🏠Accueil 📚Certifications 📱Applications Mobiles

🎓Infos examen

✍️Blog 📊Progrès 📅Calendrier 💬Support

Politique de Confidentialité Conditions d'Utilisation Nous Contacter Politique des Cookies Avertissement Accessibilité DMCA / Droits d'Auteur

Aller au contenu

SOA-C03Guide

Guide

AWS Certified CloudOps Engineer Associate

Dernière révision : mai 2026

Une référence concise des modèles d'architecture évalués par l'examen SOA-C03. Lisez de haut en bas ou sautez à une section.

Sections

Surveillance, Journalisation, Analyse, Correction et Optimisation des performances22 entrées
Fiabilité et Continuité des activités20 entrées
Déploiement, Provisionnement et Automatisation21 entrées
Sécurité et Conformité15 entrées
Mise en réseau et Livraison de contenu17 entrées

Surveillance, Journalisation, Analyse, Correction et Optimisation des performances

Collecter les métriques de mémoire, de disque et de processus depuis la flotte EC2. Les métriques CloudWatch par défaut ne les incluent pas.

Installer l'agent CloudWatch via SSM Distributor ou la commande `AmazonCloudWatch-ManageAgent` Run Command. Pousser la configuration de l'agent depuis Parameter Store.

Pourquoi: La mémoire et le disque sont des métriques du système d'exploitation invité – l'hyperviseur ne peut pas les voir. Les métriques CW par défaut sont uniquement le CPU/réseau/E/S disque au niveau EBS.

L'application doit publier un indicateur clé de performance (KPI) métier (par exemple, commandes/min) vers CloudWatch.

API `PutMetricData` avec un espace de noms et des dimensions personnalisés. Pour les volumes élevés, utilisez le format de métrique intégré (EMF) — écrivez du JSON structuré dans les journaux et CW extrait automatiquement les métriques.

Réduire le coût des métriques personnalisées à forte cardinalité.

Format de métrique intégré (EMF). Enregistrez un événement structuré une seule fois ; CW en extrait les métriques. Un journal + une métrique = moins cher que des appels `PutMetricData` distincts pour chaque combinaison de dimensions.

Les alarmes à seuil statique produisent des faux positifs car le trafic présente une saisonnalité quotidienne/hebdomadaire.

Alarme de détection d'anomalies CloudWatch. Les bandes s'adaptent à la saisonnalité apprise ; l'alarme se déclenche lorsque la métrique quitte la bande.

Pourquoi: Les charges de travail saisonnières ont une normalité variable — les seuils fixes sont faux la moitié du temps.

Alerter l'astreinte uniquement lorsque le taux d'erreur est élevé ET le trafic est faible — et non lorsque l'un ou l'autre se déclenche seul.

Alarme composite avec l'expression de règle `ALARM(errors) AND ALARM(low_traffic)`. Les alarmes sous-jacentes se déclenchent toujours individuellement, mais seule l'alarme composite notifie SNS.

Convertir les lignes de journal comme `ERROR uid=123` en une métrique CloudWatch pour les alarmes.

Filtre de métrique CloudWatch Logs — le modèle `ERROR` incrémente une métrique. Ensuite, créez une alarme sur cette métrique.

Pourquoi: Les filtres sont évalués lors de l'ingestion des journaux ; aucune pipeline d'analyse séparée n'est nécessaire.

Trouver les 10 principales adresses IP causant des erreurs 5xx au cours de la dernière heure à travers de nombreux flux de journaux.

Requête CloudWatch Logs Insights : `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`.

La rétention des groupes de journaux est définie par défaut sur "Ne jamais expirer" — la facture augmente.

Définir la rétention par groupe de journaux (1 jour – 10 ans). Appliquer via `aws logs put-retention-policy` ou une règle AWS Config qui remédie automatiquement aux nouveaux groupes.

Centraliser les journaux de 50 comptes dans un seul compte de sécurité.

Filtre d'abonnement sur chaque groupe de journaux source → Kinesis Data Streams ou Firehose dans le compte central. Observabilité inter-comptes CloudWatch pour les métriques + les traces.

