AWS Certified Cloud Practitioner
Dernière révision : mai 2026
Une référence concise des modèles d'architecture évalués par l'examen CLF-C02. Lisez de haut en bas ou sautez à une section.
Une startup souhaite lancer une application web sans acheter de serveurs au préalable.
Le cloud remplace les CapEx par des OpEx — paiement à l'usage pour le calcul, pas d'achat de matériel.
Pourquoi: Le coût variable s'adapte à l'usage ; pas de capital immobilisé dans des serveurs inactifs.
La charge de travail augmente fortement pendant les événements commerciaux et est inactive la nuit.
Élasticité — mise à l'échelle automatique des ressources en fonction de la demande. Payez uniquement pour ce qui est utilisé.
Pourquoi: Distinct de l'évolutivité (capacité maximale). L'élasticité est bidirectionnelle et automatique.
Une équipe souhaite expérimenter les services ML sans engagement à long terme.
Agilité du cloud — provisionnez en quelques minutes, terminez une fois terminé, aucun risque de capital.
Pourquoi le calcul cloud est-il moins cher que de le gérer soi-même ?
Économies d'échelle — AWS agrège la demande de millions de clients ; le coût par unité diminue à mesure que le volume augmente.
Arrêtez le sur-provisionnement de serveurs "au cas où" ou le manque de ressources pendant les pics.
Le cloud vous permet de provisionner exactement ce dont vous avez besoin, de mettre à l'échelle à la demande, de décommissionner instantanément.
Pourquoi: Élimine le risque de planification de capacité qui gaspille de l'argent sur du matériel inactif ou risque des pannes.
Vouloir déployer globalement sans construire de centres de données dans chaque pays.
Le cloud vous permet de vous mondialiser en quelques minutes via les Régions et les Edge locations. Pas de construction d'installations.
Choisissez où déployer : séparation physique pour l'isolation des pannes + faible latence inter-zone.
Région = géographie (par exemple `us-east-1`). Availability Zone = groupe de centres de données isolés au sein d'une Région (≥3 par Région).
Pourquoi: La conception multi-AZ survit à une panne de centre de données ; la même Région maintient une faible latence inter-AZ (quelques ms).
Mettre en cache le contenu près des utilisateurs finaux du monde entier.
CloudFront edge locations + caches régionaux en périphérie. Plus de 600 POPs dans le monde.
Pourquoi: L'edge sert le contenu statique à partir du POP le plus proche ; réduit la latence par rapport à un aller-retour vers la Région d'origine.
Besoin d'une latence de quelques millisecondes dans une zone métropolitaine non couverte par une Région ; ou déploiement en périphérie d'un opérateur 5G.
AWS Local Zones (extension métropolitaine d'une Région) pour une faible latence générale. AWS Wavelength pour les cas d'utilisation mobile-edge 5G.
Besoin d'API et de services AWS s'exécutant sur site (conformité, latence, résidence des données).
AWS Outposts — rack/serveur AWS entièrement géré dans votre centre de données. Les mêmes API que le cloud.
Choisissez un modèle de déploiement : tout cloud, uniquement sur site, ou mixte.
Cloud (AWS complet), Hybride (cloud + sur site connecté via Direct Connect/VPN/Outposts), Sur site (pas de cloud).
Concevoir une charge de travail sécurisée, fiable, performante, rentable, durable et opérationnellement solide.
Six piliers du Well-Architected Framework : Excellence Opérationnelle, Sécurité, Fiabilité, Efficacité des Performances, Optimisation des Coûts, Durabilité.
Pourquoi: Les piliers sont la liste de contrôle de conception canonique d'AWS. Fiabilité = récupérer des pannes + s'adapter à la demande. Durabilité (ajouté en 2021) = minimiser l'impact environnemental.
La charge de travail doit survivre à une panne d'AZ avec un temps d'arrêt minimal.
Conception Multi-AZ — déployer sur ≥2 AZs derrière un équilibreur de charge. RDS Multi-AZ pour les bases de données.
Distinguer "tolérant aux pannes" de "hautement disponible".
HA = récupère rapidement d'une panne (certains temps d'arrêt, peut utiliser un réplica passif). Tolérant aux pannes = aucun temps d'arrêt perceptible, les composants redondants fonctionnent en direct.
Pourquoi: La HA est moins chère ; la tolérance aux pannes nécessite une capacité active dupliquée. Choisissez en fonction du SLA + du coût.
Qui sécurise quoi — AWS vs. client.
