Note examen AWS SAA
🌐 Réseau (Networking)
Section titled “🌐 Réseau (Networking)”Comparatif : Solutions Réseaux
Section titled “Comparatif : Solutions Réseaux”| Solution | Type de connexion | Usage principal | Caractéristique clé |
|---|---|---|---|
| VPC Peering | Inter-VPC (Privé) | Connecter deux VPC 1-à-1. | Pas de routage transitif. Gratuit (hors data). |
| VPC Sharing | Intra-VPC (Partagé) | Plusieurs comptes dans un même VPC. | Centralisation via RAM et AWS Organizations. |
| Transit Gateway | Hub-and-Spoke | Connecter des milliers de VPC et sites. | Supporte le routage transitif (A -> B -> C). |
| PrivateLink | Interface Endpoint | Accès privé à un service spécifique. | Pas de peering nécessaire. Sécurité maximale. |
| Site-to-Site VPN | Hybride (Internet) | Connecter On-prem vers AWS via IPsec. | Rapide à setup, mais dépend de l’Internet public. |
| Direct Connect | Hybride (Dédié) | Connexion physique dédiée (Fibre). | Haute performance, latence stable, coût élevé. |
| Client VPN | Utilisateur vers VPC | Accès distant pour les employés. | Basé sur OpenVPN, accès sécurisé aux ressources. |
Points clés à retenir :
- Routage Transitif : Seule la Transit Gateway permet de faire passer du trafic à travers un hub vers d’autres destinations de manière transparente.
- Gateway Endpoints vs Interface Endpoints : Utilisez des Gateway Endpoints uniquement pour S3 et DynamoDB (gratuit). Pour tout le reste, utilisez Interface Endpoints (PrivateLink).
- Sécurité Hybride : Préférez Direct Connect pour la stabilité et VPN pour le backup ou les besoins rapides.
- Éviter l’exposition : Utilisez toujours des VPC Endpoints pour que votre trafic vers les services AWS ne quitte jamais le réseau privé global d’Amazon.
Comparatif : VPC Peering vs VPC Sharing
Section titled “Comparatif : VPC Peering vs VPC Sharing”| Caractéristique | VPC Peering | VPC Sharing |
|---|---|---|
| Concept | Connecte 2 VPC indépendants. | Partage des subnets d’un même VPC. |
| Comptes | Même ou différents comptes. | Uniquement au sein d’une AWS Organization. |
| Connectivité | Requiert des tables de routage. | Native (car même VPC). |
| Responsabilité | Chaque compte gère son VPC. | Centralisée (Owner vs Participants). |
| Usage idéal | Connexion ponctuelle entre réseaux. | Infrastructure partagée et interconnectée. |
Points clés à retenir :
- VPC Sharing : On partage des “subnets”, pas le VPC entier. C’est la clé de la réponse correcte.
- RAM (Resource Access Manager) : C’est le service qui permet techniquement ce partage.
- Avantage interconnectivité : Pas de passerelle (gateway) ni de peering à configurer pour que les instances se voient.
- Sécurité : Les participants ne peuvent pas voir ou modifier les ressources des autres comptes, même s’ils sont dans le même subnet.
Comparatif : CloudFront vs Global Accelerator
Section titled “Comparatif : CloudFront vs Global Accelerator”| Amazon CloudFront | Caractéristique | AWS Global Accelerator |
|---|---|---|
| Mise en cache de contenu (CDN) | Objectif principal | Optimisation réseau (Routage) |
| Couche 7 (HTTP / HTTPS) | Couche OSI | Couches 3 & 4 (TCP / UDP) |
| IP dynamiques (via DNS) | Type d’IP | 2 IP Statiques Anycast |
| HTTP, HTTPS, WebSockets | Protocoles supportés | TCP, UDP, HTTP, HTTPS |
| Vidéo, Images, Sites Web statiques | Cas d’usage typique | Gaming, VoIP, IoT, Apps non-HTTP |
| Dépend du TTL DNS (plus lent) | Failover (Panne) | Instantané (l’IP ne change jamais) |
| Intégration native avec WAF | Sécurité | Protection Shield (DDoS) |
🗃️ Stockage (Storage)
Section titled “🗃️ Stockage (Storage)”Type de stockage (EBS & Instance Store)
Section titled “Type de stockage (EBS & Instance Store)”| Volume | Type | Bootable | Persistance | Usage Ideal | Performance |
|---|---|---|---|---|---|
| gp3 | SSD | OUI | Persistant | Usage standard, boot. | Equilibre (16k IOPS). |
| io1/io2 | SSD | OUI | Persistant | Bases de donnees critiques. | Tres haute (Max 256k IOPS). |
| st1 | HDD | NON | Persistant | Big Data, Log processing. | Debit eleve (500 MiB/s). |
| sc1 | HDD | NON | Persistant | Archives froides. | Cout le plus bas. |
| Instance Store | Ephemere | NON | Temporaire | Cache, Tampon, Temp files. | Latence la plus faible (Local). |
Points clés à retenir :
- HDD = Jamais de Boot. AWS interdit l’installation d’un OS sur du st1 ou sc1.
