AWS Cloud Practitioner CLF-C02
Les 4 domaines de l’examen — fiches synthétiques, services clés et quiz de révision
📋 Sommaire
DOMAINE 1 — 24%
Cloud Concepts
☁️ Les 6 avantages du cloud (selon AWS)
- Transformer les dépenses fixes en dépenses variables — payer uniquement ce que l’on consomme (pay-as-you-go)
- Économies d’échelle massives — AWS mutualise les coûts sur des centaines de milliers de clients
- Fin des estimations de capacité — scaler à la hausse ou à la baisse en quelques minutes
- Vitesse et agilité accrues — déployer des ressources en minutes au lieu de semaines
- Arrêter de dépenser pour les data centers — se concentrer sur le business, pas sur l’infrastructure
- Déploiement mondial en minutes — grâce à l’infrastructure globale AWS
🏛 Types de cloud computing
| Modèle | Description | Exemple |
|---|---|---|
| IaaS | Infrastructure à la demande (serveurs, stockage, réseau) | Amazon EC2, Amazon VPC |
| PaaS | Plateforme gérée, pas besoin de gérer l’infra sous-jacente | AWS Elastic Beanstalk, AWS Lambda |
| SaaS | Application complète prête à l’emploi | Amazon WorkSpaces, Amazon Connect |
| Déploiement | Description |
|---|---|
| Cloud public | 100% dans le cloud AWS |
| Hybride | Cloud + on-premises, connectés (ex : AWS Outposts, VPN, Direct Connect) |
| On-premises / Cloud privé | Infrastructure dédiée dans son propre data center |
🏗 AWS Well-Architected Framework — 6 piliers
| Pilier | Focus | Concept clé |
|---|---|---|
| Operational Excellence | Automatiser, documenter, itérer | Infrastructure as Code (IaC), CloudFormation |
| Security | Protéger les données et les systèmes | Least privilege, chiffrement, traçabilité |
| Reliability | Résister aux pannes, récupérer rapidement | Multi-AZ, auto-scaling, backups |
| Performance Efficiency | Utiliser les ressources efficacement | Choisir le bon type d’instance, serverless |
| Cost Optimization | Éliminer les dépenses inutiles | Right-sizing, Reserved Instances, Spot |
| Sustainability | Minimiser l’impact environnemental | Efficacité énergétique, régions vertes |
🚀 Cloud Adoption Framework (AWS CAF)
Le CAF organise la migration cloud autour de 6 perspectives :
Business :
- Business
- People
- Governance
Technique :
- Platform
- Security
- Operations
Les 7 stratégies de migration (7 R’s) : Retire, Retain, Rehost (lift & shift), Relocate, Repurchase, Replatform (lift & reshape), Refactor / Re-architect.
💰 Cloud Economics
- CapEx → OpEx — Plus de gros investissements initiaux, on paie à l’usage
- Right-sizing — Adapter continuellement la taille des instances aux besoins réels
- TCO (Total Cost of Ownership) — Comparer le coût total on-premises vs. cloud (serveurs, électricité, personnel, maintenance…)
- BYOL — Bring Your Own License : réutiliser ses licences existantes sur AWS
- Services managés — Réduire les coûts opérationnels (RDS vs. installer MySQL sur EC2)
🧠 Quiz de révision
Quels sont les 6 piliers du Well-Architected Framework ?
Operational Excellence, Security, Reliability, Performance Efficiency, Cost Optimization, Sustainability.
Quelle est la différence entre IaaS, PaaS et SaaS ?
IaaS = infrastructure brute (EC2). PaaS = plateforme gérée, on ne gère que le code (Elastic Beanstalk). SaaS = application complète prête à l’emploi (WorkSpaces).
Que signifie « lift and shift » dans les stratégies de migration ?
C’est le Rehost : déplacer les applications telles quelles vers le cloud sans modification. C’est la méthode la plus rapide mais sans optimisation cloud-native.
DOMAINE 2 — 30%
Security & Compliance
🔐 Shared Responsibility Model
Le concept le plus important de l’examen. AWS et le client se partagent la responsabilité de la sécurité :
| AWS (sécurité du cloud) | Client (sécurité dans le cloud) |
|---|---|
| Infrastructure physique (data centers, hardware) | Configuration des security groups et NACLs |
| Réseau global, hyperviseurs | Gestion des utilisateurs IAM et des permissions |
| Services managés (infra sous-jacente) | Chiffrement des données (at rest & in transit) |
| Patching de l’infrastructure | Patching du système d’exploitation (sur EC2) |
| Conformité physique et réseau | Configuration des applications et pare-feux |
Piège fréquent : La responsabilité varie selon le service. Sur EC2, le client gère le patching OS. Sur RDS, AWS gère le patching OS. Sur Lambda, AWS gère quasiment tout. Plus le service est managé, moins le client a de responsabilités.
