AWS Certified Advanced Networking Specialty
275 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
L'AWS Certified Advanced Networking Specialty (ANS-C01) est la certification la plus approfondie qu'AWS propose en matière de mise en réseau et est largement considérée comme l'une des certifications les plus difficiles parmi tous les fournisseurs de services cloud. Elle valide la capacité à concevoir, implémenter et exploiter des architectures réseau AWS complexes — y compris la connectivité hybride, le transit multirégional, le DNS avancé, les services de périphérie et la sécurité au niveau de la couche réseau. L'examen cible les ingénieurs réseau seniors, les architectes réseau cloud et les ingénieurs d'infrastructure ayant plusieurs années d'expérience AWS et en réseau traditionnel. Attendez-vous à des questions longues et basées sur des scénarios qui combinent VPC, Transit Gateway, Direct Connect, Route 53, CloudFront, Global Accelerator et Network Firewall de manières qui ont souvent une seule réponse objectivement correcte. ANS-C01 a été lancé en juillet 2022, remplaçant ANS-C00, et est conceptuel (pas de laboratoires pratiques).
Le domaine le plus vaste, à 30 %. Choix de topologie VPC, architectures en étoile avec Transit Gateway, modèles multirégionaux, sélection de connectivité hybride (Direct Connect vs. Site-to-Site VPN vs. Cloud WAN) et architecture DNS avec Route 53 Resolver. Teste le jugement architectural plus que la connaissance des services.
Configuration BGP sur Direct Connect et Site-to-Site VPN, tables de routage et propagation de Transit Gateway, peering VPC et PrivateLink, et déploiement IPv6. Difficulté courante : sélection nuancée du chemin BGP et AS-PATH prepending.
VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, Transit Gateway Network Manager et métriques CloudWatch pour la mise en réseau. Teste la fluidité opérationnelle pratique.
AWS Network Firewall, groupes de sécurité vs. NACLs, WAF, Shield, Resolver DNS Firewall et modèles d'inspection centralisée avec Gateway Load Balancer. Souvent oublié : la séquence précise de flux de trafic à travers les VPC d'inspection basés sur GWLB.
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
Réseau virtuel logiquement isolé avec des sous-réseaux, des tables de routage, des NACL, des groupes de sécurité, une passerelle Internet, une passerelle NAT et le peering de VPC comme blocs de construction.
Pourquoi il est à l'examen : Chaque scénario de Conception de réseau et d'Implémentation de réseau de l'ANS-C01 commence par la topologie VPC — le dimensionnement CIDR, les sous-réseaux multi-AZ et le ciblage des tables de routage sont les fondamentaux des questions.
Centre de transit réseau régional interconnectant des milliers de VPC et de réseaux sur site via des attachements et des tables de routage Transit Gateway, avec peering inter-régions.
Pourquoi il est à l'examen : Les questions de Conception de réseau sur le hub-and-spoke, la segmentation et le remplacement du peering VPC en maillage complet à l'échelle désignent Transit Gateway comme la réponse canonique.
Circuits privés dédiés de 1/10/100 Gbit/s vers AWS avec interfaces virtuelles privées, publiques et de transit, peering BGP, trames jumbo et Direct Connect Gateway pour une portée multi-régions.
Pourquoi il est à l'examen : L'Implémentation de réseau teste les compromis de connectivité hybride — Direct Connect vs VPN, le regroupement LAG, MACsec et la manipulation de chemin BGP sont des éléments essentiels de l'examen.
Tunnels IPsec (statiques ou BGP) se terminant sur une passerelle privée virtuelle ou un Transit Gateway pour le site-à-site ; endpoint managé basé sur OpenVPN avec authentification mTLS ou SAML pour Client VPN.
Pourquoi il est à l'examen : Les questions de connectivité hybride évaluent les choix de VPN de secours à Direct Connect, les tunnels groupés ECMP et les VPN accélérés — tous testés dans le cadre de l'Implémentation de réseau.
WAN global managé qui unifie les attachements VPC, Direct Connect, VPN et SD-WAN sous un seul réseau central avec segmentation et routage basés sur des politiques.