- Instance Store est Bootable, mais attention : il est évanescent. Si l’instance s’arrête, l’OS et les données disparaissent.
- Le piège classique : Dans l’examen, on te proposera souvent le st1 pour réduire les coûts d’un volume de démarrage. C’est une réponse fausse.
Type de stockage (Hors EBS)
Section titled “Type de stockage (Hors EBS)”| Service de stockage | Protocoles supportes | Clients cibles | Cas d usage |
|---|---|---|---|
| Amazon EFS | NFS uniquement | Linux, Mac | Partage de fichiers standard Linux. |
| FSx for Windows | SMB uniquement | Windows | Partage de fichiers Windows (Active Directory). |
| FSx for Lustre | Lustre (haute perf) | Linux (HPC) | Calcul haute performance, Machine Learning. |
| FSx for ONTAP | NFS, SMB, iSCSI | Windows, Linux, Mac | Environnements mixtes et migration On-premise. (Capacité de tiering automatique pour stockage froid) |
| FSx for OpenZFS | NFS uniquement | Linux, Mac | Migration de serveurs ZFS locaux. |
| Storage File Gateway | SMB / NFS | Windows, Linux, Mac | Acces hybride (Local + Cloud) |
Points clés à retenir :
- Mot-clé SMB ou Windows ACLs : La réponse est obligatoirement FSx for Windows.
- Accès mixte Windows/Linux : Si la priorité est la compatibilité Windows (AD/NTFS), FSx for Windows gagne même pour Linux.
- Performance brute (Big Data) : Si on parle de calcul haute performance, c’est FSx for Lustre.
- Simplicité Linux : Pour du partage pur Linux sans AD, c’est EFS.
- Si NFS + SMB : Le seul choix possible dans ce cas est FSx for ONTAP
EC2 Automatic recovery
Section titled “EC2 Automatic recovery”| Fonctionnalité | Compatible EBS | Compatible Instance Store |
|---|---|---|
| Redémarrage (Reboot) | OUI | OUI |
| Récupération (Recovery) | OUI | NON |
| Persistance des données | OUI (Réseau) | NON (Éphémère) |
| Adresse IP / ID Instance | Conservés | Perdus (si Recovery tenté) |
Points clés à retenir :
- CloudWatch Recovery : Ne fonctionne que pour les instances dont le stockage est uniquement basé sur EBS.
- Échec matériel : Si l’hôte physique meurt, les données de l’Instance Store meurent avec lui.
- Scénario d’examen : Si on demande une récupération automatique avec un budget minimal (pas d’Auto Scaling Group), la bonne réponse est l’alarme CloudWatch avec action “Recover”.
- Limitation technique : Le Recovery n’est pas supporté si un seul volume Instance Store est attaché à l’instance.
Classe stockage S3
Section titled “Classe stockage S3”| Classe S3 | Latence d’accès | Fréquence d’accès idéale | Coût stockage |
|---|---|---|---|
| Standard | Millisecondes | Très fréquente (Quotidien) | Élevé |
| Standard-IA | Millisecondes | Rare (ex: 2x par an) | Faible |
| One Zone-IA | Millisecondes | Rare + Données recréables | Très faible |
| Glacier Instant | Millisecondes | Rare (Trimestriel) | Très faible |
| Glacier Deep Archive | Heures | Très rare (Archive légale) | Minimum |
Points clés à retenir :
- Si l’énoncé dit millisecond latency : Élimine Glacier Flexible et Deep Archive.
