Guide

Connectivité maillée complète pour de nombreux VPC, certains avec des CIDR superposés.

→Déployez Transit Gateway. Corrigez les CIDR superposés en ajoutant des blocs CIDR secondaires uniques aux VPC affectés.

Pourquoi: Transit Gateway fournit un routage transitif et évolutif mais ne peut pas router entre des plages d'adresses IP superposées. Une correction IP est nécessaire.

Connectivité hybride à haut débit, faible latence et résiliente.

→Provisionnez deux connexions Direct Connect dédiées à deux emplacements Direct Connect différents.

Pourquoi: L'utilisation de deux emplacements différents protège contre les pannes au niveau de l'emplacement (coupures de fibre, pannes de courant), offrant une résilience maximale. Un emplacement unique, même avec plusieurs connexions, est un point de défaillance unique.

Résolution DNS bidirectionnelle entre les zones hébergées privées sur site et AWS.

→Utilisez Route 53 Resolver. Créez des points d'entrée entrants (Inbound Endpoints) pour que les serveurs sur site puissent interroger AWS. Créez des points d'entrée sortants (Outbound Endpoints) avec des règles de redirection pour qu'AWS puisse interroger les serveurs sur site.

Pourquoi: Les points d'entrée entrants fournissent des adresses IP accessibles pour les redirecteurs DNS sur site. Les points d'entrée sortants permettent la redirection conditionnelle depuis le VPC. Le résolveur par défaut du VPC (VPC+2) n'est pas accessible depuis le site.

Fournir un accès au niveau du service entre deux VPC sans créer de routes de couche réseau.

→Utilisez AWS PrivateLink. Créez un service de point de terminaison de VPC (soutenu par un NLB) dans le VPC du fournisseur et un point de terminaison de VPC d'interface dans le VPC du consommateur.

Pourquoi: PrivateLink fournit une connectivité unidirectionnelle et spécifique au service en utilisant des ENI dans le VPC du consommateur, évitant complètement les problèmes de routage au niveau du réseau et de chevauchement de CIDR.

Fournir un accès Internet uniquement sortant pour les instances compatibles IPv6 dans les sous-réseaux privés.

→Créez une passerelle Internet uniquement sortante (Egress-Only Internet Gateway - EIGW) et ajoutez une route pour `::/0` à la table de routage du sous-réseau privé pointant vers l'EIGW.

Pourquoi: Une EIGW est stateful pour les connexions IPv6 sortantes, autorisant le trafic de retour mais empêchant les connexions entrantes non sollicitées, analogiquement à une passerelle NAT mais pour IPv6.

Inspecter tout le trafic inter-VPC à l'aide d'AWS Network Firewall dans un modèle centralisé avec Transit Gateway.

→Créez un VPC d'inspection dédié avec Network Firewall. Configurez les tables de routage TGW pour envoyer tout le trafic inter-VPC au VPC d'inspection. Au sein du VPC d'inspection, les tables de routage doivent diriger le trafic via les points de terminaison NFW pour un routage symétrique.

Pourquoi: Cette architecture nécessite un routage minutieux : le TGW envoie le trafic au VPC d'inspection ; les tables de routage du VPC l'envoient au point de terminaison du pare-feu ; le pare-feu le renvoie à l'ENI d'attachement du TGW ; le TGW le route vers la destination finale.

Segmenter les VPC (par exemple, prod vs. dev) à l'aide de Transit Gateway, tout en permettant aux deux d'accéder à un VPC de services partagés.

→Utilisez plusieurs tables de routage Transit Gateway. Créez une table de routage pour chaque segment (prod, dev, partagé). Associez les VPC à leurs tables respectives. Propager les routes pour créer une topologie en étoile où les spokes ne peuvent voir que le hub.

Pourquoi: Les associations et propagations de tables de routage TGW sont le principal mécanisme de segmentation réseau et d'isolation du trafic au niveau de la couche réseau.

Réduire la latence pour une application globale dynamique et non cacheable (par exemple, API, jeux) hébergée dans une seule région.

→Utilisez AWS Global Accelerator. Il fournit des adresses IP anycast qui acheminent les utilisateurs vers le point d'accès AWS le plus proche, puis le trafic traverse le réseau dorsal AWS optimisé jusqu'à l'origine.

