AWS Cloud Practitioner CLF-C02

Les 4 domaines de l’examen — fiches synthétiques, services clés et quiz de révision

4
Domaines
65
Questions
≥ 700
Score / 1000
90 min
Durée

📋 Sommaire
1. Cloud Concepts (24%)
3. Cloud Technology & Services (34%)
2. Security & Compliance (30%)
4. Billing, Pricing & Support (12%)



DOMAINE 1 — 24%

Cloud Concepts

☁️ Les 6 avantages du cloud (selon AWS)
  1. Transformer les dépenses fixes en dépenses variables — payer uniquement ce que l’on consomme (pay-as-you-go)
  2. Économies d’échelle massives — AWS mutualise les coûts sur des centaines de milliers de clients
  3. Fin des estimations de capacité — scaler à la hausse ou à la baisse en quelques minutes
  4. Vitesse et agilité accrues — déployer des ressources en minutes au lieu de semaines
  5. Arrêter de dépenser pour les data centers — se concentrer sur le business, pas sur l’infrastructure
  6. Déploiement mondial en minutes — grâce à l’infrastructure globale AWS
🏛 Types de cloud computing
Modèle Description Exemple
IaaS Infrastructure à la demande (serveurs, stockage, réseau) Amazon EC2, Amazon VPC
PaaS Plateforme gérée, pas besoin de gérer l’infra sous-jacente AWS Elastic Beanstalk, AWS Lambda
SaaS Application complète prête à l’emploi Amazon WorkSpaces, Amazon Connect
Déploiement Description
Cloud public 100% dans le cloud AWS
Hybride Cloud + on-premises, connectés (ex : AWS Outposts, VPN, Direct Connect)
On-premises / Cloud privé Infrastructure dédiée dans son propre data center
🏗 AWS Well-Architected Framework — 6 piliers
Pilier Focus Concept clé
Operational Excellence Automatiser, documenter, itérer Infrastructure as Code (IaC), CloudFormation
Security Protéger les données et les systèmes Least privilege, chiffrement, traçabilité
Reliability Résister aux pannes, récupérer rapidement Multi-AZ, auto-scaling, backups
Performance Efficiency Utiliser les ressources efficacement Choisir le bon type d’instance, serverless
Cost Optimization Éliminer les dépenses inutiles Right-sizing, Reserved Instances, Spot
Sustainability Minimiser l’impact environnemental Efficacité énergétique, régions vertes
🚀 Cloud Adoption Framework (AWS CAF)

Le CAF organise la migration cloud autour de 6 perspectives :

Business :

  • Business
  • People
  • Governance

Technique :

  • Platform
  • Security
  • Operations

Les 7 stratégies de migration (7 R’s) : Retire, Retain, Rehost (lift & shift), Relocate, Repurchase, Replatform (lift & reshape), Refactor / Re-architect.

💰 Cloud Economics
  • CapEx → OpEx — Plus de gros investissements initiaux, on paie à l’usage
  • Right-sizing — Adapter continuellement la taille des instances aux besoins réels
  • TCO (Total Cost of Ownership) — Comparer le coût total on-premises vs. cloud (serveurs, électricité, personnel, maintenance…)
  • BYOL — Bring Your Own License : réutiliser ses licences existantes sur AWS
  • Services managés — Réduire les coûts opérationnels (RDS vs. installer MySQL sur EC2)
🧠 Quiz de révision
Quels sont les 6 piliers du Well-Architected Framework ?
Operational Excellence, Security, Reliability, Performance Efficiency, Cost Optimization, Sustainability.

Quelle est la différence entre IaaS, PaaS et SaaS ?
IaaS = infrastructure brute (EC2). PaaS = plateforme gérée, on ne gère que le code (Elastic Beanstalk). SaaS = application complète prête à l’emploi (WorkSpaces).

Que signifie « lift and shift » dans les stratégies de migration ?
C’est le Rehost : déplacer les applications telles quelles vers le cloud sans modification. C’est la méthode la plus rapide mais sans optimisation cloud-native.



DOMAINE 2 — 30%

Security & Compliance

🔐 Shared Responsibility Model

Le concept le plus important de l’examen. AWS et le client se partagent la responsabilité de la sécurité :

AWS (sécurité du cloud) Client (sécurité dans le cloud)
Infrastructure physique (data centers, hardware) Configuration des security groups et NACLs
Réseau global, hyperviseurs Gestion des utilisateurs IAM et des permissions
Services managés (infra sous-jacente) Chiffrement des données (at rest & in transit)
Patching de l’infrastructure Patching du système d’exploitation (sur EC2)
Conformité physique et réseau Configuration des applications et pare-feux

Piège fréquent : La responsabilité varie selon le service. Sur EC2, le client gère le patching OS. Sur RDS, AWS gère le patching OS. Sur Lambda, AWS gère quasiment tout. Plus le service est managé, moins le client a de responsabilités.