- Si l’accès est rare (quelques fois par an) : Élimine S3 Standard.
- Le compromis parfait entre accès instantané et prix bas pour du stockage massif est le Standard-IA (ou Glacier Instant Retrieval si disponible).
- S3 Intelligent-Tiering n’est la bonne réponse que si les patterns d’accès sont inconnus ou changeants. Ici, on sait que c’est 2x par an.
Contraintes de transition S3 Lifecycle
Section titled “Contraintes de transition S3 Lifecycle”| Classe de destination | Délai de transition min. | Règle d’or pour l’examen |
|---|---|---|
| S3 Standard-IA | 30 jours | L’objet doit rester 30 jours en Standard avant la transition. |
| S3 One Zone-IA | 30 jours | Idéal pour les données “re-creatable” après 30 jours. |
| S3 Intelligent-Tiering | 0 jour | Transition immédiate possible sans délai minimum. |
| S3 Glacier Flexible | 0 jour | Possible immédiatement si l’origine est S3 Standard. |
| S3 Glacier Deep Archive | 0 jour | Possible immédiatement si l’origine est S3 Standard. |
| Caractéristique | Bursting Throughput | Provisioned Throughput |
|---|---|---|
| Débit de base | Proportionnel à la taille (50 Kio/s par Go). | Fixé par l utilisateur (ex: 100 Mio/s). |
| Gestion des pics | Utilise des crédits accumulés. | Débit constant garanti 24h/24. |
| Coût | Inclus dans le prix du stockage. | Facturation supplémentaire pour le débit. |
| Cas d usage idéal | Charges de travail variables / imprévisibles. | Débit élevé constant / petit volume de données. |
🧮 Instance EC2
Section titled “🧮 Instance EC2”EC2 Spot Fleet
Section titled “EC2 Spot Fleet”| Concept | Fonctionnement et comportement |
|---|---|
| Définition Spot Fleet | Une collection (pool) d’instances Spot (et optionnellement On-Demand) qui tente de maintenir une capacité cible au meilleur prix. |
| Annulation de requête | Annuler une requête Spot active n’arrête pas les instances déjà lancées. Vous devez les terminer séparément. |
| Requête Persistante | Si une instance Spot est interrompue par AWS, la requête est rouverte automatiquement pour relancer une instance dès que possible. |
| Spot Fleet Scaling | Contrairement à une requête isolée, une Spot Fleet peut lancer des instances de remplacement si certaines sont terminées pour maintenir la capacité. |
| Arrêt vs Interruption | Une requête persistante ne se rouvre QUE si AWS interrompt l’instance. Si vous l’arrêtez manuellement, la requête ne se relance pas. |
Points clés à retenir :
- Stratégie d’allocation : Une Spot Fleet peut piocher dans plusieurs “pools” (combinaisons type d’instance/AZ) pour maximiser la disponibilité.
- Gestion des interruptions : AWS envoie un avis d’interruption 2 minutes avant de reprendre l’instance.
- Annulation propre : Pour tout supprimer d’un coup, il faut annuler la requête ET cocher l’option pour terminer les instances associées.
- Cas d’usage : Batch jobs, calcul scientifique, conteneurs, ou toute charge de travail tolérante aux pannes.
