# Annexe : questions et bonnes pratiques
Cette annexe résume toutes les questions et les bonnes pratiques du cadre AWS Well-Architected.
**Topics**
+ [Excellence opérationnelle](a-operational-excellence.md)
+ [Sécurité](a-security.md)
+ [Fiabilité](a-reliability.md)
+ [Efficacité en matière de performance](a-performance-efficiency.md)
+ [Optimisation des coûts](a-cost-optimization.md)
+ [Durabilité](a-sustainability.md)
# Excellence opérationnelle
Le pilier Excellence opérationnelle comprend la capacité à soutenir le développement et à gérer efficacement les charges de travail, à recueillir des informations sur vos opérations, et à améliorer continuellement les processus et procédures de soutien afin de fournir de la valeur métier. Vous trouverez des recommandations sur l'implémentation dans le [livre blanc Pilier Excellence opérationnelle](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html).
**Topics**
+ [Organisation](a-organization.md)
+ [Préparation](a-prepare.md)
+ [Exploiter](a-operate.md)
+ [Évolution](a-evolve.md)
# Organisation
**Topics**
+ [OPS 1 Comment déterminer vos priorités ?](ops-01.md)
+ [OPS 2 Comment structurer votre entreprise pour soutenir les résultats métier ?](ops-02.md)
+ [OPS 3 Comment votre culture d'entreprise soutient-elle vos résultats métier ?](ops-03.md)
# OPS 1 Comment déterminer vos priorités ?
Chacun doit comprendre le rôle qu'il a à jouer pour permettre la réussite de l'entreprise. Établissez des objectifs partagés afin de définir des priorités pour les ressources. Cela permet de maximiser le fruit de vos efforts.
**Topics**
+ [OPS01-BP01 Évaluer les besoins des clients externes](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 Évaluer les besoins des clients internes](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 Évaluer les exigences de gouvernance](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 Évaluer les exigences de conformité](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 Évaluer les menaces existantes](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 Évaluer les compromis](ops_priorities_eval_tradeoffs.md)
+ [OPS01-BP07 Gérer les avantages et les risques](ops_priorities_manage_risk_benefit.md)
# OPS01-BP01 Évaluer les besoins des clients externes
Impliquez les principales parties prenantes, notamment les équipes commerciales, de développement et d'exploitation, pour déterminer où il est nécessaire de concentrer les efforts sur les besoins des clients externes. Vous aurez ainsi une compréhension approfondie du soutien opérationnel nécessaire pour atteindre les résultats opérationnels souhaités.
**Anti-modèles courants :**
+ Vous avez décidé de ne pas bénéficier du service client en dehors des heures de bureau, mais vous n'avez pas examiné les données historiques des demandes d'assistance. Vous ne savez pas si cela aura un impact sur vos clients.
+ Vous développez une nouvelle fonctionnalité, mais n'avez pas contacté vos clients pour déterminer si elle est souhaitée, sous quelle forme, et sans expérimentation pour valider le besoin et la méthode de distribution.
**Avantages liés au respect de cette bonne pratique :** Les clients dont les besoins sont satisfaits sont beaucoup plus susceptibles de rester fidèles. L'évaluation et la compréhension des besoins des clients externes vous permettent d'établir des priorités dans vos efforts pour apporter de la valeur ajoutée à votre entreprise.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Comprendre les besoins de l'entreprise : la réussite s'obtient en établissant des objectifs et une compréhension communs entre les différents acteurs, y compris les équipes commerciales, de développement et d'opérations.
+ Analyser les objectifs de l'entreprise, les besoins et les priorités des clients externes : impliquez les acteurs clés, notamment, les équipes commerciales, du développement et des opérations, pour discuter des objectifs, besoins et priorités des clients externes. Cela permet de vérifier que vous comprenez bien le soutien opérationnel requis pour atteindre les résultats de l’entreprise et des clients.
+ Établir une compréhension commune : établissez une compréhension commune des fonctions opérationnelles de la charge de travail, des rôles de chacune des équipes dans l'exploitation de la charge de travail, et de la manière dont ces facteurs soutiennent les objectifs opérationnels partagés chez les clients internes et externes.
## Ressources
**Documents connexes :**
+ [Concepts AWS Well-Architected Framework – Boucle de rétroaction](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.feedback-loop.en.html)
# OPS01-BP02 Évaluer les besoins des clients internes
Impliquez les principales parties prenantes, notamment les équipes commerciales, de développement et d'exploitation, lorsqu'il s'agit de déterminer où il est nécessaire de concentrer les efforts sur les besoins des clients internes. Ainsi, vous aurez une connaissance approfondie du soutien opérationnel requis pour atteindre les résultats opérationnels.
Tenez compte des priorités que vous avez établies pour concentrer vos efforts d'amélioration là où ils auront le plus d'impact (par exemple, le développement des compétences de l'équipe, l'amélioration des performances des charges de travail, la réduction des coûts, l'automatisation des runbooks ou encore l'amélioration de la surveillance). Mettez à jour vos priorités en fonction de vos besoins.
**Anti-modèles courants :**
+ Vous avez décidé de modifier l'attribution des adresses IP de vos équipes de produits sans les consulter, afin de faciliter la gestion de votre réseau. Vous ne connaissez pas l'impact que cela aura sur vos équipes de produits.
+ Vous mettez en place un nouvel outil de développement, mais vous n'avez pas demandé à vos clients internes s'ils en ont besoin ou s'il est compatible avec leurs pratiques existantes.
+ Vous mettez en place un nouveau système de surveillance, mais vous demandez à vos clients internes s'ils ont des besoins en matière de surveillance ou de rapports à prendre en compte.
**Avantages liés au respect de cette bonne pratique :** L'évaluation et la compréhension des besoins des clients internes vous permettent d'établir des priorités dans vos efforts pour apporter de la valeur ajoutée à votre entreprise.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Comprendre les besoins de l'entreprise : la réussite s'obtient en établissant des objectifs et une compréhension communs entre les différents acteurs, y compris les équipes commerciales, de développement et d'opérations.
+ Analyser les objectifs de l'entreprise, les besoins et les priorités des clients internes : impliquez les acteurs clés, notamment, les équipes commerciales, du développement et des opérations, pour discuter des objectifs, besoins et priorités des clients internes. Cela permet de vérifier que vous comprenez bien le soutien opérationnel requis pour atteindre les résultats de l’entreprise et des clients.
+ Établir une compréhension commune : établissez une compréhension commune des fonctions opérationnelles de la charge de travail, des rôles de chacune des équipes dans l'exploitation de la charge de travail, et de la manière dont ces facteurs soutiennent les objectifs opérationnels partagés chez les clients internes et externes.
## Ressources
**Documents connexes :**
+ [Concepts AWS Well-Architected Framework – Boucle de rétroaction](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.feedback-loop.en.html)
# OPS01-BP03 Évaluer les exigences de gouvernance
La gouvernance désigne l'ensemble des politiques, règles ou cadres qu'une entreprise utilise pour atteindre ses objectifs commerciaux. Les exigences en matière de gouvernance sont générées au sein de votre organisation. Elles peuvent affecter les types de technologies que vous choisissez ou influencer la façon dont vous gérez votre charge de travail. Incorporez les exigences de gouvernance organisationnelle dans votre charge de travail. La conformité désigne la capacité à prouver que vous avez mis en œuvre les exigences de gouvernance.
**Résultat souhaité :**
+ Les exigences de gouvernance sont intégrées à la conception architecturale et au fonctionnement de votre charge de travail.
+ Vous pouvez fournir la preuve que vous avez suivi les exigences de gouvernance.
+ Les exigences en matière de gouvernance sont régulièrement revues et mises à jour.
**Anti-modèles courants :**
+ Votre organisation exige que le compte racine dispose d'une authentification multi-facteur. Vous n'avez pas mis en œuvre cette exigence et le compte racine est compromis.
+ Lors de la conception de votre charge de travail, vous choisissez un type d'instance qui n'est pas approuvé par le service informatique. Vous ne parvenez pas à lancer votre charge de travail et devez procéder à une refonte.
+ Vous êtes tenu de préparer un plan de reprise après sinistre. Vous n'en avez pas créé et votre charge de travail subit une interruption prolongée.
+ Votre équipe souhaite utiliser de nouvelles instances mais vos exigences de gouvernance n'ont pas été mises à jour pour les autoriser.
**Avantages liés au respect de cette bonne pratique :**
+ Le respect des exigences de gouvernance permet d'aligner votre charge de travail sur les politiques de l'organisation dans son ensemble.
+ Les exigences en matière de gouvernance reflètent les normes industrielles et les bonnes pratiques de votre organisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Identifiez les besoins en matière de gouvernance en travaillant avec les parties prenantes et les organisations de gouvernance. Incorporez les exigences de gouvernance à votre charge de travail. Soyez en mesure de prouver que vous avez respecté les exigences de gouvernance.
**Exemple de client**
Chez AnyCompany Retail, l'équipe chargée des opérations dans le cloud collabore avec les parties prenantes de toute l'organisation pour élaborer des exigences de gouvernance. Par exemple, ils interdisent l'accès SSH aux instances Amazon EC2. Si les équipes doivent accéder au système, elles doivent utiliser AWS Systems Manager Session Manager. L'équipe chargée des opérations dans le cloud met régulièrement à jour les exigences de gouvernance à mesure que de nouveaux services sont disponibles.
**Étapes d'implémentation**
1. Identifiez les parties prenantes de votre charge de travail, y compris toute équipe centralisée.
1. Travaillez avec les parties prenantes pour identifier les exigences de gouvernance.
1. Une fois que vous avez dressé une liste, classez les points à améliorer par ordre de priorité et commencez à les mettre en œuvre dans votre charge de travail.
1. Utilisez des services tels que [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) pour créer un code de gouvernance et pour valider le respect des exigences de gouvernance.
1. Si vous utilisez [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), vous pouvez tirer parti des politiques de contrôle des services pour mettre en œuvre les exigences de gouvernance.
1. Fournissez la documentation qui valide la mise en œuvre.
**Niveau d'effort du plan d'implémentation :** moyen. La mise en œuvre des exigences de gouvernance manquantes peut entraîner une refonte de votre charge de travail.
## Ressources
**Bonnes pratiques associées :**
+ [OPS01-BP04 Évaluer les exigences de conformité](ops_priorities_compliance_reqs.md) : la conformité est comparable à la gouvernance mais vient de l'extérieur de l'organisation.
**Documents connexes :**
+ [AWS Management and Governance Cloud Environment Guide ](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html) (Guide de gestion et de gouvernance de l'environnement cloud AWS)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (Bonnes pratiques pour les stratégies de contrôle des services d'AWS Organizations dans un environnement multi-comptes)
+ [ Governance in the AWS Cloud: The Right Balance Between Agility and Safety ](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/) (La gouvernance dans le cloud AWS : le juste équilibre entre agilité et sécurité)
+ [ Qu'est-ce que la gouvernance, le risque et la conformité (GRC) ? ](https://aws.amazon.com/what-is/grc/)
**Vidéos connexes :**
+ [ Gestion et gouvernance AWS : configuration, conformité et audit - AWS Online Tech Talks ](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS re:Inforce 2019: Governance for the Cloud Age (DEM12-R1) ](https://www.youtube.com/watch?v=y3WmHnavuN8) [AWS re:Inforce 2019 : la gouvernance à l'ère du cloud (DEM12-R1)]
+ [AWS re:Invent 2020: Achieve compliance as code using AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw) (AWS re:Invent 2020 : mettre en œuvre la conformité en tant que code en utilisant AWS Config)
+ [AWS re:Invent 2020: Agile governance on AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ) [AWS re:Invent 2020 : la gouvernance agile sur AWS GovCloud (US)]
**Exemples connexes :**
+ [ Exemples de packs de conformité AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)
**Services associés :**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations : politiques de contrôle de services ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
# OPS01-BP04 Évaluer les exigences de conformité
Les exigences en matière de conformité réglementaire, sectorielle et interne constituent un facteur important pour définir les priorités de votre organisation. Votre cadre de conformité peut vous empêcher d'utiliser des technologies ou des emplacements géographiques spécifiques. Appliquez les principes de diligence raisonnable si aucun cadre de conformité externe n'est identifié. Générez des audits ou des rapports qui valident la conformité.
Si vous mettez en avant le fait que votre produit respecte des normes de conformité spécifiques, vous devez mettre en place un processus interne pour assurer une conformité constante. Les normes PCI DSS, FedRAMP et HIPAA sont des exemples de normes de conformité. Les normes de conformité applicables sont déterminées par divers facteurs, tels que les types des données stockées ou transmises par la solution et les régions géographiques prises en charge par la solution.
**Résultat souhaité :**
+ Les exigences en matière de conformité réglementaire, industrielle et interne sont intégrées dans le choix de l'architecture.
+ Vous pouvez valider la conformité et générer des rapports d'audit.
**Anti-modèles courants :**
+ Certaines parties de votre charge de travail relèvent du cadre de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), mais votre charge de travail stocke les données des cartes de crédit sans les chiffrer.
+ Vos développeurs et architectes de logiciels ne connaissent pas le cadre de conformité auquel votre organisation doit se conformer.
+ L'audit annuel SOC2 (Systems and Organizations Control) de type II aura lieu prochainement et vous n'êtes pas en mesure de vérifier que les contrôles sont en place.
**Avantages liés au respect de cette bonne pratique :**
+ L'évaluation et la compréhension des exigences de conformité qui s'appliquent à votre charge de travail détermineront la façon dont vous priorisez vos efforts pour produire de la valeur ajoutée.
+ Vous choisissez les bons sites et les bonnes technologies, en accord avec votre cadre de conformité.
+ La conception de votre charge de travail en vue de son auditabilité vous permet de prouver que vous adhérez à votre cadre de conformité.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
La mise en œuvre de cette bonne pratique signifie que vous intégrez les exigences de conformité dans votre processus de conception de l'architecture. Les membres de votre équipe connaissent le cadre de conformité requis. Vous validez la conformité conformément au cadre.
**Exemple de client**
AnyCompany Retail stocke les informations relatives aux cartes de crédit des clients. Les développeurs de l'équipe chargée du stockage des cartes comprennent qu'ils doivent se conformer au cadre PCI-DSS. Ils ont pris des mesures pour vérifier que les informations relatives aux cartes de crédit sont stockées et accessibles en toute sécurité, conformément au cadre PCI-DSS. Chaque année, ils travaillent avec leur équipe de sécurité pour valider la conformité.
**Étapes d'implémentation**
1. Travaillez avec vos équipes de sécurité et de gouvernance pour déterminer les cadres de conformité sectoriels, réglementaires ou internes auxquels votre charge de travail doit se conformer. Incorporez les cadres de conformité à votre charge de travail.
1. Validez la conformité constante des ressources AWS avec des services comme [Optimiseur de calcul AWS](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
1. Informez les membres de votre équipe sur les exigences de conformité afin qu'ils puissent travailler et faire évoluer la charge de travail en fonction de celles-ci. Les exigences de conformité doivent être incorporées aux choix architecturaux et technologiques.
1. En fonction du cadre de conformité, vous pouvez être amené à générer un audit ou un rapport de conformité. Travaillez avec votre organisation pour automatiser ce processus autant que possible.
1. Utilisez des services tels que [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) pour valider la conformité et générer des rapports d'audit.
1. Vous pouvez télécharger des documents sur la sécurité et la conformité d'AWS avec [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
**Niveau d'effort du plan d'implémentation :** moyen. La mise en œuvre de cadres de conformité peut s'avérer difficile. La production de rapports d'audit ou de documents de conformité ajoute un niveau de complexité supplémentaire.
## Ressources
**Bonnes pratiques associées :**
+ [SEC01-BP03 Identifier et valider les objectifs de contrôle](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) : les objectifs de contrôle de la sécurité sont une part importante de la conformité globale.
