[comment]: # ({72ab9926-72ab9926})
# 13. Хранение секретов

[comment]: # ({/72ab9926-72ab9926})

[comment]: # ({fdc00467-5a5d507b})
## Обзор

Zabbix можно настроить для извлечения конфиденциальной информации из защищённого хранилища. Поддерживаются следующие службы управления секретами: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Секреты можно использовать для извлечения:

- [значений пользовательских макросов](/manual/config/macros/secret_macros#секрет-хранилища)
- учётных данных для доступа к базам данных

Zabbix обеспечивает доступ только на чтение к секретам в Хранилище, предполагается, что секретами управляет кто-то другой.

[comment]: # ({/fdc00467-5a5d507b})

[comment]: # ({0f1ca980-5cd2f0a1})

Информацию о настройках конкретного поставщика хранилища смотрите в разделах:

- [Настройка HashiCorp](/manual/config/secrets/hashicorp)
- [Настройка CyberArk](/manual/config/secrets/cyberark)

[comment]: # ({/0f1ca980-5cd2f0a1})

[comment]: # ({176cd8b3-44c0f649})
## Кэширование значений секретов

Значения макросов секрета хранилища извлекаются сервером Zabbix при каждом обновлении данных конфигурации и затем хранятся в кэше конфигурации. Zabbix прокси получает значения макросов секрета хранилища от Zabbix сервера при каждой синхронизации конфигурации и сохраняет их в своём собственном кэше конфигурации.

::: noteimportant
Между Zabbix сервером и прокси должно быть включено шифрование; в противном случае в журнал вносится сообщение с предупреждением сервера.
:::

Чтообы вручную инициировать обновление закэшированных значений секретов из хранилища, используйте [опцию](/manual/concepts/server#управление-работой) командной строки «secrets\_reload».

Для учётных данных базы данных веб-интерфейса Zabbix кэширование по умолчанию отключено, но его можно включить, установив опцию ``$DB['VAULT_CACHE'] = true`` в zabbix.conf.php. Учётные данные будут сохранены в локальном кэше с использованием каталога временных файлов. Веб-сервер должен разрешать запись в приватную временную папку (например, для Apache должна быть установлена опция конфигурации ``PrivateTmp=True``). Для управления частотой обновления/аннулирования кэша данных используйте [константу](/manual/web_interface/definitions) ZBX\_DATA\_CACHE\_TTL.

[comment]: # ({/176cd8b3-44c0f649})

[comment]: # ({2922f25e-df569dd2})
## Настройка TLS

Чтобы настроить TLS для связи между компонентами Zabbix и хранилищем, добавьте сертификат, подписанный центром сертификации (certificate authority, CA), в системное хранилище CA по умолчанию. 
Чтобы использовать другое местоположение, укажите каталог в параметре конфигурации Zabbix [сервера](/manual/appendix/config/zabbix_server)/[прокси](/manual/appendix/config/zabbix_proxy) SSLCALocation, 
поместите файл сертификата в этот каталог, затем выполните следующую [команду \[en\]](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) CLI:

    c_rehash .

[comment]: # ({/2922f25e-df569dd2})