AWS : Le Guide Ultime – De Débutant à Architecte Cloud Expert

AWS : Le Guide Ultime – De Débutant à Architecte Cloud Expert
Le guide pédagogique le plus complet pour maîtriser Amazon Web Services. Conçu pour les étudiants, candidats aux certifications, compétiteurs WorldSkills et architectes cloud en devenir.
Commencer l'apprentissage
Voir les certifications
Table des matières
Plan de Formation Complet
Ce guide couvre l'intégralité de l'écosystème AWS, structuré en chapitres progressifs allant des fondamentaux jusqu'au niveau expert WorldSkills. Chaque section est pensée pour construire vos compétences de manière incrémentale.
01
Fondamentaux Cloud
Introduction au Cloud Computing et présentation d'AWS
02
Compute & Réseau
EC2, Load Balancing, Auto Scaling, VPC
03
Storage & Databases
S3, EBS, EFS, RDS, DynamoDB
04
Sécurité & IAM
IAM, KMS, WAF, Shield, GuardDuty
05
DevOps & Serverless
IaC, CI/CD, Lambda, API Gateway, Containers
06
Architecture Expert
HA, Well-Architected, Coûts, Multi-account, Certifications
Chapitre 1Fondamentaux
Introduction au Cloud Computing
Qu'est-ce que le Cloud ?
Le cloud computing désigne la mise à disposition de ressources informatiques (serveurs, stockage, bases de données, réseau, logiciels) via Internet, à la demande et avec une facturation à l'usage. Plutôt que d'investir massivement dans du matériel physique, les entreprises louent des capacités auprès de fournisseurs comme AWS.
Le cloud repose sur trois principes fondamentaux : l'élasticité (adaptation automatique aux besoins), le pay-as-you-go (paiement à la consommation), et la haute disponibilité (redondance multi-sites). Cette approche permet de réduire les coûts d'infrastructure de 30 à 60% en moyenne tout en accélérant considérablement le time-to-market.
Les Modèles de Service Cloud
Comprendre les trois modèles de service est essentiel pour toute certification AWS. Chacun offre un niveau d'abstraction différent, déterminant ce que vous gérez et ce que le fournisseur gère pour vous.
IaaS – Infrastructure as a Service
Vous louez l'infrastructure brute : serveurs virtuels, stockage, réseau. Vous gérez le système d'exploitation, le middleware et les applications. Exemple AWS : EC2, VPC, EBS. C'est le modèle qui offre le plus de contrôle mais aussi le plus de responsabilités.
PaaS – Platform as a Service
Le fournisseur gère l'infrastructure et le runtime. Vous vous concentrez uniquement sur votre code applicatif. Exemple AWS : Elastic Beanstalk, RDS, App Runner. Idéal pour les développeurs qui veulent déployer sans gérer les serveurs.
SaaS – Software as a Service
L'application est entièrement gérée et accessible via un navigateur. Aucune gestion côté utilisateur. Exemple AWS : Amazon WorkMail, Amazon Chime. Le niveau d'abstraction le plus élevé.
Cloud Public, Privé et Hybride
Cloud Public
Infrastructure partagée entre plusieurs clients (multi-tenant), gérée par le fournisseur. Avantages : coûts réduits, scalabilité illimitée, pas de maintenance. AWS, Azure et GCP sont des clouds publics.
Cloud Privé
Infrastructure dédiée à une seule organisation, hébergée sur site ou chez un fournisseur. Avantages : contrôle total, conformité réglementaire stricte. Exemples : VMware, OpenStack, AWS Outposts.
Cloud Hybride
Combinaison de cloud public et privé, reliés par des connexions sécurisées. Permet de garder les données sensibles on-premises tout en utilisant le cloud public pour l'élasticité. AWS Direct Connect facilite cette approche.
Pourquoi AWS Domine le Marché
Avec plus de 31% de parts de marché en 2024, AWS reste le leader incontesté du cloud computing. Cette domination s'explique par plusieurs facteurs clés : un avantage de premier entrant (lancement en 2006), un catalogue de plus de 200 services, une infrastructure mondiale sans égale, et un écosystème de partenaires massif.
31%
Part de marché
Leader mondial devant Azure (25%) et GCP (11%)
200+
Services disponibles
Le catalogue le plus complet du marché
33
Régions mondiales
Présence sur tous les continents
$100B+
Revenu annuel
Run rate annuel dépassant les 100 milliards USD
Chapitre 2Présentation AWS
Présentation de Amazon Web Services
Historique et Évolution
Amazon Web Services est né en 2006 d'un constat simple : Amazon possédait une infrastructure massive pour son e-commerce et pouvait la partager avec d'autres entreprises. Le premier service lancé fut Amazon S3 (Simple Storage Service) en mars 2006, suivi d'EC2 (Elastic Compute Cloud) en août de la même année.