+ [SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) : dans le cadre de vos pipelines, validez les contrôles de sécurité. Vous pouvez également générer des documents de conformité pour les nouvelles modifications.
+ [SEC07-BP02 Définir les contrôles de protection des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) : de nombreux cadres de conformité reposent sur des politiques de traitement et de stockage des données.
+ [SEC10-BP03 Préparer les fonctionnalités d'analyse poussée](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) : les capacités d'analyse permettent parfois de vérifier la conformité.
**Documents connexes :**
+ [ Centre de conformité AWS](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [ Ressources de conformité AWS](https://aws.amazon.com/compliance/resources/)
+ [ Livre blanc Risques et conformité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [Modèle de responsabilité partagée d'AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [ Services AWS dans l'étendue par programmes de conformité ](https://aws.amazon.com/compliance/services-in-scope/)
**Vidéos connexes :**
+ [AWS re:Invent 2020: Achieve compliance as code using Optimiseur de calcul AWS](https://www.youtube.com/watch?v=m8vTwvbzOfw) (AWS re:Invent 2020 : mettre en œuvre la conformité en tant que code en utilisant AWS Config)
+ [AWS re:Invent 2021 - Cloud compliance, assurance, and auditing ](https://www.youtube.com/watch?v=pdrYGVgb08Y) (AWS re:Invent 2021 : conformité, assurance et audit du cloud)
+ [AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202) ](https://www.youtube.com/watch?v=i7XrWimhqew) [Sommet AWS ATL 2022 : mise en œuvre de la conformité, de l'assurance et de l'audit sur AWS (COP202)]
**Exemples connexes :**
+ [ PCI DSS and AWS Foundational Security Best Practices on AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/) (Bonnes pratiques en matière de sécurité de base PCI DSS et AWS sur le cloud AWS)
**Services associés :**
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [Optimiseur de calcul AWS](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
# OPS01-BP05 Évaluer les menaces existantes
Évaluez les menaces pesant sur l'entreprise (par exemple, la concurrence, les risques commerciaux et les responsabilités, les risques opérationnels et les menaces sur la sécurité des informations) et tenez à jour les informations dans un registre des risques. Incluez l'impact des risques pour déterminer où concentrer les efforts.
La version [Le cadre AWS Well-Architected](https://aws.amazon.com/architecture/well-architected/) met l'accent sur l'apprentissage, les évaluations et l'amélioration. Il vous fournit une approche cohérente pour évaluer les architectures et mettre en œuvre des conceptions qui évoluent dans le temps. AWS fournit l'outil [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/) pour vous aider à vérifier votre approche avant le développement et l'état de vos charges de travail avant et pendant la production. Vous pouvez les comparer aux dernières bonnes pratiques architecturales AWS, surveiller l'état général de vos charges de travail et avoir un aperçu des risques potentiels.
Les clients AWS peuvent bénéficier d'une vérification guidée Well-Architected de leurs charges de travail stratégiques afin [d'évaluer la conformité de leurs architectures](https://aws.amazon.com/premiumsupport/programs/) par rapport aux bonnes pratiques AWS. Les clients ayant souscrit au programme Enterprise Support peuvent bénéficier d'une [vérification des opérations,](https://aws.amazon.com/premiumsupport/programs/)conçue pour les aider à identifier les failles de leur approche d'exploitation dans le cloud.
L'implication des équipes dans ces vérifications contribue à établir une compréhension partagée de vos charges de travail et de la façon dont les rôles de chacun contribuent à la réussite de l'équipe. Les besoins identifiés par la vérification peuvent vous aider à définir vos priorités.
[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) est un outil qui donne accès à un ensemble de base de vérifications qui recommandent des optimisations pouvant vous aider à définir vos priorités. [Clients ayant un plan de support Business ou Enterprise](https://aws.amazon.com/premiumsupport/plans/) Les clients ayant un plan de support Business ou Enterprise ont accès à des vérifications supplémentaires axées sur la sécurité, la fiabilité, les performances et l'optimisation des coûts, qui peuvent les aider à définir leurs priorités.
**Anti-modèles courants :**
+ Vous utilisez une ancienne version d'une bibliothèque de logiciels dans votre produit. Vous n'êtes pas au courant des mises à jour de sécurité de la bibliothèque pour les questions qui peuvent avoir un impact involontaire sur votre charge de travail.
+ Votre concurrent vient de lancer une version de son produit qui répond aux nombreuses plaintes de vos clients concernant votre produit. Vous n'avez pas priorisé la résolution des problèmes connus.
+ Les régulateurs ont poursuivi des entreprises comme la vôtre qui ne respectaient pas les exigences légales de conformité réglementaire. Vous n'avez pas priorisé la résolution des vos exigences de conformité en suspens.
**Avantages liés au respect de cette bonne pratique :** L'identification et la compréhension des menaces qui pèsent sur votre organisation et votre charge de travail vous permettent de déterminer les menaces à traiter, leur priorité et les ressources nécessaires pour y parvenir.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Évaluer les menaces existantes : évaluez les menaces qui pèsent sur l'entreprise (par exemple, la concurrence, les risques commerciaux et les responsabilités, les risques opérationnels et les menaces sur la sécurité des données) afin de pouvoir tenir compte de leur impact lorsque vous déterminez où concentrer vos efforts.
+ [Derniers bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ Gérer un modèle de menace : établissez et gérez un modèle de menace identifiant les menaces potentielles, les mesures d'atténuation prévues et en place, et leur priorité. Examinez la probabilité que les menaces se manifestent par des incidents, le coût de la récupération après ces incidents, le préjudice attendu et le coût de la prévention de ces incidents. Modifiez les priorités au fur et à mesure que le contenu du modèle de menace change.
## Ressources
**Documents connexes :**
+ [Conformité du AWS Cloud](https://aws.amazon.com/compliance/)
+ [Derniers bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
# OPS01-BP06 Évaluer les compromis
Évaluez l'impact des compromis entre des intérêts concurrents ou des approches alternatives pour prendre des décisions éclairées au moment de déterminer où concentrer les efforts ou choisir une ligne de conduite. Par exemple, l'accélération de la mise sur le marché de nouvelles fonctionnalités peut être privilégiée par rapport à l'optimisation des coûts, ou vous pouvez choisir une base de données relationnelle pour les données non relationnelles afin de simplifier l'effort de migration d'un système, plutôt que de migrer vers une base de données optimisée pour votre type de données et de mettre à jour votre application.
AWS peut vous aider à former vos équipes à AWS et à ses services afin qu'elles comprennent mieux comment leurs choix peuvent avoir un impact sur votre charge de travail. Vous pouvez utiliser les ressources fournies par [AWS Support](https://aws.amazon.com/premiumsupport/programs/) ([le centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/), [les forums de discussion AWS](https://forums.aws.amazon.com/index.jspa)et [le centre AWS Support](https://console.aws.amazon.com/support/home/)) et la [documentation AWS](https://docs.aws.amazon.com/) pour former vos équipes. Contactez AWS Support via le centre AWS Support pour obtenir des réponses à vos questions AWS.
AWS partage également les bonnes pratiques et les modèles tirés de l'expérience AWS dans la [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library/). Une grande variété d'autres informations utiles sont disponibles via le [blog AWS](https://aws.amazon.com/blogs/) et [le podcast AWS officiel](https://aws.amazon.com/podcasts/aws-podcast/).
**Anti-modèles courants :**
+ Vous utilisez une base de données relationnelle pour gérer les séries chronologiques et les données non relationnelles. Il existe des options de base de données qui sont optimisées pour prendre en charge les types de données que vous utilisez, mais vous ne connaissez pas les avantages, car vous n'avez pas évalué les compromis entre les solutions.
+ Vos investisseurs vous demandent de prouver que vous respectez les normes de sécurité des données du secteur des cartes de paiement (PCI DSS). Vous n'envisagez pas les compromis entre la satisfaction de leur demande et la poursuite de vos efforts de développement actuels. Au lieu de cela, vous poursuivez vos efforts de développement sans en démontrer la conformité. Vos investisseurs cessent de soutenir votre entreprise en raison de préoccupations concernant la sécurité de votre plate-forme et de leurs investissements.
**Avantages liés au respect de cette bonne pratique :** Comprendre les implications et les conséquences de vos choix permet de prioriser vos options.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Évaluer les compromis : évaluez l'impact des compromis entre des intérêts concurrents afin de prendre des décisions éclairées lorsqu'il s'agit de déterminer où concentrer les efforts. Par exemple, l'accélération de la mise sur le marché de nouvelles fonctionnalités pourrait être privilégiée par rapport à l'optimisation des coûts.
+ AWS peut vous aider à former vos équipes à AWS et à ses services afin qu'elles comprennent mieux comment leurs choix peuvent avoir un impact sur votre charge de travail. Vous devez utiliser les ressources fournies par AWS Support (Centre de connaissances AWS, forums de discussion AWSet AWS Support Center) et la documentation AWS pour former vos équipes. Contactez AWS Support via le centre AWS Support pour obtenir des réponses à vos questions AWS.
+ AWS partage également les bonnes pratiques et les modèles que nous avons appris grâce à l'exploitation d'AWS dans Amazon Builders' Library. Un grand nombre d'autres informations utiles sont disponibles sur le blog AWS et sur le podcast officiel AWS.
## Ressources
**Documents connexes :**
+ [blog AWS](https://aws.amazon.com/blogs/)
+ [Conformité du AWS Cloud](https://aws.amazon.com/compliance/)
+ [les forums de discussion AWS](https://forums.aws.amazon.com/index.jspa)
+ [documentation AWS](https://docs.aws.amazon.com/)
+ [le centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [AWS Support](https://aws.amazon.com/premiumsupport/)
+ [le centre AWS Support](https://console.aws.amazon.com/support/home/)
+ [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library/)
+ [le podcast AWS officiel](https://aws.amazon.com/podcasts/aws-podcast/)
# OPS01-BP07 Gérer les avantages et les risques
Gérez les avantages et les risques afin de prendre des décisions éclairées lorsqu'il s'agit de déterminer où il est nécessaire de concentrer les efforts. Par exemple, il peut être avantageux de déployer une charge de travail comportant des problèmes non résolus afin que de nouvelles fonctionnalités importantes puissent être mises à la disposition des clients. Il peut être possible d'atténuer les risques associés, ou il peut devenir inacceptable de laisser un risque subsister, auquel cas vous prendrez des mesures pour y remédier.
Vous pouvez décider à un moment donné de mettre l'accent sur un petit sous-ensemble de priorités opérationnelles. Utilisez une approche équilibrée sur le long terme pour garantir le développement des capacités nécessaires et de la gestion des risques. Mettez à jour vos priorités en fonction de vos besoins.
**Anti-modèles courants :**
+ Vous avez décidé d'inclure une bibliothèque qui fait « tout ce dont vous avez besoin », une bibliothèque que l'un de vos développeurs « a trouvé sur Internet ». Vous n'avez pas évalué les risques d'adoption de cette bibliothèque d’une source inconnue et ne savez pas si elle contient des failles ou du code malveillant.
+ Vous avez décidé de développer et de déployer une nouvelle fonctionnalité au lieu de résoudre un problème existant. Vous n'avez pas évalué les risques de ne pas traiter le problème jusqu'au déploiement de la fonctionnalité et ne savez pas quel sera l'impact sur vos clients.
+ Vous avez décidé de ne pas déployer une fonctionnalité fréquemment demandée par les clients en raison de préoccupations non spécifiées de votre équipe de conformité.
**Avantages liés au respect de cette bonne pratique :** Identifier les avantages de vos choix et connaître les risques pour votre organisation permet de prendre des décisions en connaissance de cause.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Gérer les avantages et les risques : trouvez un juste milieu entre les avantages des décisions et les risques impliqués.
+ Identifier les avantages : identifiez les avantages en fonction des objectifs, des besoins et des priorités de l'entreprise. Les exemples incluent les délais de commercialisation, la sécurité, la fiabilité, la performance et les coûts.
+ Identifier les risques : identifiez les risques en fonction des objectifs, des besoins et des priorités de l'entreprise. Les exemples incluent les délais de commercialisation, la sécurité, la fiabilité, la performance et les coûts.
+ Évaluer les avantages par rapport aux risques et prendre des décisions avisées : déterminez l'impact des avantages et des risques en fonction des objectifs, des besoins et des priorités de vos acteurs clés, notamment les équipes commerciales, le développement et les opérations. Évaluez la valeur ajoutée de l'avantage par rapport à la probabilité de réalisation du risque et au coût de son impact. Par exemple, mettre l'accent sur la rapidité de mise sur le marché plutôt que sur la fiabilité pourrait fournir un avantage concurrentiel. Toutefois, cela peut entraîner une réduction du temps de fonctionnement en cas de problèmes de fiabilité.
# OPS 2 Comment structurer votre entreprise pour soutenir les résultats métier ?
Vos équipes doivent comprendre leur rôle dans l'obtention des résultats de l’entreprise. Les équipes doivent comprendre leur rôle dans la réussite des autres équipes, le rôle des autres équipes dans leur réussite, et avoir des objectifs communs. Comprendre la responsabilité, la propriété, la manière dont les décisions sont prises et qui a le pouvoir de prendre des décisions vous aide à concentrer les efforts et à maximiser les avantages de vos équipes.
**Topics**
+ [OPS02-BP01 Les ressources ont des propriétaires identifiés](ops_ops_model_def_resource_owners.md)
+ [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md)
+ [OPS02-BP03 Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances](ops_ops_model_def_activity_owners.md)
+ [OPS02-BP04 Les membres de l'équipe savent de quoi ils sont responsables](ops_ops_model_know_my_job.md)
+ [OPS02-BP05 Des mécanismes sont en place pour identifier la responsabilité et la propriété](ops_ops_model_find_owner.md)
+ [OPS02-BP06 Des mécanismes sont en place pour demander des ajouts, des modifications et des dérogations](ops_ops_model_req_add_chg_exception.md)
+ [OPS02-BP07 Les responsabilités entre les équipes sont prédéfinies ou négociées](ops_ops_model_def_neg_team_agreements.md)
# OPS02-BP01 Les ressources ont des propriétaires identifiés
Les ressources de votre charge de travail doivent disposer de propriétaires identifiés pour le contrôle des modifications, le dépannage et d'autres fonctions. Des propriétaires sont désignés pour les charges de travail, les comptes, l'infrastructure, les plateformes et les applications. La propriété est enregistrée à l'aide d'outils tels qu'un registre central ou des métadonnées attachées aux ressources. La valeur commerciale des composants informe les processus et les procédures qui leur sont appliqués.
**Résultat souhaité :**
+ Les ressources disposent de propriétaires identifiés à l'aide de métadonnées ou d'un registre central.
+ Les membres de l'équipe peuvent identifier qui est propriétaire des ressources.
+ Les comptes disposent d'un propriétaire unique dans la mesure du possible.
**Anti-modèles courants :**
+ Les contacts alternatifs pour vos Comptes AWS ne sont pas remplis.
+ Les ressources manquent de balises permettant d'identifier les équipes qui les possèdent.
+ Vous avez une file d'attente ITSM sans mappage d'e-mail.
+ Deux équipes se partagent la propriété d'un élément d'infrastructure critique.
**Avantages liés au respect de cette bonne pratique :**
+ Le contrôle des modifications pour les ressources est simple et la propriété est attribuée.
+ Vous pouvez impliquer les bons propriétaires lors du dépannage des problèmes.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Définissez ce que signifie la propriété pour les cas d'utilisation des ressources dans votre environnement. La propriété peut signifier qui supervise les modifications apportées à la ressource, qui prend en charge la ressource pendant le dépannage, ou qui est financièrement responsable. Précisez et enregistrez les propriétaires des ressources, y compris, le nom, les coordonnées, l'organisation et l'équipe.
