AWS Cloud Practitioner

Fiche de révision complète · 5 modules
70%score requis
~65questions
90 mindurée
3 ansvalidité
← SkillVault
☁️
Concept clé de l'exam

Comprendre les 6 avantages du cloud AWS et le modèle de responsabilité partagée est fondamental. Ces deux sujets apparaissent dans 30%+ des questions.

Fondamentaux du Cloud AWS 20–25%

Les bases conceptuelles qui fondent toute la certification

6 Avantages du Cloud
1Agilité — déployer en minutes vs moisclic
2Économies d'échelle — payer moins grâce au volumeclic
3Élasticité — scaler à la demandeclic
4Pas de CapEx — modèle OpExclic
5Déploiement mondial en minutesclic
6Fin du 'capacity planning' — infra à la demandeclic
Modèle de responsabilité partagée
AWS est responsable de la sécurité DU cloudclic
Le client est responsable de la sécurité DANS le cloudclic
Services managés vs non-managés : responsabilité différenteclic
L'exam teste souvent : 'Qui est responsable de X ?' — toujours se demander si c'est dans l'infra AWS (eux) ou dans ta configuration/données (toi).
Modèles de déploiement
Cloud public — infrastructure AWS partagéeclic
Cloud privé — infrastructure dédiée (on-premise)clic
Cloud hybride — combinaison public + privéclic
Modèles de service IaaS/PaaS/SaaS
IaaS — Infrastructure as a Serviceclic
PaaS — Platform as a Serviceclic
SaaS — Software as a Serviceclic
🪤
Confondre Reserved Instances et Savings Plans
Tarification — distinction coûts
Les Reserved Instances s'appliquent à une instance spécifique (type, région, OS)
Les Savings Plans offrent plus de flexibilité : engagement en $/h applicable sur EC2, Fargate et Lambda
Reserved = engagement sur un type d'instance précis (rigide mais max de remise). Savings Plans = engagement en dépense/heure (flexible, applicable sur plusieurs services). Les deux offrent jusqu'à 72% de réduction.
🪤
Penser que S3 est un système de fichiers
Stockage — confusion conceptuelle
Utiliser S3 comme un disque dur monté sur un serveur EC2
S3 est un stockage d'objets accessible via API/HTTP. Pour un disque dur → EBS. Pour un partage de fichiers → EFS
S3 stocke des objets accessibles via URL. On ne peut pas installer un OS dessus. C'est fondamentalement différent d'un système de fichiers.
🪤
Oublier le principe du moindre privilège IAM
Sécurité — best practice critique
Donner la policy AdministratorAccess à tous les développeurs par facilité
Créer des policies granulaires avec uniquement les permissions nécessaires à chaque rôle
Le principe du moindre privilège (Least Privilege) est un pilier de la sécurité AWS. Chaque utilisateur et service ne doit avoir que les permissions strictement nécessaires.
🪤
Confondre haute disponibilité et disaster recovery
Architecture — concepts distincts
Multi-AZ dans une seule région suffit pour la récupération après sinistre
Multi-AZ = haute disponibilité locale. Multi-région = disaster recovery après sinistre majeur
Un sinistre détruit une région entière → Multi-AZ ne suffit pas. Il faut une réplication multi-région avec un plan de failover défini (RTO/RPO).
Astuce exam : Les 6 avantages du cloud et le modèle de responsabilité partagée sont quasi-systématiquement testés. Mémorise la limite : AWS = sécurité DE l'infrastructure, Client = sécurité DE CE QU'IL déploie dedans.

Services Core AWS 30–35%

Les services fondamentaux à maîtriser pour l'exam

Calcul (Compute)
EC2 — machines virtuelles dans le cloudclic
Lambda — fonctions serverless à l'exécutionclic
ECS/EKS — orchestration de containersclic
Stockage
S3 — stockage objet infiniment scalableclic
Classes de stockage S3 — optimiser les coûtsclic
EBS — disque attaché à EC2clic
Base de données
RDS — bases de données relationnelles managéesclic
DynamoDB — base de données NoSQL serverlessclic
Aurora — moteur propriétaire AWS haute performanceclic
Réseau & Sécurité
VPC — réseau privé isolé dans AWSclic
CloudFront — CDN mondial pour performancesclic
Route 53 — DNS managé avec routage intelligentclic
Astuce exam : Les questions sur les services testent souvent le bon service pour le bon besoin. S3 ≠ EFS ≠ EBS — ce sont trois types de stockage différents. Know the use case of each.