2006
Lancement de S3 et EC2 – naissance du cloud public moderne
2009
Lancement de VPC et RDS – AWS devient enterprise-ready
2014
Lambda inaugure l'ère serverless – révolution architecturale
2017
EKS et Fargate – AWS embrasse les containers
2024
200+ services, IA générative avec Bedrock, leadership confirmé
Infrastructure Mondiale AWS
L'infrastructure mondiale d'AWS est organisée en trois niveaux hiérarchiques. Comprendre cette architecture est fondamental pour les certifications SAA et SAP, car elle impacte directement les décisions de conception en matière de latence, haute disponibilité et conformité réglementaire.
1
Régions (33+)
Zones géographiques distinctes contenant plusieurs data centers. Chaque région est complètement isolée des autres pour garantir la résilience. Le choix de la région dépend de : la latence, la conformité réglementaire (RGPD par exemple), la disponibilité des services, et les coûts.
2
Availability Zones (105+)
Chaque région contient au minimum 3 AZ, physiquement séparées de plusieurs kilomètres mais reliées par des connexions fibre à très faible latence (<2ms). Chaque AZ possède son alimentation électrique, son refroidissement et sa connectivité réseau indépendants.
3
Edge Locations (600+)
Points de présence (PoP) pour CloudFront (CDN) et Route 53 (DNS). Répartis dans plus de 90 villes à travers 49 pays. Ils mettent en cache le contenu au plus près des utilisateurs pour réduire la latence de distribution.
Chapitre 3Architecture Globale
Architecture Globale AWS
Chaque requête utilisateur traverse une chaîne d'éléments d'infrastructure AWS. Comprendre ce flux est essentiel pour concevoir des architectures performantes et sécurisées. Voici le chemin complet d'une requête, de l'utilisateur final jusqu'au service AWS cible.
Ce flux illustre comment AWS organise sa topologie réseau. Les services globaux (IAM, Route 53, CloudFront, WAF) opèrent indépendamment des régions, tandis que les services régionaux (EC2, RDS, Lambda, S3) sont déployés dans une région spécifique et répliquables entre régions selon les besoins.
Services Globaux vs Régionaux
🌍 Services Globaux
Ces services fonctionnent indépendamment de toute région :
IAM – Gestion des identités et accès
Route 53 – Service DNS managé
CloudFront – CDN mondial
WAF – Pare-feu applicatif web
AWS Organizations – Gestion multi-comptes
Artifact – Rapports de conformité
📍 Services Régionaux
Ces services sont déployés dans une région spécifique :
EC2 – Instances de calcul
S3 – Stockage objet (namespace global, données régionales)
RDS – Bases de données relationnelles
Lambda – Fonctions serverless
VPC – Réseau virtuel privé
EBS – Volumes de stockage bloc
⚠️ Point certification : S3 possède un namespace globalement unique pour ses buckets, mais les données sont stockées dans une région spécifique. C'est une question fréquente aux examens SAA et SAP.
Chapitre 4Compute
EC2 en Profondeur
Amazon EC2 (Elastic Compute Cloud) est le service de calcul fondamental d'AWS. Il fournit des serveurs virtuels redimensionnables dans le cloud, appelés instances. EC2 représente le cœur de la couche IaaS d'AWS et reste le service le plus utilisé et le plus testé dans toutes les certifications.
Chaque instance EC2 est lancée à partir d'une AMI (Amazon Machine Image) qui contient le système d'exploitation, les logiciels pré-installés et la configuration. Les instances sont exécutées dans un VPC spécifique, protégées par des Security Groups (pare-feu stateful) et peuvent être associées à des Elastic IPs pour obtenir une adresse IP publique fixe.
Types d'Instances EC2
AWS propose des dizaines de familles d'instances, chacune optimisée pour un cas d'usage spécifique. La nomenclature suit le format : m5.xlarge où m = famille, 5 = génération, xlarge = taille.
Architecture HA EC2 Multi-AZ
Une architecture haute disponibilité EC2 répartit les instances sur plusieurs Availability Zones derrière un Load Balancer. Cette configuration est le pattern de base que tout architecte AWS doit maîtriser. Elle garantit la continuité de service même en cas de défaillance complète d'une AZ.
Placement Groups
Cluster : faible latence (même rack). Spread : haute disponibilité (racks différents). Partition : isolation des défaillances (groupes de racks).
Security Groups
Pare-feu stateful au niveau de l'instance. Les règles d'entrée autorisent automatiquement le trafic de retour. Toujours appliquer le principe du least privilege.
Chapitre 5Load Balancing
Elastic Load Balancing
Le load balancing est un composant critique de toute architecture AWS. Il distribue le trafic entrant entre plusieurs cibles (instances EC2, containers, fonctions Lambda) pour garantir performance et disponibilité.
Application Load Balancer (ALB)
Opère au Layer 7 (HTTP/HTTPS). Supporte le routage basé sur le chemin URL, le hostname, les headers et les query strings. Idéal pour les architectures microservices. Supporte nativement WebSocket, HTTP/2 et gRPC.
Network Load Balancer (NLB)
Opère au Layer 4 (TCP/UDP/TLS). Ultra haute performance : capable de gérer des millions de requêtes par seconde avec une latence inférieure à 100µs. Fournit une IP statique par AZ. Choix privilégié pour les charges TCP/UDP non-HTTP.
