[comment]: # ({72ab9926-72ab9926})
# 13 Хранение секретов

[comment]: # ({/72ab9926-72ab9926})

[comment]: # ({efea1097-5a5d507b})
#### Обзор

Zabbix можно настроить на получение конфиденциальной информации из защищённого хранилища. Поддерживаются следующие службы управления секретами: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Секреты можно использовать для получения:

-   [значений пользовательских макросов](/manual/config/macros/secret_macros#vault-secret)
-   учётных данных доступа к базе данных

Zabbix предоставляет доступ только для чтения к секретам в хранилище, предполагая, что управление секретами выполняется кем-то другим.

[comment]: # ({/efea1097-5a5d507b})

[comment]: # ({0f1ca980-5cd2f0a1})
Информацию о настройке конкретного поставщика хранилища секретов см. в:

- [Настройка HashiCorp](/manual/config/secrets/hashicorp)
- [Настройка CyberArk](/manual/config/secrets/cyberark)

[comment]: # ({/0f1ca980-5cd2f0a1})

[comment]: # ({46b1c53a-44c0f649})
#### Кэширование значений секретов

По умолчанию значения секретных макросов хранилища извлекаются сервером Zabbix при каждом обновлении данных конфигурации, а затем сохраняются в кэше конфигурации. Прокси Zabbix получает значения секретных макросов хранилища от сервера Zabbix при каждой синхронизации конфигурации и сохраняет их в собственном кэше конфигурации. 

::: noteimportant
Между сервером Zabbix и прокси должно быть включено шифрование; в противном случае в журнал записывается предупреждающее сообщение сервера.
:::

Также можно [настроить](/manual/web_interface/frontend_sections/administration/general#other), чтобы значения макросов извлекались сервером Zabbix и прокси Zabbix независимо друг от друга.

Чтобы вручную запустить обновление кэшированных значений секретов из хранилища, используйте параметр командной строки 'secrets_reload' [option](/manual/concepts/server#runtime-control).

Для учетных данных базы данных веб-интерфейса Zabbix кэширование по умолчанию отключено, но его можно включить, установив параметр ``$DB['VAULT_CACHE'] = true`` в zabbix.conf.php. Учетные данные будут храниться в локальном кэше с использованием временного каталога файловой системы. Веб-сервер должен разрешать запись в приватную временную папку (например, для Apache должен быть установлен параметр конфигурации ``PrivateTmp=True``). Чтобы управлять частотой обновления/инвалидации кэша данных, используйте константу ZBX\_DATA\_CACHE\_TTL [constant](/manual/web_interface/definitions) .

[comment]: # ({/46b1c53a-44c0f649})

[comment]: # ({94f1101e-df569dd2})
#### Настройка TLS

Чтобы настроить TLS для обмена данными между компонентами Zabbix и хранилищем секретов, добавьте сертификат, подписанный центром сертификации (CA), в общесистемное хранилище доверенных сертификатов CA по умолчанию.  
Чтобы использовать другое расположение, укажите каталог в параметре конфигурации SSLCALocation Zabbix [server](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy), 
поместите файл сертификата в этот каталог, затем выполните [команду](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) CLI:

    c_rehash .

[comment]: # ({/94f1101e-df569dd2})