Archivage de journaux à long terme à faible coût.

Abonner le groupe de journaux à Kinesis Firehose → S3 avec cycle de vie de transition vers Glacier. Ou `CreateExportTask` planifiée vers S3 directement.

Pourquoi: Firehose est continu ; ExportTask est une exportation en masse à la demande. S3 + Glacier est 100 fois moins cher que le stockage CW Logs.

Partager un tableau de bord d'opérations avec un contractuel non-AWS sans accès IAM.

Partage de tableau de bord CloudWatch — lien de partage public (avec authentification fournie par Cognito) ou anonyme (verrouillé à un tableau de bord spécifique).

Déclencher Lambda lorsqu'une instance EC2 passe à l'état `stopped`.

Règle EventBridge avec un modèle d'événement `{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}` → cible Lambda.

Créer automatiquement un ticket lorsque AWS annonce une maintenance planifiée pour l'une de vos instances RDS.

AWS Health → bus par défaut EventBridge → Lambda ou SNS → système de tickets. Filtrer sur `source: aws.health` et la ressource affectée.

Détecter quand un site web public renvoie des erreurs 404 avant que les clients ne se plaignent.

Canary CloudWatch Synthetics — simulation de navigateur scriptée chaque minute, capture d'écran en cas d'échec, alarme sur les exécutions échouées.

Mesurer les temps de chargement de page côté navigateur et les erreurs JavaScript des utilisateurs réels.

CloudWatch RUM. Un extrait de code sur la page envoie les données de performance + d'erreur. À coupler avec X-Ray pour la corrélation back-end.

Dimensionner correctement la flotte EC2 sans vérifier manuellement CloudWatch sur chaque instance.

AWS Compute Optimizer — analyse les métriques CW + les données de mémoire (avec agent) et recommande des modifications de type d'instance. Couvre EC2, ASG, EBS, Lambda, ECS Fargate.

Vérifier si "le chiffrement au repos est activé sur chaque volume EBS" à travers 200 comptes.

Agrégateur AWS Config avec autorisation multi-comptes multi-régions. Tableaux de bord de l'agrégateur + requêtes avancées (SQL).

Corriger automatiquement les ressources non conformes (par exemple, volume EBS non chiffré → instantané + recréer chiffré).

Règle AWS Config + action de correction automatique via un runbook SSM Automation. Spécifiez le nombre de tentatives + les paramètres.

Mettre en évidence les opportunités d'économies de coûts et les risques de sécurité sans écrire de scripts personnalisés.

AWS Trusted Advisor. Vérifications des coûts / performances / sécurité / tolérance aux pannes / limites de service. L'ensemble complet des vérifications nécessite un support Business ou Enterprise.

Nécessité d'augmenter le quota de vCPU EC2 dans une région pour un lancement à venir.

Console Service Quotas — demander une augmentation de quota. Ou utiliser l'API Service Quotas pour script. Certains quotas sont approuvés automatiquement ; d'autres passent par le Support.

Détecter les pics de coûts inattendus avant l'arrivée de la facture mensuelle.

AWS Cost Anomaly Detection — basé sur le ML ; configurer des moniteurs par service / compte lié / catégorie de coûts. Alertes via SNS ou e-mail.

Arrêter automatiquement les instances EC2 hors production si le budget mensuel dépasse le seuil.

Action AWS Budgets — au seuil, exécuter une automatisation SSM qui arrête les instances taguées ou applique une SCP de refus total via IAM.

Fiabilité et Continuité des activités

Drainer les connexions + vider les journaux avant qu'ASG ne termine une instance.

Hook de cycle de vie sur `EC2_INSTANCE_TERMINATING`. L'instance entre dans `Terminating:Wait` ; le document SSM exécute le script de drainage ; émet une action `CONTINUE` une fois terminé.

Mettre à l'échelle automatiquement pour maintenir l'utilisation moyenne du CPU autour de 60 %.

Politique de mise à l'échelle par suivi de cible avec `ASGAverageCPUUtilization` = 60. ASG crée automatiquement des alarmes par étapes.

