अंतिम समीक्षा: मई 2026
साधारण Terraform के साथ SC-900 परीक्षा के AWS संसाधनों को बनाएं — एक समय में एक ब्लॉक, प्रत्येक परीक्षा डोमेन से जुड़ा हुआ। यही कोड OpenTofu पर भी काम करता है।
इस लैब के अंत तक, आप सादे टेराफॉर्म के साथ SC-900 की मूलभूत सुरक्षा बेसलाइन को प्रोविज़न कर चुके होंगे — एक माइक्रोसॉफ्ट एंट्रा सुरक्षा समूह (पहचान आदिम), RBAC प्राधिकरण के साथ एक की वॉल्ट, सदस्यता दायरे में सक्षम माइक्रोसॉफ्ट डिफेंडर फॉर क्लाउड फाउंडेशनल CSPM, और सुरक्षा टेलीमेट्री प्राप्त करने वाला एक लॉग एनालिटिक्स वर्कस्पेस। चार ब्लॉक; सबसे छोटा यथार्थवादी माइक्रोसॉफ्ट सुरक्षा और पहचान सतह।
स्निपेट्स को एक ही main.tf में डालें, terraform init चलाएं, फिर terraform apply को चरण-दर-चरण चलाएं।
>= 1.5 या ओपनटोफू >= 1.6।az login) — आपकी साइन-इन पहचान के पास एंट्रा समूह बनाने की अनुमति होनी चाहिए।azuread टेराफॉर्म प्रदाता आवश्यक है (azurerm से अलग)। यह उसी az login सत्र का उपयोग करके माइक्रोसॉफ्ट एंट्रा आईडी (माइक्रोसॉफ्ट ग्राफ) से प्रमाणित करता है।इस दायरे में सब कुछ निःशुल्क है:
पूरी स्टैक ~$0/माह पर निष्क्रिय रहती है। SC-900 लैब इस पूरे पास में सबसे सस्ती है — लक्ष्य वैचारिक प्रवाह है, न कि महंगा बुनियादी ढाँचा।
SC-900 को माइक्रोसॉफ्ट एंट्रा आईडी के साथ इंटरैक्शन की आवश्यकता होती है — Azure RBAC से अलग, अलग टेराफॉर्म प्रदाता। हम azurerm और azuread दोनों को पिन करते हैं। बाद वाला एंट्रा उपयोगकर्ताओं, समूहों, ऐप पंजीकरणों और सेवा प्रिंसिपलों का प्रबंधन करता है; पूर्व वाला Azure सदस्यताओं और संसाधनों का प्रबंधन करता है।
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azuread_client_config" "current" {}
locals {
tags = {
Project = "certlabpro-sc-900"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-900-rg"
location = "eastus"
tags = local.tags
}माइक्रोसॉफ्ट एंट्रा आईडी (पूर्व में Azure AD) वह पहचान और पहुंच सेवा है जिससे हर माइक्रोसॉफ्ट क्लाउड उत्पाद जुड़ता है। SC-900 का पहला डोमेन — सुरक्षा, अनुपालन और पहचान की अवधारणाओं का वर्णन करें — पहचान के आधार के रूप में एंट्रा आईडी पर निर्भर करता है।
एक सुरक्षा समूह एक बार में कई उपयोगकर्ताओं को RBAC भूमिकाएं प्रदान करने के लिए एक मानक कंटेनर है। परीक्षा इस समूह-आधारित RBAC पैटर्न को सैकड़ों उपयोगकर्ताओं में अनुमतियों को बढ़ाने के लिए सही उत्तर के रूप में परीक्षण करती है: व्यक्तियों को नहीं, बल्कि समूहों को भूमिकाएं असाइन करें।
security_enabled = true और mail_enabled = false का संयोजन एक सुरक्षा-मात्र समूह (कोई साझा मेलबॉक्स नहीं) बनाता है। वर्तमान उपयोगकर्ता को स्वामी के रूप में जोड़ने का मतलब है कि आप terraform apply के बाद एंट्रा पोर्टल के माध्यम से सदस्यता का प्रबंधन कर सकते हैं।
resource "azuread_group" "security_admins" {
display_name = "certlabpro-sc-900-security-admins"
description = "Lab security admins group for the SC-900 walkthrough."
