Última revisión: mayo de 2026
Crea los servicios de AWS del examen SC-900 con Terraform puro: bloque a bloque, cada uno vinculado a un dominio del examen. El mismo código funciona en OpenTofu.
Al final de este laboratorio, habrás aprovisionado, con Terraform puro, la línea base de seguridad fundamental SC-900: un grupo de seguridad de Microsoft Entra (la primitiva de identidad), un Key Vault con autorización RBAC, Microsoft Defender for Cloud Foundational CSPM habilitado a nivel de suscripción, y un espacio de trabajo de Log Analytics que recibe la telemetría de seguridad. Cuatro bloques; la superficie de seguridad e identidad de Microsoft más pequeña y realista.
Coloca los fragmentos en un único main.tf, ejecuta terraform init, luego terraform apply paso a paso.
>= 1.5 o OpenTofu >= 1.6.az login) — tu identidad iniciada debe tener permiso para crear grupos Entra.azuread (separado de azurerm). Se autentica en Microsoft Entra ID (Microsoft Graph) utilizando la misma sesión de az login.Todo gratis en este ámbito:
Todo el stack inactivo cuesta ~$0/mes. El laboratorio SC-900 es el más barato de todo este pase — el objetivo es la fluidez conceptual, no la infraestructura costosa.
SC-900 requiere interacción con Microsoft Entra ID — separado de Azure RBAC, con un proveedor de Terraform diferente. Fijamos tanto azurerm como azuread. Este último gestiona usuarios, grupos, registros de aplicaciones y entidades de servicio de Entra; el primero gestiona suscripciones y recursos de Azure.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azuread_client_config" "current" {}
locals {
tags = {
Project = "certlabpro-sc-900"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-900-rg"
location = "eastus"
tags = local.tags
}Microsoft Entra ID (anteriormente Azure AD) es el servicio de identidad y acceso al que se conectan todos los productos en la nube de Microsoft. El primer dominio del SC-900 — Describir los conceptos de seguridad, cumplimiento e identidad — se apoya en Entra ID como base de la identidad.
Un grupo de seguridad es el contenedor canónico para otorgar roles RBAC a muchos usuarios a la vez. El examen evalúa este patrón de RBAC basado en grupos como la respuesta correcta para escalar permisos a cientos de usuarios: asignar roles a grupos, no a individuos.
La combinación security_enabled = true y mail_enabled = false crea un grupo solo de seguridad (sin buzón compartido). Añadir al usuario actual como propietario significa que puedes gestionar la membresía a través del portal de Entra después de terraform apply.
resource "azuread_group" "security_admins" {
display_name = "certlabpro-sc-900-security-admins"
description = "Lab security admins group for the SC-900 walkthrough."
security_enabled = true
mail_enabled = false
owners = [
data.azuread_client_config.current.object_id,
]
}SC-900 evalúa el patrón de separación de preocupaciones: los secretos residen en Key Vault; el acceso se concede a grupos de Entra (no a usuarios); la membresía del grupo se gestiona en la capa de identidad. Aprovisionamos un Key Vault con autorización RBAC, luego asignamos "Key Vault Secrets Officer" al grupo de seguridad del Paso 2.
Cualquier persona añadida al grupo de administradores de seguridad hereda automáticamente el permiso de gestión de secretos. Compárese con el modelo anterior de política de acceso donde cada usuario era nombrado individualmente en el almacén — el dominio del SC-900 Identificar los servicios de identidad básicos y los tipos de identidad de Microsoft Entra ID señala esto como el contraste de RBAC moderno y mejor que la política.
resource "azurerm_key_vault" "main" {
name = "kv-sc900-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
tags = local.tags
lifecycle {
ignore_changes = [name] # name uses uuid() — keep the original on subsequent applies
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}
resource "azurerm_role_assignment" "kv_secrets_group" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Secrets Officer"
principal_id = azuread_group.security_admins.object_id
}El nivel Foundational CSPM de Defender for Cloud es siempre gratuito e incluye la evaluación Microsoft Cloud Security Benchmark — verificaciones automatizadas contra los controles CIS / NIST que Microsoft ha portado a Azure. El dominio del SC-900 Describir las capacidades de las soluciones de seguridad de Microsoft lo señala como la primitiva de visibilidad de postura para el primer día.
Lo habilitamos a nivel de suscripción y aprovisionamos un espacio de trabajo de Log Analytics donde aterrizan las alertas / recomendaciones de seguridad para consultas KQL. Con las cuatro primitivas en su lugar (grupo Entra, Key Vault con RBAC, Defender CSPM, Log Analytics), el stack fundamental SC-900 está completo — identidad basada en grupos → gestión de secretos → monitorización de postura → tejido de auditoría.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc900"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free"
resource_type = "CloudPosture"
}terraform destroy derriba todo. El grupo Entra se destruye instantáneamente; cualquier asignación RBAC que lo referencie debe haber sido eliminada previamente (Terraform maneja el grafo de dependencias). Key Vault tiene una eliminación suave de 7 días; purge_soft_delete_on_destroy = true en las características del proveedor lo purga realmente.
SC-900 cubre muchas superficies de seguridad de Microsoft que este laboratorio solo aborda conceptualmente — Acceso Condicional (cubierto en SC-100), Administración de Identidades Privilegiadas (PIM), Protección de Identidades, políticas de aplicación de Autenticación Multifactor, Microsoft Sentinel (cubierto en SC-200), Microsoft Defender XDR (la vista unificada de incidentes en Defender for Identity / Endpoint / Office / Cloud Apps), Microsoft Purview (gestión de datos + riesgo + gestor de cumplimiento), Gestión de Riesgos Internos, eDiscovery, Cumplimiento de Comunicaciones y todo el centro de cumplimiento de Microsoft 365.
Nos apegamos a las primitivas de grupo Entra + Key Vault RBAC + Defender CSPM + Log Analytics porque son la base sobre la que se construyen todos los servicios de seguridad de Microsoft más avanzados. Sentinel lee desde espacios de trabajo de Log Analytics. El Acceso Condicional utiliza grupos de Entra para la asignación de políticas. Defender XDR enriquece las alertas de Defender for Cloud. PIM eleva las membresías de los grupos de Entra.
Para una cobertura servicio por servicio, consulta las secciones Buscar, Manual y Editorial de esta página de certificación.