👤 IAM — Identity and Access Management
- Root user — compte créé à l’inscription. Accès illimité. Ne jamais l’utiliser au quotidien. Activer MFA immédiatement.
- Users — identités individuelles avec permissions propres
- Groups — regrouper des users pour leur appliquer des policies communes
- Roles — permissions temporaires attribuables à des services ou des users (cross-account)
- Policies — documents JSON définissant les autorisations (Allow/Deny sur des Actions et Resources)
Principe du moindre privilège (Least Privilege) : Ne donner que les permissions strictement nécessaires. C’est le principe fondamental de sécurité IAM.
Tâches exclusives du root user : changer le plan de support, fermer le compte AWS, modifier les paramètres de facturation, activer MFA sur le bucket S3 delete.
🔒 Chiffrement
At rest (au repos)
- AWS KMS — gestion centralisée des clés de chiffrement
- CloudHSM — module matériel dédié (FIPS 140-2 Level 3)
- S3, EBS, RDS supportent le chiffrement natif
In transit (en transit)
- TLS/SSL pour les communications HTTPS
- ACM (Certificate Manager) — certificats SSL gratuits
- VPN et Direct Connect pour les connexions privées
🛡 Services de sécurité AWS
| Service | Fonction |
|---|---|
| AWS Shield | Protection DDoS. Standard (gratuit, automatique) et Advanced (payant, support 24/7) |
| AWS WAF | Pare-feu applicatif (Layer 7) — filtre les requêtes HTTP (SQL injection, XSS…) |
| GuardDuty | Détection de menaces intelligente (analyse des logs VPC, DNS, CloudTrail) |
| Inspector | Scan automatique des vulnérabilités sur EC2 et les images de containers |
| Macie | Découverte et protection des données sensibles (PII) dans S3 via machine learning |
| Security Hub | Vue centralisée de la posture de sécurité (agrège GuardDuty, Inspector, Macie…) |
| Detective | Investigation et analyse root cause des incidents de sécurité |
🔥 Réseau — Security Groups vs. NACLs
| Critère | Security Group | Network ACL |
|---|---|---|
| Niveau | Instance (ENI) | Sous-réseau (subnet) |
| Type | Stateful — retour automatique autorisé | Stateless — il faut autoriser entrée ET sortie |
| Règles | Allow uniquement | Allow et Deny |
| Évaluation | Toutes les règles sont évaluées | Règles évaluées par ordre numérique |
| Par défaut | Tout sortant autorisé, tout entrant bloqué | Tout autorisé (entrée et sortie) |
📋 Compliance & Governance
| Service | Rôle |
|---|---|
| AWS Artifact | Accès aux rapports de conformité AWS (SOC, ISO, PCI DSS…) |
| CloudTrail | Journalise toutes les actions API sur le compte (qui a fait quoi, quand) |
| AWS Config | Évalue la conformité des ressources en continu (règles de configuration) |
| CloudWatch | Monitoring et alertes (métriques, logs, alarmes) |
| AWS Audit Manager | Automatise la collecte de preuves pour les audits |
Moyen mnémotechnique : CloudTrail = qui a fait quoi (audit des actions). CloudWatch = comment ça va (monitoring des performances). Config = est-ce conforme (état des ressources).
🧠 Quiz de révision
Dans le Shared Responsibility Model, qui gère le patching OS sur une instance EC2 ?
Le client. Sur EC2 (IaaS), le client est responsable du système d’exploitation, du patching et de la configuration. AWS ne gère que l’infrastructure physique sous-jacente.
Quelle est la différence entre Security Group et NACL ?
Security Group = stateful, au niveau de l’instance, Allow uniquement. NACL = stateless, au niveau du subnet, Allow et Deny, évaluées par ordre numérique.
Quel service utiliser pour voir qui a supprimé un bucket S3 ?
AWS CloudTrail. Il enregistre toutes les actions API (appels, identité, timestamp) sur le compte AWS.
AWS Shield Standard vs. Advanced ?
Standard = gratuit, protection DDoS de base automatique (Layer 3/4). Advanced = payant (~3000$/mois), protection avancée avec support 24/7, protection financière contre les surcoûts DDoS.