Pourquoi: Plus simple que le step-scaling. Idéal pour les métriques symétriques. Le step scaling est pour les règles de montée en charge vs descente en charge plus granulaires.

Le trafic connaît des pics quotidiens à 9h du matin ; la mise à l'échelle réactive prend du retard.

Mise à l'échelle prédictive. ASG prévoit la charge 48 heures à l'avance à partir de l'historique CW ; elle effectue un pré-scaling avant le pic.

Le démarrage de l'instance prend 8 minutes ; le scale-out est trop lent.

Pool chaud ASG — instances arrêtées/hibernées pré-initialisées. Lors du scale-out, transition de Stoppé → En service au lieu d'un lancement à froid.

Exécuter un ASG principalement sur Spot pour économiser des coûts, mais avec une base On-Demand pour la stabilité.

Politique d'instances mixtes — modèle de lancement + capacité de base (On-Demand) + pourcentage au-dessus de la base en Spot. Utilisez plusieurs types d'instances pour la diversification Spot.

Migration des Launch Configurations.

Utiliser les Launch Templates. AWS a déprécié les Launch Configurations pour les nouveaux ASG ; seuls les LTs prennent en charge les nouvelles fonctionnalités (warm pool, instances mixtes, application IMDSv2, EBS gp3, etc.).

La base de données RDS doit survivre à une panne de Zone de Disponibilité (AZ) avec un temps d'arrêt minimal.

Déploiement Multi-AZ. Réplique synchrone dans une autre AZ ; basculement déclenché par une panne d'hôte/stockage ou une panne d'AZ. Le point de terminaison reste le même.

Pourquoi: Multi-AZ est pour la haute disponibilité (HA), pas pour l'augmentation de la capacité de lecture. Pour l'augmentation de la capacité de lecture, ajoutez un réplica en lecture.

Catastrophe inter-région : promouvoir un réplica en lecture en instance principale.

Action API ou console `PromoteReadReplica`. Le nouveau réplica devient une instance autonome inscriptible ; mettez à jour les points de terminaison de l'application.

Centraliser les sauvegardes EFS, RDS, EBS, DynamoDB, FSx sous une seule planification + politique de rétention.

AWS Backup — plan de sauvegarde avec règles (fréquence, rétention, cycle de vie vers le stockage froid), sélections de sauvegarde (ARN de ressource ou filtre de balise).

Se conformer à l'exigence réglementaire de sauvegarde immuable (WORM).

AWS Backup Vault Lock en mode de conformité. Une fois appliqué, les sauvegardes ne peuvent pas être supprimées avant l'expiration de la rétention — même par l'utilisateur root.

Instantanés quotidiens de chaque volume EBS tagué avec une rétention de 30 jours.

Politique Amazon Data Lifecycle Manager (DLM) — planification + filtre de balises + rétention. Pas de code, pas de Lambdas planifiées.

DR actif-passif : Route 53 doit envoyer le trafic à la région de secours lorsque la région principale échoue.

Politique de routage de basculement Route 53 avec vérifications de santé sur le point de terminaison principal. En cas d'échec de la vérification de santé, DNS résout vers le secours.

Détecter une défaillance de point de terminaison plus rapidement que les 30 secondes par défaut.

Vérification de santé Route 53 avec intervalle rapide (10s) et seuil de 3 échecs. Combiner plusieurs vérifications de santé via des vérifications calculées.

Les connexions de longue durée sont interrompues lorsqu'ALB supprime une cible pendant le déploiement.

Délai de désenregistrement du groupe cible (300s par défaut, à augmenter si nécessaire). Les nouvelles requêtes cessent de circuler immédiatement ; les connexions en cours se drainent jusqu'à l'expiration du délai.

Configurer combien de temps ALB attend les requêtes en cours lors du désenregistrement de la cible.

Identique au délai de désenregistrement. À définir par groupe cible. NLB a un mécanisme distinct mais parallèle.

EFS est lent sous une charge en rafale.

Passer en mode Débit Élastique (auto-mise à l'échelle). Ou Débit Provisionné pour les charges de travail prévisibles. Le mode Rafale par défaut est basé sur les crédits et s'épuise sous une charge soutenue.