AWS = sécurité DU cloud (matériel, hyperviseur, régions, patchs des services gérés). Client = sécurité DANS le cloud (données, IAM, clés KMS, configuration réseau, patchs OS sur EC2, configuration d'application).
Pourquoi: La limite varie selon le service : EC2 = le client applique les patchs OS ; RDS = AWS applique les patchs du moteur de base de données, le client gère les utilisateurs + les données ; S3 = AWS gère l'infra, le client gère les politiques de bucket + les objets.
Accorder aux développeurs l'accès aux ressources AWS sans partager les informations d'identification root.
Utilisateurs IAM (par personne), groupes (ensembles de rôles), rôles (assumés par des services ou des identités fédérées), politiques (documents JSON de permissions).
Pourquoi: Les rôles + les informations d'identification temporaires sont préférés aux clés d'accès de longue durée pour les humains et les charges de travail.
Mettre en place un compte qui suit les meilleures pratiques de sécurité AWS dès le premier jour.
Verrouiller le compte root (MFA, pas de clés programmatiques, utiliser uniquement pour les tâches de facturation/compte). Créer des utilisateurs + groupes IAM, activer la MFA pour tous les utilisateurs humains, accorder le moindre privilège, préférer les rôles aux clés de longue durée, faire pivoter les informations d'identification.
Où les permissions peuvent-elles être attachées ?
Basées sur l'identité (attachées à l'utilisateur/groupe/rôle), basées sur les ressources (attachées à un bucket S3, une clé KMS, une file d'attente SQS, une fonction Lambda), frontière de permissions (permissions maximales pour un principal), SCP (maximum à l'échelle de l'organisation).
Centraliser le SSO de la main-d'œuvre sur plusieurs comptes AWS et applications SaaS.
AWS IAM Identity Center (anciennement AWS SSO). Connectez-vous à un IdP existant (Okta, Entra ID, AD) ou utilisez le répertoire intégré ; attribuez des ensembles de permissions aux comptes.
Bloquer tous les comptes de l'organisation pour qu'ils ne puissent pas lancer de ressources en dehors de `eu-west-1` et `eu-central-1`.
AWS Organizations Service Control Policy (SCP) attachée à l'OU. Les SCPs définissent les permissions maximales ; elles ne peuvent pas accorder.
Pourquoi: Les SCPs sont préventives — même un administrateur d'un compte enfant ne peut pas les dépasser.
Mettre en place une zone d'atterrissage multi-comptes avec des garde-fous préconfigurés.
AWS Control Tower — orchestre Organizations, IAM Identity Center, Config, CloudTrail, la journalisation S3 et des garde-fous pré-construits. Account Factory provisionne de nouveaux comptes avec une base.
Vérifier en continu que les configurations des ressources correspondent aux politiques internes.
AWS Config — enregistre l'état des ressources au fil du temps, évalue par rapport aux règles gérées/personnalisées, identifie les ressources non conformes, prend en charge l'auto-remédiation via SSM Automation.
Auditer qui a fait quoi, quand, d'où, dans le compte AWS.
AWS CloudTrail — enregistre chaque appel d'API de gestion ; événements de données optionnels pour S3/Lambda. Un journal d'organisation capture tous les comptes dans un bucket S3 central.
Détecter les clés IAM compromises, les instances EC2 de crypto-minage ou les modèles d'API inhabituels.
Amazon GuardDuty — détection de menaces gérée. Analyse CloudTrail, VPC Flow Logs, journaux DNS, journaux d'audit EKS, événements de données S3, malwares dans EBS, connexion RDS.
Analyser en continu les images EC2, ECR et Lambda à la recherche de vulnérabilités connues.
Amazon Inspector — analyse automatisée des CVE + de la joignabilité réseau. Pas d'agent pour ECR/Lambda ; agent SSM pour EC2.
Trouver des informations personnelles identifiables (PII) (cartes de crédit, numéros de sécurité sociale, secrets) dans les buckets S3.
Amazon Macie — découverte de données sensibles basée sur le ML pour S3. Analyses planifiées et déclenchées par des événements ; rapporte les résultats à Security Hub.
Tableau de bord unique pour les résultats de sécurité provenant de GuardDuty, Inspector, Macie, IAM Access Analyzer et des outils tiers.
AWS Security Hub — agrège les résultats, exécute des contrôles de conformité automatisés CIS / PCI-DSS / NIST, prend en charge l'agrégation inter-comptes.
Protéger une application web publique contre les injections SQL / XSS et absorber les attaques DDoS.