DOMAINE 3 — 34%
Cloud Technology & Services
🌍 Infrastructure globale AWS
| Concept | Description | À retenir |
|---|---|---|
| Region | Zone géographique contenant plusieurs AZ | Choix selon : latence, conformité, coût, services disponibles |
| Availability Zone (AZ) | 1 ou plusieurs data centers isolés dans une Region | Minimum 3 AZ par Region. Pas de single point of failure entre AZ |
| Edge Location | Point de présence pour la mise en cache (CDN) | Utilisé par CloudFront et Route 53. Plus nombreux que les Regions |
| Local Zone | Extension d’une Region proche des utilisateurs | Ultra-faible latence pour des villes spécifiques |
| Wavelength Zone | Infrastructure AWS au bord des réseaux 5G | Latence minimale pour les applications mobiles |
Haute disponibilité : Déployer sur au moins 2 AZ. Pour le disaster recovery, déployer sur 2 Regions différentes.
💻 Compute
| Service | Type | Description |
|---|---|---|
| EC2 | IaaS — Serveurs virtuels | Contrôle total (OS, config). Types d’instances : General Purpose, Compute Optimized, Memory Optimized, Storage Optimized, Accelerated Computing |
| Lambda | Serverless — Functions | Exécute du code sans gérer de serveur. Facturation par invocation + durée. Max 15 min |
| Fargate | Serverless — Containers | Exécute des containers sans gérer l’infra sous-jacente |
| ECS | Container orchestration | Orchestration Docker natif AWS |
| EKS | Container orchestration | Kubernetes managé par AWS |
| Elastic Beanstalk | PaaS | Déploiement automatique d’applications (upload le code, AWS gère le reste) |
| Lightsail | VPS simple | Serveurs préconfigurés à prix fixe pour les projets simples |
| Batch | Batch processing | Exécution de jobs batch à grande échelle |
Auto Scaling : Ajuste automatiquement le nombre d’instances EC2 selon la charge. Maintient la performance tout en optimisant les coûts. Fonctionne avec un Load Balancer (ELB) qui distribue le trafic entre les instances.
🗄 Stockage (Storage)
| Service | Type | Cas d’usage |
|---|---|---|
| S3 | Object storage | Fichiers, backups, sites statiques, data lake. Durabilité 99,999999999% (11 nines) |
| S3 Glacier | Archivage | Données rarement accédées. Glacier Instant (ms), Flexible (min-12h), Deep Archive (12-48h) |
| EBS | Block storage | Disques pour EC2. Persistant. Attaché à 1 AZ. Snapshots pour backup |
| EFS | File storage (NFS) | Système de fichiers partagé, multi-AZ, élastique. Linux uniquement |
| FSx | File storage managé | Windows (FSx for Windows) ou haute performance (FSx for Lustre) |
| Storage Gateway | Hybride | Connecte le stockage on-premises au cloud AWS |
| Snow Family | Migration physique | Snowcone (8-14 TB), Snowball Edge (80 TB), Snowmobile (100 PB) |
Classes S3 (du plus cher au moins cher) : S3 Standard → S3 Intelligent-Tiering → S3 Standard-IA → S3 One Zone-IA → S3 Glacier Instant → S3 Glacier Flexible → S3 Glacier Deep Archive. Les Lifecycle Policies automatisent le déplacement entre les classes.
🗃 Bases de données (Database)
| Service | Type | À retenir |
|---|---|---|
| RDS | Relationnel managé | MySQL, PostgreSQL, MariaDB, Oracle, SQL Server. Multi-AZ pour la HA |
| Aurora | Relationnel haute perf | Compatible MySQL/PostgreSQL. 5x plus rapide que MySQL. Auto-scaling du stockage |
| DynamoDB | NoSQL (key-value) | Serverless, latence < 10ms, auto-scaling. DAX pour le cache |
| ElastiCache | Cache in-memory | Redis ou Memcached. Accélère les lectures fréquentes |
| Neptune | Graph database | Relations complexes (réseaux sociaux, recommandations) |
| Redshift | Data warehouse | Analytics à grande échelle (requêtes SQL sur des pétaoctets) |
| DMS | Migration | Database Migration Service — migre des bases vers AWS avec downtime minimal |
🌐 Réseau (Networking)
| Service | Fonction |
|---|---|
| VPC | Réseau virtuel isolé dans le cloud. Subnets publics/privés, Internet Gateway, NAT Gateway |
| Route 53 | Service DNS managé. Routage : simple, weighted, latency-based, failover, geolocation |
| CloudFront | CDN mondial — distribue le contenu via les Edge Locations pour réduire la latence |
| Direct Connect | Connexion réseau dédiée et privée entre on-premises et AWS (pas via Internet) |
| AWS VPN | Connexion chiffrée on-premises ↔ AWS via Internet (Site-to-Site VPN) |
| Global Accelerator | Optimise le routage réseau global via le backbone AWS (IP anycast statiques) |
| API Gateway | Créer, publier et gérer des API (REST, WebSocket) |
VPN vs. Direct Connect : VPN = rapide à mettre en place, passe par Internet, chiffré. Direct Connect = plus cher, délai d’installation (semaines), connexion dédiée privée, latence stable et bande passante élevée.