Pourquoi: Global Accelerator optimise le "premier kilomètre" et le "kilomètre médian" sur le réseau AWS, réduisant la latence et la gigue pour le trafic TCP/UDP. CloudFront est mieux adapté au contenu cacheable.

Fournir un accès privé depuis un VPC à S3 et DynamoDB sans traverser Internet.

→Créez des points de terminaison de VPC de passerelle pour S3 et DynamoDB. Cela ajoute des entrées de liste de préfixes aux tables de routage du sous-réseau spécifié.

Pourquoi: Les points de terminaison de passerelle sont le mécanisme spécifique, très performant et sans coût pour l'accès privé à S3 et DynamoDB. Les autres services utilisent les points de terminaison d'interface (PrivateLink).

Accéder aux VPC dans plusieurs régions AWS à partir d'une seule connexion Direct Connect sur site.

→Utilisez une passerelle Direct Connect avec une interface virtuelle de transit (T-VIF). Associez la passerelle DX aux Transit Gateways dans chaque région requise.

Pourquoi: Une T-VIF avec une passerelle DX est la solution évolutive pour se connecter à plusieurs Transit Gateways entre les régions. Une VIF privée avec une passerelle DX a des limites inférieures.

Intégrer une appliance de pare-feu virtuel tierce pour une inspection transparente du trafic.

→Utilisez un Gateway Load Balancer (GWLB). Il opère à la couche 3 et utilise le protocole GENEVE pour encapsuler le trafic, préservant l'adresse IP source/destination d'origine.

Pourquoi: L'encapsulation GENEVE du GWLB en fait un "intercepteur en ligne" (bump-in-the-wire), insérant de manière transparente les appliances dans le chemin réseau sans nécessiter de NAT source, ce qui est critique pour les appliances de sécurité.

Gérer l'allocation d'adresses IP pour des centaines de VPC dans une organisation multi-comptes afin d'éviter les chevauchements et de suivre l'utilisation.

→Utilisez Amazon VPC IP Address Manager (IPAM). Créez un pool de niveau supérieur et déléguez des pools régionaux pour automatiser l'allocation de CIDR de VPC.

Pourquoi: VPC IPAM est le service AWS spécialement conçu et évolutif pour la gestion centralisée des adresses IP, remplaçant les méthodes manuelles sujettes aux erreurs.

Intégrer une appliance SD-WAN tierce avec Transit Gateway à l'aide de tunnels GRE et de routage BGP dynamique.

→Utilisez un attachement Transit Gateway Connect.

Pourquoi: TGW Connect est spécifiquement conçu pour l'intégration SD-WAN. Il prend en charge le GRE pour une bande passante plus élevée (jusqu'à 5 Gbit/s par pair) et le BGP pour le routage dynamique.

Un VPC uniquement IPv6 doit communiquer avec des ressources uniquement IPv4 sur Internet.

→Activez DNS64 dans les paramètres de Route 53 Resolver du VPC et configurez une passerelle NAT dans un sous-réseau public. Routez `64:ff9b::/96` vers la passerelle NAT.

Pourquoi: DNS64 synthétise des enregistrements AAAA pour les destinations IPv4. La passerelle NAT effectue la traduction de protocole NAT64 de l'adresse IPv6 synthétisée vers l'adresse IPv4 réelle.

Connecter des centaines de VPC dans de nombreuses régions avec des exigences de segmentation strictes (prod, dev, services partagés).

→Utilisez AWS Cloud WAN. Définissez des segments et des actions de segment dans une seule politique de réseau principal pour contrôler le routage inter-segments globalement.

Pourquoi: Cloud WAN fournit une politique de réseau global centralisée et déclarative, qui est plus évolutive et moins complexe que la gestion d'un maillage complet de pairages Transit Gateway et de tables de routage dans chaque région.

Agrégation de plusieurs connexions Direct Connect à un seul emplacement pour une bande passante accrue et une redondance de liaison.

→Configurez un groupe d'agrégation de liens (LAG). Toutes les connexions doivent avoir la même bande passante et se terminer sur le même appareil AWS.

Pourquoi: Les LAG regroupent des liens physiques en un seul lien logique. Cela offre une bascule au niveau du lien mais ne protège pas contre les pannes d'appareil ou d'emplacement. Utilisez `minimum links` pour définir le seuil de basculement.