Pourquoi il est à l'examen : Les scénarios de Conception de réseau pour les topologies globales multi-régions citent de plus en plus Cloud WAN comme l'alternative moderne aux Transit Gateways assemblés avec le peering TGW.
DNS faisant autorité avec routage pondéré/latence/géolocalisation/failover plus le service Resolver qui exécute des endpoints entrants et sortants pour le DNS hybride entre les VPC et les réseaux sur site.
Pourquoi il est à l'examen : La résolution DNS hybride (règles de redirection, forwarders conditionnels, zones hébergées privées) est un modèle récurrent de Conception de réseau et d'Implémentation de réseau sur ANS-C01.
Connectivité privée entre les VPC, les services AWS et les réseaux sur site via des endpoints d'interface VPC (ENIs) et des endpoints de Gateway Load Balancer — maintient le trafic sur le backbone AWS.
Pourquoi il est à l'examen : Les questions de conception sur l'exposition de services entre comptes ou la suppression des chemins Internet publics vers les API AWS répondent à PrivateLink + endpoints VPC, avec des distinctions entre endpoints Gateway et Interface.
CDN global avec plus de 600 points de présence, basculement d'origine, origines personnalisées (S3, ALB, MediaPackage), CloudFront Functions / Lambda@Edge pour la manipulation des requêtes/réponses et chiffrement au niveau des champs.
Pourquoi il est à l'examen : Les scénarios de livraison en périphérie dans le cadre de la Conception de réseau — protection d'origine, URL signées, CloudFront vers origine privée via OAC et sélection de POP — sont fortement testés.
Trois types de répartiteurs de charge L4/L7 : ALB pour le routage HTTP(S) et l'intégration WAF, NLB pour le L4 à latence ultra-faible et les adresses IP statiques, GWLB pour l'insertion de flottes d'appliances transparentes via GENEVE.
Pourquoi il est à l'examen : Choisir ALB vs NLB pour le protocole/l'échelle, et GWLB pour l'insertion de pare-feu en ligne, est l'un des modèles de distracteurs les plus courants de l'Implémentation de réseau à l'examen.
Points d'entrée IP Anycast qui empruntent le backbone global d'AWS vers le point de terminaison régional sain le plus proche (ALB, NLB, EC2 ou Elastic IP), avec basculement en moins d'une minute et contrôles de cadran de trafic.
Pourquoi il est à l'examen : Les questions de Conception de réseau distinguant Global Accelerator (TCP/UDP en L4, adresses IP statiques anycast) de CloudFront (mise en cache HTTP en L7) sont un classique de l'examen.
Pare-feu d'état managé avec groupes de règles compatibles Suricata, inspection approfondie des paquets, inspection TLS et déploiement centralisé via Firewall Manager.
Pourquoi il est à l'examen : Les modèles d'inspection est-ouest et de sortie dans le cadre de la Sécurité de réseau citent Network Firewall comme l'alternative managée aux appliances auto-hébergées derrière GWLB.
Pare-feu d'application web L7 s'attachant à CloudFront, ALB, API Gateway, AppSync ou App Runner — groupes de règles managés, limitation de débit, contrôle des bots et CAPTCHA.
Pourquoi il est à l'examen : Les questions de Sécurité de réseau sur l'atténuation de l'OWASP Top-10, la limitation de débit au niveau application et la gestion des bots en périphérie désignent WAF comme la réponse.
Protection DDoS de niveau abonnement avec la Shield Response Team (SRT), atténuations L3/L4/L7, remboursements de protection des coûts pour la mise à l'échelle sous attaque et tableaux de bord des menaces globales.
Pourquoi il est à l'examen : Le Domaine 4 (Sécurité, conformité et gouvernance de réseau) teste Shield Advanced pour la résilience DDoS soutenue sur CloudFront, Route 53, Global Accelerator et ELB exposés à Internet.
API REST / HTTP / WebSocket avec la variante d'endpoint privé exposée uniquement via des endpoints d'interface VPC, plus des politiques de ressources pour restreindre les appelants par VPC, compte ou adresse IP source.
Pourquoi il est à l'examen : L'exposition d'API internes à d'autres comptes ou sur site sans sortie Internet est un scénario de Conception de réseau qui repose sur le câblage d'API Gateway privé + PrivateLink.