👤 IAM — Identity and Access Management
  • Root user — compte créé à l’inscription. Accès illimité. Ne jamais l’utiliser au quotidien. Activer MFA immédiatement.
  • Users — identités individuelles avec permissions propres
  • Groups — regrouper des users pour leur appliquer des policies communes
  • Roles — permissions temporaires attribuables à des services ou des users (cross-account)
  • Policies — documents JSON définissant les autorisations (Allow/Deny sur des Actions et Resources)

Principe du moindre privilège (Least Privilege) : Ne donner que les permissions strictement nécessaires. C’est le principe fondamental de sécurité IAM.

Tâches exclusives du root user : changer le plan de support, fermer le compte AWS, modifier les paramètres de facturation, activer MFA sur le bucket S3 delete.

🔒 Chiffrement

At rest (au repos)

  • AWS KMS — gestion centralisée des clés de chiffrement
  • CloudHSM — module matériel dédié (FIPS 140-2 Level 3)
  • S3, EBS, RDS supportent le chiffrement natif

In transit (en transit)

  • TLS/SSL pour les communications HTTPS
  • ACM (Certificate Manager) — certificats SSL gratuits
  • VPN et Direct Connect pour les connexions privées
🛡 Services de sécurité AWS
Service Fonction
AWS Shield Protection DDoS. Standard (gratuit, automatique) et Advanced (payant, support 24/7)
AWS WAF Pare-feu applicatif (Layer 7) — filtre les requêtes HTTP (SQL injection, XSS…)
GuardDuty Détection de menaces intelligente (analyse des logs VPC, DNS, CloudTrail)
Inspector Scan automatique des vulnérabilités sur EC2 et les images de containers
Macie Découverte et protection des données sensibles (PII) dans S3 via machine learning
Security Hub Vue centralisée de la posture de sécurité (agrège GuardDuty, Inspector, Macie…)
Detective Investigation et analyse root cause des incidents de sécurité
🔥 Réseau — Security Groups vs. NACLs
Critère Security Group Network ACL
Niveau Instance (ENI) Sous-réseau (subnet)
Type Stateful — retour automatique autorisé Stateless — il faut autoriser entrée ET sortie
Règles Allow uniquement Allow et Deny
Évaluation Toutes les règles sont évaluées Règles évaluées par ordre numérique
Par défaut Tout sortant autorisé, tout entrant bloqué Tout autorisé (entrée et sortie)
📋 Compliance & Governance
Service Rôle
AWS Artifact Accès aux rapports de conformité AWS (SOC, ISO, PCI DSS…)
CloudTrail Journalise toutes les actions API sur le compte (qui a fait quoi, quand)
AWS Config Évalue la conformité des ressources en continu (règles de configuration)
CloudWatch Monitoring et alertes (métriques, logs, alarmes)
AWS Audit Manager Automatise la collecte de preuves pour les audits

Moyen mnémotechnique : CloudTrail = qui a fait quoi (audit des actions). CloudWatch = comment ça va (monitoring des performances). Config = est-ce conforme (état des ressources).

🧠 Quiz de révision
Dans le Shared Responsibility Model, qui gère le patching OS sur une instance EC2 ?
Le client. Sur EC2 (IaaS), le client est responsable du système d’exploitation, du patching et de la configuration. AWS ne gère que l’infrastructure physique sous-jacente.

Quelle est la différence entre Security Group et NACL ?
Security Group = stateful, au niveau de l’instance, Allow uniquement. NACL = stateless, au niveau du subnet, Allow et Deny, évaluées par ordre numérique.

Quel service utiliser pour voir qui a supprimé un bucket S3 ?
AWS CloudTrail. Il enregistre toutes les actions API (appels, identité, timestamp) sur le compte AWS.

AWS Shield Standard vs. Advanced ?
Standard = gratuit, protection DDoS de base automatique (Layer 3/4). Advanced = payant (~3000$/mois), protection avancée avec support 24/7, protection financière contre les surcoûts DDoS.