🤖 AI/ML & Analytics
AI / Machine Learning
- SageMaker — construire, entraîner et déployer des modèles ML
- Rekognition — analyse d’images et vidéos
- Comprehend — NLP (analyse de texte, sentiment)
- Lex — chatbots conversationnels (comme Alexa)
- Polly — text-to-speech
- Transcribe — speech-to-text
- Translate — traduction automatique
- Textract — extraction de texte depuis des documents
- Kendra — recherche intelligente dans des documents
Analytics
- Athena — requêtes SQL sur S3 (serverless)
- Kinesis — streaming de données en temps réel
- Glue — ETL serverless (extraction, transformation, chargement)
- QuickSight — dashboards et BI (business intelligence)
- EMR — big data (Hadoop/Spark managé)
- OpenSearch — recherche et analytics de logs
- Redshift — data warehouse (requêtes analytiques)
🔧 Autres services clés
Application Integration
- SNS — notifications (pub/sub, push)
- SQS — file d’attente de messages (decoupling)
- EventBridge — event bus serverless
- Step Functions — orchestration de workflows
Developer Tools
- CodeCommit — hébergement de repos Git
- CodeBuild — build et tests
- CodeDeploy — déploiement automatisé
- CodePipeline — CI/CD pipeline complet
- CloudFormation — Infrastructure as Code (JSON/YAML)
- Cloud9 — IDE en ligne
📡 Méthodes d’accès aux services AWS
- AWS Management Console — interface web graphique
- AWS CLI — ligne de commande (terminal)
- AWS SDKs — accès programmatique (Python boto3, JS, Java…)
- AWS CloudShell — terminal CLI directement dans la console web
- Infrastructure as Code — CloudFormation (YAML/JSON) ou CDK (code)
🧠 Quiz de révision
Quelle est la différence entre S3 et EBS ?
S3 = object storage (fichiers, accessible via HTTP, multi-AZ natif). EBS = block storage (disque attaché à une instance EC2, lié à une seule AZ).
Quel service utiliser pour un site statique ?
Amazon S3 (hébergement de site statique) + CloudFront (CDN pour la distribution globale et le HTTPS).
Lambda vs. EC2 ?
Lambda = serverless, facturation par invocation, max 15 min, pas de serveur à gérer. EC2 = serveur virtuel, contrôle total, facturation à l’heure/seconde, adapté aux charges continues.
DynamoDB vs. RDS ?
DynamoDB = NoSQL, serverless, key-value, latence ms. RDS = relationnel managé (SQL), schéma fixe, requêtes complexes avec jointures.
Quel service pour migrer 80 TB de données physiquement ?
AWS Snowball Edge (80 TB). Pour des volumes plus petits : Snowcone (8-14 TB). Pour des exaoctets : Snowmobile (100 PB).
DOMAINE 4 — 12%
Billing, Pricing & Support
💵 Modèles de tarification EC2
| Option | Description | Économie | Cas d’usage |
|---|---|---|---|
| On-Demand | Payer à la seconde/heure, sans engagement | — | Charges imprévisibles, tests, développement |
| Reserved Instances | Engagement 1 ou 3 ans | Jusqu’à 72% | Charges prévisibles et stables |
| Savings Plans | Engagement $/heure sur 1 ou 3 ans, flexible sur le type d’instance | Jusqu’à 72% | Workloads stables, plus flexible que RI |
| Spot Instances | Capacité excédentaire AWS, peut être interrompue avec 2 min de préavis | Jusqu’à 90% | Batch processing, CI/CD, workloads tolérantes aux interruptions |
| Dedicated Hosts | Serveur physique dédié à votre usage | Variable | Licences BYOL, conformité réglementaire |
| Dedicated Instances | Instances sur du hardware dédié (sans partage) | Variable | Isolation hardware sans gestion serveur |
Piège fréquent : Spot ≠ fiable. Ne jamais utiliser pour des bases de données ou des serveurs critiques. Spot = idéal pour les traitements batch parallélisables qui peuvent reprendre.