Choisir une stratégie de reprise après sinistre (DR) en fonction du budget RPO/RTO.

Sauvegarde et Restauration (RTO heures, RPO heures, le moins cher). Lumière Pilote (RTO minutes, RPO minutes). Veille Active (RTO minutes, RPO secondes, veille réduite en cours d'exécution). Multi-Site Actif-Actif (RTO ~0, RPO ~0, le plus cher).

Répliquer des objets S3 vers une deuxième région pour la conformité + la DR.

Réplication S3 inter-régions (CRR). Buckets source + destination, rôle IAM, règle de réplication. Utiliser Replication Time Control (RTC) pour un SLA de 15 minutes.

Protéger les objets contre la suppression accidentelle ou malveillante.

Activer le versioning + MFA Delete sur le bucket. MFA Delete nécessite les informations d'identification root + le code MFA pour supprimer définitivement des versions ou désactiver le versioning.

L'application TCP/UDP nécessite des adresses IP statiques et un basculement rapide entre les régions.

AWS Global Accelerator — 2 adresses IP anycast qui acheminent vers le point de terminaison régional sain le plus proche via le backbone AWS. Basculement en moins de 30 secondes.

Pourquoi: Mieux que le basculement Route 53 pour le trafic non-HTTP ; les clients conservent la même IP.

Déploiement, Provisionnement et Automatisation

Quelqu'un a modifié des ressources dans la console ; vérifier ce qui a divergé du modèle CloudFormation.

Détection de dérive CloudFormation sur la pile. Rapporte l'état de dérive par ressource avec des différences au niveau des propriétés.

Voir exactement ce que CloudFormation modifiera avant d'appliquer un changement de modèle.

Créer d'abord un jeu de modifications ; examiner les changements proposés ; exécuter uniquement si sûr. Les jeux de modifications prennent en charge les piles imbriquées et les références inter-piles.

Empêcher une mise à jour accidentelle d'une ressource critique (par exemple, RDS de production) à l'intérieur d'une pile.

Politique de pile CloudFormation — document de style IAM autorisant ou refusant `Update:*` sur des ID de ressources logiques spécifiques. Appliquée à la pile, séparément d'IAM.

Déployer la même base (par exemple, CloudTrail, Config, GuardDuty) sur tous les comptes de l'organisation.

CloudFormation StackSets avec autorisations gérées par le service + déploiement automatique vers de nouveaux comptes dans les unités d'organisation cibles.

Exécuter la configuration + signaler l'achèvement à CloudFormation depuis les user-data d'EC2.

cfn-init (config), cfn-signal (signaler CreationPolicy), cfn-hup (appliquer les modifications de métadonnées). CreationPolicy fait attendre la pile le signal avant de marquer CREATE_COMPLETE.

Annuler automatiquement la pile si les alarmes CloudWatch se déclenchent après le déploiement.

Configuration de restauration CloudFormation — liste des alarmes CW + temps de surveillance. Si une alarme se déclenche pendant la fenêtre, la pile est automatiquement restaurée.

Pousser une commande shell unique à 500 instances EC2 par balise.

Commande SSM Run Command avec le document `AWS-RunShellScript`, ciblage par balise. Pas de SSH. Journaux vers S3 / CloudWatch Logs.

Appliquer continuellement une configuration (par exemple, agent CloudWatch installé) sur toutes les instances.

Association SSM State Manager — planification + document + cibles. SSM applique l'état souhaité selon le calendrier et rapporte la conformité.

Appliquer les correctifs du système d'exploitation à une flotte selon un calendrier avec sécurité de restauration.

SSM Patch Manager — base de correctifs (règles : sévérité, classification, délai d'approbation) + groupe de correctifs (balise) + fenêtre de maintenance pour l'exécution.

Accéder en SSH à une instance de sous-réseau privé sans hôte bastion ni ports entrants ouverts.

SSM Session Manager — agent + rôle IAM ouvrent la session via l'API SSM Messages. Pas d'IP publique, pas de clé SSH, journalisation complète de la session.

Stocker la chaîne de connexion de la base de données pour que l'application la récupère à l'exécution — pas de secrets enregistrés.