Gateway Load Balancer (GWLB)
Opère au Layer 3 (IP). Conçu pour déployer des appliances réseau tierces (firewalls, IDS/IPS) de manière transparente dans le flux de trafic. Utilise le protocole GENEVE sur le port 6081.
Target Groups : les cibles du LB sont regroupées en Target Groups. Les Health Checks vérifient périodiquement l'état des cibles et retirent automatiquement celles qui ne répondent plus. Les Sticky Sessions (affinité) permettent de maintenir un utilisateur sur la même cible via un cookie.
Chapitre 6Auto Scaling
Auto Scaling
L'Auto Scaling ajuste automatiquement le nombre d'instances EC2 en fonction de la demande. C'est la clé de l'élasticité sur AWS et un sujet majeur de certification. Un Auto Scaling Group (ASG) définit un nombre minimum, souhaité et maximum d'instances.
Target Tracking
Maintient une métrique à une valeur cible (ex : CPU à 50%). AWS ajuste automatiquement la capacité.
Step / Simple Scaling
Réagit aux alarmes CloudWatch. Ajout/retrait d'instances par paliers définis manuellement.
Scheduled Scaling
Planification à l'avance pour des pics prévisibles (soldes, événements, heures de pointe).
Predictive Scaling
Machine learning analyse l'historique et pré-provisionne avant les pics. Combiné avec le target tracking pour une élasticité optimale.
Chapitre 7Storage
Amazon S3 en Détail
Amazon S3 (Simple Storage Service) est le service de stockage objet le plus utilisé au monde. Il offre une durabilité de 99.999999999% (11 nines) et une disponibilité de 99.99%. S3 est un service fondamental d'AWS, servant aussi bien de stockage pour les fichiers statiques que de backend pour le data lake, les sauvegardes et la distribution de contenu.
Les objets (fichiers) sont stockés dans des buckets dont le nom est globalement unique. Chaque objet peut atteindre 5 To et est identifié par une clé (chemin). S3 supporte nativement le versioning, le chiffrement côté serveur, les politiques d'accès granulaires et la réplication cross-région.
Classes de Stockage S3
AWS propose plusieurs classes de stockage S3 pour optimiser le rapport coût/performance selon la fréquence d'accès aux données. Le choix de la bonne classe est un sujet récurrent dans les certifications.
S3 Standard
Accès fréquent, faible latence. 99.99% disponibilité. Usage : sites web, applications actives, analytics temps réel.
S3 Standard-IA
Accès peu fréquent mais rapide quand nécessaire. Coût stockage réduit, frais de récupération. Usage : backups, données de reprise d'activité.
S3 Intelligent-Tiering
Déplacement automatique entre tiers selon les patterns d'accès. Aucun frais de récupération. Idéal quand le pattern d'accès est imprévisible.
S3 Glacier / Deep Archive
Archivage long terme. Glacier : récupération en minutes à heures. Deep Archive : 12h minimum, coût le plus bas (≈$1/TB/mois).
S3 : Fonctionnalités Avancées
Lifecycle Policies
Les règles de cycle de vie automatisent la transition des objets entre classes de stockage et leur suppression. Par exemple : Standard → IA après 30 jours → Glacier après 90 jours → suppression après 365 jours.
Versioning
Active au niveau du bucket, le versioning conserve toutes les versions d'un objet. Protège contre les suppressions accidentelles grâce au MFA Delete. Indispensable pour la conformité et la reprise d'activité.
Réplication
CRR (Cross-Region Replication) : réplique entre régions pour la conformité et la latence. SRR (Same-Region Replication) : agrégation de logs, réplication entre comptes. Nécessite le versioning activé sur source et destination.
Architecture S3 + CloudFront
CloudFront distribue le contenu S3 via les Edge Locations mondiales. Un Origin Access Control (OAC) sécurise l'accès au bucket, empêchant l'accès direct. Cette architecture est la base de tout hébergement de site statique performant.
Ce pattern est omniprésent dans les architectures AWS modernes et constitue une question quasi systématique aux examens de certification.
EBS et EFS – Stockage Bloc et Fichier
Amazon EBS
Elastic Block Store fournit des volumes de stockage bloc persistants pour EC2. Types principaux :
gp3 : usage général, 3000 IOPS de base, jusqu'à 16 000 IOPS
io2 Block Express : haute performance, jusqu'à 256 000 IOPS, SLA 99.999%
st1 : HDD throughput optimisé (big data, streaming)
sc1 : HDD cold, coût le plus bas
Les Snapshots sont des sauvegardes incrémentales stockées dans S3, utilisables pour la réplication cross-AZ/région.
Amazon EFS
Elastic File System est un système de fichiers NFS partagé, montable simultanément par des milliers d'instances EC2 ou containers. Contrairement à EBS (attaché à une seule instance), EFS est multi-AZ par défaut.
General Purpose : faible latence, usage courant
Max I/O : throughput élevé, applications hautement parallèles
EFS Infrequent Access : réduction de coût pour fichiers rarement accédés
Cas d'usage : partage de fichiers entre instances, CMS, outils de développement partagés.