💰 Principes de tarification AWS
- Pay-as-you-go — payer uniquement ce que vous consommez
- Pay less when you reserve — remises pour les engagements (RI, Savings Plans)
- Pay less with more usage — tarification dégressive (volume discounts, S3 tiers)
- Data transfer IN — GRATUIT dans la plupart des cas
- Data transfer OUT — payant (entre Regions, vers Internet)
- Data transfer dans la même AZ — gratuit
- Free Tier — 12 mois d’utilisation gratuite (EC2 t2.micro, S3 5GB, Lambda 1M invocations…) + services toujours gratuits (IAM, CloudFormation, VPC…)
📊 Outils de gestion des coûts
| Outil | Fonction |
|---|---|
| AWS Cost Explorer | Visualiser et analyser les dépenses passées et prévoir les coûts futurs |
| AWS Budgets | Définir des budgets avec alertes par email/SNS quand un seuil est atteint |
| AWS Pricing Calculator | Estimer le coût d’une architecture AWS avant le déploiement |
| Cost & Usage Report | Rapport détaillé le plus granulaire (export CSV vers S3) |
| Billing Conductor | Personnaliser la facturation (groupes de comptes, taux personnalisés) |
| Cost Allocation Tags | Taguer les ressources pour suivre les coûts par projet, équipe, environnement |
Mnémotechnique : Cost Explorer = regarder le passé. Budgets = alerter sur le futur. Pricing Calculator = estimer avant de construire.
🏢 AWS Organizations
- Gestion centralisée de plusieurs comptes AWS
- Consolidated Billing — une seule facture pour tous les comptes, bénéficie des remises volume agrégées
- Service Control Policies (SCPs) — restreindre les services disponibles dans les comptes membres (ne donne pas de permissions, restreint seulement)
- Organizational Units (OUs) — grouper les comptes par fonction (dev, prod, finance…)
🎧 Plans de support AWS
| Plan | Prix | Temps de réponse | Fonctionnalités clés |
|---|---|---|---|
| Basic | Gratuit | — | Documentation, forums, Trusted Advisor (checks limités), Personal Health Dashboard |
| Developer | ~29$/mois | 12h (general) / 24h (system impaired) | Email support en heures ouvrées. 1 contact. |
| Business | ~100$/mois+ | 1h (production down) / 4h (impaired) | Support 24/7 par téléphone/chat. Tous les checks Trusted Advisor. API Support. |
| Enterprise On-Ramp | ~5 500$/mois+ | 30 min (business-critical) | Pool de TAMs (Technical Account Managers) |
| Enterprise | ~15 000$/mois+ | 15 min (business-critical) | TAM dédié, Concierge Support, revue d’architecture, Well-Architected reviews |
Trusted Advisor : Recommandations automatiques dans 5 catégories : cost optimization, performance, security, fault tolerance, service limits. Tous les checks disponibles à partir du plan Business.
🤝 AWS Partner Network & Ressources
- AWS Marketplace — catalogue de logiciels tiers déployables sur AWS (AMIs, SaaS, containers)
- AWS Partner Network (APN) — réseau de partenaires : Consulting Partners (intégrateurs) et Technology Partners (éditeurs)
- AWS Professional Services — équipe AWS qui aide à la migration et à l’adoption
- AWS re:Post — forum communautaire Q&A (remplace les anciens forums)
- AWS Knowledge Center — FAQ des questions techniques les plus fréquentes
- AWS Prescriptive Guidance — guides de migration et d’architecture
- AWS Health Dashboard — état des services AWS et notifications personnalisées
- AWS Trust & Safety — signaler les abus de ressources AWS
🧠 Quiz de révision
Quelle option EC2 offre jusqu’à 90% d’économie mais peut être interrompue ?
Spot Instances. Elles utilisent la capacité excédentaire AWS et peuvent être récupérées avec un préavis de 2 minutes.
Le data transfer entrant (IN) est-il payant ?
Non. Le data transfer IN vers AWS est gratuit dans la plupart des cas. C’est le data transfer OUT (vers Internet ou entre Regions) qui est facturé.
À partir de quel plan de support a-t-on un TAM ?
Enterprise On-Ramp (pool de TAMs) ou Enterprise (TAM dédié). Les plans Basic, Developer et Business n’incluent pas de TAM.
Quel outil pour estimer les coûts avant de déployer ?
AWS Pricing Calculator. Cost Explorer sert à analyser les dépenses passées, Budgets sert à définir des alertes.
Quel est l’avantage principal d’AWS Organizations ?
Consolidated Billing (facture unique, remises volume agrégées) + gouvernance centralisée via les SCPs (Service Control Policies) pour restreindre les services dans les comptes membres.
Guide de révision AWS Cloud Practitioner (CLF-C02) — Basé sur le programme officiel AWS.
Vérifiez toujours les informations à jour sur aws.amazon.com/certification