**Exemple de client**
AnyCompany Retail définit la propriété comme l'équipe ou l'individu responsable des modifications apportées aux ressources et de leur prise en charge. Ces personnes utilisent AWS Organizations pour gérer leurs Comptes AWS. Les contacts des comptes alternatifs sont configurés via des boîtes de réception de groupe. Chaque file d'attente ITSM correspond à un alias e-mail. Les balises permettent d'identifier les propriétaires des ressources AWS. Pour les autres plateformes et infrastructures, ces personnes disposent d'une page wiki qui identifie les propriétaires et les informations de contact.
**Étapes d'implémentation**
1. Commencez par définir la propriété dans votre organisation. La propriété peut impliquer qui est responsable du risque pour la ressource, qui est responsable des modifications apportées à la ressource, ou qui prend en charge la ressource lors du dépannage. La propriété peut également impliquer la propriété financière ou administrative de la ressource.
1. Utilisez [AWS Organizations](https://aws.amazon.com/organizations/) pour gérer les comptes. Vous pouvez gérer les contacts alternatifs de vos comptes de manière centralisée.
1. Grâce aux adresses e-mail et aux numéros de téléphone appartenant à l'entreprise, vous pourrez y accéder même si les personnes qui les consultent ne font plus partie de votre entreprise. Par exemple, créez des listes de distribution d'e-mails distinctes pour la facturation, les opérations et la sécurité, et configurez-les en tant que contact Facturation, Sécurité et Opérations dans chaque Compte AWS actif. Plusieurs personnes recevront les notifications AWS et seront en mesure de répondre, même si l'une de ces personnes est en congés, change de poste ou quitte la société.
1. Si un compte n'est pas géré par [AWS Organizations](https://aws.amazon.com/organizations/), les contacts alternatifs de compte aident AWS à contacter le personnel approprié si nécessaire. Configurez les contacts alternatifs du compte pour qu'ils pointent vers un groupe plutôt que vers un individu.
1. Utilisez des balises pour identifier les propriétaires des ressources AWS. Vous pouvez indiquer les deux propriétaires et leurs coordonnées dans des balises distinctes.
1. Vous pouvez utiliser des règles [AWS Config](https://aws.amazon.com/config/) pour faire en sorte que les ressources disposent des balises de propriété requises.
1. Pour obtenir des conseils détaillés sur la manière d'élaborer une stratégie de balisage pour votre organisation, consultez le [livre blanc des bonnes pratiques de balisage AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html).
1. Pour les autres ressources, plateformes et infrastructures, créez une documentation qui identifie la propriété. Tous les membres de l'équipe doivent y avoir accès.
**Niveau d'effort du plan d'implémentation :** faible. Exploitez les informations de contact et les balises des comptes pour attribuer la propriété des ressources AWS. Pour les autres ressources, vous pouvez utiliser quelque chose de simple comme un tableau dans un wiki pour enregistrer la propriété et les informations de contact, ou utiliser un outil ITSM pour cartographier la propriété.
## Ressources
**Bonnes pratiques associées :**
+ [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md) : les processus et procédures de prise en charge des ressources dépendent de la propriété des ressources.
+ [OPS02-BP04 Les membres de l'équipe savent de quoi ils sont responsables](ops_ops_model_know_my_job.md) : les membres de l'équipe doivent comprendre de quelles ressources ils sont propriétaires.
+ [OPS02-BP05 Des mécanismes sont en place pour identifier la responsabilité et la propriété](ops_ops_model_find_owner.md) : la propriété doit pouvoir être découverte à l'aide de mécanismes tels que les balises ou les contacts de compte.
**Documents connexes :**
+ [AWS Account Management - Updating contact information ](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact.html#manage-acct-update-contact-alternate-edit.html) (Gestion des comptes AWS - Mise à jour des informations de contact)
+ [AWS Config Rules - required-tags ](https://docs.aws.amazon.com/config/latest/developerguide/required-tags.html) (Règles AWS Config - balises obligatoires)
+ [AWS Organizations - Mise à jour d'autres contacts de votre organisation ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_contacts.html)
+ [Livre blanc des bonnes pratiques de balisage AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)
**Exemples connexes :**
+ [AWS Config Rules - Amazon EC2 with required tags and valid values ](https://github.com/awslabs/aws-config-rules/blob/master/python/ec2_require_tags_with_valid_values.py) (Règles AWS Config - EC2 avec les bonnes balises et valeurs)
**Services associés :**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)
# OPS02-BP02 Les processus et procédures ont des propriétaires identifiés
Déterminez qui est propriétaire de la définition des différents processus et procédures individuels, pourquoi ces processus et procédures sont utilisés et pourquoi cette propriété existe. La détermination des raisons pour lesquelles des processus et des procédures spécifiques sont utilisés permet d'identifier les possibilités d'amélioration.
**Avantages liés au respect de cette bonne pratique :** La détermination de la propriété permet d'identifier qui peut approuver les améliorations, les mettre en œuvre ou les deux.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Les processus et procédures ont des propriétaires identifiés responsables de leur définition : capturez les processus et procédures utilisés dans votre environnement, ainsi que la personne ou l'équipe responsable de leur définition.
+ Identifier les processus et les procédures : identifiez les activités opérationnelles réalisées à l'aide de vos charges de travail. Documentez ces activités dans un emplacement détectable.
+ Déterminer qui est responsable de la définition d'un processus ou d'une procédure : identifiez de façon unique l'individu ou l'équipe responsable de la spécification d'une activité. Il leur incombe de s'assurer qu'elle peut être exécutée avec succès par un membre de l'équipe disposant des autorisations, des accès et des outils appropriés. En cas de problème lié à l'exécution de l'activité, les membres de l'équipe qui l'exécutent sont tenus de fournir les commentaires détaillés nécessaires à son amélioration.
+ Capturer la propriété dans les métadonnées de l'artefact d'activité : les procédures automatisées dans des services tels qu'AWS Systems Manager, via des documents et AWS Lambda, en tant que fonctions, prennent en charge la capture des informations de métadonnées sous forme de balises. Capturez la propriété des ressources à l'aide de balises ou de groupes de ressources, en spécifiant les informations de propriété et de contact. Utilisez AWS Organizations pour créer des politiques de balisage et vous assurer que les informations de propriété et de contact sont capturées.
# OPS02-BP03 Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances
Déterminez qui est responsable d'exécuter des activités spécifiques sur des charges de travail définies et pourquoi cette responsabilité existe. La détermination de qui est responsable de l'exécution des activités indique qui va mener l'activité, valider le résultat et fournir des commentaires au propriétaire de l'activité.
**Avantages liés au respect de cette bonne pratique :** La détermination de qui est responsable de l'exécution d'une activité indique qui doit être notifier quand une action est nécessaire et qui doit exécuter l'action, valider le résultats et fournir des commentaires au propriétaire de l'activité.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances . capturez la responsabilité de l'exécution des processus et procédures utilisés dans votre environnement.
+ Identifier les processus et les procédures : identifiez les activités opérationnelles réalisées à l'aide de vos charges de travail. Documentez ces activités dans un emplacement détectable.
+ Définir qui est responsable de chaque activité : identifiez l'équipe responsable d'une activité. Assurez-vous qu'elle dispose des informations de l'activité, des compétences nécessaires et des autorisations et outils corrects pour exécuter l'activité. Elle doit comprendre la condition de son exécution (par exemple, en cas d'événement ou selon un calendrier). Rendez ces informations accessibles afin que les membres de votre organisation puissent identifier les personnes qu'ils doivent contacter, équipe ou personne, pour des besoins spécifiques.
# OPS02-BP04 Les membres de l'équipe savent de quoi ils sont responsables
La compréhension des responsabilités de votre rôle et de la manière dont vous contribuez aux résultats de l'entreprise permet de définir les priorités de vos tâches et de comprendre pourquoi votre rôle est important. Cela permet aux membres d'équipe de reconnaître les besoins et de répondre de manière appropriée.
**Avantages liés au respect de cette bonne pratique :** la compréhension de vos responsabilités indique les décisions que vous prenez, les actions que vous exécutez et vos activités à leurs propriétaires.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
+ Veiller à ce que les membres de l'équipe comprennent leurs rôles et responsabilités : identifiez les rôles et responsabilités des membres de l'équipe et assurez-vous qu'ils comprennent les attentes liées à leur rôle. Rendez ces informations accessibles afin que les membres de votre organisation puissent identifier les personnes qu'ils doivent contacter, équipe ou personne, pour des besoins spécifiques.
# OPS02-BP05 Des mécanismes sont en place pour identifier la responsabilité et la propriété
Lorsque aucune personne ou équipe n'est identifiée, il existe des chemins de remontée vers une personne ayant le pouvoir d'attribuer la propriété ou le plan pour traiter le besoin.
**Avantages liés au respect de cette bonne pratique :** Savoir qui est responsable ou propriétaire permet de faire appel à l'équipe ou au membre de l'équipe approprié pour faire une demande ou transférer une tâche. Le fait d'avoir une personne identifiée qui est autorisée à attribuer la responsabilité ou la propriété ou à planifier pour répondre aux besoins réduit le risque d'inaction et de voir les besoins non satisfaits.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Des mécanismes sont en place pour identifier la responsabilité et la propriété : proposez des mécanismes accessibles aux membres de votre organisation pour découvrir et identifier la propriété et la responsabilité. Ils leur permettront d'identifier les personnes à contacter, équipe ou individu, pour des besoins spécifiques.
# OPS02-BP06 Des mécanismes sont en place pour demander des ajouts, des modifications et des dérogations
Vous pouvez adresser des demandes aux propriétaires des processus, des procédures et des ressources. Les demandes comprennent les ajouts, les modifications et les exceptions. Ces demandes sont soumises à un processus de gestion des modifications. Prenez des décisions avisées pour approuver les demandes lorsque celles-ci sont viables et appropriées après une évaluation des avantages et des risques.
**Résultat souhaité :**
+ Vous pouvez faire des demandes de modification des processus, des procédures et des ressources en fonction de la propriété attribuée.
+ Les modifications sont réalisées de manière délibérée, en pesant les avantages et les risques.
**Anti-modèles courants :**
+ Vous devez mettre à jour la façon dont vous déployez votre application, mais il n'existe aucun moyen de demander à l'équipe chargée des opérations de modifier le processus de déploiement.
+ Le plan de reprise après sinistre doit être mis à jour, mais il n'y a aucun propriétaire désigné à qui demander des modifications.
**Avantages liés au respect de cette bonne pratique :**
+ Les processus, les procédures et les ressources peuvent évoluer au fur et à mesure que les exigences évoluent.
+ Les propriétaires peuvent décider en connaissance de cause du moment où il convient d'apporter des modifications.
+ Les modifications sont réalisées de manière délibérée.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Pour mettre en œuvre cette bonne pratique, vous devez être en mesure de demander des modifications des processus, des procédures et des ressources. Le processus de gestion des modifications peut être léger. Documenter le processus de gestion des modifications.
**Exemple de client**
AnyCompany Retail utilise une matrice d'attribution des responsabilités (RACI) pour identifier qui est responsable des modifications des processus, des procédures et des ressources. La société dispose d'un processus de gestion des modifications documenté, léger et facile à suivre. En utilisant la matrice RACI et le processus, n'importe qui peut soumettre des demandes de modification.
**Étapes d'implémentation**
1. Identifiez les processus, les procédures et les ressources pour votre charge de travail et les responsables de chacun d'entre eux. Documentez-les dans votre système de gestion des connaissances.
1. Si vous n'avez pas encore mis en œuvre [OPS02-BP01 Les ressources ont des propriétaires identifiés](ops_ops_model_def_resource_owners.md), [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md), ou [OPS02-BP03 Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances](ops_ops_model_def_activity_owners.md), commencez par là.
1. Travaillez avec les parties prenantes de votre organisation pour élaborer un processus de gestion des modifications. Le processus doit couvrir les ajouts, les modifications et les exceptions pour les ressources, les processus et les procédures.
1. Vous pouvez utiliser le [Gestionnaire des modifications AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html) comme une plateforme de gestion des modifications pour les ressources de la charge de travail.
1. Documentez le processus de gestion des modifications dans votre système de gestion des connaissances.
**Niveau d'effort du plan d'implémentation :** moyen. L'élaboration d'un processus de gestion des modifications nécessite un alignement avec les multiples parties prenantes de votre organisation.
## Ressources
**Bonnes pratiques associées :**
+ [OPS02-BP01 Les ressources ont des propriétaires identifiés](ops_ops_model_def_resource_owners.md) : il faut identifier les propriétaires des ressources avant de mettre en place un processus de gestion des modifications.
+ [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md) : il faut identifier les propriétaires des processus avant de mettre en place un processus de gestion des modifications.
+ [OPS02-BP03 Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances](ops_ops_model_def_activity_owners.md) : il faut identifier les propriétaires des activités opérationnelles avant de mettre en place un processus de gestion des modifications.
**Documents connexes :**
+ [AWS Prescriptive Guidance - Foundation playbook for AWS large migrations: Creating RACI matrices ](https://docs.aws.amazon.com/prescriptive-guidance/latest/large-migration-foundation-playbook/team-org.html#raci) (Recommandations - Foundation playbook for AWS large migrations : création de matrices RACI)
+ [ Livre blanc sur la gestion des modifications dans le cloud ](https://docs.aws.amazon.com/whitepapers/latest/change-management-in-the-cloud/change-management-in-the-cloud.html)
**Services associés :**
+ [Gestionnaire des modifications AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html)
# OPS02-BP07 Les responsabilités entre les équipes sont prédéfinies ou négociées
Utilisez des accords définis ou négociés entre les équipes, accords qui décrivent la manière dont elles travaillent ensemble et se soutiennent mutuellement (par exemple, les temps de réponse, les objectifs de niveau de service ou les contrats de niveau de service). Les canaux de communication inter-équipes sont documentés. La compréhension de l'impact du travail des équipes sur les résultats opérationnels et les résultats des autres équipes et organisations indique la priorité de leurs tâches et les aide à répondre de manière appropriée.
Lorsque la responsabilité et la propriété ne sont pas définies ou sont inconnues, vous risquez de ne pas traiter les activités nécessaires en temps opportun et de déployer des efforts redondants et potentiellement contradictoires pour répondre à ces besoins.
**Résultat souhaité :**
+ Des accords de travail ou de soutien inter-équipes sont convenus et documentés.
+ Les équipes qui se soutiennent ou travaillent les unes avec les autres ont défini des canaux de communication et des attentes en matière de réponse.
**Anti-modèles courants :**
+ Un problème survient en production et deux équipes distinctes commencent à le résoudre indépendamment l'une de l'autre. Leurs efforts cloisonnés prolongent la panne.
+ L'équipe chargée des opérations a besoin de l'aide de l'équipe de développement mais aucun délai de réponse n'a été convenu. La demande est bloquée dans le backlog.
**Avantages liés au respect de cette bonne pratique :**
+ Les équipes savent comment interagir et se soutenir mutuellement.
+ Les attentes en matière de réactivité sont connues.
+ Les canaux de communication sont clairement définis.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
La mise en œuvre de cette bonne pratique signifie qu'il n'y a aucune ambiguïté sur la façon dont les équipes travaillent les unes avec les autres. Les accords formels codifient la manière dont les équipes travaillent ensemble ou se soutiennent mutuellement. Les canaux de communication inter-équipes sont documentés.
**Exemple de client**
L'équipe SRE d'AnyCompany Retail a conclu un contrat de niveau de service avec son équipe de développement. Chaque fois que l'équipe de développement émet une demande dans son système de tickets, elle peut s'attendre à recevoir une réponse dans les quinze minutes. En cas de panne du site, l'équipe SRE mène l'enquête avec le soutien de l'équipe de développement.
**Étapes d'implémentation**
1. En collaboration avec les parties prenantes de votre organisation, élaborez des accords entre les équipes sur la base de processus et de procédures.
1. Si un processus ou une procédure est partagé entre deux équipes, élaborez un runbook sur la manière dont les équipes travailleront ensemble.
1. S'il existe des dépendances entre les équipes, convenez d'un accord de niveau de service pour la réponse aux demandes.