Chapitre 8Databases
Amazon RDS
Amazon RDS (Relational Database Service) simplifie le déploiement, l'exploitation et le scaling des bases de données relationnelles dans le cloud. AWS gère le provisionnement, les patchs, les backups et la réplication automatiquement.
MySQL
PostgreSQL
MariaDB
Oracle
SQL Server
Aurora
Multi-AZ Deployment
RDS Multi-AZ crée une réplique synchrone standby dans une autre AZ. En cas de défaillance du primaire, un failover automatique s'opère en 60-120 secondes via un changement DNS. Le standby n'est pas accessible en lecture – c'est uniquement pour la haute disponibilité.
Read Replicas
Répliques asynchrones en lecture seule, jusqu'à 15 pour Aurora et 5 pour les autres moteurs. Peuvent être cross-AZ ou cross-région. Déchargent les requêtes de lecture du primaire. Peuvent être promues en instance indépendante.
Amazon DynamoDB
DynamoDB est le service de base de données NoSQL entièrement managé d'AWS. Il offre des performances en millisecondes à un chiffre pour n'importe quelle échelle. DynamoDB est un service serverless : pas de serveur à gérer, scaling automatique, et une disponibilité garantie de 99.999% avec Global Tables.
Modèle de Données
Chaque table a une Partition Key (obligatoire) et une Sort Key (optionnelle). La partition key détermine la distribution des données sur les partitions physiques. Une bonne conception de clé est essentielle pour éviter les "hot partitions" et garantir des performances homogènes.
Modes de Capacité
On-Demand : facturation par requête, aucune planification nécessaire. Idéal pour les charges imprévisibles. Provisioned : vous définissez les RCU/WCU (Read/Write Capacity Units). Moins cher mais nécessite de connaître la charge. Auto Scaling disponible.
Global Tables & TTL
Global Tables : réplication active-active multi-région avec résolution de conflits "last writer wins". TTL (Time to Live) : suppression automatique des items expirés sans consommer de capacité d'écriture. Parfait pour les sessions, les caches et les données temporaires.
Chapitre 9Networking
VPC en Profondeur
Le Virtual Private Cloud est le réseau virtuel isolé dans lequel vous déployez vos ressources AWS. Maîtriser le VPC est absolument indispensable pour toute certification AWS et pour les compétitions WorldSkills. Chaque VPC est défini par un bloc CIDR (ex : 10.0.0.0/16) qui détermine la plage d'adresses IP disponibles.
Composants VPC Essentiels
Subnets Publics
Possèdent une route vers l'Internet Gateway. Les instances avec une IP publique sont directement accessibles depuis Internet. Usage : Load Balancers, Bastion hosts, NAT Gateways.
Subnets Privés
Aucune route directe vers Internet. Le trafic sortant passe par un NAT Gateway (pour les mises à jour, API externes). Usage : serveurs applicatifs, bases de données, workloads sensibles.
NACL vs Security Groups
NACL : stateless, au niveau subnet, règles allow/deny avec priorité numérique. Security Groups : stateful, au niveau instance, règles allow uniquement. Utilisez les deux en défense en profondeur.
Direct Connect & VPN – Architecture Hybride
Connectivité On-Premises → AWS
Les architectures hybrides nécessitent des connexions sécurisées entre le data center de l'entreprise et AWS. Deux options principales existent, souvent combinées pour la redondance.
AWS Direct Connect
Connexion réseau dédiée et privée entre votre data center et AWS via un partenaire co-location. Bande passante de 1 Gbps à 100 Gbps. Latence consistante et prévisible. Délai de mise en service : 1-3 mois.
Site-to-Site VPN
Tunnel IPSec chiffré via Internet public. Mise en service rapide (minutes). Moins cher que Direct Connect mais latence variable et limitée par la bande passante Internet. Utilise un Virtual Private Gateway côté AWS et un Customer Gateway côté client.
🏆 Best Practice : Utilisez Direct Connect comme connexion primaire et VPN comme backup. Cette configuration garantit la haute disponibilité de la connectivité hybride.
Chapitre 10Sécurité
IAM en Profondeur
AWS Identity and Access Management est le service global qui contrôle qui peut accéder à quoi dans votre compte AWS. IAM est le pilier central de la sécurité AWS et représente une part significative de chaque examen de certification. Le principe fondamental est le Least Privilege : ne donner que les permissions strictement nécessaires.
Users
Représentent des personnes physiques ou des applications. Possèdent des credentials permanents (mot de passe console + access keys programmatiques). Toujours activer le MFA pour les comptes humains.
Groups
Collections logiques d'utilisateurs. Les politiques attachées au groupe s'appliquent à tous ses membres. Un utilisateur peut appartenir à plusieurs groupes. Les groupes ne peuvent pas être imbriqués.
Roles
Identités assumables temporairement par des services, utilisateurs ou comptes externes. Fournissent des credentials temporaires via STS. Préférez toujours les Roles aux access keys pour les services AWS.
Policies (JSON)
Documents JSON définissant les permissions. Structure : Effect (Allow/Deny) + Action + Resource + Condition. Les policies Deny ont toujours la priorité sur les Allow. Types : Managed, Customer Managed, Inline.
