Última revisão: maio de 2026
Construa os serviços da AWS do exame SC-900 com Terraform puro — um bloco de cada vez, cada um vinculado a um domínio do exame. O mesmo código funciona no OpenTofu.
Ao final deste laboratório, você terá provisionado, com Terraform puro, a linha de base de segurança fundamental SC-900 — um grupo de segurança do Microsoft Entra (a primitiva de identidade), um Key Vault com autorização RBAC, o CSPM Fundacional do Microsoft Defender for Cloud habilitado no escopo da assinatura, e um espaço de trabalho do Log Analytics recebendo a telemetria de segurança. Quatro blocos; a menor superfície realista de Segurança e Identidade da Microsoft.
Solte os trechos em um único main.tf, execute terraform init, e depois terraform apply passo a passo.
>= 1.5 ou OpenTofu >= 1.6.az login) — sua identidade conectada deve ter permissão para criar grupos Entra.azuread é necessário (separado de azurerm). Ele autentica no Microsoft Entra ID (o Microsoft Graph) usando a mesma sessão de az login.Tudo gratuito neste escopo:
O stack inteiro em inatividade custa aproximadamente R$0/mês. O laboratório SC-900 é o mais barato de todo este percurso — o objetivo é a fluência conceitual, não uma infraestrutura cara.
O SC-900 requer interação com o Microsoft Entra ID — separado do Azure RBAC, provedor Terraform separado. Fixamos tanto azurerm quanto azuread. Este último gerencia usuários Entra, grupos, registros de aplicativos e entidades de serviço; o primeiro gerencia assinaturas e recursos do Azure.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azuread_client_config" "current" {}
locals {
tags = {
Project = "certlabpro-sc-900"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-900-rg"
location = "eastus"
tags = local.tags
}Microsoft Entra ID (anteriormente Azure AD) é o serviço de identidade e acesso ao qual todos os produtos de nuvem da Microsoft se conectam. O primeiro domínio do SC-900 — Descrever os conceitos de segurança, conformidade e identidade — se apoia no Entra ID como base de identidade.
Um grupo de segurança é o contêiner canônico para conceder funções RBAC a muitos usuários de uma só vez. O exame testa este padrão de RBAC baseado em grupo como a resposta correta para escalar permissões para centenas de usuários: atribua funções a grupos, não a indivíduos.
A combinação security_enabled = true e mail_enabled = false cria um grupo apenas de segurança (sem caixa de correio compartilhada). Adicionar o usuário atual como proprietário significa que você pode gerenciar a associação via portal Entra após terraform apply.
resource "azuread_group" "security_admins" {
display_name = "certlabpro-sc-900-security-admins"
description = "Lab security admins group for the SC-900 walkthrough."
security_enabled = true
mail_enabled = false
owners = [
data.azuread_client_config.current.object_id,
]
}O SC-900 testa o padrão de separação de preocupações: segredos residem no Key Vault; o acesso é concedido a grupos Entra (não a usuários); a associação ao grupo é gerenciada na camada de identidade. Provisionamos um Key Vault com autorização RBAC e, em seguida, atribuímos Key Vault Secrets Officer ao grupo de segurança da Etapa 2.
Qualquer pessoa adicionada ao grupo security-admins herda automaticamente a permissão de gerenciamento de segredos. Compare com o modelo antigo de política de acesso, onde cada usuário era nomeado individualmente no cofre — o domínio Identificar os serviços básicos de identidade e tipos de identidade do Microsoft Entra ID do SC-900 destaca isso como o contraste entre RBAC moderno e superior à política.
resource "azurerm_key_vault" "main" {
name = "kv-sc900-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
tags = local.tags
lifecycle {
ignore_changes = [name] # name uses uuid() — keep the original on subsequent applies
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}
resource "azurerm_role_assignment" "kv_secrets_group" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Secrets Officer"
principal_id = azuread_group.security_admins.object_id
}A camada CSPM Fundacional do Defender for Cloud é sempre gratuita e inclui a avaliação Microsoft Cloud Security Benchmark — verificações automatizadas contra os controles CIS / NIST que a Microsoft portou para o Azure. O domínio Descrever os recursos das soluções de segurança da Microsoft do SC-900 aponta para isso como a primitiva de visibilidade de postura desde o primeiro dia.
Habilitamo-lo no escopo da assinatura e provisionamos um espaço de trabalho do Log Analytics onde quaisquer alertas/recomendações de segurança são direcionados para consultas KQL. Com as quatro primitivas em vigor (grupo Entra, Key Vault com RBAC, Defender CSPM, Log Analytics), a pilha fundamental do SC-900 está completa — identidade baseada em grupo → gerenciamento de segredos → monitoramento de postura → estrutura de auditoria.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc900"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free"
resource_type = "CloudPosture"
}terraform destroy derruba tudo. O grupo Entra é destruído instantaneamente; quaisquer atribuições RBAC que o referenciem já devem ter sido removidas (o Terraform lida com o gráfico de dependências). O Key Vault tem soft-delete de 7 dias; purge_soft_delete_on_destroy = true nas características do provedor realmente o purga.
O SC-900 abrange muitas superfícies de Segurança da Microsoft que este laboratório aborda apenas conceitualmente — Acesso Condicional (abordado no SC-100), Gerenciamento de Identidade Privilegiada (PIM), Proteção de Identidade, políticas de imposição de Autenticação Multifator, Microsoft Sentinel (abordado no SC-200), Microsoft Defender XDR (a visão unificada de incidentes em Defender for Identity / Endpoint / Office / Cloud Apps), Microsoft Purview (governança de dados + gerenciador de risco + conformidade), Gerenciamento de Risco Interno, eDiscovery, Conformidade de Comunicação e todo o centro de conformidade do Microsoft 365.
Nos apegamos às primitivas grupo Entra + Key Vault RBAC + Defender CSPM + Log Analytics porque elas são a base sobre a qual cada serviço de Segurança da Microsoft mais avançado se compõe. O Sentinel lê de espaços de trabalho do Log Analytics. O Acesso Condicional usa grupos Entra para atribuição de políticas. O Defender XDR enriquece os alertas do Defender for Cloud. O PIM eleva as associações a grupos Entra.
Para cobertura serviço a serviço, consulte as seções Navegar, Guia e Editorial desta página de certificação.