AWS WAF pour les exploits web de couche 7 (règles gérées + personnalisées au niveau de CloudFront / ALB / API Gateway). AWS Shield Standard (gratuit, DDoS L3/L4 toujours actif) + Shield Advanced pour les attaques sophistiquées + support DRT 24h/24 et 7j/7.
Chiffrer les données au repos à l'aide de clés gérées par AWS avec audit + rotation.
AWS KMS — CMK gérées (clés principales client), chiffrement d'enveloppe, rotation annuelle automatique, politiques de clé, utilisation journalisée par CloudTrail. La plupart des services AWS s'intègrent nativement.
Stocker et faire pivoter les mots de passe de base de données, les clés API.
AWS Secrets Manager — rotation automatique via Lambda, intégration RDS native, IAM granulaire. Utilisez SSM Parameter Store (Standard) pour une configuration simple et non rotative (il est gratuit ; Secrets Manager facture par secret).
L'auditeur a besoin de rapports SOC 2 / ISO 27001 / PCI-DSS pour l'environnement AWS.
AWS Artifact — téléchargement en libre-service des attestations de conformité et des accords AWS (BAAs, etc.).
Une charge de travail du secteur de la santé nécessite des services AWS éligibles HIPAA.
AWS publie une liste de services éligibles HIPAA + signe un Business Associate Addendum (BAA) via Artifact. N'utilisez que les services listés pour les PHI ; chiffrement au repos + en transit requis.
Détecter les buckets S3, les rôles IAM, les clés KMS, etc. accessibles depuis l'extérieur du compte ou de l'organisation.
IAM Access Analyzer — prouve quelles ressources sont accessibles de l'extérieur ; signale les accès non intentionnels. Génère des politiques de moindre privilège à partir de CloudTrail.
Choisissez comment interagir avec AWS.
Console de gestion (interface web), AWS CLI (terminal), SDKs (Python/Java/Go/etc. dans le code), CloudShell (shell basé sur navigateur avec informations d'identification préchargées), Infrastructure as Code (CloudFormation, CDK).
Besoin d'un contrôle total du système d'exploitation, du kernel, des AMIs personnalisées, des types d'instances GPU.
Amazon EC2 — serveurs virtuels redimensionnables. Choisissez la famille d'instances en fonction de la charge de travail (calcul / mémoire / stockage / GPU / ARM Graviton).
Exécuter du code éphémère basé sur des événements (≤15 min) sans gérer de serveurs.
AWS Lambda — payez par requête + Go-secondes. Déclenché par S3, API Gateway, EventBridge, SQS, etc.
Pourquoi: Pas d'infrastructure à patcher ou à mettre à l'échelle ; les démarrages à froid et la limite de 15 minutes excluent les charges de travail de longue durée.
Exécuter des charges de travail conteneurisées sur AWS.
Amazon ECS = orchestrateur de conteneurs natif AWS. Amazon EKS = Kubernetes géré. Fargate = backend de calcul sans serveur (pas d'EC2 à gérer) pour l'un ou l'autre.
Besoin d'un VPS simple avec une tarification mensuelle prévisible pour un petit site ou un environnement de développement.
Amazon Lightsail — VPS packagé (calcul + stockage + transfert de données) avec WordPress / LAMP / Node en un clic.
Déployer une application web Java / .NET / Node / Python sans configurer vous-même EC2 + ELB + ASG.
AWS Elastic Beanstalk — PaaS géré qui provisionne et orchestre EC2, ELB, ASG, RDS pour vous. Vous téléchargez le code ; AWS exécute la plateforme.
Stocker n'importe quelle quantité de données non structurées avec une durabilité de 11 neuf.
Amazon S3 — stockage d'objets. Buckets nommés globalement ; objets jusqu'à 5 To ; les classes de stockage optimisent les coûts.
Choisissez la classe de stockage S3 par modèle d'accès.
Standard (fréquent), Intelligent-Tiering (déplacement automatique basé sur l'accès), Standard-IA (rare), One Zone-IA (AZ unique), Glacier Instant Retrieval (ms), Glacier Flexible Retrieval (minutes-heures), Glacier Deep Archive (restauration en 12h, le moins cher).
Besoin d'un volume de blocs persistant attaché à une instance EC2 (pour OS, fichiers de base de données).
Amazon EBS — stockage de blocs attaché à une seule EC2 (Multi-Attach pour io1/io2). Types de volumes gp3 (SSD général), io2 (SSD à IOPS élevés), st1/sc1 (débit/HDD froid).
Besoin d'un système de fichiers partagé monté par de nombreuses instances de calcul.