Exemple de Policy IAM
Voici une policy IAM typique qui autorise la lecture des objets S3 dans un bucket spécifique, avec une condition restreignant l'accès à une plage IP :
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mon-bucket-production",
        "arn:aws:s3:::mon-bucket-production/*"
      ],
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        }
      }
    }
  ]
}
⚠️ Point certification : La policy IAM suit une logique d'évaluation précise : Deny explicite > Allow explicite > Deny implicite (par défaut). Si aucune policy n'autorise une action, elle est refusée. Un Deny explicite dans n'importe quelle policy prévaut toujours.
Sécurité Avancée AWS
Au-delà d'IAM, AWS propose un écosystème complet de services de sécurité pour protéger vos workloads à chaque niveau de la stack.
AWS KMS
Service de gestion des clés de chiffrement. Supporte les CMK (Customer Master Keys) gérées par AWS ou par le client. Intégré nativement avec S3, EBS, RDS, Lambda et la plupart des services AWS.
Secrets Manager
Stockage sécurisé des secrets (mots de passe BDD, clés API, tokens). Rotation automatique programmable. Intégration native avec RDS pour la rotation des credentials sans downtime.
WAF & Shield
WAF : pare-feu web avec règles personnalisées (SQL injection, XSS, rate limiting). Shield Standard : protection DDoS gratuite. Shield Advanced : protection DDoS managée avec SLA financier.
GuardDuty
Détection intelligente des menaces par ML. Analyse les logs VPC Flow, DNS, CloudTrail et S3 Data Events. Identifie les comportements suspects : crypto-mining, compromission de credentials, exfiltration de données.
Chapitre 11DevOps & Automation
Infrastructure as Code (IaC)
L'Infrastructure as Code est le paradigme fondamental du DevOps moderne. Plutôt que de configurer manuellement les ressources via la console, vous les décrivez dans des fichiers de code versionables, testables et reproductibles. C'est un prérequis absolu pour les compétitions WorldSkills et les certifications DevOps.
Terraform
Outil open-source de HashiCorp utilisant le langage HCL. Multi-cloud (AWS, Azure, GCP). Gère l'état de l'infrastructure via un state file. Workflow : terraform init → plan → apply → destroy. Le standard de facto en IaC.
CloudFormation
Service IaC natif AWS utilisant des templates YAML/JSON. Crée des stacks de ressources interdépendantes avec rollback automatique en cas d'erreur. Supporte les Nested Stacks, les Change Sets et les StackSets pour le déploiement multi-compte.
CodePipeline & CI/CD AWS
AWS propose une suite complète d'outils CI/CD natifs qui s'intègrent parfaitement avec l'écosystème AWS. Le pipeline CI/CD automatise le processus complet, du commit de code jusqu'au déploiement en production.
CodeCommit
Dépôt Git managé par AWS. Privé, chiffré, intégré IAM. Alternative à GitHub/GitLab dans l'écosystème AWS.
CodeBuild
Service de build entièrement managé. Compile le code source, exécute les tests unitaires, produit les artefacts. Utilise un fichier buildspec.yml pour la configuration. Facturation à la minute.
CodeDeploy
Déploiement automatisé sur EC2, ECS, Lambda ou on-premises. Stratégies : All-at-once, Rolling, Blue/Green, Canary. Rollback automatique en cas d'échec des health checks.
CodePipeline
Orchestrateur qui relie toutes les étapes. Déclenchement automatique sur commit. Supporte les étapes d'approbation manuelle et l'intégration avec des outils tiers (Jenkins, GitHub Actions).
Chapitre 12Serverless
AWS Lambda
AWS Lambda est le service de calcul serverless d'AWS. Vous uploadez votre code, et AWS gère automatiquement le provisionnement, le scaling et la haute disponibilité. Vous ne payez que pour le temps d'exécution réel, facturé à la milliseconde.
Fonctionnement Event-Driven
Lambda est déclenché par des événements : requête API Gateway, upload S3, message SQS, modification DynamoDB Streams, planification EventBridge, etc. Chaque invocation crée un environnement d'exécution isolé.
Cold Start
Le cold start survient lorsque Lambda doit créer un nouvel environnement d'exécution. Latence supplémentaire de 100ms à plusieurs secondes selon le runtime. Solutions : Provisioned Concurrency (pré-chauffe les instances) ou SnapStart (Java uniquement, réduit le cold start à <200ms).
Limites clés
Mémoire : 128 Mo – 10 Go
Timeout : max 15 min
Package : 50 Mo (250 Mo décompressé)
Concurrence : 1000 par défaut
Architecture Serverless Complète
L'architecture serverless combine plusieurs services managés pour éliminer toute gestion de serveur. Voici le pattern le plus courant, utilisé massivement en production et testé dans les certifications.
Cette architecture scale automatiquement de zéro à des millions de requêtes sans intervention. Le coût est quasi nul au repos et proportionnel à l'usage réel.
API Gateway
Amazon API Gateway est le point d'entrée de vos APIs serverless. Il gère le routage, l'authentification, le throttling, la mise en cache et la transformation des requêtes/réponses.
