Amazon VPC — Cheat Sheet Cloud Practitioner
Amazon VPC (Virtual Private Cloud) est le service réseau fondamental d’AWS. Toutes vos ressources cloud (EC2, RDS, Lambda en VPC…) s’exécutent dans un VPC. C’est un sujet incontournable de la certification AWS Cloud Practitioner CLF-C02 : comprendre les composants, la sécurité réseau et la connectivité hybride.
1. Fondamentaux — qu’est-ce qu’un VPC ?
Un VPC est un réseau virtuel isolé dans le cloud AWS, dédié à votre compte. Vous contrôlez totalement l’espace d’adressage IP, les sous-réseaux, le routage et les accès.
| Concept | Description |
| VPC | Réseau virtuel privé isolé dans AWS — associé à une région entière |
| CIDR Block | Plage d’adresses IP du VPC définie à la création (ex : 10.0.0.0/16) |
| Subnet (Sous-réseau) | Division logique du VPC dans une seule zone de disponibilité (AZ) |
| Route Table | Table de routage définissant comment le trafic circule entre subnets et passerelles |
| Internet Gateway (IGW) | Passerelle permettant aux ressources d’un subnet public de communiquer avec internet |
| NAT Gateway | Permet aux instances d’un subnet privé d’accéder à internet (sortant seulement) |
| Security Group | Pare-feu au niveau de l’instance EC2 — stateful |
| Network ACL (NACL) | Pare-feu au niveau du subnet — stateless |
| VPC Endpoint | Accès privé aux services AWS (S3, DynamoDB…) sans passer par internet |
| VPC Peering | Connexion privée entre deux VPC pour qu’ils communiquent comme un seul réseau |
| Transit Gateway | Hub centralisé pour connecter plusieurs VPC et réseaux on-premises entre eux |
| VPC Flow Logs | Journaux du trafic IP passant par les interfaces réseau d’un VPC |
| VPC par défaut : AWS crée automatiquement un VPC par défaut dans chaque région pour chaque compte. Il contient un subnet public par AZ, une Internet Gateway attachée et une table de routage configurée. Vous pouvez l’utiliser immédiatement ou créer vos propres VPC personnalisés. |
2. Structure du VPC — subnets et routage
Subnet public vs subnet privé
| Subnet public | Subnet privé | |
| Accès internet | Oui — via Internet Gateway | Non — pas d’accès entrant depuis internet |
| Accès internet sortant | Oui — directement via IGW | Oui — via NAT Gateway (dans un subnet public) |
| IP publique | Les instances peuvent avoir une IP publique | Les instances ont uniquement une IP privée |
| Cas d’usage | Serveurs web, load balancers, bastion hosts | Bases de données, serveurs applicatifs, instances sensibles |
| Route table | Contient une route vers l’IGW (0.0.0.0/0 → IGW) | Pas de route vers l’IGW — optionnellement vers NAT GW |
Internet Gateway (IGW)
• Permet la communication bidirectionnelle entre les instances d’un subnet public et internet
• Un seul IGW par VPC — attaché au niveau du VPC, pas du subnet
• Pour qu’une instance soit joignable depuis internet : IP publique + IGW + route table + Security Group ouvert
NAT Gateway
• Permet aux instances d’un subnet privé d’initier des connexions vers internet (mises à jour, téléchargements) sans être joignables depuis internet
• Déployée dans un subnet public — elle utilise l’IGW pour sortir sur internet
• NAT Gateway (managée par AWS) vs NAT Instance (EC2 self-managed) — la NAT Gateway est recommandée : haute disponibilité, scaling automatique, pas de gestion de serveur
• Pas gratuite — facturation par heure de disponibilité + par Go de données traitées
| Architecture typique à retenir pour l’examen : Internet → IGW → Subnet public (EC2 web / Load Balancer / NAT Gateway) → Subnet privé (EC2 app / RDS). Le trafic entrant arrive via l’IGW vers le subnet public. Les instances privées accèdent à internet via la NAT Gateway dans le subnet public. |
3. Sécurité réseau — Security Groups vs NACL
C’est l’une des comparaisons les plus testées au CLF-C02. Retenez les différences clés entre les deux mécanismes.