Réaliser un basculement DNS en moins de 60 secondes pour une application multi-régions.

→Utilisez le routage de basculement de Route 53 avec des vérifications d'état. Configurez des vérifications d'état à intervalle rapide (10s) avec un seuil d'échec bas (1). Utilisez des enregistrements Alias ou des TTL très bas (par exemple, 10-60s).

Pourquoi: Un basculement rapide nécessite une détection rapide (vérifications d'état rapides) et des mises à jour rapides côté client (TTL bas ou enregistrements Alias qui ont des TTL dynamiques).

Augmenter le débit VPN agrégé en utilisant simultanément les deux tunnels d'une connexion VPN Site-to-Site.

→Attachez le VPN à une Transit Gateway. Activez la prise en charge ECMP sur l'attachement VPN de la Transit Gateway.

Pourquoi: Par défaut, le VPN vers TGW peut n'utiliser qu'un seul tunnel. L'activation de l'ECMP sur l'attachement TGW distribue le trafic sur les deux tunnels si les routes BGP ont le même coût.

S'assurer que les services TCP backend derrière un Network Load Balancer voient l'adresse IP client d'origine.

→Enregistrez les cibles par ID d'instance. Si les cibles sont enregistrées par IP, activez Proxy Protocol v2 sur le groupe cible.

Pourquoi: Lorsque les cibles sont enregistrées par ID d'instance, le NLB préserve l'IP client par défaut. Si elles sont enregistrées par IP, l'IP du NLB devient la source, et Proxy Protocol v2 est nécessaire pour transmettre l'IP d'origine.

Influencer la façon dont AWS achemine le trafic vers un réseau sur site lorsque plusieurs chemins Direct Connect existent.

→Utilisez le prépendage de chemin BGP AS sur le chemin moins préféré du routeur sur site.

Pourquoi: Pour le trafic sortant d'AWS, le mécanisme principal contrôlé par le client est la longueur du chemin AS. AWS préfère le chemin avec le chemin AS le plus court. Vous ne pouvez pas configurer la préférence locale côté AWS.

Permettre aux comptes spoke d'une organisation AWS d'attacher leurs VPC à une Transit Gateway détenue par un compte de réseau central.

→Utilisez AWS Resource Access Manager (RAM). Le compte de réseau partage la Transit Gateway avec l'Organisation ou des UO spécifiques.

Pourquoi: RAM est le service AWS spécifique conçu pour le partage de ressources comme les Transit Gateways entre les comptes. Cela permet une gestion centralisée tout en permettant l'attachement en libre-service pour les comptes spoke.

Agréger le débit au-delà de la limite de 1,25 Gbit/s d'un seul tunnel VPN.

→Créez plusieurs connexions VPN Site-to-Site à une Transit Gateway avec ECMP activé.

Pourquoi: Chaque tunnel VPN est limité à environ 1,25 Gbit/s. Pour évoluer, vous devez utiliser plusieurs tunnels/connexions et exploiter ECMP sur une Transit Gateway pour équilibrer la charge du trafic entre eux.

Configurer les vérifications d'état Route 53 pour une ressource interne, non accessible depuis Internet, comme un ALB interne.

→Créez une alarme CloudWatch qui surveille une métrique pour la ressource interne (par exemple, `HealthyHostCount` pour un ALB). Configurez la vérification d'état Route 53 pour surveiller l'état de l'alarme CloudWatch.

Pourquoi: Les vérificateurs d'état Route 53 sont externes. Pour surveiller les ressources internes, ils doivent surveiller un signal proxy comme l'état d'une alarme CloudWatch, qui peut être déclenchée par des métriques internes.

Basculer automatiquement le trafic CloudFront vers une origine secondaire (par exemple, un site S3 statique) lorsque l'origine primaire (par exemple, un ALB) renvoie des erreurs 5xx.

→Créez un groupe d'origines CloudFront avec l'ALB comme primaire et S3 comme secondaire. Configurez-le pour basculer sur des codes d'état spécifiés (par exemple, 500, 502, 503, 504).

Pourquoi: Les groupes d'origines sont le mécanisme natif de CloudFront pour la haute disponibilité, offrant un basculement transparent en périphérie sans nécessiter de modifications DNS.

Réaliser un basculement en moins d'une seconde pour une connexion Direct Connect vers un VPN de secours ou un chemin DX secondaire.