REST API
API complète avec gestion des stages (dev, staging, prod), models de validation, caching intégré et SDK generation. Supporte les usage plans avec API keys pour la monétisation. Plus complet mais plus coûteux.
HTTP API
Version simplifiée et moins chère (70% moins cher que REST). Supporte JWT authorizers nativement. Idéal pour les architectures simples Lambda + DynamoDB. Latence plus faible.
Authorizers
Lambda Authorizer : fonction Lambda personnalisée pour valider les tokens. Cognito Authorizer : validation automatique via Amazon Cognito User Pool. IAM Authorizer : authentification via SigV4 pour les appels service-to-service.
Chapitre 13Containers
ECS & EKS – Orchestration de Containers
Les containers sont devenus le standard de déploiement pour les applications modernes. AWS propose deux services d'orchestration majeurs, chacun avec ses avantages spécifiques.
ECS vs EKS en Détail
Amazon ECS
Service d'orchestration de containers natif AWS. Deux modes de lancement :
Fargate (serverless) : AWS gère l'infrastructure sous-jacente. Vous définissez CPU/mémoire par tâche. Pas de serveurs à gérer.
EC2 mode : vous gérez le cluster d'instances EC2. Plus de contrôle, accès GPU, coûts optimisables avec Spot/RI.
ECS utilise des Task Definitions (JSON) pour décrire les containers et des Services pour maintenir le nombre souhaité de tâches.
Amazon EKS
Service Kubernetes managé. AWS gère le control plane (API server, etcd, scheduler). Vous gérez les worker nodes (ou utilisez Fargate). Compatibilité totale avec l'écosystème Kubernetes open-source :
Helm charts, kubectl, toutes les APIs Kubernetes
Intégration ALB Ingress Controller, EBS CSI Driver
Portabilité multi-cloud (même manifests YAML)
Choix privilégié si votre équipe maîtrise déjà Kubernetes ou si vous avez besoin de portabilité.
Chapitre 14High Availability
Architecture Haute Disponibilité
La haute disponibilité (HA) garantit que votre application reste accessible malgré les défaillances. Sur AWS, cela repose sur la redondance multi-AZ et, pour les applications critiques, sur une architecture multi-région.
Multi-AZ
Réplication au sein d'une même région. Protection contre la perte d'une AZ. Pattern de base pour toute production.
Multi-Region
Réplication entre régions. Protection contre la perte d'une région entière. Nécessaire pour les RTO/RPO les plus stricts.
DR Strategy
Backup & Restore → Pilot Light → Warm Standby → Multi-Site Active/Active. Coût croissant, RTO/RPO décroissant.
RTO – Recovery Time Objective
Durée maximale acceptable d'interruption de service. Combien de temps pouvez-vous rester hors ligne ? Un RTO de 1h signifie que le service doit être restauré en moins d'une heure après une défaillance.
RPO – Recovery Point Objective
Quantité maximale de données que vous pouvez perdre, mesurée en temps. Un RPO de 15 minutes signifie que vous ne pouvez pas perdre plus de 15 minutes de données.
AWS Well-Architected Framework
Le Well-Architected Framework est le cadre de référence d'AWS pour concevoir des architectures cloud optimales. Il définit 6 piliers que tout architecte doit maîtriser. Ce framework est au cœur des certifications SAA et SAP.
Operational Excellence
Automatisation, IaC, monitoring, amélioration continue
Security
IAM, chiffrement, traçabilité, protection des données
Reliability
HA, DR, scaling, gestion des défaillances
Performance Efficiency
Bon choix de services, scaling, optimisation
Cost Optimization
Pay-as-you-go, right-sizing, Reserved/Spot
Sustainability
Efficience énergétique, réduction de l'empreinte carbone
Chapitre 15Cost Management
Optimisation des Coûts AWS
L'optimisation des coûts est un pilier du Well-Architected Framework et un enjeu majeur pour toute organisation utilisant AWS. Comprendre les modèles de tarification permet de réduire significativement la facture cloud sans sacrifier les performances.
Savings Plans
Engagement sur un montant horaire ($/h) pendant 1 ou 3 ans. Deux types : Compute Savings Plans (flexibles, s'appliquent à EC2, Lambda, Fargate) et EC2 Instance Savings Plans (plus de réduction, famille et région fixées). Jusqu'à 72% de réduction.
Reserved Instances
Réservation d'une capacité spécifique (type, AZ, OS) pour 1 ou 3 ans. Options de paiement : All Upfront (max réduction), Partial Upfront, No Upfront. Convertible RIs permettent de changer de type pendant la durée.
Spot Instances
Capacité EC2 excédentaire à jusqu'à 90% de réduction. Peut être interrompue avec un préavis de 2 minutes. Idéal pour : batch processing, CI/CD, big data, workloads tolérants aux interruptions. Utilisez les Spot Fleets pour diversifier.
Utilisez AWS Cost Explorer pour analyser vos dépenses et identifier les opportunités d'optimisation, et AWS Budgets pour définir des alertes de dépassement de budget.
Chapitre 16Niveau Expert
Architecture Complète Entreprise
Ce cas d'étude combine tous les concepts vus précédemment dans une architecture production-ready de niveau entreprise, représentative de ce qui est attendu en compétition WorldSkills et dans les certifications SAP.