1. Documentez les responsabilités dans votre système de gestion des connaissances.
**Niveau d'effort du plan d'implémentation :** moyen. Si rien n'est convenu entre les équipes, il peut être difficile de parvenir à un accord avec les parties prenantes de votre organisation.
## Ressources
**Bonnes pratiques associées :**
+ [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md) : la propriété du processus doit être identifiée avant de fixer des accords entre les équipes.
+ [OPS02-BP03 Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances](ops_ops_model_def_activity_owners.md) : la propriété des activités d'opérations doit être identifiée avant d'établir des accords entre les équipes.
**Documents connexes :**
+ [AWS Executive Insights - Empowering Innovation with the Two-Pizza Team ](https://aws.amazon.com/executive-insights/content/amazon-two-pizza-team/) (AWS Executive Insights : stimuler l'innovation et la rapidité avec les équipes à deux pizzas d'Amazon)
+ [ Introduction to DevOps on AWS - Two-Pizza Teams ](https://docs.aws.amazon.com/whitepapers/latest/introduction-devops-aws/two-pizza-teams.html) (Introduction à DevOps sur AWS : équipes à deux pizzas)
# OPS 3 Comment votre culture d'entreprise soutient-elle vos résultats métier ?
Offrez un support aux membres de votre équipe afin qu'ils puissent agir plus efficacement et soutenir les résultats opérationnels.
**Topics**
+ [OPS03-BP01 Parrainage de la direction](ops_org_culture_executive_sponsor.md)
+ [OPS03-BP02 Les membres de l'équipe sont habilités à agir lorsque les résultats sont remis en cause](ops_org_culture_team_emp_take_action.md)
+ [OPS03-BP03 La remontée hiérarchique est encouragée](ops_org_culture_team_enc_escalation.md)
+ [OPS03-BP04 Les communications sont opportunes, claires et exploitables](ops_org_culture_effective_comms.md)
+ [OPS03-BP05 L'expérimentation est encouragée](ops_org_culture_team_enc_experiment.md)
+ [OPS03-BP06 Les membres de l'équipe sont invités à maintenir et à développer leurs compétences](ops_org_culture_team_enc_learn.md)
+ [OPS03-BP07 Fournir aux équipes les ressources appropriées](ops_org_culture_team_res_appro.md)
+ [OPS03-BP08 La diversité des opinions est encouragée et recherchée au sein des équipes et entre elles](ops_org_culture_diverse_inc_access.md)
# OPS03-BP01 Parrainage de la direction
Les principaux dirigeants définissent clairement les attentes de l'organisation et évaluent le succès. Les principaux dirigeants sont le parrain, l’avocat et le moteur de l'adoption des bonnes pratiques et de l'évolution de l'organisation
**Avantages liés au respect de cette bonne pratique :** Une direction engagée, des attentes clairement communiquées et des objectifs partagés permettent aux membres de l'équipe de savoir ce qu'on attend d'eux. L'évaluation du succès permet d'identifier les obstacles au succès afin qu'ils puissent être éliminés par l'intervention du parrain, de l’avocat ou de leurs délégués.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Parrainage de la direction : les équipes de direction définissent clairement les attentes de l'organisation et évaluent la réussite. Les principaux dirigeants sont le parrain, l’avocat et le moteur de l'adoption des bonnes pratiques et de l'évolution de l'organisation
+ Définir les attentes : spécifiez et publiez des objectifs pour vos organisations, y compris la façon dont elles sont évaluées.
+ Suivre la réalisation des objectifs : évaluez régulièrement la réalisation progressive des objectifs et partagez les résultats afin que les mesures appropriées puissent être prises si les résultats sont remis en cause.
+ Fournir les ressources nécessaires pour atteindre vos objectifs : vérifiez régulièrement si les ressources sont toujours appropriées ou si des ressources supplémentaires sont nécessaires en fonction des nouvelles informations, des modifications des objectifs, des responsabilités ou de l'environnement de l'entreprise.
+ Défendre vos équipes : restez impliqué avec vos équipes afin que vous compreniez comment elles évoluent et s'il existe des facteurs externes qui les affectent. Lorsque vos équipes sont affectées par des facteurs externes, réévaluez les objectifs et ajustez les cibles le cas échéant. Identifiez les obstacles qui entravent la progression de vos équipes. Agissez au nom de vos équipes pour surmonter les obstacles et éliminer les charges inutiles.
+ Être un moteur de l'adoption des bonnes pratiques : acceptez les bonnes pratiques qui apporte des avantages quantifiables et montrez de la reconnaissance pour les créateurs et les adoptants. Encouragez une adoption plus large pour amplifier les avantages obtenus.
+ Être un moteur d'évolution pour vos équipes : instaurez une culture d'amélioration continue. Encouragez la croissance et le développement personnels et organisationnels. Fixez des objectifs à long terme qui nécessiteront une réalisation progressive dans le temps. Adaptez cette vision à vos besoins et à vos objectifs et votre environnement opérationnels à mesure qu'ils évoluent.
# OPS03-BP02 Les membres de l'équipe sont habilités à agir lorsque les résultats sont remis en cause
Le responsable de la charge de travail a défini des orientations et un champ d'action permettant aux membres de l'équipe de réagir lorsque les résultats sont menacés. Des mécanismes de remontée sont utilisés pour obtenir des orientations lorsque les événements outrepassent le champ d'action défini.
**Avantages liés au respect de cette bonne pratique :** En testant et validant rapidement les modifications, vous êtes en mesure de résoudre les problèmes avec des coûts réduits, et de limiter l'impact sur vos clients. En testant avant le déploiement, vous minimisez l'introduction d'erreurs.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Les membres de l'équipe sont habilités à agir lorsque les résultats sont remis en cause : fournissez aux membres de votre équipe les autorisations, les outils et la possibilité de mettre en pratique les compétences nécessaires pour réagir efficacement.
+ Donner aux membres de votre équipe la possibilité de mettre en pratique les compétences nécessaires pour réagir : fournissez d'autres environnements sûrs où les processus et les procédures peuvent être testés et entraînés en toute sécurité. Effectuez des simulations pour permettre aux membres de l'équipe d'acquérir de l'expérience dans la gestion d'incidents concrets dans des environnements simulés et sûrs.
+ Définir et reconnaître l'autorité des membres de l'équipe pour agir : définissez spécifiquement le pouvoir des membres de l'équipe d'agir en leur attribuant des autorisations et un accès aux charges de travail et aux composants qu'ils prennent en charge. Acceptez qu'ils sont habilités à agir lorsque les résultats sont menacés.
# OPS03-BP03 La remontée hiérarchique est encouragée
Les membres de l'équipe disposent de mécanismes et sont encouragés à faire part de leurs préoccupations aux décideurs et aux parties prenantes s'ils estiment que les résultats sont menacés. Les remontées doivent être effectuées tôt et souvent afin que les risques puissent être identifiés et les incidents évités.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Encourager une remontée hiérarchique précoce et fréquente : reconnaissez sur le plan organisationnel qu'une remontée hiérarchique précoce et fréquente est conseillée. Reconnaissez et acceptez sur le plan organisationnel que les remontées peuvent s'avérer non fondées et qu'il est préférable d'avoir la possibilité d'éviter un incident que de manquer cette opportunité en ne la faisant pas remonter.
+ Disposer d'un mécanisme de remontée : élaborez des procédures documentées définissant quand et comment la remontée doit avoir lieu. Documentez les séries de personnes ayant un pouvoir croissant pour prendre ou approuver des mesures, et leurs informations de contact. La remontée doit se poursuivre jusqu'à ce que le membre de l'équipe soit convaincu qu'il a transféré le risque à une personne capable d'y faire face, ou qu'il a contacté la personne qui assume le risque et la responsabilité de l'exploitation de la charge de travail. C'est cette personne qui, en fin de compte, détient toutes les décisions concernant sa charge de travail. Les remontées doivent inclure la nature du risque, la criticité de la charge de travail, les personnes impactées, l'impact et l'urgence, c'est-à-dire le moment où l'impact est attendu.
+ Protéger les employés qui font remonter les informations : créez une politique qui protège les membres de l'équipe contre les représailles s'ils font remonter des informations autour d'un décideur ou d'une partie prenante non réceptifs. Mettez en place des mécanismes permettant d'identifier si cela se produit et de répondre de manière appropriée.
# OPS03-BP04 Les communications sont opportunes, claires et exploitables
Des mécanismes existent et sont utilisés pour informer en temps opportun les membres de l'équipe des risques connus et des événements planifiés. Le contexte, les informations et le temps nécessaires (dans la mesure du possible) sont communiqués pour déterminer si une action est nécessaire, quelle action est requise et prendre des mesures en temps opportun. Par exemple, la notification des failles logicielles afin d'accélérer l'application des correctifs, ou la notification des promotions de vente prévues afin qu'un gel des modifications puisse être mis en œuvre pour éviter le risque d'interruption de service. Les événements planifiés peuvent être reportés dans un calendrier de modifications ou un calendrier de maintenance afin que les membres de l'équipe puissent identifier les activités en attente.
**Résultat souhaité :**
+ Les communications fournissent le contexte, les détails et les délais prévus.
+ Les membres de l'équipe comprennent clairement quand et comment agir en réponse aux communications.
+ Tirez parti des calendriers de changement pour notifier les modifications attendues.
**Anti-modèles courants :**
+ Une alerte survient plusieurs fois par semaine et c'est un faux positif. Vous mettez la notification en sourdine à chaque fois qu'elle se produit.
+ On vous demande d'apporter une modification à vos groupes de sécurité mais on ne vous indique pas quand cela doit se produire.
+ Vous recevez constamment des notifications dans la conversation instantanée lorsque les systèmes montent en capacité, mais aucune action n'est nécessaire. Vous évitez le canal de conversation instantanée et manquez une notification importante.
+ Une modification est apportée à la production sans en informer l'équipe chargée des opérations. Cette modification déclenche une alerte et l'équipe d'astreinte est contactée.
**Avantages liés au respect de cette bonne pratique :**
+ Votre organisation évite la lassitude liée aux alertes.
+ Les membres de l'équipe peuvent agir en tenant compte du contexte et des attentes nécessaires.
+ Les modifications peuvent intervenir pendant les fenêtres de changement, ce qui réduit les risques.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Pour mettre en œuvre cette bonne pratique, vous devez travailler avec les parties prenantes de votre organisation pour convenir de normes de communication. Diffusez ces normes dans votre organisation. Identifiez et supprimez les alertes qui sont faussement positives ou toujours actives. Utilisez des calendriers de changement pour que les membres de l'équipe sachent quand les actions peuvent être entreprises et quelles activités sont en attente. Vérifiez que les communications mènent à des actions claires avec le contexte nécessaire.
**Exemple de client**
AnyCompany Retail utilise la conversation instantanée comme principal moyen de communication. Les alertes et autres informations alimentent des canaux spécifiques. Lorsque quelqu'un doit agir, le résultat attendu est clairement énoncé et, dans de nombreux cas, on lui donne un manuel ou un guide à utiliser. Les équipes utilisent un calendrier des changements pour planifier les principales modifications apportées aux systèmes de production.
**Étapes d'implémentation**
1. Analysez vos alertes pour détecter les faux positifs ou les alertes qui sont constamment déclenchées. Supprimez-les ou modifiez-les de manière à ce qu'elles se déclenchent lorsqu'une intervention humaine est nécessaire. Si une alerte se déclenche, fournissez un runbook ou un guide à l'opérateur.
1. Vous pouvez utiliser les [documents AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html) pour créer des guides et des runbooks pour les alertes.
1. Deux mécanismes sont en place pour notifier les risques ou les événements prévus d'une manière claire et exploitable, avec un préavis suffisant pour permettre des réponses appropriées. Utilisez des listes d'e-mails ou des canaux de conversation instantanée pour envoyer des notifications avant les événements prévus.
1. [Amazon Q Developer in chat applications](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html) permet d'envoyer des alertes et de répondre à des événements au sein de la plateforme de messagerie de votre organisation.
1. Fournissez une source d'informations accessible où les événements planifiés peuvent être découverts. Envoyez des notifications d'événements planifiés à partir du même système.
1. Le [calendrier des modifications AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-change-calendar.html) permet de créer des fenêtres de changement lorsque des modifications peuvent intervenir. Cela permet aux membres de l'équipe de savoir quand ils peuvent apporter des modifications en toute sécurité.
1. Surveillez les notifications de failles et les informations sur les correctifs pour comprendre les failles dangereuses et les risques potentiels associés aux éléments de votre charge de travail. Envoyez une notification aux membres de l'équipe afin qu'ils puissent agir.
1. Vous pouvez vous abonner aux [bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/) pour recevoir des notifications de failles sur AWS.
## Ressources
**Bonnes pratiques associées :**
+ [OPS07-BP03 Utiliser des runbooks pour effectuer des procédures](ops_ready_to_support_use_runbooks.md) : rendez les communications exploitables en fournissant un runbook lorsque le résultat est connu.
+ [OPS07-BP04 Utiliser des playbooks pour analyser les problèmes](ops_ready_to_support_use_playbooks.md) : lorsque le résultat est inconnu, les guides peuvent rendre les communications exploitables.
**Documents connexes :**
+ [ Bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins)
+ [ Open CVE ](https://www.opencve.io/welcome) (CVE ouvertes)
**Exemples connexes :**
+ [ Ateliers Well-Architected : inventaire et gestion des correctifs (niveau 100) ](https://wellarchitectedlabs.com/operational-excellence/100_labs/100_inventory_patch_management/)
**Services associés :**
+ [Amazon Q Developer in chat applications](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html)
+ [Modifier le calendrier AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-change-calendar.html)
+ [Documents AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html)
# OPS03-BP05 L'expérimentation est encouragée
L'expérimentation est un catalyseur qui permet de transformer de nouvelles idées en produits et en fonctionnalités. Elle accélère la formation et permet aux membres de l'équipe de s'intéresser et d'être engagés. Les membres de l'équipe sont encouragés à expérimenter souvent pour stimuler l'innovation. Même lorsqu'un résultat indésirable se produit, il est bon de savoir ce qu'il ne faut pas faire. Les membres de l'équipe ne sont pas sanctionnés pour les expérimentations réussies produisant des résultats indésirables.
**Résultat souhaité :**
+ Votre organisation encourage l'expérimentation pour favoriser l'innovation.
+ Les expériences sont utilisées comme une occasion d'apprendre.
**Anti-modèles courants :**
+ Vous souhaitez effectuer un test A/B mais il n'existe aucun mécanisme pour réaliser l'expérience. Vous déployez une modification de l'interface utilisateur sans pouvoir la tester. Il en résulte une expérience négative pour le client.
+ Votre entreprise ne dispose que d'un environnement d'étape et de production. Il n'existe pas d'environnement de test (sandbox) pour expérimenter de nouvelles fonctionnalités ou de nouveaux produits. Vous devez donc expérimenter dans l'environnement de production.
**Avantages liés au respect de cette bonne pratique :**
+ L'expérimentation est le moteur de l'innovation.
+ Vous pouvez réagir plus rapidement aux commentaires des utilisateurs grâce à l'expérimentation.
+ Votre organisation développe une culture de l'apprentissage.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Les expériences doivent être menées en toute sécurité. Exploitez plusieurs environnements pour expérimenter sans mettre en péril les ressources de production. Utilisez les tests A/B et les indicateurs de fonctionnalités pour tester les expériences. Donnez aux membres de l'équipe la possibilité de mener des expériences dans un environnement de test (sandbox).
**Exemple de client**
AnyCompany Retail encourage l'expérimentation. Les membres de l'équipe peuvent utiliser 20 % de leur semaine de travail pour expérimenter ou apprendre de nouvelles technologies. Ils disposent d'un environnement de test (sandbox) où ils peuvent innover. Les tests A/B sont utilisés pour les nouvelles fonctionnalités afin de les valider en fonction des commentaires réels des utilisateurs.