EC2 patch management
Section titled “EC2 patch management”| Concept | Définition | Rôle stratégique |
|---|---|---|
| SSM Patch Manager | Outil d’automatisation pour l’analyse et l’installation de correctifs. | Maintien de la sécurité et de la conformité du parc. |
| Default Host Management | Gestion automatique des EC2 par SSM sans modifier les rôles IAM. | Réduction maximale de l’effort administratif. |
| Patch Baseline | Référentiel de règles définissant quels patchs sont approuvés. | Standardisation du niveau de sécurité appliqué. |
| Patch Group | Utilisation de Tags pour associer des instances à une stratégie. | Ciblage précis des environnements (Prod vs Dev). |
| Maintenance Windows | Plages horaires définies pour l’exécution des tâches de patching. | Prévention des interruptions de service en production. |
EC2 Auto Scaling - Priorisation d’extinction EC2
Section titled “EC2 Auto Scaling - Priorisation d’extinction EC2”| Priorité | Critere de Terminaison (Default) | Objectif |
|---|---|---|
| 1 | AZ avec le plus d instances | Maintenir l équilibre regional. |
| 2 | Instance avec l ancienne Launch Config | Mettre a jour le parc applicatif. |
| 3 | Instance la plus proche de l heure de facturation | Optimisation des couts FinOps. |
| 4 | Selection aleatoire | Dernier recours. |
Bonus :
- Il existe un mécanisme de “Scale In protection” qui empêche une instance d’être terminée par Auto Scaling, même si elle correspond aux critères de terminaison.C’est utile pour protéger des instances critiques ou en cours de déploiement.
🔒 Sécurité AWS
Section titled “🔒 Sécurité AWS”Chiffrement S3 (SSE-S3 VS SSE-KMS)
Section titled “Chiffrement S3 (SSE-S3 VS SSE-KMS)”| Type de chiffrement | Gestion des clés | Isolation par objet | Usage principal |
|---|---|---|---|
| SSE-S3 | Entièrement par AWS | OUI (Clé unique par objet) | Simplicité, coût nul, zéro overhead. |
| SSE-KMS | Par l’utilisateur (KMS) | OUI (Via KMS) | Audit (CloudTrail), rotation gérée. |
| SSE-C | Par le client | OUI (Fournie par vous) | Conformité stricte (hors AWS). |
Points clés à retenir :
- Isolation par fichier : SSE-S3 utilise nativement une clé de données unique pour chaque objet stocké.
- Minimal overhead : Si l’examen demande la sécurité maximale avec le moins d’effort, SSE-S3 est souvent la réponse car l’isolation par clé est automatique.
- Chiffrement par défaut : Il est désormais possible d’activer SSE-S3 au niveau du bucket pour que tout objet soit automatiquement chiffré.
- KMS Context : L’encryption context est utilisé pour la sécurité (intégrité) et l’audit, pas pour créer manuellement des milliers de clés différentes par fichier.
WAF (Web ACL)
Section titled “WAF (Web ACL)”| Ressource compatible | Niveau d application | Cas d usage typique |
|---|---|---|
| Amazon CloudFront | Global (Edge Locations) | Protection au plus proche de l utilisateur final. |
| Application Load Balancer | Regional | Securisation des applications tournant sur EC2 ou ECS. |
| Amazon API Gateway | Regional | Protection des API REST contre les abus et injections. |
| AWS AppSync | Regional | Securisation des interfaces de donnees GraphQL. |
| Amazon Cognito | Regional | Protection des pools d utilisateurs (User Pools). |
| AWS App Runner | Regional | Securisation des services d application conteneurises. |
| AWS Verified Access | Regional | Securisation des acces distants aux applications privees. |
🏗️ Gestion d’infrastructure
Section titled “🏗️ Gestion d’infrastructure”Cloudformation - Terminologie
Section titled “Cloudformation - Terminologie”| Terme | Portée (Scope) | Usage principal |
|---|---|---|
| Template | Fichier (YAML/JSON) | Le code qui décrit votre infrastructure. |
| Stack | 1 Compte / 1 Région | Un ensemble de ressources créées ensemble. |
| StackSet | Multi-comptes / Multi-régions | Déployer le même template partout d’un coup. |
| Drift Detection | N/A | Détecter si quelqu’un a modifié les ressources manuellement. |
Points clés à retenir :
- StackSet = Administration centralisée. Vous gérez tout depuis un compte administrateur.
- Intégration AWS Organizations : StackSets peut déployer automatiquement des ressources dans chaque nouveau compte créé dans l’organisation.
- Mise à jour : Si vous modifiez le template du StackSet, CloudFormation met à jour les stacks correspondantes dans tous les comptes et régions cibles.
- Tolérance aux pannes : Vous pouvez définir combien de comptes peuvent échouer avant que le déploiement global ne s’arrête.