Cas Réel : E-Commerce HA Multi-Tier
01
Réseau sécurisé
VPC /16 avec subnets publics (/24) pour ALB et Bastion, privés (/24) pour EC2 apps, isolés (/24) pour RDS. NACL + SG en défense en profondeur.
02
Compute élastique
ASG multi-AZ avec Target Tracking (CPU 60%). ALB avec health checks HTTP. Launch Template avec AMI golden pré-configurée.
03
Données résilientes
RDS Multi-AZ avec backups automatiques (35 jours rétention). Read Replicas pour les requêtes analytiques. S3 pour les assets statiques avec lifecycle policies.
04
Sécurité stricte
IAM Roles pour EC2, pas d'access keys. Bastion host avec MFA obligatoire. KMS pour le chiffrement EBS et RDS. Secrets Manager pour les credentials DB.
05
Observabilité
CloudWatch Metrics + Alarms + Dashboards. CloudTrail pour l'audit. VPC Flow Logs vers S3 pour l'analyse réseau.
Monitoring & Logging
L'observabilité est essentielle pour maintenir et améliorer vos architectures en production. AWS fournit trois services complémentaires qui couvrent les métriques, l'audit et le traçage applicatif.
Amazon CloudWatch
Service central de monitoring AWS. Collecte des métriques (CPU, réseau, custom), crée des alarmes (notification SNS, action Auto Scaling), génère des dashboards temps réel, et centralise les logs applicatifs. CloudWatch Logs Insights permet des requêtes analytiques sur les logs.
AWS CloudTrail
Journal d'audit de toutes les actions API AWS. Enregistre qui a fait quoi, quand, depuis où. Essentiel pour la conformité, la sécurité et l'investigation post-incident. Les événements sont stockés 90 jours par défaut, ou indéfiniment dans S3 via un Trail.
AWS X-Ray
Traçage distribué pour les architectures microservices et serverless. Visualise le parcours d'une requête à travers tous les services (API Gateway → Lambda → DynamoDB → S3). Identifie les goulots d'étranglement et les erreurs. Indispensable pour le debugging en production.
Multi-Account AWS avec Organizations
AWS Organizations
Les entreprises matures utilisent une stratégie multi-comptes pour isoler les environnements, limiter le blast radius des incidents, et faciliter la gouvernance. AWS Organizations permet de gérer de manière centralisée des dizaines voire des centaines de comptes AWS.
Service Control Policies (SCP)
Les SCP sont des barrières de sécurité appliquées au niveau de l'organisation ou de l'OU (Organizational Unit). Elles définissent les permissions maximales que les comptes membres peuvent utiliser, même si leurs policies IAM sont plus permissives.
Architecture Entreprise Type
Management Account : facturation consolidée, governance
Security Account : GuardDuty, Security Hub, logs centralisés
Network Account : Transit Gateway, Direct Connect, VPN
Shared Services : Active Directory, CI/CD pipelines
Workload Accounts : Dev, Staging, Prod séparés
Chapitre 17Certifications
Parcours de Certifications AWS
Les certifications AWS valident vos compétences et sont reconnues mondialement par les employeurs. Voici la roadmap de progression recommandée, avec les spécificités de chaque examen.
Roadmap de Progression
1
2
3
4
1
Specialty
Expert sectoriel
2
Professional
SAP + DevOps Pro
3
Associate
SAA + Developer + SysOps
4
Foundational
Cloud Practitioner (CLF-C02)
☁️ Cloud Practitioner
CLF-C02 – 90 min, 65 questions. Concepts cloud de base, services AWS principaux, tarification, sécurité fondamentale. Aucun prérequis technique. Le point d'entrée idéal.
🏗️ Solutions Architect Associate
SAA-C03 – 130 min, 65 questions. La certification la plus populaire. Couvre la conception d'architectures résilientes, performantes, sécurisées et optimisées en coûts. Score de passage : 720/1000.
🏛️ Solutions Architect Professional
SAP-C02 – 180 min, 75 questions. Architectures complexes multi-comptes, migration, hybride. Requiert une compréhension approfondie de quasiment tous les services AWS. La plus difficile.
⚙️ DevOps Engineer Professional
DOP-C02 – 180 min, 75 questions. CI/CD, IaC, monitoring avancé, incident management, containers, automatisation. Requiert une expérience pratique significative.
Chapitre 18WorldSkills
WorldSkills Cloud Computing – Compétences Clés
Les compétitions WorldSkills Cloud Computing testent la capacité à concevoir, déployer et dépanner des architectures AWS complexes sous pression temporelle. Voici les domaines que chaque candidat doit maîtriser à 100%.
Les 5 Domaines Critiques WorldSkills
🌐 Réseau Avancé
VPC peering, Transit Gateway, VPN, Direct Connect, Route 53 routing policies (weighted, failover, latency, geolocation). Capacité à concevoir et debugger des topologies réseau complexes multi-VPC en temps limité.
