Compute & EC2 ~30% des questions
Instances, modèles d'achat, placement groups et AMI — le cœur de l'exam
Modèles d'achat EC2
→On-Demand — pas d'engagement, plein tarif, flexibilité maxclic
→Reserved — 1-3 ans, jusqu'à -72%, Standard vs Convertibleclic
→Spot — ~-90%, interruptible (2 min), workloads tolérantsclic
→Dedicated Hosts — serveur physique, licensing, conformitéclic
Placement Groups
1Cluster — même AZ, latence minimale, HPCclic
2Spread — racks distincts, max 7/AZ, haute résilienceclic
3Partition — partitions isolées, systèmes distribuésclic
AMI, User Data & Instance Store
→AMI — template d'instance, spécifique à la régionclic
→User Data — script au 1er démarrage, bootstrapclic
→Instance Store — éphémère, très performant, données perduesclic
Stockage ~20% des questions
S3 tiers, EBS types, EFS vs FSx — quel stockage pour quel besoin
S3 Storage Classes
→S3 Standard — accès fréquent, 99.99% dispoclic
→S3 Standard-IA — accès rare, -40% stockageclic
→Glacier Instant — archive, accès ms, min 90jclic
→Glacier Deep Archive — le moins cher, 12-48h, min 180jclic
→S3 Intelligent-Tiering — auto entre tiers, patterns inconnusclic
EBS Types
→gp3 — SSD général, 3K IOPS base, scalableclic
→io2 — Provisioned IOPS, 256K IOPS, mission-criticalclic
→st1 — HDD throughput, big data, pas bootableclic
EBS = 1 AZ. Cross-AZ → snapshot + restore. Multi-attach io2 = même AZ uniquement.
EFS & FSx
→EFS — NFS managé, multi-instance, Linuxclic
→FSx — Windows (SMB) ou Lustre (HPC/ML)clic
Réseau & VPC ~15% des questions
Subnets, NAT, VPC Peering, PrivateLink, Direct Connect
Architecture VPC
→Public vs Private — IGW route = public, NAT = privéclic
→NAT Gateway — sortie Internet pour subnets privésclic
→SG vs NACL — stateful vs stateless, instance vs subnetclic
Connectivité avancée
→VPC Peering — privé entre 2 VPC, non transitifclic
→Transit Gateway — hub centralisé, transitif, N VPCclic
→PrivateLink — accès privé via ENI, pas d'Internetclic
→Direct Connect — fibre dédiée, latence constante, pas chiffréclic
Bases de données ~15% des questions
RDS, Aurora, DynamoDB, ElastiCache, Redshift
RDS & Aurora
→RDS — SQL managé, 6 moteurs, Multi-AZ, Read Replicasclic
→Aurora — MySQL/PostgreSQL premium, 5x perf, 30s failoverclic
→Aurora Serverless — auto-scale compute, charges variablesclic
DynamoDB & Cache
→DynamoDB — NoSQL serverless, latence ms, auto-scaleclic
→ElastiCache — Redis (riche) vs Memcached (simple)clic
→Redshift — data warehouse, OLAP, SQL analytiqueclic
Haute disponibilité & Scaling ~10%
ELB, Auto Scaling, Route 53
Load Balancers
→ALB — Layer 7, path-based routing, microservicesclic
→NLB — Layer 4, millions req/sec, IP statiqueclic
Auto Scaling & Route 53
→ASG — auto-ajustement instances, Target Trackingclic
→Route 53 — Weighted, Latency, Failover, Geolocationclic
Sécurité & IAM ~15%
IAM policies, KMS, Secrets Manager, WAF, Shield
IAM en profondeur
→IAM Policies — JSON, Deny > Allow, tout refusé par défautclic
→IAM Roles — permissions temporaires, JAMAIS de clés codéesclic
Chiffrement & Protection
→KMS — clés de chiffrement, at-rest, rotation autoclic
→Secrets Manager vs Parameter Storeclic
→WAF & Shield — protection web + DDoSclic
Serverless ~10%
Lambda, API Gateway, SQS, SNS, EventBridge
Lambda & API Gateway
→Lambda — serverless, max 15 min, pay-per-useclic
→API Gateway — REST/WebSocket, auth, throttlingclic
SQS, SNS & EventBridge
→SQS — queue, découplage, Standard vs FIFOclic
→SNS & EventBridge — pub/sub et bus événementielclic
Migration & Coûts
DMS, Snow Family, Savings Plans, Cost Explorer
Migration
→DMS — migration BDD, downtime minimalclic
→Snow Family — transfert physique, pétaoctetsclic
Optimisation coûts
→Savings Plans — engagement $/h, jusqu'à -72%clic
→Cost Explorer & outils — analyse, alertes, right-sizingclic
Pièges classiques à l'exam
Les erreurs les plus fréquentes — lis-les au moins 2x
Credentials codées en dur
Sécurité — très fréquent
Mettre des access keys dans le code ou un fichier .env sur l'instance
Utiliser un IAM Role attaché au service (EC2, Lambda). Credentials auto et temporaires via STS.