→Activez la détection de retransmission bidirectionnelle (BFD) sur l'interface virtuelle Direct Connect. Configurez BFD sur le routeur sur site.

Pourquoi: BFD fournit une détection de défaillance de lien beaucoup plus rapide (aussi basse que 300 ms) par rapport aux temporisateurs keepalive BGP (par défaut 90 s), permettant une reconvergence rapide du trafic.

Permettre la connectivité entre les Transit Gateways dans deux régions différentes.

→Établissez une connexion de pairage Transit Gateway. Ajoutez manuellement des routes statiques dans chaque table de routage TGW pointant vers les CIDR de la région distante via l'attachement de pairage.

Pourquoi: De manière cruciale, le pairage inter-régions de Transit Gateway ne prend pas en charge la propagation dynamique des routes. Toutes les routes inter-régions doivent être configurées statiquement.

Dépanner les problèmes de connectivité au sein d'AWS en identifiant le composant bloquant spécifique (par exemple, route, NACL, SG).

→Utilisez VPC Reachability Analyzer. Spécifiez une source et une destination, et il effectue une analyse statique de la configuration du chemin réseau.

Pourquoi: Reachability Analyzer fournit une analyse définitive, saut par saut, des constructions réseau AWS, ce qui est plus efficace qu'un traceroute (qui peut ne pas fonctionner) ou la vérification manuelle de chaque composant.

Stockage à long terme et interrogation ad hoc des journaux de flux VPC détaillés pour la conformité.

→Publiez les journaux de flux directement sur S3 au format Parquet avec une disposition de champ personnalisée. Utilisez Amazon Athena pour les requêtes ad hoc basées sur SQL.

Pourquoi: S3 est le stockage le plus rentable. Le format Parquet est très efficace pour les requêtes Athena, réduisant les coûts de numérisation et améliorant les performances. C'est le modèle sans serveur et évolutif pour l'analyse des journaux de flux.

Appliquer de manière centralisée des règles de groupe de sécurité obligatoires sur tous les VPC d'une organisation AWS et remédier automatiquement à la non-conformité.

→Utilisez AWS Firewall Manager avec une politique d'audit de groupe de sécurité. Définissez les règles requises et configurez la politique pour remédier automatiquement aux groupes non conformes.

Pourquoi: Firewall Manager est l'outil de gouvernance centralisée pour les politiques de sécurité (WAF, SG, NFW) au sein d'une organisation. Sa politique d'audit avec auto-remédiation assure l'application.

Visualiser et surveiller une topologie de réseau globale incluant les Transit Gateways, les VPN et Direct Connect à travers les régions et les comptes.

→Utilisez AWS Network Manager. Enregistrez les Transit Gateways dans un seul réseau global pour obtenir un tableau de bord centralisé, une carte de topologie et une surveillance de l'état.

Pourquoi: Network Manager est conçu pour fournir une vue unique pour les réseaux AWS complexes et globaux, consolidant la surveillance et la gestion.

Diagnostiquer la perte de paquets intermittente ou les erreurs sur une connexion Direct Connect.

→Vérifiez les métriques CloudWatch de Direct Connect (`ConnectionErrorCount`). Sur le routeur client, vérifiez les niveaux de signal optique (niveaux de lumière Tx/Rx) et les compteurs d'erreurs d'interface (erreurs CRC, erreurs d'entrée).

Pourquoi: La perte de paquets peut être un problème de couche physique. Les métriques côté AWS et les diagnostics du routeur côté client sont nécessaires pour isoler les problèmes comme un câble à fibre optique ou un émetteur-récepteur dégradé.

Détecter et corriger automatiquement les configurations réseau non conformes, telles qu'un groupe de sécurité autorisant l'accès SSH public.

→Utilisez AWS Config avec une règle gérée (par exemple, `restricted-ssh`) et configurez une action de correction automatique à l'aide d'un document d'automatisation SSM.

Pourquoi: Cela fournit un système de conformité en boucle fermée. AWS Config détecte la violation, et son action de correction déclenche un document SSM pour corriger automatiquement la configuration.

Identifier de manière proactive les chemins d'accès réseau non intentionnels vers des ressources sensibles depuis Internet ou d'autres réseaux non fiables.

