[comment]: # ({72ab9926-72ab9926}) # 13 Armazenamento de segredos [comment]: # ({/72ab9926-72ab9926}) [comment]: # ({efea1097-5a5d507b}) #### Visão geral O Zabbix pode ser configurado para recuperar informações sensíveis de um cofre seguro. Os seguintes serviços de gerenciamento de segredos são suportados: HashiCorp Vault KV Secrets Engine - Versão 2, CyberArk Vault CV12. Os segredos podem ser usados para recuperar: - [valores de macro de usuário](/manual/config/macros/secret_macros#vault-secret) - credenciais de acesso ao banco de dados O Zabbix fornece acesso somente leitura aos segredos em um cofre, assumindo que os segredos sejam gerenciados por outra pessoa. [comment]: # ({/efea1097-5a5d507b}) [comment]: # ({0f1ca980-5cd2f0a1}) Para obter informações sobre a configuração de um provedor de cofre específico, consulte: - [Configuração do HashiCorp](/manual/config/secrets/hashicorp) - [Configuração do CyberArk](/manual/config/secrets/cyberark) [comment]: # ({/0f1ca980-5cd2f0a1}) [comment]: # ({46b1c53a-44c0f649}) #### Cache de valores secretos Por padrão, os valores de macros secretas do vault são recuperados pelo Zabbix server a cada atualização dos dados de configuração e, em seguida, armazenados no cache de configuração. O Zabbix proxy recebe os valores das macros secretas do vault do Zabbix server em cada sincronização de configuração e os armazena em seu próprio cache de configuração. ::: noteimportant A criptografia deve estar habilitada entre o Zabbix server e o proxy; caso contrário, uma mensagem de aviso do server será registrada. ::: Também é possível [configurar](/manual/web_interface/frontend_sections/administration/general#other) para que os valores das macros sejam recuperados pelo Zabbix server e pelo Zabbix proxy de forma independente. Para acionar manualmente a atualização dos valores secretos em cache a partir de um vault, use a [opção](/manual/concepts/server#runtime-control) de linha de comando 'secrets_reload'. Para as credenciais de banco de dados do Zabbix frontend, o cache é desabilitado por padrão, mas pode ser habilitado definindo a opção ``$DB['VAULT_CACHE'] = true`` em zabbix.conf.php. As credenciais serão armazenadas em um cache local usando o diretório de arquivos temporários do sistema de arquivos. O servidor web deve permitir gravação em uma pasta temporária privada (por exemplo, para o Apache, a opção de configuração ``PrivateTmp=True`` deve ser definida). Para controlar com que frequência o cache de dados é atualizado/invalido, use a [constante](/manual/web_interface/definitions) ZBX\_DATA\_CACHE\_TTL. [comment]: # ({/46b1c53a-44c0f649}) [comment]: # ({94f1101e-df569dd2}) #### Configuração do TLS Para configurar o TLS para comunicação entre os componentes do Zabbix e o vault, adicione um certificado assinado por uma autoridade certificadora (CA) ao repositório padrão de CA do sistema. Para usar outro local, especifique o diretório no parâmetro de configuração SSLCALocation do Zabbix [server](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy), coloque o arquivo de certificado dentro desse diretório e execute o [comando](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) CLI: c_rehash . [comment]: # ({/94f1101e-df569dd2})