**Étapes d'implémentation**
1. Travaillez avec les dirigeants de votre organisation pour soutenir l'expérimentation. Les membres de l'équipe doivent être encouragés à réaliser des expériences en toute sécurité.
1. Offrez aux membres de votre équipe un environnement où ils peuvent expérimenter en toute sécurité. Ils doivent avoir accès à un environnement similaire à celui de la production.
1. Vous pouvez utiliser un Compte AWS distinct pour créer un environnement de test (sandbox) pour l'expérimentation. [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) peut être utilisé pour provisionner ces comptes.
1. Utilisez des indicateurs de fonctions et des tests A/B pour expérimenter en toute sécurité et recueillir les commentaires des utilisateurs.
1. Les [indicateurs de fonctions AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/what-is-appconfig.html) offrent la possibilité de créer des indicateurs de fonctionnalités.
1. [Amazon CloudWatch Evidently](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Evidently.html) permet d'effectuer des tests A/B sur un déploiement limité.
1. Vous pouvez utiliser les [versions AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html) pour déployer une nouvelle version d'une fonction pour un test bêta.
**Niveau d'effort du plan d'implémentation :** élevé. Fournir aux membres de l'équipe un environnement dans lequel expérimenter et un moyen sûr de mener des expériences peut nécessiter un investissement important. Il se peut également que vous deviez modifier le code de l'application pour utiliser des indicateurs de fonctions ou prendre en charge les tests A/B.
## Ressources
**Bonnes pratiques associées :**
+ [OPS11-BP02 Effectuer une analyse post-incident](ops_evolve_ops_perform_rca_process.md) : les leçons tirées des incidents sont un moteur important pour l'innovation, au même titre que l'expérimentation.
+ [OPS11-BP03 Mettre en œuvre des boucles de rétroaction](ops_evolve_ops_feedback_loops.md) : les boucles de rétroaction sont une composante importante de l'expérimentation.
**Documents connexes :**
+ [ An Inside Look at the Amazon Culture: Experimentation, Failure, and Customer Obsession ](https://aws.amazon.com/blogs/industries/an-inside-look-at-the-amazon-culture-experimentation-failure-and-customer-obsession/) (Un examen interne de la culture Amazon : expérimentation, échec et obsession du client)
+ [ Best practices for creating and managing sandbox accounts in AWS](https://aws.amazon.com/blogs/mt/best-practices-creating-managing-sandbox-accounts-aws/) (Bonnes pratiques pour la création et la gestion des comptes sandbox dans AWS)
+ [ Create a Culture of Experimentation Enabled by the Cloud ](https://aws.amazon.com/blogs/enterprise-strategy/create-a-culture-of-experimentation-enabled-by-the-cloud/) (Créer une culture de l'expérimentation grâce au cloud)
+ [ Enabling experimentation and innovation in the cloud at SulAmérica Seguros ](https://aws.amazon.com/blogs/mt/enabling-experimentation-and-innovation-in-the-cloud-at-sulamerica-seguros/) (Favoriser l'expérimentation et l'innovation dans le cloud chez SulAmérica Seguros)
+ [ Experiment More, Fail Less ](https://aws.amazon.com/blogs/enterprise-strategy/experiment-more-fail-less/) (Expérimenter davantage, moins échouer)
+ [Organisation de votre environnement AWS à l'aide de plusieurs comptes - Sandbox OU ](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/sandbox-ou.html)
+ [ Using AWS AppConfig Feature Flags ](https://aws.amazon.com/blogs/mt/using-aws-appconfig-feature-flags/) (Utilisation des indicateurs de fonctions AWS AppConfig)
**Vidéos connexes :**
+ [AWS On Air ft. Amazon CloudWatch Evidently \$1 AWS Events ](https://www.youtube.com/watch?v=ydX7lRNKAOo)
+ [AWS On Air San Fran Summit 2022 ft. AWS AppConfig Feature Flags integration with Jira ](https://www.youtube.com/watch?v=miAkZPtjqHg)
+ [AWS re:Invent 2022 - A deployment is not a release: Control your launches w/feature flags (BOA305-R) ](https://www.youtube.com/watch?v=uouw9QxVrE8) [AWS re:Invent 2022 - Un déploiement n'est pas un lancement : contrôlez vos lancements avec des indicateurs de fonctions (BOA305-R)]
+ [ Programmatically Create an Compte AWS with AWS Control Tower](https://www.youtube.com/watch?v=LxxQTPdSFgw) (Créer programmatiquement un compte AWS avec WS Control Tower)
+ [ Set Up a Multi-Account AWS Environment that Uses Best Practices for AWS Organizations](https://www.youtube.com/watch?v=uOrq8ZUuaAQ)
**Exemples connexes :**
+ [AWS Innovation Sandbox ](https://aws.amazon.com/solutions/implementations/aws-innovation-sandbox/)
+ [ End-to-end Personalization 101 for E-Commerce ](https://catalog.workshops.aws/personalize-101-ecommerce/en-US/labs/ab-testing) (Bases de la personnalisation de bout en bout pour le e-commerce)
**Services associés :**
+ [Amazon CloudWatch Evidently](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Evidently.html)
+ [AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/what-is-appconfig.html)
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
# OPS03-BP06 Les membres de l'équipe sont invités à maintenir et à développer leurs compétences
Les équipes doivent accroître leurs compétences pour adopter les nouvelles technologies, et pour faire face à l'évolution de la demande et des responsabilités afin de supporter votre charge de travail. Le développement des compétences dans les nouvelles technologies est souvent une source de satisfaction pour les membres de l'équipe et favorise l'innovation. Soutenez les membres de votre équipe dans la recherche et le maintien de certifications sectorielles qui valident et reconnaissent leurs compétences croissantes. Mettez en place la formation croisée pour promouvoir le transfert de connaissances et réduire le risque d'impact significatif lorsque vous perdez des membres d'équipe qualifiés et expérimentés ayant un savoir institutionnel. Mettez en place des créneaux dédiés à la formation.
AWS fournit des ressources, y compris le [Centre de ressources de démarrage AWS](https://aws.amazon.com/getting-started/), [les blogs AWS](https://aws.amazon.com/blogs/), [les conférences techniques en ligne AWS](https://aws.amazon.com/getting-started/), [les événements et webinaires AWS](https://aws.amazon.com/events/)et les [ateliers AWS Well-Architected](https://wellarchitectedlabs.com/)AWS, qui fournissent des conseils, des exemples et des démonstrations détaillées pour former vos équipes.
AWS partage également les bonnes pratiques et les modèles tirés de l'expérience AWS dans la [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library/) et d'une grande variété d'autres supports pédagogiques utiles via le [Blog AWS](https://aws.amazon.com/blogs/) et [Podcast AWS officiel](https://aws.amazon.com/podcasts/aws-podcast/).
Tirez parti des ressources pédagogiques fournies par AWS, telles que les ateliers Well-Architected, [AWS Support](https://aws.amazon.com/premiumsupport/programs/) ([Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/), [les forums de discussion AWS](https://forums.aws.amazon.com/index.jspa)et [Centre AWS Support](https://console.aws.amazon.com/support/home/)) et la [Documentation AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) pour former vos équipes. Contactez AWS Support via le centre AWS Support pour obtenir des réponses à vos questions AWS.
[AWS Training and Certification](https://aws.amazon.com/training/) offre une formation gratuite par le biais de cours en ligne d'auto-formation sur les principes fondamentaux d'AWS. Vous pouvez également vous inscrire à une formation dirigée par un formateur afin de soutenir le développement des compétences AWS de vos équipes.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Les membres de l'équipe sont invités à maintenir et à développer leurs compétences : pour adopter les nouvelles technologies, soutenir l'innovation et accompagner l'évolution de la demande et des responsabilités à l'appui de vos charges de travail, la formation continue est nécessaire.
+ Fournir des ressources de formation : fournissez un temps structuré dédié, l'accès à des supports de formation, des ressources d'atelier et la possibilité de se joindre à des conférences et à des organisations professionnelles qui offrent des possibilités de formation auprès de formateurs et de pairs. Offrez aux membres juniors de l'équipe l'accès aux membres chevronnés en tant que mentors ou autorisez-les à suivre leur travail et à être exposés à leurs méthodes et compétences. Encouragez l'apprentissage du contenu qui n’est pas directement lié au travail afin d'avoir une perspective plus large.
+ Formation des équipes et engagement inter-équipe : planifiez les besoins de formation continue des membres de votre équipe. Offrir aux membres de l'équipe la possibilité de rejoindre d'autres équipes (temporairement ou définitivement) pour partager les compétences et les bonnes pratiques au profit de l'ensemble de votre organisation
+ Soutenir l'obtention et la conservation des certifications du secteur : aidez les membres de votre équipe à acquérir et à conserver les certifications sectorielles qui valident ce qu'ils ont appris, et reconnaissez leurs réalisations.
## Ressources
**Documents connexes :**
+ [Centre de ressources de démarrage AWS](https://aws.amazon.com/getting-started/)
+ [les blogs AWS](https://aws.amazon.com/blogs/)
+ [Conformité du AWS Cloud](https://aws.amazon.com/compliance/)
+ [les forums de discussion AWS](https://forums.aws.amazon.com/index.jspa)
+ [Documentation AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [les conférences techniques en ligne AWS](https://aws.amazon.com/getting-started/)
+ [les événements et webinaires AWS](https://aws.amazon.com/events/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [AWS Support](https://aws.amazon.com/premiumsupport/programs/)
+ [AWS Training and Certification](https://aws.amazon.com/training/)
+ [ateliers AWS Well-Architected](https://wellarchitectedlabs.com/),
+ [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library/)
+ [Podcast AWS officiel](https://aws.amazon.com/podcasts/aws-podcast/).
# OPS03-BP07 Fournir aux équipes les ressources appropriées
Maintenez les aptitudes des membres de l'équipe et fournissez les outils et les ressources nécessaires pour répondre aux besoins de votre charge de travail. Surmener les membres d'équipe augmente le risque d'incidents résultant d'une erreur humaine. Les investissements dans les outils et les ressources (par exemple, l'automatisation des activités fréquemment exécutées) peuvent accroître l'efficacité de votre équipe, lui permettant de soutenir des activités supplémentaires.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Fournir aux équipes les ressources appropriées : veillez à bien comprendre le succès de vos équipes et les facteurs qui contribuent à ce succès ou à leur échec. Agissez pour soutenir les équipes avec les ressources appropriées.
+ Comprendre les performances de l'équipe : mesurez la réalisation des résultats opérationnels et le développement des atouts par vos équipes. Suivez l'évolution de la production et du taux d'erreur dans le temps. Collaborez avec les équipes pour comprendre les défis liés au travail qui les impactent (par exemple, augmentation des responsabilités, modifications technologiques, perte de personnel ou augmentation du nombre de clients pris en charge).
+ Comprendre les impacts sur les performances des équipes : restez impliqué avec vos équipes afin que vous compreniez comment elles évoluent et s'il existe des facteurs externes qui les affectent. Lorsque vos équipes sont affectées par des facteurs externes, réévaluez les objectifs et ajustez les cibles le cas échéant. Identifiez les obstacles qui entravent la progression de vos équipes. Agissez au nom de vos équipes pour surmonter les obstacles et éliminer les charges inutiles.
+ Fournir les ressources nécessaires pour assurer le succès des équipes : vérifiez régulièrement si les ressources sont toujours appropriées et si des ressources supplémentaires sont nécessaires, et procédez aux ajustements appropriés pour les équipes de support.
# OPS03-BP08 La diversité des opinions est encouragée et recherchée au sein des équipes et entre elles
Exploitez la diversité inter-organisationnelle pour rechercher des perspectives multiples et uniques. Utilisez cette perspective pour accroître l'innovation, remettre en question vos hypothèses et réduire le risque de biais de confirmation. Développez l'inclusion, la diversité et l'accessibilité au sein de vos équipes afin d'obtenir des perspectives bénéfiques.
La culture organisationnelle a un impact direct sur la satisfaction professionnelle et la fidélisation des membres de l'équipe. Favorisez l'engagement et l'exploitation des capacités des membres de votre équipe pour assurer la réussite de votre entreprise.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Rechercher des opinions et des perspectives variées : encouragez les contributions de chacun. Donnez la parole aux groupes sous-représentés. Effectuez une rotation des rôles et des responsabilités lors des réunions.
+ Élargir les rôles et les responsabilités : offrez aux membres de l'équipe l'opportunité d'assumer des rôles qu'ils n'auraient pas autrement. Ils acquièrent de l'expérience et du point de vue du rôle et des interactions avec les nouveaux membres de l'équipe avec lesquels ils n'interagissent pas autrement. Ils apporteront leur expérience et leur point de vue au nouveau rôle et aux membres de l'équipe avec lesquels ils interagissent. À mesure que les perspectives s'élargissent, de nouvelles opportunités commerciales peuvent se présenter, ou de nouvelles possibilités d'amélioration peuvent être identifiées. Demandez aux membres d'une équipe d'effectuer à tour de rôle des tâches communes que les autres exécutent habituellement afin de comprendre les exigences et l'impact de leur exécution.
+ Fournir un environnement sûr et accueillant : mettez en place une politique et des contrôles qui protègent la sécurité mentale et physique des membres de l'équipe au sein de votre organisation. Les membres de l'équipe doivent être en mesure d'interagir sans craindre de représailles. Lorsque les membres de l'équipe se sentent en sécurité et sont les bienvenus, ils sont plus susceptibles d'être impliqués et productifs. Plus votre organisation est diversifiée, mieux vous pouvez comprendre les personnes que vous soutenez, y compris vos clients. Lorsque les membres de votre équipe sont à l'aise, se sentent libres de parler et sont sûrs d'être entendus, ils sont plus susceptibles de partager des informations précieuses (par exemple, les possibilités de marketing, les besoins d'accessibilité, les segments de marché délaissés, les risques non reconnus dans votre environnement).
+ Permettre aux membres de l'équipe de participer pleinement : fournissez les ressources nécessaires pour que vos employés puissent participer pleinement à toutes les activités liées à leur travail. Les membres de l'équipe qui font face à des défis quotidiens ont développé des compétences pour s’y atteler. Ces compétences développées de manière unique peuvent apporter des avantages considérables à votre organisation. L'accompagnement des membres de l'équipe avec les ajustements nécessaires augmente les avantages que vous pouvez tirer de leurs contributions.
# Préparation
**Topics**
+ [OPS 4 Comment concevoir votre charge de travail de sorte à en comprendre l'état ?](ops-04.md)
+ [OPS 5 Comment réduire les défauts, faciliter les corrections et améliorer l'entrée dans la production ?](ops-05.md)
+ [OPS 6 Comment réduire les risques liés au déploiement ?](ops-06.md)
+ [OPS 7 Comment savoir si vous êtes prêt à gérer une charge de travail ?](ops-07.md)
# OPS 4 Comment concevoir votre charge de travail de sorte à en comprendre l'état ?
Concevez votre charge de travail de manière à ce qu'elle fournisse les informations nécessaires à tous les composants (par exemple, les mesures, les journaux et les traces) pour que vous puissiez comprendre son état interne. Cela vous permet de fournir des réponses efficaces, le cas échéant.
**Topics**
+ [OPS04-BP01 Implémenter la télémétrie de l'application](ops_telemetry_application_telemetry.md)
+ [OPS04-BP02 Mettre en œuvre et configurer la télémétrie de la charge de travail](ops_telemetry_workload_telemetry.md)
+ [OPS04-BP03 Mettre en œuvre la télémétrie pour l'activité des utilisateurs](ops_telemetry_customer_telemetry.md)
+ [OPS04-BP04 Mettre en œuvre la télémétrie pour les dépendances](ops_telemetry_dependency_telemetry.md)
+ [OPS04-BP05 Mettre en œuvre la traçabilité des transactions](ops_telemetry_dist_trace.md)
# OPS04-BP01 Implémenter la télémétrie de l'application
La télémétrie de l'application est la pierre angulaire de l'observabilité de votre charge de travail. Votre application devrait émettre des données de télémétrie qui donnent un aperçu de son état et du niveau de réalisation des résultats commerciaux. Du dépannage à la mesure de l'impact d'une nouvelle fonctionnalité, la télémétrie de l'application informe sur la façon dont vous créez, exploitez et faites évoluer votre charge de travail.