→Utilisez VPC Network Access Analyzer. Définissez une portée d'accès et exécutez une analyse pour obtenir une liste de tous les chemins réseau possibles qui correspondent.

Pourquoi: Cet outil effectue une vérification formelle du réseau, analysant tous les composants (SG, NACL, TGW, IGW) pour trouver des chemins potentiels, ce qui est plus complet que les vérifications manuelles ou la surveillance réactive.

Collecter les journaux de flux VPC, les journaux de requêtes DNS et les journaux de Network Firewall de nombreux comptes membres dans un compte de journalisation central.

→Configurez les services dans les comptes membres pour publier les journaux directement dans un compartiment S3 centralisé (pour Flow Logs/NFW) ou un groupe de journaux CloudWatch (pour les journaux DNS) dans le compte de journalisation, en utilisant des politiques de compartiment inter-comptes et des rôles IAM.

Pourquoi: La publication directe de journaux entre comptes est le modèle le plus efficace et le plus évolutif, tirant parti des capacités natives d'AWS sans nécessiter d'agents ou de pipelines de données complexes.

Optimiser les coûts réseau pour le trafic à fort volume entre des paires spécifiques de VPC dans une architecture hub-and-spoke de Transit Gateway.

→Pour les paires de VPC à fort trafic, créez une connexion de pairage VPC directe pour contourner la Transit Gateway. Gardez le TGW pour tout autre trafic hub-spoke.

Pourquoi: Le pairage de VPC n'entraîne pas de frais de traitement des données par Go (uniquement le transfert de données standard), contrairement à Transit Gateway. Le déplacement d'un trafic point-à-point à fort volume vers le pairage réduit considérablement les coûts.

Chiffrer le trafic Direct Connect à la couche 2 pour des performances de ligne.

→Activez MACsec (IEEE 802.1AE). Nécessite une connexion dédiée de 10 Gbit/s ou 100 Gbit/s à un emplacement compatible MACsec.

Pourquoi: MACsec fournit un chiffrement hop-by-hop entre le routeur client et le périphérique AWS, sécurisant la liaison physique avec une surcharge de performances minimale.

Protéger une application web contre les attaques courantes (SQLi, XSS) et restreindre l'accès par pays.

→Utilisez AWS WAF. Attachez une liste de contrôle d'accès web (Web ACL) à l'ALB/CloudFront. Utilisez les groupes de règles gérées AWS (par exemple, `AWSManagedRulesSQLiRuleSet`, `AWSManagedRulesCommonRuleSet`) et créez une règle de géolocalisation.

Pourquoi: Les règles gérées AWS offrent une protection prête à l'emploi contre les menaces courantes, tandis que les règles de géolocalisation offrent un contrôle géographique. C'est le modèle d'implémentation WAF standard.

Mettre en œuvre l'isolation d'applications multi-tiers (par exemple, web -> app -> db) au sein d'un VPC.

→Créez un groupe de sécurité pour chaque couche. Utilisez les références d'ID de groupe de sécurité dans les règles (par exemple, l'app-sg autorise l'entrée depuis le web-sg).

Pourquoi: La référence aux groupes de sécurité est plus dynamique et sécurisée que l'utilisation de plages CIDR. Elle s'adapte automatiquement lorsque des instances sont ajoutées ou supprimées d'une couche.

Surveiller et détecter les menaces basées sur DNS telles que le tunnelage DNS et la communication avec les serveurs C2.

→Activez la journalisation des requêtes Route 53 Resolver. Activez Amazon GuardDuty, qui analyse les journaux de requêtes DNS comme source de données.

Pourquoi: GuardDuty dispose d'une intelligence des menaces intégrée qui analyse les journaux DNS pour détecter les domaines malveillants connus, les DGA et les schémas de requêtes anormaux indiquant une exfiltration de données.

Assurez-vous que le contenu S3 n'est accessible que via CloudFront, et non directement via l'URL S3, tout en permettant l'accès à d'autres entités principales IAM.

→Utilisez Origin Access Control (OAC). Mettez à jour la politique du compartiment S3 pour autoriser l'accès depuis l'entité principale du service OAC et tout autre rôle/utilisateur IAM requis.

Pourquoi: OAC est le remplacement moderne de OAI. Il crée une entité principale de service qui peut être référencée dans les politiques de compartiment, offrant un contrôle d'accès plus granulaire et flexible.