IAM Roles + STS = credentials temporaires rotées automatiquement. C'est toujours la bonne réponse pour l'accès inter-services.
VPC Peering est transitif
Réseau — erreur courante
Si A↔B et B↔C, A peut communiquer avec C
VPC Peering est NON transitif. A↔C nécessite un peering direct ou un Transit Gateway.
VPC Peering = point à point. Réseau transitif (hub-and-spoke) → Transit Gateway.
Multi-AZ améliore les performances de lecture
BDD — très testé
Activer Multi-AZ pour améliorer les lectures
Multi-AZ = haute disponibilité (failover auto), standby NON accessible en lecture. Read Replicas = amélioration lectures.
Multi-AZ : standby synchrone, failover auto, PAS accessible. Read Replica : copie asynchrone, accessible en lecture, cross-région possible.
EBS Multi-Attach = cross-AZ
Stockage — faux
EBS Multi-Attach pour partager un volume entre instances de différentes AZ
Multi-Attach (io2 uniquement) fonctionne dans la MÊME AZ. Cross-AZ → EFS ou FSx.
EBS est limité à 1 AZ par nature. Multi-Attach = même AZ. Stockage partagé cross-AZ → EFS (Linux) ou FSx (Windows).
Lambda pour les traitements > 15 min
Serverless — timeout
Lambda pour un traitement de 30 minutes
Lambda max 15 min. > 15 min → ECS Fargate, Step Functions, ou AWS Batch.
Si un scénario mentionne > 15 min, Lambda est éliminé. Alternatives serverless : ECS Fargate ou Step Functions.
S3 Standard-IA vs Glacier Instant
Stockage — subtil
Standard-IA pour des archives rarement accédées
Glacier Instant si accès rare + ms + min 90j OK. Standard-IA si min 30j + accès un peu plus fréquent.
Standard-IA : min 30j, 128 Ko. Glacier Instant : min 90j, stockage moins cher, frais récupération plus élevés. Accès vraiment rare → Glacier Instant.
Comparatifs visuels
Les distinctions les plus testées
ALB vs NLB — Quel Load Balancer ?
🌐 ALB (Application)
Layer 7 — HTTP/HTTPS/WebSocket
Routing par path, host, headers
Microservices et containers
SSL termination + sticky sessions
Pas d'IP statique native
⚡ NLB (Network)
Layer 4 — TCP/UDP/TLS
Millions req/sec, ~100µs latence
IoT, gaming, protocoles non-HTTP
IP statique par AZ (Elastic IP)
Pass-through TLS possible
ALB = routing HTTP intelligent · NLB = perf brute + IP statique
RDS Multi-AZ vs Read Replicas — Ne pas confondre
🛡️ Multi-AZ
Objectif : haute disponibilité
Réplication synchrone
Standby non accessible en lecture
Failover auto ~60-120s
Même région, AZ différente
📖 Read Replicas
Objectif : performance lecture
Réplication asynchrone
Replicas accessibles en lecture
Max 5 (RDS) ou 15 (Aurora)
Cross-région possible
Multi-AZ = résilience · Read Replicas = performance lecture
SQS vs SNS — Messaging
📥 SQS (Queue)
Pull-based — consumer demande
1 consumer par message
Rétention jusqu'à 14 jours
Standard ou FIFO (300/sec)
Découplage producteur/consommateur
📤 SNS (Pub/Sub)
Push-based — envoi aux abonnés
N abonnés simultanément
Pas de rétention (fire & forget)
Abonnés : SQS, Lambda, email, HTTP
Filtrage par attributs possible
SQS = file d'attente 1:1 · SNS = fan-out 1:N
Secrets Manager vs Parameter Store — Où stocker quoi ?