🔐 Sécurité Zero Trust
IAM policies complexes avec conditions, SCP, chiffrement E2E avec KMS, rotation des secrets, WAF rules custom, VPC endpoints pour le trafic privé. Audit de conformité avec Config Rules et Security Hub.
🏗️ Haute Disponibilité
Architecture multi-AZ et multi-région, Auto Scaling avec policies mixtes, RDS failover, Route 53 health checks avec DNS failover, stratégies DR (Pilot Light, Warm Standby). Tests de résilience.
🚀 Déploiement Rapide
Infrastructure as Code avec CloudFormation/Terraform, pipelines CI/CD fonctionnels, déploiement Blue/Green et Canary, configuration management avec SSM. Capacité à déployer une stack complète en moins de 30 minutes.
🔧 Résolution d'Incident
Debug réseau (VPC Flow Logs, traceroute, nslookup), analyse de logs CloudWatch, troubleshooting IAM (Policy Simulator, Access Analyzer), identification des erreurs CloudFormation. Méthodologie systématique de diagnostic.
CLI AWS – Commandes Essentielles
La maîtrise de l'AWS CLI est indispensable pour les compétitions WorldSkills et le travail quotidien d'un ingénieur cloud. Voici les commandes les plus fréquemment utilisées :
EC2 & Réseau
# Lancer une instance EC2
aws ec2 run-instances \
  --image-id ami-0abcdef1234567890 \
  --instance-type t3.micro \
  --key-name ma-cle \
  --security-group-ids sg-0123456789abcdef0 \
  --subnet-id subnet-0123456789abcdef0

# Créer un VPC
aws ec2 create-vpc --cidr-block 10.0.0.0/16

# Décrire les instances en cours
aws ec2 describe-instances \
  --filters "Name=instance-state-name,Values=running"
S3
# Synchroniser un répertoire local vers S3
aws s3 sync ./mon-site s3://mon-bucket-web --delete

# Copier avec chiffrement SSE-KMS
aws s3 cp fichier.zip s3://mon-bucket/ \
  --sse aws:kms --sse-kms-key-id alias/ma-cle
IAM
# Créer un rôle avec trust policy
aws iam create-role \
 --role-name MonRole \
 --assume-role-policy-document file://trust-policy.json

# Attacher une policy managée
aws iam attach-role-policy \
 --role-name MonRole \
 --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
AnnexesFAQ
Foire Aux Questions
Par quelle certification commencer ?
Si vous n'avez aucune expérience cloud, commencez par le Cloud Practitioner (CLF-C02). Si vous avez déjà des bases techniques, passez directement au Solutions Architect Associate (SAA-C03) qui est la certification la plus valorisée sur le marché.
Combien de temps pour se préparer au SAA ?
En moyenne 2 à 3 mois avec une étude régulière (1-2h/jour). Combinez une formation vidéo (Stephane Maarek, Adrian Cantrill), la lecture de la documentation officielle, et beaucoup de practice exams (TutorialsDojo, Whizlabs).
Free Tier suffit-il pour pratiquer ?
Le Free Tier AWS couvre la plupart des besoins d'apprentissage pendant 12 mois : 750h EC2 t2.micro/mois, 5 Go S3, 750h RDS, 25 Go DynamoDB. Attention cependant aux services non inclus (NAT Gateway, ELB au-delà du quota).
Quelle est la différence entre SAA et SAP ?
Le SAA teste la conception d'architectures standard. Le SAP teste des scénarios complexes : migrations, architectures multi-comptes, résolution de problèmes avancés. Le SAP est significativement plus difficile avec des questions plus longues et des réponses plus nuancées.
Glossaire AWS Essentiel
Maîtriser le vocabulaire AWS est fondamental pour comprendre la documentation et réussir les certifications. Voici les termes les plus importants à connaître.
Récapitulatif des Services Clés par Domaine
Compute
EC2, Lambda, ECS, EKS, Fargate, Elastic Beanstalk
Storage & DB
S3, EBS, EFS, RDS, Aurora, DynamoDB, ElastiCache
Networking
VPC, Route 53, CloudFront, Direct Connect, Transit Gateway
Security
IAM, KMS, WAF, Shield, GuardDuty, Secrets Manager
DevOps
CloudFormation, CodePipeline, CodeBuild, CodeDeploy, Systems Manager
Monitoring
CloudWatch, CloudTrail, X-Ray, Config, Trusted Advisor
Votre Parcours Commence Maintenant
Vous disposez désormais de toutes les connaissances théoriques nécessaires pour aborder AWS avec confiance. La clé du succès réside dans la pratique régulière : créez un compte Free Tier, déployez vos propres architectures, cassez-les, réparez-les. C'est ainsi que les meilleurs architectes cloud se forment.
"Il n'y a pas de raccourci dans le cloud. La maîtrise vient de la pratique, de l'échec, et de la persévérance."
Pratiquez
Créez votre compte AWS Free Tier et déployez vos premières architectures dès aujourd'hui
Étudiez
Revisitez ce guide régulièrement et approfondissez chaque service avec la documentation officielle
Certifiez-vous
Passez vos certifications progressivement et validez vos compétences sur le marché
Créer un compte AWS Free Tier
Explorer les certifications