Amazon EFS — NFS géré, multi-AZ, mise à l'échelle automatique ; pour Linux. Amazon FSx — systèmes de fichiers gérés pour Windows (FSx for Windows), Lustre (HPC), NetApp ONTAP, OpenZFS.
Relier les applications sur site au stockage basé sur S3 avec un cache local.
AWS Storage Gateway — Fichier (NFS/SMB → S3), Volume (iSCSI mis en cache/stocké), Bande (VTL → S3 + Glacier).
Besoin d'une base de données relationnelle gérée (MySQL / PostgreSQL / MariaDB / Oracle / SQL Server).
Amazon RDS — moteur géré : sauvegardes, patchs, basculement Multi-AZ, réplicas en lecture, groupes de paramètres. Vous contrôlez le schéma, les requêtes, les utilisateurs.
Charge de travail MySQL / PostgreSQL nécessitant un débit plus élevé, une récupération plus rapide et un basculement multi-région.
Amazon Aurora — compatible MySQL/PostgreSQL, jusqu'à 5 fois le débit MySQL, stockage distribué sur 3 AZs, Aurora Global Database pour une réplication inter-régions en moins d'une seconde.
Charge de travail clé-valeur ou document en quelques millisecondes à n'importe quelle échelle, sans migrations de schéma.
Amazon DynamoDB — NoSQL entièrement géré. Capacité à la demande ou provisionnée, Global Tables pour l'actif-actif multi-région, récupération à un instant T, TTL pour la suppression automatique.
Exécuter du SQL analytique sur des téraoctets / pétaoctets de données.
Amazon Redshift — entrepôt de données en colonnes géré pour l'analyse à l'échelle du pétaoctet. Amazon Athena — SQL sans serveur directement sur S3, paiement par données scannées.
Besoin d'un réseau logiquement isolé pour les ressources AWS.
Amazon VPC — votre propre réseau privé dans AWS. Sous-réseaux par AZ, tables de routage, passerelle Internet (accès public), passerelle NAT (sous-réseau privé → Internet), groupes de sécurité (avec état), NACLs (sans état).
Distribuer globalement du contenu statique + dynamique avec une faible latence.
Amazon CloudFront — CDN avec plus de 600 edge locations. Intégré à S3, ALB, API Gateway. Lambda@Edge / CloudFront Functions pour la logique en périphérie.
DNS faisant autorité avec des contrôles de santé et un routage de basculement.
Amazon Route 53 — DNS géré. Politiques de routage : simple, pondéré, latence, basculement, géolocalisation, géoproximité, multi-valeur.
Connecter le réseau sur site à AWS de manière privée.
AWS Direct Connect — liaison fibre dédiée, latence prévisible. AWS Site-to-Site VPN — tunnels chiffrés sur Internet, plus rapide à configurer. Utilisez les deux : VPN comme sauvegarde pour Direct Connect.
Choisissez un service d'intégration.
Amazon SNS = distribution pub/sub (plusieurs abonnés). Amazon SQS = file d'attente point-à-point découplée avec réessai. Amazon EventBridge = bus d'événements avec schémas + filtrage + intégrations SaaS.
Surveiller les métriques des ressources AWS, collecter les journaux, déclencher des alarmes sur les seuils.
Amazon CloudWatch — métriques, journaux, alarmes, tableaux de bord, Logs Insights pour les requêtes de journaux, intégration EventBridge pour l'automatisation.
Définir l'infrastructure AWS sous forme de templates versionnés.
AWS CloudFormation — templates JSON / YAML qui provisionnent et mettent à jour les piles. AWS CDK vous permet de créer CloudFormation en TypeScript/Python/Java/Go.
Patch un parc d'EC2, exécute des commandes, stocke la configuration, automatise les runbooks.
AWS Systems Manager — Patch Manager, Run Command, Session Manager (pas besoin de bastion SSH), Parameter Store, runbooks d'automatisation, Inventory.
Dimensionner automatiquement les ressources de calcul sur les services.
EC2 Auto Scaling — met à l'échelle les ASG d'EC2. AWS Auto Scaling — plans de mise à l'échelle unifiés sur EC2, ECS, DynamoDB, Aurora, etc.
Distribuer le trafic entre les cibles EC2 / ECS / Lambda.
ALB — HTTP/HTTPS L7, routage par chemin/hôte, natif pour les conteneurs + Lambda. NLB — TCP/UDP L4, latence ultra-faible, IP statique. GWLB — pour les appliances de sécurité tierces en ligne.
Vérifier si AWS lui-même subit une panne.