🔐 Secrets Manager
Rotation auto intégrée (RDS natif)
Payant (~$0.40/secret/mois)
Conçu pour les secrets
Cross-account natif
Chiffrement KMS obligatoire
⚙️ Parameter Store
Pas de rotation auto
Gratuit (Standard, 10K params)
Conçu pour les configs
Hiérarchie (/app/prod/db_url)
Chiffrement KMS optionnel
Secrets Manager = rotation + secrets · Parameter Store = configs + gratuit
Glossaire complet
Termes clés SAA-C03
EC2
Elastic Compute Cloud — serveurs virtuels. Types : t3 (burstable), m5 (general), c5 (compute), r5 (memory), i3 (storage).
On-Demand, Reserved, Spot, Dedicated. Placement Groups : Cluster, Spread, Partition.
S3
Stockage objet illimité. 11 neufs durabilité. Tiers : Standard, IA, Glacier (Instant/Flexible/Deep), Intelligent-Tiering.
Bucket = conteneur. Object key = path + filename. Versioning, lifecycle rules, replication.
EBS
Disques virtuels persistants pour EC2. gp3 (SSD général), io2 (haute perf), st1 (HDD throughput), sc1 (HDD froid).
Snapshots pour backup cross-AZ. Chiffrement KMS. Multi-attach io2 même AZ.
VPC
Réseau isolé. Subnets public/privé, SG (stateful), NACL (stateless), IGW, NAT GW, VPC Endpoints.
CIDR /16 = 65K IPs. AWS réserve 5 IPs par subnet. Flow Logs pour le monitoring.
IAM Role
Identité avec permissions temporaires via STS. Pour services AWS, cross-account, fédération. JAMAIS de clés codées.
AssumeRole, GetFederationToken, AssumeRoleWithSAML/WebIdentity.
Lambda
Serverless event-driven. Max 15 min, 128 Mo-10 Go RAM. Facturation invocation + durée × mémoire.
Triggers : S3, SQS, API GW, EventBridge, DynamoDB Streams, Kinesis.
Aurora
SQL propriétaire AWS, compatible MySQL/PostgreSQL. 5x MySQL perf. 6 copies 3 AZ, failover 30s, 15 replicas.
Serverless v2 = auto-scale compute. Global = cross-région < 1s.
DynamoDB
NoSQL serverless key-value/document. Latence ms. On-Demand ou Provisioned. Global Tables = multi-région multi-master.
DAX = cache µs. Streams = CDC. TTL = expiration auto des items.
CloudFront
CDN global AWS, 450+ edge locations. Cache, OAC pour S3, Lambda@Edge, WAF intégré.
OAC = S3 accessible uniquement via CloudFront (remplace OAI).
SQS
File de messages managée. Standard = best-effort, at-least-once. FIFO = ordonné, exactly-once, 300 msg/sec.
Visibility Timeout = message invisible après lecture. Default 30s, max 12h.
KMS
Key Management Service. AWS Managed Keys ou CMK. Envelope encryption pour gros volumes.
Rotation annuelle auto. CloudHSM = hardware dédié FIPS 140-2 Level 3.
CloudFormation
Infrastructure as Code. JSON/YAML → créer toutes les ressources. Stack = ensemble de ressources liées.
StackSets = déployer sur plusieurs comptes/régions. Drift detection.
Direct Connect
Fibre dédiée on-premise ↔ AWS. 1-100 Gbps, latence constante. Pas chiffré par défaut.
Setup semaines/mois. VPN = chiffré, via Internet, setup minutes.
Transit Gateway
Hub réseau centralisé. Connecte N VPC + VPN + Direct Connect de manière transitive.
Alternative au mesh de VPC Peering pour les architectures complexes.
Redshift
Data warehouse colonnaire OLAP. SQL analytique sur pétaoctets. Spectrum = requêter S3.
OLAP (analytics) ≠ OLTP (transactionnel). Athena = SQL serverless sur S3 ad-hoc.
WAF
Web Application Firewall L7. SQL injection, XSS, rate limiting. Sur ALB, CloudFront, API Gateway.
Shield = DDoS L3/4. GuardDuty = menaces ML. Inspector = vulnérabilités.
EFS
NFS managé, multi-instance, auto-scale, multi-AZ. Linux uniquement. Lifecycle management vers IA.
FSx Windows = SMB + AD. FSx Lustre = HPC + S3 natif.
Savings Plans
Engagement $/h pendant 1-3 ans. Compute SP = flexible (EC2, Fargate, Lambda). EC2 SP = instance family + région.
Alternative moderne aux Reserved Instances. Jusqu'à -72%.