DOMAINE 3 — 34%

Cloud Technology & Services

🌍 Infrastructure globale AWS
Concept Description À retenir
Region Zone géographique contenant plusieurs AZ Choix selon : latence, conformité, coût, services disponibles
Availability Zone (AZ) 1 ou plusieurs data centers isolés dans une Region Minimum 3 AZ par Region. Pas de single point of failure entre AZ
Edge Location Point de présence pour la mise en cache (CDN) Utilisé par CloudFront et Route 53. Plus nombreux que les Regions
Local Zone Extension d’une Region proche des utilisateurs Ultra-faible latence pour des villes spécifiques
Wavelength Zone Infrastructure AWS au bord des réseaux 5G Latence minimale pour les applications mobiles

Haute disponibilité : Déployer sur au moins 2 AZ. Pour le disaster recovery, déployer sur 2 Regions différentes.

💻 Compute
Service Type Description
EC2 IaaS — Serveurs virtuels Contrôle total (OS, config). Types d’instances : General Purpose, Compute Optimized, Memory Optimized, Storage Optimized, Accelerated Computing
Lambda Serverless — Functions Exécute du code sans gérer de serveur. Facturation par invocation + durée. Max 15 min
Fargate Serverless — Containers Exécute des containers sans gérer l’infra sous-jacente
ECS Container orchestration Orchestration Docker natif AWS
EKS Container orchestration Kubernetes managé par AWS
Elastic Beanstalk PaaS Déploiement automatique d’applications (upload le code, AWS gère le reste)
Lightsail VPS simple Serveurs préconfigurés à prix fixe pour les projets simples
Batch Batch processing Exécution de jobs batch à grande échelle

Auto Scaling : Ajuste automatiquement le nombre d’instances EC2 selon la charge. Maintient la performance tout en optimisant les coûts. Fonctionne avec un Load Balancer (ELB) qui distribue le trafic entre les instances.

🗄 Stockage (Storage)
Service Type Cas d’usage
S3 Object storage Fichiers, backups, sites statiques, data lake. Durabilité 99,999999999% (11 nines)
S3 Glacier Archivage Données rarement accédées. Glacier Instant (ms), Flexible (min-12h), Deep Archive (12-48h)
EBS Block storage Disques pour EC2. Persistant. Attaché à 1 AZ. Snapshots pour backup
EFS File storage (NFS) Système de fichiers partagé, multi-AZ, élastique. Linux uniquement
FSx File storage managé Windows (FSx for Windows) ou haute performance (FSx for Lustre)
Storage Gateway Hybride Connecte le stockage on-premises au cloud AWS
Snow Family Migration physique Snowcone (8-14 TB), Snowball Edge (80 TB), Snowmobile (100 PB)

Classes S3 (du plus cher au moins cher) : S3 Standard → S3 Intelligent-Tiering → S3 Standard-IA → S3 One Zone-IA → S3 Glacier Instant → S3 Glacier Flexible → S3 Glacier Deep Archive. Les Lifecycle Policies automatisent le déplacement entre les classes.

🗃 Bases de données (Database)
Service Type À retenir
RDS Relationnel managé MySQL, PostgreSQL, MariaDB, Oracle, SQL Server. Multi-AZ pour la HA
Aurora Relationnel haute perf Compatible MySQL/PostgreSQL. 5x plus rapide que MySQL. Auto-scaling du stockage
DynamoDB NoSQL (key-value) Serverless, latence < 10ms, auto-scaling. DAX pour le cache
ElastiCache Cache in-memory Redis ou Memcached. Accélère les lectures fréquentes
Neptune Graph database Relations complexes (réseaux sociaux, recommandations)
Redshift Data warehouse Analytics à grande échelle (requêtes SQL sur des pétaoctets)
DMS Migration Database Migration Service — migre des bases vers AWS avec downtime minimal
🌐 Réseau (Networking)
Service Fonction
VPC Réseau virtuel isolé dans le cloud. Subnets publics/privés, Internet Gateway, NAT Gateway
Route 53 Service DNS managé. Routage : simple, weighted, latency-based, failover, geolocation
CloudFront CDN mondial — distribue le contenu via les Edge Locations pour réduire la latence
Direct Connect Connexion réseau dédiée et privée entre on-premises et AWS (pas via Internet)
AWS VPN Connexion chiffrée on-premises ↔ AWS via Internet (Site-to-Site VPN)
Global Accelerator Optimise le routage réseau global via le backbone AWS (IP anycast statiques)
API Gateway Créer, publier et gérer des API (REST, WebSocket)

VPN vs. Direct Connect : VPN = rapide à mettre en place, passe par Internet, chiffré. Direct Connect = plus cher, délai d’installation (semaines), connexion dédiée privée, latence stable et bande passante élevée.