security_enabled = true
mail_enabled = false
owners = [
data.azuread_client_config.current.object_id,
]
}SC-900 चिंताओं के पृथक्करण पैटर्न का परीक्षण करता है: रहस्य की वॉल्ट में रहते हैं; पहुँच एंट्रा समूहों (उपयोगकर्ताओं को नहीं) को दी जाती है; समूह सदस्यता का प्रबंधन पहचान परत पर किया जाता है। हम RBAC प्राधिकरण के साथ एक की वॉल्ट प्रोविज़न करते हैं, फिर चरण 2 से सुरक्षा समूह को Key Vault Secrets Officer असाइन करते हैं।
सुरक्षा-प्रशासक समूह में जोड़े गए कोई भी व्यक्ति स्वचालित रूप से रहस्य-प्रबंधन अनुमति प्राप्त करता है। पुराने पहुँच नीति मॉडल से तुलना करें जहाँ प्रत्येक उपयोगकर्ता को वॉल्ट पर व्यक्तिगत रूप से नामित किया गया था — SC-900 का माइक्रोसॉफ्ट एंट्रा आईडी की मूल पहचान सेवाओं और पहचान प्रकारों को पहचानें डोमेन इसे RBAC-आधुनिक-नीति से बेहतर अंतर के रूप में इंगित करता है।
resource "azurerm_key_vault" "main" {
name = "kv-sc900-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
tags = local.tags
lifecycle {
ignore_changes = [name] # name uses uuid() — keep the original on subsequent applies
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}
resource "azurerm_role_assignment" "kv_secrets_group" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Secrets Officer"
principal_id = azuread_group.security_admins.object_id
}डिफेंडर फॉर क्लाउड का फाउंडेशनल CSPM टियर हमेशा मुफ्त होता है और इसमें माइक्रोसॉफ्ट क्लाउड सिक्योरिटी बेंचमार्क मूल्यांकन शामिल होता है — CIS / NIST नियंत्रणों के खिलाफ स्वचालित जाँचें जिन्हें माइक्रोसॉफ्ट ने Azure में पोर्ट किया है। SC-900 का माइक्रोसॉफ्ट सुरक्षा समाधानों की क्षमताओं का वर्णन करें डोमेन इसे पहले दिन की मुद्रा-दृश्यता आदिम के रूप में इंगित करता है।
हम इसे सदस्यता दायरे में सक्षम करते हैं और एक लॉग एनालिटिक्स वर्कस्पेस प्रोविज़न करते हैं जहाँ किसी भी सुरक्षा अलर्ट/सिफारिशें KQL क्वेरी के लिए उतरती हैं। चार आदिमों (एंट्रा समूह, RBAC के साथ की वॉल्ट, डिफेंडर CSPM, लॉग एनालिटिक्स) के साथ, SC-900 की मूलभूत स्टैक पूर्ण हो जाती है — समूह-आधारित पहचान → रहस्य प्रबंधन → मुद्रा निगरानी → ऑडिट फैब्रिक।
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc900"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free"
resource_type = "CloudPosture"
}terraform destroy सब कुछ हटा देता है। एंट्रा समूह तुरंत नष्ट हो जाता है; किसी भी RBAC असाइनमेंट को संदर्भित करने वाले पहले ही हटा दिए जाने चाहिए (टेराफॉर्म निर्भरता ग्राफ को संभालता है)। की वॉल्ट में 7-दिवसीय सॉफ्ट-डिलीट होता है; प्रदाता सुविधाओं में purge_soft_delete_on_destroy = true वास्तव में इसे हटा देता है।
SC-900 कई माइक्रोसॉफ्ट सुरक्षा सतहों को कवर करता है जिन्हें यह लैब केवल वैचारिक रूप से छूती है — कंडीशनल एक्सेस (SC-100 में शामिल), विशेषाधिकार प्राप्त पहचान प्रबंधन (PIM), पहचान सुरक्षा, मल्टी-फैक्टर प्रमाणीकरण प्रवर्तन नीतियां, माइक्रोसॉफ्ट सेंटिनल (SC-200 में शामिल), माइक्रोसॉफ्ट डिफेंडर XDR (आइडेंटिटी/एंडपॉइंट/ऑफिस/क्लाउड ऐप्स के लिए डिफेंडर में एकीकृत घटना दृश्य), माइक्रोसॉफ्ट परव्यू (डेटा गवर्नेंस + जोखिम + अनुपालन प्रबंधक), इनसाइडर रिस्क मैनेजमेंट, ईडिस्कवरी, कम्युनिकेशन कंप्लायंस, और पूरा माइक्रोसॉफ्ट 365 कंप्लायंस सेंटर।
हम एंट्रा समूह + की वॉल्ट RBAC + डिफेंडर CSPM + लॉग एनालिटिक्स आदिमों से जुड़े रहते हैं क्योंकि वे हर अधिक-उन्नत माइक्रोसॉफ्ट सुरक्षा सेवा के शीर्ष पर आधारित हैं। सेंटिनल लॉग एनालिटिक्स वर्कस्पेस से पढ़ता है। कंडीशनल एक्सेस नीति असाइनमेंट के लिए एंट्रा समूहों का उपयोग करता है। डिफेंडर XDR डिफेंडर फॉर क्लाउड अलर्ट को समृद्ध करता है। PIM एंट्रा समूह सदस्यताओं को बढ़ाता है।
सेवा-दर-सेवा कवरेज के लिए, इस प्रमाणपत्र पृष्ठ के ब्राउज़, मार्गदर्शिका, और Editorial अनुभाग देखें।