SSM Parameter Store SecureString (chiffré KMS) ou Secrets Manager (rotation). L'application appelle `GetParameter` avec un rôle IAM.

Pourquoi: Parameter Store est gratuit au niveau standard ; Secrets Manager a une rotation intégrée pour RDS/DocumentDB/Redshift.

Corriger automatiquement les non-conformités (par exemple, groupe de sécurité ouvert au monde entier → restreindre).

Runbook SSM Automation (YAML personnalisé ou propriété AWS). Déclenché par EventBridge / Config / manuel. Étapes : branche, parallèle, réessayez, annulez.

Exécuter le patch uniquement le dimanche entre 02h00 et 04h00.

Fenêtre de maintenance SSM — planification (cron), cibles, tâches. Encapsule les invocations Run Command / Automation / Lambda / Step Functions.

Construire des AMI Linux/Windows durcies avec des agents préinstallés selon un calendrier.

EC2 Image Builder — pipeline (recette d'image + composants + configuration d'infra + distribution). Exporter les AMI vers plusieurs régions/comptes.

Déployer une nouvelle version d'application sur une petite partie d'EC2/ECS/Lambda avant le déploiement complet.

CodeDeploy avec configuration de déploiement canary ou linéaire. Canary Lambda `Lambda10Percent5Minutes` redirige le trafic via les poids d'alias.

Déploiement bleu/vert sur ASG derrière ALB.

Groupe de déploiement bleu/vert CodeDeploy — provisionne un nouvel ASG, l'enregistre auprès du groupe cible ALB, attend la santé, échange le trafic, termine l'ancien.

Pipeline dans le compte d'outillage qui déploie vers les comptes dev/stage/prod.

CodePipeline inter-comptes — l'étape de déploiement utilise un rôle inter-comptes du compte cible. Clé KMS dans le compte d'outillage partagée avec la cible.

Permettre aux équipes de développement de s'auto-servir l'infrastructure approuvée (par exemple, VPC, bucket S3) sans leur donner un accès IAM complet.

AWS Service Catalog — l'administrateur publie des produits (modèles CFN), les utilisateurs les lancent via une permission IAM pour lancer le rôle du produit, et non les ressources sous-jacentes.

Appliquer que toutes les ressources aient les balises `Environment` et `CostCenter` à l'échelle de l'organisation.

Politiques de balises AWS Organizations. Définir les clés de balises + valeurs autorisées ; le balisage non conforme est affiché dans Resource Groups Tag Editor + Config.

Migration hors des piles OpsWorks (fin de vie en mai 2024).

OpsWorks Stacks est en fin de vie. Migrer vers AWS Systems Manager + Chef/Puppet natif sur EC2, ou convertir vers ECS/EKS, ou reconstruire via SSM Automation + CFN.

Choisir entre les piles imbriquées et les références inter-piles.

Piles imbriquées : fortement couplées, cycle de vie géré ensemble (mise à jour unique). Références inter-piles `Export`/`ImportValue` : faiblement couplées, cycles de vie indépendants, les exportations sont immuables tant qu'elles sont importées.

Sécurité et Conformité

Identifier les utilisateurs IAM avec des clés d'accès de plus de 90 jours.

Générer un rapport d'identification (`generate-credential-report` + `get-credential-report`). CSV avec la dernière utilisation + l'âge de la clé par utilisateur. Combiner avec Access Analyzer pour un examen du moindre privilège.

Trouver les rôles IAM, les buckets S3, les clés KMS accessibles depuis l'extérieur du compte / de l'organisation.

IAM Access Analyzer — le scan de la zone de confiance rapporte les découvertes d'accès externes. L'analyseur d'accès externe est gratuit ; l'analyseur d'accès inutilisé est payant.

Réduire les politiques IAM trop permissives — supprimer les services que le principal n'a jamais utilisés.

Informations sur le dernier accès IAM par rôle/utilisateur. Liste la dernière utilisation au niveau du service + (pour certains services) au niveau de l'action. Supprimer les permissions inutilisées.

Auditer tous les appels d'API sur chaque compte de l'organisation avec un stockage centralisé.