La télémétrie d'une application se compose de métriques et de journaux. Les métriques sont des informations de diagnostic, telles que votre pouls ou votre température. Elles sont utilisées collectivement pour décrire l'état de votre application. La collecte de métriques au fil du temps permet de développer des points de référence et de détecter les anomalies. Les journaux sont des messages que l'application envoie à propos de son état interne ou des événements qui se produisent. Les codes d'erreur, les identificateurs de transaction et les actions de l'utilisateur sont des exemples d'événements journalisés.
**Résultat souhaité :**
+ Votre application émet des métriques et des journaux qui donnent un aperçu de son état et de la réalisation des résultats commerciaux.
+ Les métriques et les journaux sont stockés de manière centralisée pour toutes les applications de la charge de travail.
**Anti-modèles courants :**
+ Votre application n'émet pas de télémesures. Vous êtes contraint de compter sur vos clients pour savoir quand quelque chose ne fonctionne pas correctement.
+ Un client a signalé que votre application ne répond pas. Vous n'avez pas de télémesures et êtes incapable de confirmer l'existence du problème ou de le caractériser sans utiliser vous-même l'application pour comprendre l'expérience actuelle de l'utilisateur.
**Avantages liés au respect de cette bonne pratique :**
+ Vous pouvez déterminer l'état de votre application, l'expérience utilisateur et la réalisation des résultats commerciaux.
+ Vous pouvez réagir rapidement aux changements d'état de votre application.
+ Vous pouvez développer des tendances liées à l'état de l'application.
+ Vous pouvez prendre des décisions éclairées sur l'amélioration de votre application.
+ Vous pouvez détecter et résoudre les problèmes d'application plus rapidement.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
La mise en œuvre de la télémétrie de l'application comprend trois étapes : identifier un emplacement pour stocker les données de télémétrie, identifier les données de télémétrie qui décrivent l'état de l'application et instrumenter l'application pour émettre les données de télémétrie.
**Exemple de client**
AnyCompany Retail a une architecture basée sur des microservices. Dans le cadre de son processus de conception architecturale, elle a identifié la télémétrie de l'application qui l'aiderait à déterminer l'état de chaque microservice. Par exemple, le service de panier utilisateur émet des données de télémétrie sur des événements tels que l'ajout d'un article au panier, l'abandon du panier et le temps nécessaire pour ajouter un article au panier. Tous les microservices journalisent les erreurs, les avertissements et les informations de transaction. La télémétrie est envoyée à Amazon CloudWatch à des fins de stockage et d'analyse.
**Étapes d'implémentation**
1. Identifier un emplacement central pour le stockage des données de télémétrie pour les applications de votre charge de travail. L'emplacement doit prendre en charge la collection des capacités de télémétrie et d'analyse. La détection des anomalies et les informations automatisées sont des fonctions recommandées.
1. [Amazon CloudWatch](https://aws.amazon.com/cloudwatch) fournit des fonctionnalités de collecte des données de télémétrie, de tableaux de bord, d'analyse et de génération d'événements.
1. Pour identifier la télémétrie dont vous avez besoin, commencez par répondre à cette question : quel est l'état de mon application ? Votre application doit émettre des journaux et des métriques qui répondent collectivement à cette question. Si vous ne parvenez pas à répondre à cette questions avec la télémétrie de l'application existante, collaborez avec les parties prenantes de l'entreprise et de l'ingénierie pour créer une liste d'exigences en matière de télémétrie.
1. Vous pouvez demander des conseils techniques d'experts à votre équipe Compte AWS lorsque vous identifiez et développez de nouvelles applications de télémétrie.
1. Une fois que la télémétrie de l'application supplémentaire a été identifiée, travaillez avec les parties prenantes en ingénierie pour instrumenter l'application.
1. [AWS Distro for Open Telemetry](https://aws-otel.github.io/) fournit des API, des bibliothèques et des agents qui collectent la télémétrie de l'application. [Cet exemple illustre comment instrumenter une application JavaScript avec des métriques personnalisées](https://aws-otel.github.io/docs/getting-started/js-sdk/metric-manual-instr).
1. Si vous voulez comprendre les services d'observabilité offerts par AWS, suivez le [One Observability Workshop](https://catalog.workshops.aws/observability/en-US) (Atelier sur l'observabilité) ou demandez de l'aide auprès de votre équipe Compte AWS.
1. Pour en savoir plus sur la télémétrie de l'application, lisez l'article [Instrumenter les systèmes distribués pour une visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/) dans la bibliothèque des créateurs Amazon. Il explique comment Amazon instrumente les applications et peut servir de guide pour développer vos propres directives d'instrumentation.
**Niveau d'effort du plan d'implémentation :** élevé. L'instrumentation de votre application et la centralisation du stockage de la télémétrie peut demander un investissement important.
## Ressources
**Bonnes pratiques associées :**
[OPS04-BP02 Mettre en œuvre et configurer la télémétrie de la charge de travail](ops_telemetry_workload_telemetry.md) : la télémétrie de l'application est un composant de la télémétrie de la charge de travail. Afin de comprendre l'état de la charge de travail globale, vous devez comprendre celui des applications individuelles qui la composent.
[OPS04-BP03 Mettre en œuvre la télémétrie pour l'activité des utilisateurs](ops_telemetry_customer_telemetry.md) : la télémétrie de l'activité des utilisateurs est souvent un sous-ensemble de la télémétrie de l'application. L'activité de l'utilisateur, comme les événements d'ajout au panier, les flux de clics ou les transactions terminées, donne un aperçu de l'expérience utilisateur.
[OPS04-BP04 Mettre en œuvre la télémétrie pour les dépendances](ops_telemetry_dependency_telemetry.md) : les contrôles de dépendance sont liés à la télémétrie de l'application et peuvent être instrumentés dans votre application. Si votre application s'appuie sur des dépendances externes telles qu'un DNS ou une base de données, votre application peut émettre des métriques et des journaux sur l'accessibilité, les délais d'attente et d'autres événements.
[OPS04-BP05 Mettre en œuvre la traçabilité des transactions](ops_telemetry_dist_trace.md) : le suivi des transactions sur une charge de travail nécessite que chaque application émette des informations sur la manière dont elle traite les événements partagés. La manière dont les applications individuelles gèrent ces événements est émise via la télémétrie de leur application.
[OPS08-BP02 Définir les métriques de la charge de travail](ops_workload_health_design_workload_metrics.md) : les métriques de charge de travail sont les principaux indicateurs de l'état de votre charge de travail. Les métriques clés de l'application font partie des métriques de la charge de travail.
**Documents connexes :**
+ [AWS Builders' Library : Instrumenter les systèmes distribués pour une visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
+ [AWS Distro for OpenTelemetry](https://aws-otel.github.io/)
+ [Livre blanc du pilier Excellence opérationnelle AWS Well-Architected – Mettre en place la télémétrie](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-telemetry.html)
+ [Création de métriques à partir d'événements du journal à l'aide de filtres](https://docs.aws.amazon.com/Amazon/latest/logs/MonitoringLogData.html)
+ [Implementing Logging and Monitoring with Amazon CloudWatch](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html) (Mise en œuvre de la journalisation et de la surveillance avec Amazon CloudWatch)
+ [Monitoring application health and performance with AWS Distro for OpenTelemetry](https://aws.amazon.com/blogs/opensource/monitoring-application-health-and-performance-with-aws-distro-for-opentelemetry/) (Surveillance de l'état et des performances d'une application avec AWS Distro for OpenTelemetry)
+ [New – How to better monitor your custom application metrics using Amazon CloudWatch Agent](https://aws.amazon.com/blogs/devops/new-how-to-better-monitor-your-custom-application-metrics-using-amazon-cloudwatch-agent/) (Nouveau : comment mieux surveiller les métriques de votre application personnalisée à l'aide de l'agent Amazon CloudWatch)
+ [Observability at AWS](https://aws.amazon.com/products/management-and-governance/use-cases/monitoring-and-observability/) (Observabilité chez AWS)
+ [Scénario : publier des métriques sur CloudWatch](https://docs.aws.amazon.com/Amazon/latest/monitoring/PublishMetrics.html)
+ [Commencer à créer : Comment surveiller efficacement vos applications](https://aws.amazon.com/startups/start-building/how-to-monitor-applications/)
+ [Utiliser CloudWatch avec un AWS SDK](https://docs.aws.amazon.com/Amazon/latest/monitoring/sdk-general-information-section.html)
**Vidéos connexes :**
+ [AWS re:Invent 2021 - Observability the open-source way](https://www.youtube.com/watch?v=vAnIhIwE5hY) (AWS re:Invent 2021 : observabilité avec l'open-source)
+ [Collect Metrics and Logs from Amazon EC2 instances with the CloudWatch Agent](https://www.youtube.com/watch?v=vAnIhIwE5hY) (Collecte des métriques et des journaux des instances Amazon EC2 avec l'agent CloudWatch)
+ [How to Easily Setup Application Monitoring for Your AWS Workloads - AWS Online Tech Talks](https://www.youtube.com/watch?v=LKCth30RqnA) (Comment facilement configurer la surveillance des applications de vos charges de travail AWS : AWS Online Tech Talks)
+ [Mastering Observability of Your Serverless Applications - AWS Online Tech Talks](https://www.youtube.com/watch?v=CtsiXhiAUq8) (Maîtriser l'observabilité de vos applications sans serveur : AWS Online Tech Talks)
+ [Open Source Observability with AWS - AWS Virtual Workshop](https://www.youtube.com/watch?v=vAnIhIwE5hY) (Observabilité open source avec AWS : AWS Virtual Workshop)
**Exemples connexes :**
+ [AWS Logging & Monitoring Example Resources](https://github.com/aws-samples/logging-monitoring-apg-guide-examples) (Exemples de ressources de journalisation et de surveillance AWS)
+ [Solution AWS : cadre de surveillance avec Amazon CloudWatch](https://aws.amazon.com/solutions/implementations/amazon-cloudwatch-monitoring-framework/?did=sl_card&trk=sl_card)
+ [Solution AWS : journalisation centralisée](https://aws.amazon.com/solutions/implementations/centralized-logging/)
+ [One Observability Workshop](https://catalog.workshops.aws/observability/en-US) (Atelier sur l'observabilité)
**Services associés :**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
# OPS04-BP02 Mettre en œuvre et configurer la télémétrie de la charge de travail
Concevez et configurez votre charge de travail afin d'émettre des informations sur son état interne et son statut actuel (par exemple, le volume des appels d'API, les codes de statut HTTP et les événements de dimensionnement). Utilisez ces informations pour déterminer à quel moment une réponse est nécessaire.
Utilisez un service comme [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) pour regrouper les journaux et les métriques des composants de charge de travail (par exemple, les journaux d'API provenant de [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [les métriques AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html), [les journaux de flux Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)et [les autres services](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/aws-services-sending-logs.html)).
**Anti-modèles courants :**
+ Vos clients se plaignent des performances médiocres. Aucune modification récente n'a été apportée à votre application, et vous soupçonnez donc un problème lié à la charge de travail. Vous n'avez aucune télémesure à analyser pour déterminer les composants qui contribuent aux performances médiocres.
+ Votre application est inaccessible. Vous n'avez pas de télémesures pour déterminer s'il s'agit d'un problème de mise en réseau.
**Avantages liés au respect de cette bonne pratique :** Comprendre ce qui se passe à l'intérieur de votre charge de travail vous permet de réagir si nécessaire.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Mettre en œuvre la télémétrie pour les journaux et les métriques : instrumentez votre charge de travail pour émettre des informations sur son état interne, son statut et la réalisation des résultats opérationnels. Utilisez ces informations pour déterminer à quel moment une réponse est nécessaire.
+ [Gaining better observability of your VMs with Amazon CloudWatch - AWS Online Tech Talks](https://youtu.be/1Ck_me4azMw)
+ [Fonctionnement d'Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_architecture.html)
+ [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Qu'est-ce qu'Amazon CloudWatch Logs ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
+ Mettre en œuvre et configurer la télémétrie de la charge de travail : concevez et configurez votre charge de travail afin d'émettre des informations sur son état interne et son statut actuel (par exemple, le volume des appels d'API, les codes de statut HTTP et les événements de dimensionnement).
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Qu'est-ce qu'AWS CloudTrail ?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
## Ressources
**Documents connexes :**
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Documentation Amazon CloudWatch](https://docs.aws.amazon.com/cloudwatch/index.html)
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
+ [Fonctionnement d'Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_architecture.html)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [Qu'est-ce qu'AWS CloudTrail ?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [Qu'est-ce qu'Amazon CloudWatch Logs ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
+ [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
**Vidéos connexes :**
+ [Application Performance Management on AWS](https://www.youtube.com/watch?v=5T4stR-HFas)
+ [Gaining Better Observability of Your VMs with Amazon CloudWatch](https://youtu.be/1Ck_me4azMw)
+ [Gaining better observability of your VMs with Amazon CloudWatch - AWS Online Tech Talks](https://youtu.be/1Ck_me4azMw)
# OPS04-BP03 Mettre en œuvre la télémétrie pour l'activité des utilisateurs
Instrumentez votre code d'application pour émettre des informations sur l'activité des utilisateurs. Les parcours de navigation ou les transactions commencées, abandonnées ou terminées sont des exemples d'activité des utilisateurs. Utilisez ces informations pour vous aider à comprendre la manière dont l'application est utilisée, les modèles d'utilisation, et pour déterminer si une réponse est obligatoire. La capture de l'activité réelle des utilisateurs vous permet de créer une activité synthétique permettant de surveiller et de tester votre charge de travail en production.
**Résultat souhaité :**
+ Votre charge de travail émet des données télémétriques sur l'activité des utilisateurs dans toutes les applications.
+ Vous exploitez l'activité synthétique des utilisateurs pour surveiller votre application pendant les heures creuses.
**Anti-modèles courants :**
+ Vos développeurs ont déployé une nouvelle fonctionnalité sans télémesure utilisateur. Vous ne pouvez pas savoir si vos clients utilisent la fonction sans leur demander.
+ Après un déploiement dans votre application frontale, vous constatez une augmentation de l'utilisation. En l'absence de données télémétriques de l'activité des utilisateurs, il est difficile d'identifier le problème exact.
+ Un problème survient dans votre application pendant les heures creuses. Vous ne détectez le problème que le matin, lorsque vos utilisateurs se connectent, car vous n'avez pas configuré l'activité synthétique des utilisateurs.
**Avantages liés au respect de cette bonne pratique :**
+ Comprendre les modèles d'utilisateurs communs ou les comportements inattendus afin d'optimiser les fonctionnalités de l'application en fonction de vos objectifs commerciaux.
+ Surveiller l'application du point de vue de vos utilisateurs afin de détecter les problèmes d'expérience utilisateur, tels que les liens rompus ou les réponses lentes aux clics.
+ Identifier la cause profonde des problèmes en retraçant les étapes que l'utilisateur concerné a franchies.
+ L'activité synthétique des utilisateurs peut fournir des signes précurseurs de la dégradation des performances pendant les heures creuses, ce qui vous permet de prendre des mesures correctives avant que les utilisateurs réels ne soient affectés.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Concevez votre code d'application pour émettre des informations sur l'activité des utilisateurs. Utilisez ces informations pour vous aider à comprendre la manière dont l'application est utilisée, les modèles d'utilisation, et pour déterminer si une réponse est obligatoire. Utilisez l'activité synthétique des utilisateurs pour donner un aperçu des performances des applications pendant les heures creuses.
