Последняя проверка: май 2026 г.
Разверните сервисы AWS для экзамена SC-900 с помощью чистого Terraform: пошаговое руководство с привязкой каждого блока к разделам экзамена. Код также совместим с OpenTofu.
К концу этой лабораторной работы вы предоставите, с помощью обычного Terraform, базовый уровень безопасности SC-900 — группу безопасности Microsoft Entra (основной примитив идентификации), Key Vault с авторизацией RBAC, Microsoft Defender for Cloud Foundational CSPM, включенный на уровне подписки, и рабочую область Log Analytics, получающую телеметрию безопасности. Четыре блока; наименьшая реалистичная поверхность безопасности и идентификации Microsoft.
Вставьте фрагменты кода в один файл main.tf, запустите terraform init, затем terraform apply пошагово.
>= 1.5 или OpenTofu >= 1.6.az login) — ваша вошедшая в систему учетная запись должна иметь разрешение на создание групп Entra.azuread Terraform (отдельно от azurerm). Он аутентифицируется в Microsoft Entra ID (Microsoft Graph), используя ту же сессию az login.Все бесплатно в рамках данного объема:
Вся стековая инфраструктура простаивает примерно за $0/месяц. Лаборатория SC-900 является самой дешевой в этом курсе — цель состоит в концептуальном понимании, а не в дорогостоящей инфраструктуре.
SC-900 требует взаимодействия с Microsoft Entra ID — отдельно от Azure RBAC, отдельный провайдер Terraform. Мы закрепляем как azurerm, так и azuread. Последний управляет пользователями, группами Entra, регистрациями приложений и субъектами-службами; первый управляет подписками и ресурсами Azure.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azuread_client_config" "current" {}
locals {
tags = {
Project = "certlabpro-sc-900"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-900-rg"
location = "eastus"
tags = local.tags
}Microsoft Entra ID (ранее Azure AD) — это служба управления идентификацией и доступом, к которой подключается каждый облачный продукт Microsoft. Первый домен SC-900 — Описание концепций безопасности, соответствия требованиям и идентификации — опирается на Entra ID как на основу идентификации.
Группа безопасности является каноническим контейнером для одновременного предоставления ролей RBAC многим пользователям. Экзамен проверяет этот шаблон RBAC на основе групп как правильный ответ для масштабирования разрешений на сотни пользователей: назначайте роли группам, а не отдельным лицам.
Комбинация security_enabled = true и mail_enabled = false создает группу только для безопасности (без общего почтового ящика). Добавление текущего пользователя в качестве владельца означает, что вы можете управлять членством через портал Entra после terraform apply.
resource "azuread_group" "security_admins" {
display_name = "certlabpro-sc-900-security-admins"
description = "Lab security admins group for the SC-900 walkthrough."
security_enabled = true
mail_enabled = false
owners = [
data.azuread_client_config.current.object_id,
]
}SC-900 проверяет шаблон разделения обязанностей: секреты хранятся в Key Vault; доступ предоставляется группам Entra (а не пользователям); членство в группах управляется на уровне идентификации. Мы развертываем Key Vault с авторизацией RBAC, а затем назначаем роль Key Vault Secrets Officer группе безопасности из Шага 2.
Любой, добавленный в группу security-admins, автоматически наследует разрешение на управление секретами. Сравните со старой моделью политики доступа, где каждый пользователь указывался индивидуально для хранилища — домен SC-900 Идентификация базовых служб идентификации и типов идентификации Microsoft Entra ID выделяет это как контраст между современным RBAC и устаревшей политикой.
resource "azurerm_key_vault" "main" {
name = "kv-sc900-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
tags = local.tags
lifecycle {
ignore_changes = [name] # name uses uuid() — keep the original on subsequent applies
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}
resource "azurerm_role_assignment" "kv_secrets_group" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Secrets Officer"
principal_id = azuread_group.security_admins.object_id
}Уровень Foundational CSPM в Defender for Cloud всегда бесплатен и включает оценку Microsoft Cloud Security Benchmark — автоматические проверки на соответствие элементам управления CIS / NIST, которые Microsoft перенесла в Azure. Домен SC-900 Описание возможностей решений безопасности Microsoft указывает на это как на базовый примитив для видимости состояния безопасности с первого дня.
Мы включаем его на уровне подписки и развертываем рабочую область Log Analytics, куда поступают любые оповещения/рекомендации по безопасности для KQL-запросов. С четырьмя установленными примитивами (группа Entra, Key Vault с RBAC, Defender CSPM, Log Analytics) базовый стек SC-900 завершен — идентификация на основе групп → управление секретами → мониторинг состояния → аудиторская инфраструктура.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc900"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free"
resource_type = "CloudPosture"
}terraform destroy удаляет все. Группа Entra уничтожается мгновенно; любые назначения RBAC, ссылающиеся на нее, должны быть уже удалены (Terraform обрабатывает граф зависимостей). Key Vault имеет 7-дневное мягкое удаление; purge_soft_delete_on_destroy = true в функциях провайдера фактически очищает его.
SC-900 охватывает множество аспектов безопасности Microsoft, которых эта лаборатория касается лишь концептуально — Условный доступ (рассматривается в SC-100), Управление привилегированными удостоверениями (PIM), Защита идентификации, Политики принудительной многофакторной аутентификации, Microsoft Sentinel (рассматривается в SC-200), Microsoft Defender XDR (единое представление инцидентов для Defender for Identity / Endpoint / Office / Cloud Apps), Microsoft Purview (управление данными + риски + менеджер соответствия), Управление внутренними рисками, eDiscovery, Соответствие требованиям коммуникаций и весь центр соответствия Microsoft 365.
Мы придерживаемся примитивов группа Entra + Key Vault RBAC + Defender CSPM + Log Analytics, потому что они являются основой, на которой строятся все более продвинутые службы безопасности Microsoft. Sentinel читает данные из рабочих областей Log Analytics. Условный доступ использует группы Entra для назначения политик. Defender XDR обогащает оповещения Defender for Cloud. PIM повышает членство в группах Entra.
Для подробного охвата по службам см. разделы Просмотр, Справочник и Editorial этой страницы сертификата.