Dernière révision : mai 2026
Configurez les services AWS figurant à l'examen SC-900 avec Terraform simple — un bloc à la fois, chacun étant lié à un domaine de l'examen. Le même code fonctionne sur OpenTofu.
À la fin de ce laboratoire, vous aurez provisionné, avec du Terraform simple, la base de sécurité fondamentale SC-900 — un groupe de sécurité Microsoft Entra (la primitive d'identité), un Key Vault avec autorisation RBAC, Microsoft Defender for Cloud Foundational CSPM activé au niveau de l'abonnement, et un espace de travail Log Analytics recevant la télémétrie de sécurité. Quatre blocs ; la plus petite surface de sécurité et d'identité Microsoft réaliste.
Déposez les extraits dans un unique main.tf, exécutez terraform init, puis terraform apply étape par étape.
>= 1.5 ou OpenTofu >= 1.6.az login) — votre identité connectée doit avoir la permission de créer des groupes Entra.azuread est requis (séparé d' azurerm). Il s'authentifie auprès de Microsoft Entra ID (le Microsoft Graph) en utilisant la même session az login.Tout est gratuit à cette échelle :
L'ensemble de la pile reste à environ 0 $/mois. Le laboratoire SC-900 est le moins cher de tout ce parcours — l'objectif est la maîtrise conceptuelle, et non une infrastructure coûteuse.
SC-900 nécessite une interaction avec Microsoft Entra ID — séparée d'Azure RBAC, un fournisseur Terraform séparé. Nous épinglons à la fois azurerm et azuread. Ce dernier gère les utilisateurs, les groupes, les enregistrements d'applications et les principaux de service Entra ; le premier gère les abonnements et les ressources Azure.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azuread_client_config" "current" {}
locals {
tags = {
Project = "certlabpro-sc-900"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-900-rg"
location = "eastus"
tags = local.tags
}Microsoft Entra ID (anciennement Azure AD) est le service d'identité et d'accès auquel tous les produits cloud Microsoft se connectent. Le premier domaine de SC-900 — Décrire les concepts de sécurité, de conformité et d'identité — s'appuie sur Entra ID comme fondement de l'identité.
Un groupe de sécurité est le conteneur canonique pour accorder des rôles RBAC à de nombreux utilisateurs à la fois. L'examen teste ce modèle RBAC basé sur les groupes comme la bonne réponse à la mise à l'échelle des permissions pour des centaines d'utilisateurs : attribuez des rôles aux groupes, pas aux individus.
La combinaison security_enabled = true et mail_enabled = false crée un groupe de sécurité uniquement (pas de boîte aux lettres partagée). L'ajout de l'utilisateur actuel en tant que propriétaire signifie que vous pouvez gérer l'appartenance via le portail Entra après terraform apply.
resource "azuread_group" "security_admins" {
display_name = "certlabpro-sc-900-security-admins"
description = "Lab security admins group for the SC-900 walkthrough."
security_enabled = true
mail_enabled = false
owners = [
data.azuread_client_config.current.object_id,
]
}SC-900 teste le modèle de séparation des préoccupations : les secrets résident dans Key Vault ; l'accès est accordé aux groupes Entra (et non aux utilisateurs) ; l'appartenance aux groupes est gérée au niveau de l'identité. Nous provisionnons un Key Vault avec autorisation RBAC, puis assignons Key Vault Secrets Officer au groupe de sécurité de l'étape 2.
Toute personne ajoutée au groupe d'administrateurs de sécurité hérite automatiquement de la permission de gestion des secrets. Comparez à l'ancien modèle de politique d'accès où chaque utilisateur était nommé individuellement sur le coffre — le domaine SC-900 Identifier les services d'identité de base et les types d'identité de Microsoft Entra ID met en évidence ce contraste entre le RBAC moderne et supérieur à la politique.
resource "azurerm_key_vault" "main" {
name = "kv-sc900-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
tags = local.tags
lifecycle {
ignore_changes = [name] # name uses uuid() — keep the original on subsequent applies
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}
resource "azurerm_role_assignment" "kv_secrets_group" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Secrets Officer"
principal_id = azuread_group.security_admins.object_id
}Le niveau Foundational CSPM de Defender for Cloud est toujours gratuit et comprend l'évaluation Microsoft Cloud Security Benchmark — des vérifications automatisées par rapport aux contrôles CIS / NIST que Microsoft a portés dans Azure. Le domaine SC-900 Décrire les capacités des solutions de sécurité Microsoft le désigne comme la primitive de visibilité de la posture dès le premier jour.
Nous l'activons au niveau de l'abonnement et provisionnons un espace de travail Log Analytics où toutes les alertes / recommandations de sécurité atterrissent pour les requêtes KQL. Avec les quatre primitives en place (groupe Entra, Key Vault avec RBAC, Defender CSPM, Log Analytics), la pile fondamentale SC-900 est complète — identité basée sur les groupes → gestion des secrets → surveillance de la posture → tissu d'audit.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc900"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free"
resource_type = "CloudPosture"
}terraform destroy détruit tout. Le groupe Entra est détruit instantanément ; toute attribution RBAC qui y fait référence doit déjà être supprimée (Terraform gère le graphe de dépendance). Key Vault a une suppression douce de 7 jours ; purge_soft_delete_on_destroy = true dans les fonctionnalités du fournisseur le purge effectivement.
SC-900 couvre de nombreuses surfaces de sécurité Microsoft que ce laboratoire n'aborde que de manière conceptuelle — Accès conditionnel (couvert par SC-100), Gestion des identités privilégiées (PIM), Protection de l'identité, politiques d'application de l'authentification multifacteur, Microsoft Sentinel (couvert par SC-200), Microsoft Defender XDR (la vue unifiée des incidents entre Defender for Identity / Endpoint / Office / Cloud Apps), Microsoft Purview (gouvernance des données + gestion des risques + conformité), Gestion des risques internes, eDiscovery, Conformité des communications, et l'intégralité du centre de conformité Microsoft 365.
Nous nous en tenons aux primitives groupe Entra + Key Vault RBAC + Defender CSPM + Log Analytics car elles constituent la base sur laquelle se composent tous les services de sécurité Microsoft plus avancés. Sentinel lit les espaces de travail Log Analytics. L'Accès conditionnel utilise les groupes Entra pour l'attribution des politiques. Defender XDR enrichit les alertes Defender for Cloud. PIM élève les appartenances aux groupes Entra.
Pour une couverture service par service, consultez les sections Parcourir, Guide et Editorial de cette page de certification.