🤖 AI/ML & Analytics

AI / Machine Learning

  • SageMaker — construire, entraîner et déployer des modèles ML
  • Rekognition — analyse d’images et vidéos
  • Comprehend — NLP (analyse de texte, sentiment)
  • Lex — chatbots conversationnels (comme Alexa)
  • Polly — text-to-speech
  • Transcribe — speech-to-text
  • Translate — traduction automatique
  • Textract — extraction de texte depuis des documents
  • Kendra — recherche intelligente dans des documents

Analytics

  • Athena — requêtes SQL sur S3 (serverless)
  • Kinesis — streaming de données en temps réel
  • Glue — ETL serverless (extraction, transformation, chargement)
  • QuickSight — dashboards et BI (business intelligence)
  • EMR — big data (Hadoop/Spark managé)
  • OpenSearch — recherche et analytics de logs
  • Redshift — data warehouse (requêtes analytiques)
🔧 Autres services clés

Application Integration

  • SNS — notifications (pub/sub, push)
  • SQS — file d’attente de messages (decoupling)
  • EventBridge — event bus serverless
  • Step Functions — orchestration de workflows

Developer Tools

  • CodeCommit — hébergement de repos Git
  • CodeBuild — build et tests
  • CodeDeploy — déploiement automatisé
  • CodePipeline — CI/CD pipeline complet
  • CloudFormation — Infrastructure as Code (JSON/YAML)
  • Cloud9 — IDE en ligne
📡 Méthodes d’accès aux services AWS
  • AWS Management Console — interface web graphique
  • AWS CLI — ligne de commande (terminal)
  • AWS SDKs — accès programmatique (Python boto3, JS, Java…)
  • AWS CloudShell — terminal CLI directement dans la console web
  • Infrastructure as Code — CloudFormation (YAML/JSON) ou CDK (code)
🧠 Quiz de révision
Quelle est la différence entre S3 et EBS ?
S3 = object storage (fichiers, accessible via HTTP, multi-AZ natif). EBS = block storage (disque attaché à une instance EC2, lié à une seule AZ).

Quel service utiliser pour un site statique ?
Amazon S3 (hébergement de site statique) + CloudFront (CDN pour la distribution globale et le HTTPS).

Lambda vs. EC2 ?
Lambda = serverless, facturation par invocation, max 15 min, pas de serveur à gérer. EC2 = serveur virtuel, contrôle total, facturation à l’heure/seconde, adapté aux charges continues.

DynamoDB vs. RDS ?
DynamoDB = NoSQL, serverless, key-value, latence ms. RDS = relationnel managé (SQL), schéma fixe, requêtes complexes avec jointures.

Quel service pour migrer 80 TB de données physiquement ?
AWS Snowball Edge (80 TB). Pour des volumes plus petits : Snowcone (8-14 TB). Pour des exaoctets : Snowmobile (100 PB).



DOMAINE 4 — 12%

Billing, Pricing & Support

💵 Modèles de tarification EC2
Option Description Économie Cas d’usage
On-Demand Payer à la seconde/heure, sans engagement Charges imprévisibles, tests, développement
Reserved Instances Engagement 1 ou 3 ans Jusqu’à 72% Charges prévisibles et stables
Savings Plans Engagement $/heure sur 1 ou 3 ans, flexible sur le type d’instance Jusqu’à 72% Workloads stables, plus flexible que RI
Spot Instances Capacité excédentaire AWS, peut être interrompue avec 2 min de préavis Jusqu’à 90% Batch processing, CI/CD, workloads tolérantes aux interruptions
Dedicated Hosts Serveur physique dédié à votre usage Variable Licences BYOL, conformité réglementaire
Dedicated Instances Instances sur du hardware dédié (sans partage) Variable Isolation hardware sans gestion serveur

Piège fréquent : Spot ≠ fiable. Ne jamais utiliser pour des bases de données ou des serveurs critiques. Spot = idéal pour les traitements batch parallélisables qui peuvent reprendre.