Les Flow Logs capturent les métadonnées de 5-tuple pour le trafic accepté/rejeté vers CloudWatch Logs, S3 ou Kinesis Data Firehose ; le Traffic Mirroring copie les flux de paquets L2 complets des ENIs vers un NLB ou ENI cible pour l'IDS / la forensique.
Pourquoi il est à l'examen : Les questions de Gestion et opérations de réseau sur le dépannage de la joignabilité et sur la forensique au niveau des paquets distinguent les Flow Logs (métadonnées) du Traffic Mirroring (charge utile complète).
Plan de contrôle de maillage de services basé sur Envoy avec politiques de trafic est-ouest, tentatives et observabilité ; Cloud Map fournit le registre de découverte de services sous-jacent (DNS ou API).
Pourquoi il est à l'examen : Les questions de conception de réseau de microservices sur la mise en forme du trafic, les déploiements canary et la découverte de services à travers les flottes ECS/EKS/EC2 citent App Mesh + Cloud Map comme la réponse native AWS.
Utilisateurs/rôles/politiques IAM plus politiques basées sur les ressources sur les endpoints VPC, Transit Gateway et les règles Route 53 Resolver ; AWS Resource Access Manager (RAM) partage les sous-réseaux, les TGWs et les règles de résolveur entre les comptes.
Pourquoi il est à l'examen : Les questions de gouvernance du Domaine 4 sur le partage de VPC entre comptes, les principaux de service d'endpoint et le moindre privilège pour les administrateurs réseau s'ancrent à IAM + RAM.
Clés cryptographiques managées utilisées pour chiffrer les Flow Logs livrés à S3, les secrets derrière les clés pré-partagées du VPN Site-to-Site, les clés MACsec pour Direct Connect et les clés de chiffrement au niveau des champs CloudFront.
Pourquoi il est à l'examen : Les scénarios de conformité du Domaine 4 citent KMS comme la réponse pour chiffrer la télémétrie réseau capturée au repos et faire pivoter les PSKs / CKNs MACsec sans interruption de service.
Console et API monopanneau pour Transit Gateway, Cloud WAN, Direct Connect et les partenaires SD-WAN — événements, analyse de routage, intégration de Network Access Analyzer et visualisation de topologie.
Pourquoi il est à l'examen : Les questions de Gestion et opérations de réseau sur la visualisation de topologie globale, l'analyseur de routage et la détection proactive d'événements désignent Network Manager comme la surface d'opérations.
Journal d'audit à l'échelle du compte de chaque appel d'API du plan de contrôle réseau — qui a attaché un TGW, qui a modifié une table de routage, qui a créé une connexion de peering.
Pourquoi il est à l'examen : Les questions de conformité du Domaine 4 citent CloudTrail comme l'enregistrement immuable nécessaire pour l'attribution des changements sur les VPC, les TGW, les groupes de sécurité et les règles Resolver.
$135k–$190k–$280k USD annuel
Cette fourchette couvre les postes d'ingénierie réseau cloud de niveau intermédiaire à senior basés aux États-Unis, où la maîtrise d'AWS est requise. Les services financiers de premier ordre, les FAANG et les équipes centrales des grandes entreprises dépassent fréquemment les 330k USD en rémunération totale. Les titres d'"ingénieur réseau" débutants sur les marchés non côtiers se situent en dessous de l'extrémité inférieure de la fourchette. La spécialité en réseau avancé commande systématiquement une prime car le bassin de candidats est restreint.
Source : Rôles d'ingénieur réseau cloud levels.fyi 2025–2026, U.S. BLS OEWS mai 2024 (15-1241 architectes de réseaux informatiques, 15-1244 architectes de réseaux et systèmes informatiques). Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
Le réseautage Cloud est l'un des domaines de spécialité plus petits mais les plus rémunérateurs en matière d'embauche AWS. La demande est concentrée dans les grandes entreprises, les services financiers, les industries réglementées et les entreprises SaaS cloud-native dotées d'architectures multirégionales ou hybrides complexes. Les recruteurs utilisent l'ANS-C01 comme un signal crédible qu'un candidat peut concevoir et exploiter des réseaux AWS non triviaux — le bassin de candidats ayant à la fois une connaissance approfondie d'AWS et une maîtrise de BGP/DNS est réellement restreint. Elle s'associe naturellement avec SAA-C03 ou SAP-C02 et avec la certification Security Specialty (SCS-C03) pour les rôles d'infrastructure senior. La certification NE qualifie PAS à elle seule les candidats pour des postes de niveau architecte en chef ; ceux-ci exigent une expérience plus large en conception de systèmes et en leadership.