Empêcher les utilisateurs de contourner CloudFront et d'accéder directement à une origine ALB.

→Configurez CloudFront pour ajouter un en-tête HTTP personnalisé avec une valeur secrète aux requêtes d'origine. Créez une règle d'écouteur ALB qui vérifie cet en-tête et cette valeur, bloquant les requêtes qui ne les ont pas.

Pourquoi: Cela offre une protection plus solide que les restrictions basées sur l'IP (en utilisant la liste de préfixes gérée), car cela vérifie que la requête provient de votre distribution spécifique. Utilisez les deux pour une défense en profondeur.

Capturer des données complètes de paquets réseau à partir d'une instance EC2 spécifique pour une analyse forensique sans installer d'agents.

→Utilisez le miroir de trafic VPC (VPC Traffic Mirroring). Configurez une session miroir sur l'ENI de l'instance pour copier le trafic vers une cible (par exemple, un NLB devant des outils d'analyse).

Pourquoi: Le miroir de trafic fournit une capture de paquets complète sans agent, ce qui est essentiel pour une analyse forensique approfondie. Les journaux de flux ne fournissent que des métadonnées.

Fournir une protection DDoS complète pour les applications exposées publiquement.

→Abonnez-vous à AWS Shield Advanced. Associez la protection aux ressources critiques (CloudFront, ALB, EIP, Route 53). Utilisez AWS WAF pour l'atténuation de la couche 7. Engagez l'équipe de réponse Shield (SRT) pendant les attaques.

Pourquoi: Shield Advanced offre une détection améliorée, une protection des coûts contre la mise à l'échelle induite par DDoS et l'accès à la SRT pour une assistance experte, ce qui est essentiel pour les applications critiques.

Émettre et renouveler automatiquement des certificats TLS pour les microservices internes à partir d'une autorité de certification privée.

→Utilisez AWS Private Certificate Authority (Private CA) pour créer l'AC. Utilisez AWS Certificate Manager (ACM) pour émettre et gérer le cycle de vie (y compris le renouvellement automatique) des certificats privés de cette AC.

Pourquoi: Cette combinaison fournit une solution PKI privée entièrement gérée, automatisant le cycle de vie complexe des certificats internes sans exposition publique.

Empêcher tout utilisateur de tout compte membre d'une organisation AWS de créer ou d'attacher une passerelle Internet.

→Appliquez une politique de contrôle de service (SCP) à la racine de l'organisation qui refuse les actions `ec2:CreateInternetGateway` et `ec2:AttachInternetGateway`.

Pourquoi: Les SCP fournissent des garde-fous préventifs qui ne peuvent pas être outrepassés par les politiques IAM au sein des comptes membres, ce qui en fait l'outil définitif pour appliquer des politiques de sécurité à l'échelle de l'organisation.

Déchiffrer et inspecter le trafic HTTPS pour les menaces à l'aide d'AWS Network Firewall, puis le rechiffrer.

→Créez ou importez un certificat d'autorité de certification (CA) dans ACM. Créez une configuration d'inspection TLS dans la politique de pare-feu qui référence cette CA. Distribuez le certificat de CA aux systèmes clients en tant que CA racine de confiance.

Pourquoi: Network Firewall effectue l'inspection TLS via une approche de l'homme du milieu (man-in-the-middle), en utilisant une CA que vous fournissez pour re-signer les certificats à la volée. Les clients doivent faire confiance à cette CA pour éviter les erreurs de certificat.

Bloquer les requêtes DNS vers des domaines malveillants connus dans tous les VPC d'une organisation AWS.

→Créez des groupes de règles DNS Firewall dans un compte central à l'aide de listes de domaines gérées par AWS. Partagez les groupes de règles via RAM et associez-les aux VPC dans les comptes membres.

Pourquoi: DNS Firewall fournit une intelligence des menaces gérée et centralement actualisable pour bloquer les domaines malveillants au niveau de la résolution DNS, un contrôle de sécurité essentiel.

Chiffrer tout le trafic réseau entre les instances EC2 dans le même VPC sans modifications d'application.

→Utilisez les types d'instances basées sur le système AWS Nitro.

Pourquoi: Les instances Nitro chiffrent automatiquement tout le trafic entre les instances au niveau matériel, offrant un chiffrement transparent et à débit linéaire sans aucune configuration requise.