**Exemple de client**
AnyCompany Retail met en œuvre la télémétrie de l'activité des utilisateurs à plusieurs niveaux de son application. La télémétrie frontale suit les événements liés au pointeur et aux mouvements, tandis que les microservices dorsaux émettent des données télémétriques qui suivent les événements tels que l'ajout d'un article au panier de l'utilisateur et le passage en caisse. Ensemble, ces éléments permettent d'observer l'expérience de l'utilisateur. AnyCompany Retail utilise également la télémétrie synthétique des utilisateurs pour détecter les problèmes lorsqu'il y a moins d'utilisateurs sur la charge de travail.
**Étapes d'implémentation**
1. Instrumentez votre application pour qu'elle émette des données télémétriques (métriques, événements, journaux et traces) sur l'activité des utilisateurs. Une fois instrumentés, les composants frontaux émettent automatiquement des données télémétriques lorsque l'utilisateur interagit avec l'interface utilisateur. Les applications dorsales émettent des données télémétriques sur les événements et les transactions des utilisateurs.
1. [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html) peut fournir un aperçu de l'expérience de l'utilisateur final pour les applications frontales.
1. Vous pouvez utiliser [AWS Distro for OpenTelemetry](https://aws-otel.github.io/) pour instrumenter et capturer les données télémétriques de vos applications.
1. [Amazon Pinpoint](https://docs.aws.amazon.com/pinpoint/latest/developerguide/welcome.html) peut analyser le comportement des utilisateurs par le biais de campagnes, ce qui donne un aperçu de l'engagement des utilisateurs.
1. Les clients bénéficiant d'une offre Enterprise Support peuvent demander un [Building a Monitoring Strategy Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/) (Atelier sur l'élaboration d'une stratégie de suivi) à leur gestionnaire de compte technique. Cet atelier vous aide à élaborer une stratégie d'observabilité pour votre charge de travail.
1. Établissez l'activité synthétique des utilisateurs pour surveiller votre application. L'activité synthétique des utilisateurs simule les actions des utilisateurs afin de valider le bon fonctionnement de votre application.
1. [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) peut simuler l'activité des utilisateurs en utilisant des scripts Canary.
**Niveau d'effort du plan d'implémentation :** élevé. Un effort de développement important peut être nécessaire pour instrumenter complètement votre application afin de collecter les données télémétriques de l'activité de l'utilisateur.
## Ressources
**Bonnes pratiques associées :**
+ [OPS04-BP01 Implémenter la télémétrie de l'application](ops_telemetry_application_telemetry.md) : la télémétrie des applications est nécessaire pour pouvoir intégrer la télémétrie de l'activité des utilisateurs.
+ [OPS04-BP02 Mettre en œuvre et configurer la télémétrie de la charge de travail](ops_telemetry_workload_telemetry.md) : certaines données télémétriques de l'activité des utilisateurs peuvent également être considérées comme des données télémétriques de la charge de travail.
**Documents connexes :**
+ [Comment surveiller efficacement vos applications](https://aws.amazon.com/startups/start-building/how-to-monitor-applications/)
**Vidéos connexes :**
+ [AWS re:Invent 2020: Monitoring production services at Amazon ](https://www.youtube.com/watch?v=hnPcf_Czbvw) (AWS re:Invent 2020 : surveillance des services de production chez Amazon)
+ [AWS re:Invent 2021 - Optimize applications through end user insights with Amazon CloudWatch RUM ](https://www.youtube.com/watch?v=NMaeujY9A9Y) (AWS re:Invent 2021 - Optimiser les applications grâce à l'aperçu des utilisateurs finaux avec CloudWatch RUM)
+ [ Testing and Monitoring APIs on AWS - AWS Online Tech Talks ](https://www.youtube.com/watch?v=VQM38CZyjFY) (Tester et surveiller les API sur AWS \$1 AWS Online Tech Talks)
**Exemples connexes :**
+ [ Client web Amazon CloudWatch RUM ](https://github.com/aws-observability/aws-rum-web)
+ [AWS Distro for Open Telemetry ](https://aws-otel.github.io/)
+ [ Implementing Real User Monitoring of Amplify Application using Amazon CloudWatch RUM ](https://aws.amazon.com/blogs/mobile/implementing-real-user-monitoring-of-amplify-application-using-amazon-cloudwatch-rum/) (Mise en œuvre de la surveillance des utilisateurs réels de l'application Amplify à l'aide d'Amazon CloudWatch RUM)
+ [One Observability Workshop](https://catalog.workshops.aws/observability/en-US/intro)
**Services associés :**
+ [ Amazon CloudWatch RUM ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [ Amazon CloudWatch Synthetics ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Amazon Pinpoint](https://docs.aws.amazon.com/pinpoint/latest/developerguide/welcome.html)
# OPS04-BP04 Mettre en œuvre la télémétrie pour les dépendances
Concevez et configurez votre charge de travail afin d'émettre des informations sur le statut des ressources qui en dépendent. Il s'agit de ressources externes à votre charge de travail. Les exemples de dépendances externes incluent les bases de données externes, le DNS et la connectivité réseau. Utilisez ces informations pour déterminer quand une réponse est nécessaire et fournir un contexte supplémentaire sur l'état de la charge de travail.
**Résultat souhaité :**
+ Votre charge de travail émet des données télémétriques sur l'état des dépendances externes.
+ Vous êtes notifié lorsque les dépendances ne sont pas saines.
**Anti-modèles courants :**
+ Vos utilisateurs ne peuvent pas accéder à votre site. Vous ne pouvez pas déterminer si la raison est un problème DNS sans effectuer manuellement une vérification pour vérifier que votre fournisseur DNS fonctionne.
+ Votre application de panier ne finalise pas les transactions. Vous ne pouvez pas déterminer s'il s'agit d'un problème avec le fournisseur de traitement des cartes de crédit sans le contacter pour le vérifier.
**Avantages liés au respect de cette bonne pratique :**
+ La surveillance des dépendances externes permet de détecter les problèmes à l'avance.
+ La connaissance de la santé de vos dépendances facilite le dépannage.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Travaillez avec les parties prenantes pour identifier les dépendances externes dont dépend votre charge de travail. Les dépendances externes peuvent inclure des bases de données externes, des API ou une connectivité réseau entre votre charge de travail et les ressources d'autres environnements. Élaborez une stratégie de surveillance pour connaître l'état de santé des dépendances et déclencher une alarme proactive en cas de changement d'état.
**Exemple de client**
La charge de travail e-commerce d'AnyCompany Retail repose sur une base de données située dans un autre environnement. Chaque nuit, les données sont alimentées dans la base de données pour être utilisées dans la plateforme de e-commerce. La connectivité du réseau et la prise en charge de la base de données sont gérées par d'autres équipes. L'équipe chargée du e-commerce a configuré plusieurs alarmes Canary pour l'avertir lorsque la connectivité du réseau est interrompue, que la base de données est inaccessible et que la tâche ne parvient pas à se terminer.
**Étapes d'implémentation**
1. Identifiez les dépendances externes sur lesquelles repose votre charge de travail. Mettez en œuvre la télémétrie pour suivre la santé ou l'accessibilité des dépendances.
1. Les clients AWS peuvent utiliser [Tableau de bord AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) pour surveiller l'état des services AWS et recevoir des notifications d'événements concernant leur état.
1. [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) permet de surveiller les API, les URL et le contenu des sites Web.
1. Configurez des alertes pour avertir votre organisation lorsqu'une dépendance n'est pas en bonne santé ou n'est pas accessible.
1. Les clients bénéficiant d'une offre Enterprise Support peuvent demander un [Building a Monitoring Strategy Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/) (Atelier sur l'élaboration d'une stratégie de suivi) à leur gestionnaire de compte technique. Cet atelier vous aidera à élaborer une stratégie d'observabilité pour votre charge de travail.
1. Identifiez les contacts pour les dépendances dans les cas où la dépendance n'est pas saine. Documentez la manière de contacter le propriétaire des dépendances, les accords de service et le processus de remontée des informations.
**Niveau d'effort du plan d'implémentation :** moyen. La mise en œuvre de la télémétrie des dépendances peut nécessiter la création de solutions de surveillance personnalisées.
## Ressources
**Bonnes pratiques associées :**
+ [OPS04-BP01 Implémenter la télémétrie de l'application](ops_telemetry_application_telemetry.md) : vous pouvez intégrer la surveillance des dépendances dans la télémétrie de votre application.
**Documents connexes :**
+ [ Monitor your private internal endpoints 24x7 using CloudWatch Synthetics ](https://aws.amazon.com/blogs/mt/monitor-your-private-endpoints-using-cloudwatch-synthetics/) (Surveillez vos points de terminaison internes privés 24 heures sur 24, 7 jours sur 7, grâce à CloudWatch Synthetics)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Monitor All Your Things: Amazon CloudWatch in Action with BBC ](https://www.youtube.com/watch?v=uuBuc6OAcVY) (AWS re:Invent 2018 : surveillez tous vos objets : Amazon CloudWatch en action avec la BBC)
+ [AWS re:Invent 2022 - Developing an observability strategy ](https://www.youtube.com/watch?v=Ub3ATriFapQ) (AWS re:Invent 2022 - Développer une stratégie d'observabilité)
+ [AWS re:Invent 2022 - Observability best practices at Amazon ](https://www.youtube.com/watch?v=zZPzXEBW4P8) (AWS re:Invent 2022 - Bonnes pratiques d'observabilité chez Amazon)
**Exemples connexes :**
+ [One Observability Workshop](https://catalog.workshops.aws/observability/en-US/intro)
+ [ Ateliers Well-Architected : surveillance des dépendances ](https://www.wellarchitectedlabs.com/operational-excellence/100_labs/100_dependency_monitoring/)
**Services associés :**
+ [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)
# OPS04-BP05 Mettre en œuvre la traçabilité des transactions
Mettez en œuvre le code de votre application et configurez les composants de votre charge de travail pour qu'ils émettent des événements, qui sont déclenchés à la suite d'opérations logiques uniques et consolidés à travers les différentes limites de votre charge de travail. Générez des cartes pour découvrir comment les suivis circulent dans votre charge de travail et vos services. Comprenez les relations entre les composants, identifiez et analysez les problèmes. Utilisez les informations recueillies pour déterminer à quel moment une réponse est requise et identifier les facteurs d'un problème.
**Résultat souhaité :**
+ Recueillez des suivis de transactions dans votre charge de travail pour mieux comprendre la relation entre les composants.
+ Générez des cartes pour mieux comprendre comment les transactions et les événements circulent dans votre charge de travail.
**Anti-modèles courants :**
+ Vous avez mis en œuvre une architecture de microservices sans serveur couvrant plusieurs comptes. Vos clients rencontrent des problèmes de performances intermittents. Vous n'êtes pas en mesure de découvrir quelle fonction ou quel composant est responsable d'un comportement donné parce que vous manquez de traçabilité des transactions.
+ Il existe un goulot d'étranglement dans votre charge de travail. En raison de l'absence de traçabilité des transactions, vous n'êtes pas en mesure de visualiser la relation entre les composants de votre application et d'identifier le goulot d'étranglement.
+ L'identifiant utilisé pour les suivis n'est pas unique au monde, ce qui entraîne un conflit de suivi lors de l'analyse du comportement de la charge de travail.
**Avantages liés au respect de cette bonne pratique :**
+ Comprendre le flux des transactions dans votre charge de travail permet de comprendre le comportement attendu des transactions de votre charge de travail.
+ Vous pouvez visualiser les variations par rapport au comportement attendu dans votre charge de travail et vous pouvez réagir si nécessaire.
+ Vous pouvez localiser les transactions grâce à leur identifiant unique émis indépendamment de l'endroit où elles ont été générées.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Concevez votre application et la charge de travail afin de transmettre des informations sur le flux des transactions entre les composants du système. Les données à ajouter dans les transactions sont un identifiant unique au monde, l'étape de la transaction, le composant actif et la durée de l'activité. Utilisez ces informations pour déterminer ce qui est en cours, ce qui est terminé et les résultats des activités terminées.
**Exemple de client**
Chez AnyCompany Retail, toutes les transactions sont générées par un UUID unique au monde. Cet UUID est transmis entre les microservices lors des transactions. L'UUID sert à créer des suivis de transaction lorsque les utilisateurs interagissent avec la charge de travail. Une carte de la topologie de la charge de travail est générée avec les suivis et sert à résoudre les problèmes de charge de travail et à améliorer les performances.
**Étapes d'implémentation**
1. Instrumentez les applications de votre charge de travail pour qu'elles émettent des suivis de transaction. Cela peut se faire en générant un identifiant unique pour chaque transaction et en transmettant cet identifiant entre les applications.
1. Vous pouvez utiliser l'auto-instrumentation dans [AWS Distro for OpenTelemetry](https://aws-otel.github.io/) pour mettre en œuvre des suivis dans vos applications existantes sans modifier le code de votre application.
1. Générez des cartes de la topologie de votre application. Utilisez ces cartes pour améliorer les performances, obtenir des informations et faciliter le dépannage.
1. [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) peut générer des cartes des applications de votre charge de travail.
**Niveau d'effort du plan d'implémentation :** moyen. La mise en œuvre des suivis de transaction peut nécessiter un effort de développement modéré.
## Ressources
**Bonnes pratiques associées :**
+ [OPS04-BP01 Implémenter la télémétrie de l'application](ops_telemetry_application_telemetry.md) - La télémétrie des applications couvre la traçabilité et le traitement des transactions et doit être mise en œuvre en premier lieu.
**Documents connexes :**
+ [ Discover application issues and get notifications with AWS X-Ray Insights ](https://aws.amazon.com/blogs/mt/discover-application-issues-get-notifications-aws-x-ray-insights/) (Découvrez les problèmes des applications et recevez des notifications grâce à AWS X-Ray Insights)
+ [ How Wealthfront utilizes AWS X-Ray to analyze and debug distributed applications ](https://aws.amazon.com/blogs/mt/wealthfront-utilizes-aws-x-ray-analyze-debug-distributed-applications/) (Comment Wealthfront utilise AWS X-Ray pour analyser et déboguer les applications distribuées)
+ [ New for AWS Distro for OpenTelemetry – Tracing Support is Now Generally Available ](https://aws.amazon.com/blogs/aws/new-for-aws-distro-for-opentelemetry-tracing-support-is-now-generally-available/) (Nouveau pour AWS Distro for OpenTelemetry – la prise en charge du traçage est maintenant disponible)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Deep Dive into AWS X-Ray: Monitor Modern Applications (DEV324) ](https://www.youtube.com/watch?v=5MQkX57eTh8)
+ [AWS re:Invent 2022 - Building observable applications with OpenTelemetry (BOA310) ](https://www.youtube.com/watch?v=efk8XFJrW2c)
+ [AWS re:Invent 2022 - Observability the open-source way (COP301-R) ](https://www.youtube.com/watch?v=2IJPpdp9xU0)
+ [ Capturer les données de traçage avec AWS Distro for OpenTelemetry ](https://www.youtube.com/watch?v=837NtV0McOA)
+ [ Optimize Application Performance with AWS X-Ray](https://www.youtube.com/watch?v=5lIdNrrO_o8) (Optimiser les performances des applications avec AWS X-Ray)
**Exemples connexes :**
+ [AWS X-Ray Multi API Gateway Tracing Example ](https://github.com/aws-samples/aws-xray-multi-api-gateway-tracing-example) (Exemple de traçage de passerelle multi-API AWS X-Ray)
**Services associés :**
+ [AWS Distro for OpenTelemetry](https://aws-otel.github.io/)
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
# OPS 5 Comment réduire les défauts, faciliter les corrections et améliorer l'entrée dans la production ?
Adoptez des approches qui améliorent l'entrée des modifications dans la production et permettent une refactorisation, une rétroaction de qualité rapide et la correction de bogues. Cela permet d'accélérer l'entrée des modifications bénéfiques dans la production, de limiter le déploiement de problèmes et d'identifier et de corriger rapidement les problèmes introduits par les activités de déploiement.