| Caractéristique | Security Group | Network ACL (NACL) |
| Niveau d’action | Instance EC2 (interface réseau) | Subnet entier |
| Type de règles | Autorisation uniquement (allow only) | Autorisation ET refus (allow + deny) |
| Stateful / Stateless | Stateful — la réponse au trafic autorisé est automatiquement permise | Stateless — les règles entrantes et sortantes sont indépendantes, le trafic de retour doit être explicitement autorisé |
| Évaluation des règles | Toutes les règles sont évaluées ensemble | Règles évaluées dans l’ordre numérique — la première correspondance s’applique |
| Application | Associé manuellement à chaque instance / interface | Associé automatiquement à tous les subnets du VPC (ou à un subnet spécifique) |
| Règles par défaut | Tout inbound bloqué, tout outbound autorisé | Tout inbound et outbound autorisé (NACL par défaut AWS) |
| Référence source | IP, CIDR, ou un autre Security Group | IP et CIDR uniquement (pas de référence à un SG) |
| Mémo examen — stateful vs stateless : Security Group = stateful → si le port 80 entrant est autorisé, la réponse HTTP sortante l’est automatiquement. NACL = stateless → vous devez créer une règle entrante ET une règle sortante explicites pour chaque flux. Si le trafic entrant est autorisé mais pas la réponse sortante → connexion impossible. |
Ordre d’application des couches de sécurité
Trafic entrant : Internet → IGW → NACL du subnet → Security Group de l’instance → Instance. Les deux couches s’appliquent dans cet ordre.
Trafic sortant : Instance → Security Group → NACL → IGW → Internet. La NACL vérifie le trafic dans les deux sens.
4. VPC Flow Logs
Les VPC Flow Logs enregistrent tout le trafic IP transitant par les interfaces réseau d’un VPC. Ils sont essentiels pour l’audit de sécurité, le dépannage et la surveillance.
| Paramètre | Options disponibles |
| Niveau de capture | VPC entier · Subnet spécifique · Interface réseau (ENI) individuelle |
| Filtres de trafic | Tout le trafic (ALL) · Trafic accepté (ACCEPT) · Trafic rejeté (REJECT) |
| Destinations | Amazon S3 · Amazon CloudWatch Logs · Amazon Kinesis Data Firehose |
| Contenu des logs | IP source · IP destination · Ports · Protocole · Paquets · Bytes · Action (ACCEPT/REJECT) · Statut |
| Utilisation principale | Audit de sécurité, détection d’anomalies, dépannage connectivité réseau |
| À retenir : Les VPC Flow Logs n’interceptent pas le trafic en temps réel — ils l’enregistrent a posteriori. Ils ne permettent pas de bloquer du trafic (c’est le rôle des SG et NACL). Utilisez-les pour analyser ce qui s’est passé, pas pour agir en temps réel. |
5. Connectivité inter-VPC — Peering et Endpoints
VPC Peering
Le VPC Peering connecte deux VPC pour qu’ils communiquent en utilisant des adresses IP privées, comme s’ils faisaient partie du même réseau.
| Propriété | Détail |
| Condition | Les plages CIDR des deux VPC ne doivent pas se chevaucher |
| Transitivité | Non transitif — si VPC A peere VPC B et VPC B peere VPC C, VPC A ne voit pas VPC C. Il faut un peering direct A-C. |
| Portée | Possible entre VPC de la même région, de régions différentes, ou de comptes AWS différents |
| Routage | Des routes doivent être ajoutées dans chaque table de routage pour diriger le trafic vers l’autre VPC |
| Coût | Pas de frais pour le peering dans la même région. Frais de transfert inter-régions. |
VPC Endpoints
Les VPC Endpoints permettent d’accéder aux services AWS depuis votre VPC sans passer par internet — trafic reste sur le réseau AWS privé.
| Type | Services concernés | Fonctionnement |
| Gateway Endpoint | Amazon S3, Amazon DynamoDB | Route dans la table de routage — gratuit |
| Interface Endpoint (AWS PrivateLink) | La plupart des services AWS (CloudWatch, SQS, EC2 API, etc.) | Crée une ENI avec IP privée dans votre subnet — facturation par heure + données |
Transit Gateway
• Hub de réseau centralisé permettant de connecter plusieurs VPC et réseaux on-premises entre eux
• Résout le problème de scalabilité du VPC Peering : avec 10 VPC, le peering nécessite 45 connexions. Transit Gateway n’en nécessite que 10.