Piste d'organisation dans le compte de gestion ou le compte administrateur délégué. Un seul bucket S3 ; couvre tous les comptes membres actuels + futurs ; ne peut pas être désactivé par les membres.

Enregistrer chaque lecture d'objet S3 dans un bucket sensible.

Activer les événements de données CloudTrail pour S3 (par bucket ou tous). Les pistes standard capturent uniquement les événements de gestion ; les événements de données sont facturés séparément.

Détecter les informations d'identification compromises, les analyses de ports, le minage de crypto-monnaies, l'activité API anormale.

Activer GuardDuty dans chaque région. L'administrateur délégué dans le compte de sécurité agrège les résultats à l'échelle de l'organisation. Règle EventBridge → SNS pour les alertes de haute gravité.

Analyse CVE continue des AMI EC2 et des images ECR.

Amazon Inspector v2. Découvre automatiquement EC2 + ECR + Lambda ; les résultats sont dans Security Hub. CVEs classées par sévérité.

Tableau de bord unique pour les résultats de GuardDuty, Inspector, Macie, IAM Access Analyzer, outils tiers.

AWS Security Hub. Standards (CIS AWS Foundations, AWS Foundational Security Best Practices, PCI DSS). Agrégation inter-régions + administration déléguée.

Découvrir et classer les données PII / de carte de crédit dans S3.

Amazon Macie. Tâches de découverte automatique sur les buckets ; identifiants de données gérés + regex personnalisées. Résultats vers Security Hub / EventBridge.

Faire pivoter les clés de chiffrement KMS sans re-chiffrer les données.

Activer la rotation automatique des CMK gérées par le client (annuelle). KMS conserve l'ancien matériel de clé pour déchiffrer les textes chiffrés existants ; les nouveaux chiffrements utilisent le dernier matériel.

Faire pivoter automatiquement le mot de passe maître RDS tous les 30 jours.

Rotation Secrets Manager avec Lambda fourni par AWS pour le moteur RDS. Stratégie de rotation utilisateur unique ou utilisateur alterné.

Appliquer les CIS Benchmarks à l'échelle de toute l'organisation.

Pack de conformité AWS Config — ensemble de règles Config + actions de correction. Déployer via Config vers tous les comptes via l'agrégateur ; au niveau de l'organisation via le compte de gestion.

Bloquer les attaques SSRF qui lisent les métadonnées des instances EC2.

Exiger IMDSv2 (`HttpTokens=required`) sur chaque instance. Basé sur des jetons ; bloque les lectures SSRF non authentifiées des informations d'identification du rôle d'instance.

Garantie à l'échelle du compte qu'aucun bucket S3 n'est jamais lisible publiquement.

Blocage de l'accès public S3 au niveau du compte. Annule les politiques par bucket. Combiner avec `aws:SecureTransport` SCP pour HTTPS uniquement.

Automatiser la collecte de preuves pour les audits SOC 2 / HIPAA / PCI.

AWS Audit Manager — les frameworks associent les contrôles aux sources de preuves (Config, CloudTrail, Security Hub). Collecte et assemble automatiquement les rapports prêts pour l'évaluateur.

Mise en réseau et Livraison de contenu

Enquêter sur le trafic de mouvement latéral suspecté entre les sous-réseaux.

VPC Flow Logs vers CloudWatch Logs / S3 / Firehose. Le format personnalisé avec `pkt-srcaddr` + `pkt-dstaddr` expose la véritable source/destination du paquet (vs source/destination ENI).

Interroger des téraoctets de VPC Flow Logs à faible coût.

Diffuser les Flow Logs vers S3 au format Parquet ; interroger avec Athena partitionné par année/mois/jour. Moins cher que CW Logs Insights pour l'analyse archivistique.

Déterminer pourquoi la tâche ECS ne peut pas atteindre RDS — groupe de sécurité (SG), NACL, table de routage ou NAT ?

VPC Reachability Analyzer — ENI source → ENI destination ; rapporte atteignable/bloqué + quel composant bloque (par exemple, règle de SG entrante).