Il n'y a pas de prérequis formels. AWS recommande au moins 5 ans d'expérience en réseautage (y compris la mise en réseau de production pratique avec le routage et la commutation), et au moins 2 ans d'expérience pratique avec AWS.
La plupart des candidats abordent ANS-C01 après SAA-C03 ou SAP-C02 pour les bases architecturales AWS. L'écart le plus difficile à combler est la profondeur en réseau traditionnel : les candidats sans solides connaissances en BGP, OSPF, IPSec et DNS devraient s'attendre à une étude supplémentaire substantielle, car l'examen suppose une maîtrise de base du réseau bien au-delà de ce que les examens d'associé testent. Une simulation personnelle fonctionnelle de Direct Connect (utilisant Site-to-Site VPN avec BGP), un laboratoire Transit Gateway multirégional et la construction d'un VPC d'inspection avec Gateway Load Balancer sont les artefacts de préparation à plus fort retour sur investissement.
ANS-C01 est classé Spécialité et est largement considéré comme l'un des examens AWS les plus difficiles. Prévoyez 100 à 160 heures sur 12 à 16 semaines pour les candidats ayant de solides antécédents en réseau traditionnel et une expérience AWS ; 200 à 280+ heures pour les candidats à qui il manque l'une de ces bases. L'examen comporte 65 questions notées en 170 minutes — à choix multiples et à réponses multiples, sans laboratoires. La pression du temps est réelle car la lecture et le traçage des diagrammes réseau dans les questions de scénario sont lents.
Les difficultés courantes incluent le comportement nuancé de BGP sur Direct Connect (LOCAL_PREF, AS_PATH, MED, communities), la propagation vs. l'association des tables de routage de Transit Gateway, les cas limites de résolution DNS hybride impliquant les points de terminaison entrants et sortants de Route 53 Resolver, et les flux de trafic d'inspection centralisée avec Gateway Load Balancer. Les interactions subtiles des politiques PrivateLink et des points de terminaison VPC sont également récurrentes.
Version actuelle. Couverture modernisée de Transit Gateway, Cloud WAN, Network Firewall, Gateway Load Balancer et des modèles DNS hybrides modernes. A remplacé ANS-C00.
Spécialité Réseau Avancée originale. Retirée en 2022 ; époque pré-maturité de Transit Gateway.
ANS-C01 (AWS Certified Advanced Networking Specialty) est un examen de niveau Specialty un examen profondément spécialisé couvrant des sujets avancés dans un domaine étroit — attendez-vous à ce que l'expérience pratique soit un prérequis. La plupart des candidats ont besoin de 100 à 200 heures d'étude réparties sur 2 à 4 mois pour les examens de spécialité. Ceux-ci supposent une expérience pratique dans le domaine de spécialité. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 100 à 200 heures d'étude réparties sur 2 à 4 mois pour les examens de spécialité. Ceux-ci supposent une expérience pratique dans le domaine de spécialité. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
ANS-C01 est une certification reconnue dans l'écosystème AWS et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec AWS ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le ANS-C01 est de 750 / 1000. L'examen contient 65 questions et dure 2 h 50 min.
Les frais d'examen ANS-C01 sont de $300 USD. Les frais sont fixés par AWS et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de AWS avant de réserver.
Les certifications AWS sont valides pendant 3 ans. Recertifiez-vous en réussissant la version actuelle du même examen, ou en réussissant un examen de niveau supérieur dans le même parcours avant l'expiration.
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le ANS-C01. Le mode de simulation d'examen reproduit l'examen réel : 65 questions en 2 h 50 min, avec le même seuil de réussite de 750 / 1000. Le mode navigation vous permet de lire chaque Q&A de manière statique.