Sécurité & IAM 25–30%

La sécurité est le thème le plus pondéré de l'exam Cloud Practitioner

IAM — Identity and Access Management
Users IAM — identités individuellesclic
Groupes IAM — appliquer des politiques à plusieurs usersclic
Rôles IAM — identités temporaires pour servicesclic
Politiques IAM — documents JSON de permissionsclic
Bonnes pratiques de sécurité
MFA — authentification à deux facteurs obligatoireclic
Compte root — ne jamais utiliser au quotidienclic
Principle of least privilege — minimum de permissionsclic
Ne jamais créer de clés d'accès (Access Keys) pour le compte root. Ne jamais hardcoder des clés dans le code source. Utiliser les rôles IAM.
Services de sécurité
Shield — protection contre les attaques DDoSclic
WAF — pare-feu applicatif webclic
GuardDuty — détection de menaces intelligenteclic
Conformité & Gouvernance
CloudTrail — audit de toutes les actions AWSclic
Config — conformité des configurations dans le tempsclic
Astuce exam : CloudTrail = qui a fait quoi (audit). GuardDuty = comportements suspects (détection). Config = conformité des configurations. Ces trois services sont souvent confondus.

Tarification & Modèles de coût 15–20%

Comprendre comment AWS facture et comment optimiser les coûts

Modèles de tarification EC2
On-Demand — payer à l'heure, sans engagementclic
Reserved Instances — engagement 1 ou 3 ansclic
Savings Plans — flexibilité avec engagement d'usageclic
Spot Instances — jusqu'à 90% de réductionclic
Outils de gestion des coûts
AWS Cost Explorer — analyser les dépensesclic
AWS Budgets — alertes sur les dépassementsclic
TCO Calculator — comparer cloud vs on-premiseclic
Prix On-Demand × Facteur (0.28 à 0.60) = Prix Reserved Instance
Astuce exam : On-Demand = flexibilité. Reserved = charges stables (économies 40-72%). Spot = interruptible (économies 60-90%). Savings Plans = plus flexible que Reserved, économies similaires.

Infrastructure globale AWS 10–15%

Régions, zones de disponibilité, edge locations

Hiérarchie géographique AWS
Régions — zones géographiques isoléesclic
Zones de disponibilité (AZ) — datacenters isolésclic
Edge Locations — points de présence CloudFrontclic
Haute disponibilité & Résilience
Haute disponibilité — Multi-AZ par designclic
Fault tolerance — tolérance aux pannesclic
Disaster Recovery — récupération après sinistreclic

Pièges classiques à l'exam

Les confusions les plus fréquentes sur la certification Cloud Practitioner

🪤
Confondre S3, EBS et EFS
Stockage — 3 services très différents
✗  Utiliser EBS comme stockage d'objets partagé entre plusieurs instances EC2
✓  S3 pour le stockage objet (illimité, via URL). EBS pour le disque d'une seule instance EC2. EFS pour le système de fichiers partagé entre plusieurs EC2.
S3 = objects (clé+valeur), accès HTTP/HTTPS. EBS = disque bloc, attaché à 1 instance. EFS = NFS managé, partagé entre instances.
🪤
Croire que les Reserved Instances sont des serveurs réservés
Tarification — concept de réservation
✗  Penser qu'une Reserved Instance est une instance EC2 dédiée physiquement à un client
✓  Une Reserved Instance est un engagement de facturation, pas un serveur physique. La réduction s'applique automatiquement si tu utilises un type d'instance compatible.
Reserved Instance = engagement tarifaire, pas serveur dédié. Les Dedicated Hosts et Dedicated Instances sont les services AWS pour les serveurs physiques dédiés.
🪤
Confondre CloudTrail et CloudWatch
Monitoring — deux services complémentaires
✗  Utiliser CloudWatch pour l'audit des actions IAM et des accès API
✓  CloudTrail = audit qui a fait quoi (actions API, connexions). CloudWatch = métriques de performance (CPU, mémoire, latence). Les deux sont complémentaires.
CloudTrail = journal d'actions/audit. CloudWatch = métriques/monitoring performance. CloudTrail 'qui', CloudWatch 'comment ça tourne'.
🪤
Oublier la responsabilité du client pour la sécurité
Modèle de responsabilité partagée
✗  Penser qu'AWS gère la sécurité des données et des configurations client
✓  AWS gère la sécurité de l'infrastructure physique. Le client est responsable du chiffrement des données, des configurations IAM, des security groups et des accès.
Si tu laisses un bucket S3 public ou une instance EC2 sans patch OS : c'est TA responsabilité, pas AWS. AWS garantit le physique, toi le logique.
Mémo final : EC2 On-Demand = flexibilité. Reserved = économies sur charges stables. Spot = interruptible. IAM = identités + permissions. Multi-AZ = disponibilité. CloudTrail = audit. CloudWatch = métriques.