Trouver tous les chemins de l'internet vers un sous-réseau de base de données à l'échelle de l'organisation.

Network Access Analyzer avec Network Access Scope (par exemple, `Source: internet, Destination: db-subnet-tag`). Renvoie les chemins réseau correspondants pour examen.

EC2 dans un sous-réseau privé doit atteindre S3 / DynamoDB sans les coûts de sortie NAT.

Point de terminaison VPC de passerelle pour S3 / DynamoDB. Gratuit ; liste de préfixes de table de routage. Évite les octets NAT.

Connectivité privée depuis le VPC vers la plupart des autres services AWS (KMS, SSM, ECR, etc.).

Point de terminaison VPC d'interface (PowerLink). ENI dans votre sous-réseau, facturé par AZ + par Go. Utilisez les politiques de point de terminaison pour restreindre l'accès à des ressources spécifiques.

Les frais de traitement des données de la NAT Gateway dominent la facture.

Déplacer le trafic S3/DynamoDB vers les points de terminaison de passerelle (gratuit). Déplacer le trafic des autres services AWS vers les points de terminaison d'interface. Pour l'inter-VPC, utilisez Transit Gateway / appairage VPC au lieu du routage via NAT.

40 VPC ont besoin d'une connectivité any-to-any sans appairage N×N.

Transit Gateway comme hub. Les VPC se connectent au TGW ; les tables de routage contrôlent quels VPC peuvent communiquer. Un hub géré unique versus O(N²) connexions d'appairage.

Le DNS sur site doit résoudre `internal.company.com` vers les ressources VPC privées, et vice versa.

Points de terminaison d'entrée + de sortie Route 53 Resolver + règles de redirection. Entrée = les requêtes sur site interrogent AWS ; sortie = AWS interroge sur site.

Auditer quels noms DNS sont résolus depuis un VPC.

Journalisation des requêtes Route 53 Resolver vers CloudWatch Logs / S3 / Firehose. Configuration de journalisation par VPC.

L'origine CloudFront renvoie des erreurs 5xx ; besoin d'un basculement automatique vers une origine secondaire.

Groupe d'origines avec origine primaire + secondaire et critères de basculement (codes d'état 500/502/503/504/404). Le comportement de cache pointe vers le groupe.

Maximiser le taux de succès du cache pour le contenu largement statique.

Définir `Cache-Control: max-age=...` sur les réponses de l'origine ; configurer CloudFront pour ne transmettre que les clés de cache requises (éviter de transmettre tous les en-têtes/cookies/chaînes de requête, ce qui détruit l'efficacité du cache).

CloudFront devant S3 — bloquer l'accès direct à S3.

Contrôle d'Accès à l'Origine (OAC). Remplace l'ancienne Identité d'Accès à l'Origine (OAI) — prend en charge SigV4, les buckets chiffrés KMS, toutes les régions. La politique de bucket refuse les entités non-OAC.

Bloquer les injections SQL + limiter le débit des clients agressifs sur ALB.

ACL web AWS WAFv2 : groupe de règles gérées par AWS `AWSManagedRulesSQLiRuleSet` + règle basée sur le débit (par exemple, 2000 requêtes / 5 min par IP). Associer à ALB / API Gateway / CloudFront / AppSync.

Atténuer les attaques DDoS persistantes de couche 7 avec une garantie de protection des coûts.

AWS Shield Advanced — engagement proactif, détection DDoS au niveau de la couche application, accès 24h/24 et 7j/7 au SRT, remboursement des coûts pour les pics de mise à l'échelle pendant une attaque. Activer sur Route 53 / CloudFront / ALB / EIP / Global Accelerator.

Gérer centralement les politiques WAF / Shield / SG / Network Firewall sur tous les comptes de l'organisation.

AWS Firewall Manager (administrateur délégué). Les politiques s'appliquent automatiquement aux comptes/ressources dans le périmètre ; signale la non-conformité.

Une panne de Direct Connect interrompt la connectivité hybride.

VPN Site-to-Site comme sauvegarde via Internet. BGP choisit DX comme préféré (MED inférieur / AS-PATH plus court) ; bascule automatiquement vers le VPN.