💰 Principes de tarification AWS
  • Pay-as-you-go — payer uniquement ce que vous consommez
  • Pay less when you reserve — remises pour les engagements (RI, Savings Plans)
  • Pay less with more usage — tarification dégressive (volume discounts, S3 tiers)
  • Data transfer INGRATUIT dans la plupart des cas
  • Data transfer OUT — payant (entre Regions, vers Internet)
  • Data transfer dans la même AZ — gratuit
  • Free Tier — 12 mois d’utilisation gratuite (EC2 t2.micro, S3 5GB, Lambda 1M invocations…) + services toujours gratuits (IAM, CloudFormation, VPC…)
📊 Outils de gestion des coûts
Outil Fonction
AWS Cost Explorer Visualiser et analyser les dépenses passées et prévoir les coûts futurs
AWS Budgets Définir des budgets avec alertes par email/SNS quand un seuil est atteint
AWS Pricing Calculator Estimer le coût d’une architecture AWS avant le déploiement
Cost & Usage Report Rapport détaillé le plus granulaire (export CSV vers S3)
Billing Conductor Personnaliser la facturation (groupes de comptes, taux personnalisés)
Cost Allocation Tags Taguer les ressources pour suivre les coûts par projet, équipe, environnement

Mnémotechnique : Cost Explorer = regarder le passé. Budgets = alerter sur le futur. Pricing Calculator = estimer avant de construire.

🏢 AWS Organizations
  • Gestion centralisée de plusieurs comptes AWS
  • Consolidated Billing — une seule facture pour tous les comptes, bénéficie des remises volume agrégées
  • Service Control Policies (SCPs) — restreindre les services disponibles dans les comptes membres (ne donne pas de permissions, restreint seulement)
  • Organizational Units (OUs) — grouper les comptes par fonction (dev, prod, finance…)
🎧 Plans de support AWS
Plan Prix Temps de réponse Fonctionnalités clés
Basic Gratuit Documentation, forums, Trusted Advisor (checks limités), Personal Health Dashboard
Developer ~29$/mois 12h (general) / 24h (system impaired) Email support en heures ouvrées. 1 contact.
Business ~100$/mois+ 1h (production down) / 4h (impaired) Support 24/7 par téléphone/chat. Tous les checks Trusted Advisor. API Support.
Enterprise On-Ramp ~5 500$/mois+ 30 min (business-critical) Pool de TAMs (Technical Account Managers)
Enterprise ~15 000$/mois+ 15 min (business-critical) TAM dédié, Concierge Support, revue d’architecture, Well-Architected reviews

Trusted Advisor : Recommandations automatiques dans 5 catégories : cost optimization, performance, security, fault tolerance, service limits. Tous les checks disponibles à partir du plan Business.

🤝 AWS Partner Network & Ressources
  • AWS Marketplace — catalogue de logiciels tiers déployables sur AWS (AMIs, SaaS, containers)
  • AWS Partner Network (APN) — réseau de partenaires : Consulting Partners (intégrateurs) et Technology Partners (éditeurs)
  • AWS Professional Services — équipe AWS qui aide à la migration et à l’adoption
  • AWS re:Post — forum communautaire Q&A (remplace les anciens forums)
  • AWS Knowledge Center — FAQ des questions techniques les plus fréquentes
  • AWS Prescriptive Guidance — guides de migration et d’architecture
  • AWS Health Dashboard — état des services AWS et notifications personnalisées
  • AWS Trust & Safety — signaler les abus de ressources AWS
🧠 Quiz de révision
Quelle option EC2 offre jusqu’à 90% d’économie mais peut être interrompue ?
Spot Instances. Elles utilisent la capacité excédentaire AWS et peuvent être récupérées avec un préavis de 2 minutes.

Le data transfer entrant (IN) est-il payant ?
Non. Le data transfer IN vers AWS est gratuit dans la plupart des cas. C’est le data transfer OUT (vers Internet ou entre Regions) qui est facturé.

À partir de quel plan de support a-t-on un TAM ?
Enterprise On-Ramp (pool de TAMs) ou Enterprise (TAM dédié). Les plans Basic, Developer et Business n’incluent pas de TAM.

Quel outil pour estimer les coûts avant de déployer ?
AWS Pricing Calculator. Cost Explorer sert à analyser les dépenses passées, Budgets sert à définir des alertes.

Quel est l’avantage principal d’AWS Organizations ?
Consolidated Billing (facture unique, remises volume agrégées) + gouvernance centralisée via les SCPs (Service Control Policies) pour restreindre les services dans les comptes membres.

Guide de révision AWS Cloud Practitioner (CLF-C02) — Basé sur le programme officiel AWS.

Vérifiez toujours les informations à jour sur aws.amazon.com/certification