📈 Monitoring & Observabilité
Section titled “📈 Monitoring & Observabilité”CloudWatch Alarms - Types d’actions
Section titled “CloudWatch Alarms - Types d’actions”| Type de Scaling | Declencheur | Cas d usage ideal (Examen) |
|---|---|---|
| Simple | Alarme CloudWatch (1 regle) | Charge stable, peu de variations. |
| Step | Alarme CloudWatch (Paliers) | Pics agressifs, besoin de granularite. |
| Target Tracking | Metrique cible (ex: 50% CPU) | La configuration par defaut recommandee. |
| Scheduled | Heure/Date precise | Evenement connu (ex: Black Friday). |
| Predictive | Modele de Machine Learning | Trafic cyclique/previsible (ex: tous les jours a 18h). |
🛢️ Base de données
Section titled “🛢️ Base de données”Haute dispo vs Performance
Section titled “Haute dispo vs Performance”| Fonctionnalite | Mode de replication | Objectif principal |
|---|---|---|
| RDS Multi-AZ | Synchrone | Haute disponibilite et zero perte de donnees. |
| Read Replica | Asynchrone | Performance en lecture et scalabilite. |
| EC2 avec MySQL | Manuelle | Controle total mais effort administratif maximum. |
| Cross-Region Replica | Asynchrone | Desastre Recovery a l echelle mondiale. |
Scaling metric
Section titled “Scaling metric”| Type de Scaling | Fonctionnement | Cas d usage |
|---|---|---|
| Simple Scaling | Ajoute/supprime un nombre fixe d instances selon un seuil. | Cas tres basiques, peu flexible. |
| Step Scaling | Ajoute des instances par paliers (ex: +2 si CPU 60%, +5 si 80%). | Charge qui augmente par bonds brutaux. |
| Target Tracking | Maintient une metrique a une valeur cible (ex: CPU a 50%). | Charge variable, methode recommandee par AWS. |
| Scheduled Scaling | Planifie le scaling a une heure precise. | Evenements connus a l avance (ex: Black Friday). |
FIFO vs Standart
Section titled “FIFO vs Standart”| Caracteristique | File Standard | File FIFO |
|---|---|---|
| Ordre des messages | Meilleur effort | Ordre strict (First-In-First-Out) |
| Delivrance | Au moins une fois | Exactement une fois |
| Doublons possibles | Oui (rarement) | Non (suppression automatique) |
| Debit (TPS) | Illimite | Limite (300 a 3000 par defaut) |
| Cas d usage | Decouplage general, logs | Transactions bancaires, commandes |
| Nom de la file | Libellé libre | Doit se terminer par .fifo |
💾 Backup & Recovery
Section titled “💾 Backup & Recovery”EC2 Instance recovery
Section titled “EC2 Instance recovery”| Element de l instance | Etat apres recuperation | Precision technique |
|---|---|---|
| Instance ID | Identique | L instance garde son identifiant unique. |
| Adresse IP Privee | Identique | L adresse IP interne ne change pas. |
| Adresse IP Publique | Identique | Cas unique : elle est gardee meme sans Elastic IP. |
| Elastic IP (EIP) | Identique | Si une EIP etait liee, elle reste liee. |
| Metadonnees (Tags, IAM) | Identique | Tout le profil de l instance est conserve. |
| Placement physique | Change | L instance demarre sur un nouvel hote (Host) sain. |
| Memoire vive (RAM) | Perdue | L instance subit un reboot : le cache RAM est vide. |
| Statut du volume EBS | Conserve | Le disque est detache de l ancien hote et rattache au nouveau. |
🤔 Autres services AWS
Section titled “🤔 Autres services AWS”DMS (Database Migration Service) - Cas d’usage
Section titled “DMS (Database Migration Service) - Cas d’usage”| Source | Destination | Cas d usage Examen |
|---|---|---|
| Amazon S3 | Kinesis / RDS | Charger de l historique + flux continu. |
| RDS (Toutes) | Amazon S3 | Creer un Data Lake pour Athena/Redshift. |
| On-premises | AWS (Any) | Migration hybride ou extension Cloud. |
| MongoDB | DocumentDB | Migration NoSQL (DMS gere aussi le NoSQL). |
| RDS | OpenSearch | Indexer des donnees pour de la recherche full-text. |