≠ Comparatifs

Les distinctions clés testées à l'exam AWS Cloud Practitioner

IaaS vs PaaS vs SaaS — Modèles de service
🖥️ IaaS (EC2, VPC)
Tu gères : OS, runtime, apps, données
AWS gère : serveurs physiques, réseau, stockage
Contrôle maximum, responsabilité maximum
Ex : EC2, EBS, VPC
☁️ PaaS / SaaS
PaaS : AWS gère aussi l'OS et le runtime (Elastic Beanstalk, Lambda)
SaaS : AWS gère tout (WorkSpaces, Chime)
Moins de contrôle, moins de maintenance
Lambda = serverless = zéro gestion de serveur
IAAS = MAX CONTRÔLE │ PAAS = CODE SEULEMENT │ SAAS = TOUT GÉRÉ
S3 vs EBS vs EFS — Stockage
🪣 S3 (Object Storage)
Stockage d'objets (fichiers, images, backups)
Accès via HTTP/API, durabilité 11 neufs
Pas montable sur une instance EC2
Stockage illimité, pay-per-use
💾 EBS / EFS (Block & File)
EBS : disque virtuel attaché à 1 seule instance EC2
EFS : système de fichiers partagé entre N instances
EBS = 1 instance. EFS = N instances. S3 = API
EBS pour les OS/BDD. EFS pour les fichiers partagés
S3 = OBJETS (API) │ EBS = DISQUE (1 INSTANCE) │ EFS = FICHIERS PARTAGÉS
Security Group vs NACL — Sécurité réseau
🛡️ Security Group
Pare-feu au niveau de l'instance EC2
Stateful : le retour est auto autorisé
Règles ALLOW seulement (pas de DENY)
Par défaut : tout entrant bloqué
🔒 NACL (Network ACL)
Pare-feu au niveau du sous-réseau
Stateless : retour doit être explicitement autorisé
Règles ALLOW et DENY (évaluées par numéro)
Par défaut : tout le trafic autorisé
SG = INSTANCE (STATEFUL) │ NACL = SOUS-RÉSEAU (STATELESS)

A–Z Glossaire

Les termes essentiels de l'écosystème AWS

CloudFormation
Infrastructure as Code : provisionner toutes les ressources AWS via templates JSON/YAML reproductibles.
Un template crée VPC + EC2 + RDS + S3 en un clic. Versionnable et reproductible.
CloudFront
CDN mondial : met en cache le contenu dans les Edge Locations pour réduire la latence utilisateur.
Site en Irlande sert les japonais depuis Tokyo → latence divisée par 10.
CloudWatch
Monitoring : métriques, logs, alarmes sur toutes les ressources AWS. Déclenche des actions automatiques.
CPU > 80% → alarme → Auto Scaling ajoute une instance.
DynamoDB
Base de données NoSQL serverless, latence milliseconde à n'importe quelle échelle. Modèle clé-valeur.
10M de joueurs → scores en 1-5ms sans gérer de serveur.
EC2
Serveurs virtuels dans le cloud. Choix CPU, RAM, stockage, OS. Tarification à la seconde.
t3.medium : ~30€/mois on-demand, ~19€/mois reserved 1 an.
IAM
Gestion des identités et permissions. Utilisateurs, groupes, rôles et policies contrôlent les accès.
Policy "S3ReadOnly" au groupe "Devs" → lecture S3 seulement.
Lambda
Calcul serverless : tu fournis le code, AWS l'exécute à chaque événement. Facturation à l'exécution.
Image uploadée S3 → Lambda la redimensionne → sauvegarde.
RDS
Bases de données relationnelles gérées (MySQL, PostgreSQL, Aurora). AWS gère backups, patches, failover.
Aurora Multi-AZ : failover 30s, réplicas lecture, backups auto.
Route 53
Service DNS haute disponibilité. Résolution de noms, health checks, routage géographique, failover.
Serveur EU tombe → Route 53 redirige vers serveur US auto.
S3
Stockage d'objets illimité, durabilité 11 neufs. Classes : Standard, IA, Glacier (archivage).
Photos en Standard, logs 30j+ en S3-IA, backups annuels en Glacier.
Shared Responsibility
AWS sécurise l'infra (OF the cloud). Le client sécurise ses données et configs (IN the cloud).
AWS protège les datacenters. Toi : chiffrement, IAM, Security Groups, MFA.
VPC
Réseau virtuel isolé : sous-réseaux publics/privés, routage, passerelles Internet, Security Groups.
Sous-réseau public (web) + privé (BDD). Seul le public est accessible depuis Internet.