• Supporte la transitivité — contrairement au VPC Peering, un VPC connecté à Transit Gateway peut communiquer avec tous les autres VPC attachés
• Facturation : par heure d’attachement + par Go de données traitées
6. Connectivité hybride — relier son datacenter à AWS
Trois options pour connecter un réseau on-premises à un VPC AWS. L’examen teste régulièrement les différences entre ces options.
| Option | Description | Avantages | Inconvénients | Cas d’usage |
| VPN Site à Site | Tunnel chiffré via internet public entre votre datacenter (Customer Gateway) et AWS (Virtual Private Gateway) | Déploiement rapide (minutes), coût réduit | Bande passante limitée, latence variable, dépend de l’internet public | Connexion rapide, backup de Direct Connect, charges non critiques |
| AWS Direct Connect (DX) | Lien physique dédié (fibre optique) entre votre datacenter et AWS via un partenaire Direct Connect | Bande passante stable et garantie, faible latence, sécurité maximale (pas d’internet public) | Coût élevé (circuit physique + frais DX), délai de déploiement (environ 1 mois) | Transferts massifs de données, applications critiques nécessitant latence prévisible |
| AWS Client VPN | VPN OpenVPN permettant à des utilisateurs individuels de se connecter à un VPC depuis n’importe où | Accès distant sécurisé pour les développeurs et télétravail, facile à déployer | Coût par connexion et par heure, nécessite client VPN installé | Développeurs en télétravail, accès aux ressources privées depuis l’extérieur |
Composants VPN Site à Site
| Composant | Rôle | Localisation |
| Customer Gateway (CGW) | Représente votre équipement réseau côté on-premises (routeur, firewall) | Côté client — dans votre datacenter |
| Virtual Private Gateway (VGW) | Passerelle VPN côté AWS — point d’entrée du tunnel dans votre VPC | Côté AWS — attaché à votre VPC |
| Tunnel VPN | Connexion chiffrée (IPSec) entre CGW et VGW — deux tunnels pour la redondance | Sur internet public — chiffré de bout en bout |
| VPN vs Direct Connect — mémo examen : Si la question mentionne rapidité de déploiement, faible coût ou backup → VPN Site à Site. Si elle mentionne bande passante garantie, faible latence constante, données sensibles hors internet, transferts importants → Direct Connect. Les deux peuvent être combinés : Direct Connect comme lien principal + VPN Site à Site comme backup. |
7. Récapitulatif examen — scénarios CLF-C02
| Scénario examen | Bonne réponse |
| Des instances EC2 doivent accéder à internet mais ne pas être joignables depuis internet | Subnet privé + NAT Gateway dans un subnet public |
| Un serveur web doit être accessible depuis internet | Subnet public + Internet Gateway + IP publique + Security Group port 80/443 ouvert |
| Bloquer une adresse IP spécifique de communiquer avec votre subnet | NACL (les Security Groups ne peuvent pas refuser, seulement autoriser) |
| Autoriser le trafic HTTP retour depuis vos instances EC2 sans règle sortante explicite | Security Group — stateful, le trafic de retour est automatique |
| Accéder à Amazon S3 depuis votre VPC sans passer par internet | VPC Endpoint (Gateway Endpoint S3 — gratuit) |
| Connecter deux VPC pour qu’ils se voient en adresses IP privées | VPC Peering |
| Connecter 10 VPC entre eux sans gérer 45 connexions de peering | Transit Gateway — hub centralisé et transitif |
| Analyser quel trafic a été rejeté par votre NACL | VPC Flow Logs — filtrer sur REJECT, destination CloudWatch ou S3 |
| Connexion privée et dédiée depuis votre datacenter avec bande passante garantie | AWS Direct Connect |
| Connexion rapide et chiffrée depuis votre datacenter via internet public | VPN Site à Site (CGW côté client + VGW côté AWS) |
| Développeur en télétravail qui doit accéder aux ressources privées dans un VPC | AWS Client VPN |
| Quel pare-feu agit au niveau de l’instance EC2 ? | Security Group |
| Quel pare-feu agit au niveau du subnet ? | Network ACL (NACL) |
| Un VPC dans la région eu-west-3 peut-il avoir des subnets dans plusieurs AZ ? | Oui — les subnets sont dans une AZ, le VPC couvre la région entière |
| Les CIDR de deux VPC en peering se chevauchent — la connexion est-elle possible ? | Non — les CIDR ne doivent pas se chevaucher pour le VPC Peering |
| Les 3 règles d’or VPC au CLF-C02 : (1) Subnet public = route vers IGW. Subnet privé = pas de route vers IGW, mais peut avoir une route vers NAT Gateway. (2) Security Group = stateful, instance level, allow only. NACL = stateless, subnet level, allow + deny. (3) VPN = rapide/internet public. Direct Connect = lent à déployer/réseau privé dédié/performances garanties. |
| Préparez votre certification AWS Cloud Practitioner Cours complet CLF-C02 en français · Vidéos · Quiz · Cas pratiques · Accès à vie Accéder au cours CLF-C02 sur LeCloudFacile.com |
Sources et références
AWS Documentation — Amazon VPC — documentation officielle du service
AWS — VPC User Guide — subnets, routing, security, endpoints
