczenia będą przechowywane w lokalnej pamięci podręcznej z użyciem katalogu plików tymczasowych systemu plików. Serwer WWW musi zezwalać na zapis w prywatnym folderze tymczasowym (na przykład w przypadku Apache należy ustawić opcję konfiguracji ``PrivateTmp=True``). Aby kontrolować, jak często pamięć podręczna danych jest odświeżana/unieważniana, użyj stałej ZBX\_DATA\_CACHE\_TTL [constant](/manual/web_interface/definitions) .

[comment]: # ({/176cd8b3-44c0f649})

[comment]: # ({2922f25e-df569dd2})
## Konfiguracja TLS

Aby skonfigurować TLS dla komunikacji między komponentami Zabbix a sejfem, dodaj certyfikat podpisany przez urząd certyfikacji (CA) do systemowego domyślnego magazynu CA. 
Aby użyć innej lokalizacji, określ katalog w parametrze konfiguracyjnym SSLCALocation Zabbix [serwer](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy), 
umieść plik certyfikatu w tym katalogu, a następnie uruchom [polecenie](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) CLI:

    c_rehash .

[comment]: # ({/2922f25e-df569dd2})