Tableau de bord de santé des services AWS (public) pour l'état général des services. Tableau de bord AWS Health (dans le compte) pour les événements affectant vos ressources spécifiques, avec intégration API + EventBridge.
Suivre les limites de service et demander des augmentations.
AWS Service Quotas — affiche les quotas par défaut et appliqués par service, demande des augmentations, s'intègre aux alarmes CloudWatch lors de l'approche des limites.
Trouver des partenaires de conseil ou des logiciels tiers pour AWS.
AWS Partner Network (APN) — répertoire de partenaires de conseil + technologie. AWS Marketplace — achetez/déployez des SaaS tiers, des AMIs, des images de conteneurs.
Assistant IA générative pour les questions de la console AWS et les données métier.
Amazon Q Developer — chat pour la documentation AWS / CLI / IDE. Amazon Q Business — chat sur des sources de données d'entreprise avec des réponses basées sur Bedrock.
Choisissez un modèle de tarification EC2.
À la demande (sans engagement, le plus cher à l'heure). Savings Plans / Instances réservées (engagement de 1 ou 3 ans, jusqu'à 72 % de réduction). Spot (jusqu'à 90 % de réduction, peut être interrompu avec un préavis de 2 minutes). Dedicated Hosts (conformité / BYOL).
Pourquoi: Charge de base stable → Savings Plans/RI. Périodes de pointe → À la demande. Traitement par lots tolérant aux pannes → Spot.
Choisissez entre Savings Plans et Reserved Instances.
Savings Plans — flexibles, s'appliquent à EC2/Fargate/Lambda par engagement en $/heure (Compute SP) ou famille d'instances spécifique (EC2 Instance SP). RIs — spécifiques à l'instance, fonctionnent pour EC2 / RDS / Redshift / ElastiCache / OpenSearch.
Expérimenter sans dépenser.
AWS Free Tier — trois catégories : 12 mois gratuits (par exemple 750 h/mois t2.micro), Toujours gratuits (par exemple 1M de requêtes Lambda/mois, 25 Go DynamoDB), Essais (Inspector 60 jours, etc.).
Estimer le coût mensuel d'une nouvelle architecture avant le déploiement.
AWS Pricing Calculator — modélise les ressources par service, obtient le coût mensuel + annuel détaillé, partage via URL.
Visualiser où vont les dépenses AWS au fil du temps.
AWS Cost Explorer — graphiques interactifs, filtrage par service / tag / compte lié, prévision du mois prochain, recommandations de Savings Plan.
Être alerté avant que les dépenses mensuelles ne dépassent un seuil.
AWS Budgets — définissez des budgets de coût / utilisation / RI / Savings Plan avec des seuils ; alertes email/SNS ; les actions de budget peuvent auto-remédier (appliquer SCP, arrêter EC2).
Détecter rapidement les pics de coûts inattendus.
AWS Cost Anomaly Detection — moniteur basé sur le ML pour les services / comptes liés / catégories de coûts / tags. Alertes email + SNS lorsque les dépenses s'écartent de la référence.
Imputer les dépenses AWS aux équipes / projets.
Tags d'allocation de coûts — activez les tags définis par l'utilisateur dans la console de facturation, puis regroupez/filtrez les rapports Cost Explorer + CUR par tag. Utilisez les politiques de tags dans Organizations pour faire respecter le nommage.
Plusieurs comptes liés dans une organisation.
Facturation consolidée via AWS Organizations — un seul compte payeur, niveaux de volume agrégés (S3, transfert de données), avantages RI / Savings Plan partagés à travers l'organisation.
Choisissez un plan de support AWS.
Basic (gratuit, compte/facturation uniquement). Developer (e-mail aux heures ouvrables, 29$+/mois). Business (chat/téléphone 24h/24 et 7j/7, Trusted Advisor complet, 100$+/mois). Enterprise On-Ramp (5 500$+/mois, TAM mutualisé, SLA critique de 30 min). Enterprise (15 000$+/mois, TAM dédié, SLA critique de 15 min, IEM, revues well-architected).
Contrôles des meilleures pratiques en matière de coût, performance, sécurité, tolérance aux pannes, limites de service.
AWS Trusted Advisor. Les plans Basic / Developer bénéficient des contrôles de base (bucket S3 public, MFA sur root, groupes de sécurité). Les plans Business / Enterprise obtiennent l'ensemble complet des contrôles + l'accès API.
Besoin d'un contact AWS désigné et d'un support événementiel proactif.
Support Enterprise — Technical Account Manager (TAM) dédié, Infrastructure Event Management (IEM) pour les lancements/migrations, revues well-architected, revues des opérations.