**Topics**
+ [OPS05-BP01 Utiliser le contrôle de version](ops_dev_integ_version_control.md)
+ [OPS05-BP02 Tester et valider les modifications](ops_dev_integ_test_val_chg.md)
+ [OPS05-BP03 Utiliser des systèmes de gestion de la configuration](ops_dev_integ_conf_mgmt_sys.md)
+ [OPS05-BP04 Utiliser des systèmes de gestion du développement et du déploiement](ops_dev_integ_build_mgmt_sys.md)
+ [OPS05-BP05 Procéder à la gestion des correctifs](ops_dev_integ_patch_mgmt.md)
+ [OPS05-BP06 Partager les normes de conception](ops_dev_integ_share_design_stds.md)
+ [OPS05-BP07 Mettre en œuvre des pratiques visant à améliorer la qualité du code](ops_dev_integ_code_quality.md)
+ [OPS05-BP08 Utiliser plusieurs environnements](ops_dev_integ_multi_env.md)
+ [OPS05-BP09 Effectuer des modifications fréquentes, légères et réversibles](ops_dev_integ_freq_sm_rev_chg.md)
+ [OPS05-BP10 Automatiser complètement l'intégration et le déploiement](ops_dev_integ_auto_integ_deploy.md)
# OPS05-BP01 Utiliser le contrôle de version
Utilisez le contrôle de version pour permettre le suivi des modifications et des versions.
De nombreux services AWS offrent des fonctionnalités de contrôle de version. Utilisez un système de contrôle de source ou de révision comme [AWS CodeCommit](https://aws.amazon.com/codecommit/) pour gérer le code et d'autres artefacts, tels que les modèles [AWS CloudFormation](https://aws.amazon.com/cloudformation/) avec contrôle de version de votre infrastructure.
**Anti-modèles courants :**
+ Vous avez développé et stocké le code sur votre poste de travail. Un problème de stockage s’est produit sur le poste de travail et vous avez perdu le code.
+ Après avoir remplacé le code existant par vos modifications, vous redémarrez votre application et elle n'est plus utilisable. Vous ne pouvez pas revenir à la modification.
+ Vous disposez d'un verrou d'écriture sur un fichier de rapport que quelqu'un d'autre doit modifier. Il vous contacte pour vous demander d'arrêter de travailler dessus afin qu'il puisse effectuer ses tâches.
+ Votre équipe de recherche a travaillé sur une analyse détaillée qui façonnera vos futurs travaux. Quelqu'un a accidentellement enregistré sa liste d'achats sur le rapport final. Vous ne pouvez pas annuler la modification et vous devrez recréer le rapport.
**Avantages liés au respect de cette bonne pratique :** En utilisant les fonctionnalités de contrôle des versions, vous pouvez revenir facilement aux bons états connus, aux versions précédentes et limiter le risque de perte de ressources.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Utiliser le contrôle de version : gérez les ressources dans des référentiels avec contrôle de version. Cela permet le suivi des modifications, le déploiement de nouvelles versions, la détection des modifications apportées aux versions existantes, et le retour à des versions antérieures (par exemple, la restauration à un état correct connu en cas de défaillance). Intégrez les fonctionnalités de contrôle de version de vos systèmes de gestion de la configuration dans vos procédures.
+ [Présentation d'AWS CodeCommit](https://youtu.be/46PRLMW8otg)
+ [Qu'est-ce qu'AWS CodeCommit ?](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html)
## Ressources
**Documents connexes :**
+ [Qu'est-ce qu'AWS CodeCommit ?](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html)
**Vidéos connexes :**
+ [Présentation d'AWS CodeCommit](https://youtu.be/46PRLMW8otg)
# OPS05-BP02 Tester et valider les modifications
Chaque changement déployé doit être testé pour éviter des erreurs de production. Cette bonne pratique est axée sur les tests des changements du contrôle des versions à la création d'artefacts. En plus des changements du code de l'application, les tests doivent inclure l'infrastructure, la configuration, les contrôles de sécurité et les procédures opérationnelles. Les tests peuvent prendre de nombreuses formes, des tests d'unités à l'analyse des composants d'un logiciel (SCA). Pousser les tests encore plus loin dans le processus d'intégration et de livraison de logiciels entraîne une plus grande certitude de la qualité des artefacts.
Votre organisation doit développer des normes de test pour tous les artefacts logiciels. Les tests automatisés réduisent la quantité de travail et évitent les erreurs de test manuels. Des tests manuels peuvent être nécessaires dans certains cas. Les développeurs doivent avoir accès aux résultats des tests automatisés pour créer des boucles de rétroaction qui améliorent la qualité du logiciel.
**Résultat souhaité :**
+ Tous les changements apportés au logiciel sont testés avant d'être livrés.
+ Les développeurs ont accès aux résultats des tests.
+ Votre organisation a une norme de test qui s'applique à tous les changements apportés au logiciel.
**Anti-modèles courants :**
+ Vous déployez un nouveau changement apporté au logiciel sans aucun test. Il ne s'exécute pas en production, ce qui entraîne une panne.
+ De nouveaux groupes de sécurité sont déployés avec CloudFormation sans être testés dans un environnement de préproduction. Les groupes de sécurité empêchent les clients d'atteindre votre application.
+ Une méthode est modifiée mais il n'existe aucun test d'unité. Le logiciel échoue quand il est déployé en production.
**Avantages liés au respect de cette bonne pratique :**
+ Le taux d'échec des changement lors des déploiements de logiciel diminue.
+ La qualité du logiciel s'améliore.
+ Les développeurs ont une meilleure connaissance de la viabilité de leur code.
+ Des politiques de sécurité peuvent être déployées en toute confiance pour soutenir la conformité de l'organisation.
+ Les changements apportés à l'infrastructure, tels que les mises à jour de la politique de mise à l'échelle automatique, sont testés avant de répondre aux besoins du trafic.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Des tests sont réalisés sur tous les changements, du code de l'application à l'infrastructure, dans le cadre de votre pratique d'intégration continue. Les résultats des tests sont publiés afin que les développeurs disposent d'une rétroaction rapide. Votre organisation a une norme de test que tous les changements doivent respecter.
**Exemple de client**
Dans le cadre de leur pipeline d'intégration continue, AnyCompany Retail réalise plusieurs types de test sur tous les artefacts logiciels. L'entreprise pratique le développement axé sur les tests afin que tous les logiciels bénéficient de tests d'unités. Une fois l'artefact créé, elle exécute des tests de bout en bout. Une fois cette première série de tests terminée, elle exécute une analyse de la sécurité des applications statiques qui cherchent des vulnérabilités connues. Les développeurs reçoivent des messages indiquant que chaque pallier de test est validé. Une fois tous les tests terminés, l'artefact logiciel est stocké dans un référentiel d'artefacts.
**Étapes d'implémentation**
1. Collaborez avec les parties prenantes dans votre organisation pour développer une norme de test pour les artefacts logiciels. Quels tests standards tous les artefacts doivent-ils valider ? Des exigences en termes de conformité ou de réglementation doivent-elles être incluses dans la couverture des tests ? Faut-il réaliser des tests de qualité du code ? Qui doit être informé de la fin des tests ?
1. L'[AWS Deployment Pipeline Reference Architecture](https://pipelines.devops.aws.dev/) (Architecture de référence des pipelines de déploiement d'AWS) contient une liste fiable des types de tests qui peuvent être réalisés sur des artefacts logiciels dans le cadre d'un pipeline d'intégration.
1. Instrumentalisez votre application avec les tests nécessaires en fonction de la norme de test de votre logiciel. Chaque ensemble de tests doit être réalisé en moins de dix minutes. Les tests doivent être exécutés dans le cadre d'un pipeline d'intégration.
1. [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) peut tester le code de votre application à la recherche de défauts.
1. Vous pouvez utiliser [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) pour réaliser des tests sur les artefacts logiciels.
1. [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) peut orchestrer vos tests logiciels dans un pipeline.
## Ressources
**Bonnes pratiques associées :**
+ [OPS05-BP01 Utiliser le contrôle de version](ops_dev_integ_version_control.md) : tous les artefacts logiciels doivent être étayés par un référentiel avec contrôle de version.
+ [OPS05-BP06 Partager les normes de conception](ops_dev_integ_share_design_stds.md) : les normes de tests logiciels de votre vos organisation informent vos normes de conception.
+ [OPS05-BP10 Automatiser complètement l'intégration et le déploiement](ops_dev_integ_auto_integ_deploy.md) : des tests logiciels doivent être automatiquement exécutés dans le cadre plus large de votre pipeline d'intégration et de déploiement.
**Documents connexes :**
+ [Adopt a test-driven development approach](https://docs.aws.amazon.com/prescriptive-guidance/latest/best-practices-cdk-typescript-iac/development-best-practices.html) (Adopter une approche de développement axé sur les tests)
+ [Automated CloudFormation Testing Pipeline with TaskCat and CodePipeline](https://aws.amazon.com/blogs/devops/automated-cloudformation-testing-pipeline-with-taskcat-and-codepipeline/) (Pipeline de test CloudFormation automatisé avec TaskCat et CodePipeline)
+ [Building end-to-end AWS DevSecOps CI/CD pipeline with open source SCA, SAST, and DAST tools](https://aws.amazon.com/blogs/devops/building-end-to-end-aws-devsecops-ci-cd-pipeline-with-open-source-sca-sast-and-dast-tools/) (Création d'un pipeline DevSecOps CI/CD AWS de bout en bout avec des outils SCA, SAST et DAST open source)
+ [Getting started with testing serverless applications](https://aws.amazon.com/blogs/compute/getting-started-with-testing-serverless-applications/) (Démarrer avec les applications de test sans serveur)
+ [My CI/CD pipeline is my release captain](https://aws.amazon.com/builders-library/cicd-pipeline/) (Mon pipeline d'intégration/livraison continues est mon « release captain », responsable de la cohérence du code)
+ [Practicing Continuous Integration and Continuous Delivery on AWS Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/practicing-continuous-integration-continuous-delivery/welcome.html) (Livre blanc Pratique d'intégration et de diffusion continue sur AWS)
**Vidéos connexes :**
+ [AWS re:Invent 2020: Testable infrastructure: Integration testing on AWS](https://www.youtube.com/watch?v=KJC380Juo2w) (AWS re:Invent 2020 : infrastructure testable : tests d'intégration sur AWS)
+ [AWS Summit ANZ 2021 - Driving a test-first strategy with CDK and test driven development](https://www.youtube.com/watch?v=1R7G_wcyd3s) (AWS Summit ANZ 2021 : mener une stratégie donnant la priorité aux tests avec CDK et le développement axé sur les tests)
+ [Testing Your Infrastructure as Code with AWS CDK](https://www.youtube.com/watch?v=fWtuwGSoSOU) (Tester votre infrastructure en tant que code avec AWS CDK)
**Ressources connexes :**
+ [AWS Deployment Pipeline Reference Architecture - Application](https://pipelines.devops.aws.dev/application-pipeline/index.html) (Architecture de référence des pipelines de déploiement d'AWS : application)
+ [AWS Kubernetes DevSecOps Pipeline](https://github.com/aws-samples/devsecops-cicd-containers) (Pipeline AWS Kubernetes DevSecOps)
+ [Policy as Code Workshop – Test Driven Development](https://catalog.us-east-1.prod.workshops.aws/workshops/9da471a0-266a-4d36-8596-e5934aeedd1f/en-US/pac-tools/cfn-guard/tdd) (Atelier Politique en tant que code : développement axé sur les tests)
+ [Run unit tests for a Node.js application from GitHub by using AWS CodeBuild](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/run-unit-tests-for-a-node-js-application-from-github-by-using-aws-codebuild.html) (Exécution de tests d'unités pour une application Node.js de GitHub l'aide d'AWS CodeBuild)
+ [Use Serverspec for test-driven development of infrastructure code](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/use-serverspec-for-test-driven-development-of-infrastructure-code.html) (Utilisation de Serverspec pour le développement axé sur les tests du code d'infrastructure)
**Services associés :**
+ [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)
# OPS05-BP03 Utiliser des systèmes de gestion de la configuration
Utilisez des systèmes de gestion de la configuration pour effectuer et suivre les modifications de la configuration. Ces systèmes réduisent les erreurs causées par les processus manuels et diminuent le niveau d'effort nécessaire au déploiement des modifications.
La gestion de la configuration statique définit des valeurs lors de l'initialisation d'une ressource. Elles doivent rester cohérentes tout au long de la durée de vie de cette ressource. Certains exemples incluent la définition de la configuration d'un serveur web ou d'applications sur une instance, ou la définition de la configuration d'un service AWS dans [AWS Management Console](https://docs.aws.amazon.com/awsconsolehelpdocs/index.html) ou via l'interface [AWS CLI](https://aws.amazon.com/cli/).
La gestion dynamique de la configuration définit des valeurs à l'initialisation qui peuvent ou sont censées changer pendant la durée de vie d'une ressource. Par exemple, vous pouvez définir un mécanisme d'activation et de désactivation d'un fonctionnalité dans votre code via un changement de configuration, ou modifier le niveau de détail du journal pendant un incident pour capturer plus de données, puis revenir en arrière après l'incident en éliminant les journaux désormais inutiles et les dépenses associées.
Si des configurations dynamiques sont appliquées à vos applications exécutées sur des instances, des conteneurs, des fonctions sans serveur ou des appareils, vous pouvez utiliser [AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/what-is-appconfig.html) pour les gérer et les déployer dans vos environnements.
Sur AWS, vous pouvez utiliser [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) pour surveiller en permanence vos configurations de ressources AWS [entre les comptes et les régions](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html). Il vous permet de suivre leur historique de configuration, de comprendre comment une modification de la configuration affecterait d'autres ressources et de les auditer par rapport aux configurations attendues ou souhaitées avec [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) et [les packs de conformité AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html).
Dans AWS, vous pouvez créer des pipelines d'intégration continue/de déploiement continu (CI/CD) à l'aide de services tels que les [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/) (par exemple, AWS CodeCommit, [AWS CodeBuild](https://aws.amazon.com/codebuild/), [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)et [AWS CodeStar](https://aws.amazon.com/codestar/)).
Maintenez un calendrier des modifications et suivez la planification d'activités ou d'événements métier ou opérationnels importants susceptibles d'être affectés par la mise en œuvre d'un changement. Ajustez les activités pour gérer les risques liés à ces plans. [AWS Systems Manager Modifier le calendrier](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-change-calendar.html) fournit un mécanisme permettant de documenter les fenêtres temporelles ouvertes ou fermées aux modifications et pourquoi elles le sont et de [partager ces informations](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-calendar-share.html) avec d'autres Comptes AWS. Les scripts AWS Systems Manager peuvent être configurés pour respecter l'état du calendrier de modifications.
[fenêtres de maintenance AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html) peuvent être utilisées pour planifier les performances des scripts AWS SSM Run Command ou Automation, des appels AWS Lambda ou des activités AWS Step Functions à des heures spécifiées. Marquez ces activités dans votre calendrier de modifications afin qu'elles puissent être incluses dans votre évaluation.
**Anti-modèles courants :**
+ Vous mettez manuellement à jour la configuration des serveurs Web de votre flotte, et un certain nombre de serveurs ne répondent plus en raison d'erreurs de mise à jour.
+ Vous mettez à jour manuellement votre flotte de serveurs d'applications pendant plusieurs heures. L'incohérence de la configuration pendant la modification entraîne des comportements inattendus.
+ Quelqu'un a mis à jour vos groupes de sécurité et vos serveurs Web ne sont plus accessibles. Sans savoir ce qui a changé, vous passez beaucoup de temps à enquêter sur la question, ce qui prolonge votre temps de reprise.
**Avantages liés au respect de cette bonne pratique :** L'adoption de systèmes de gestion de la configuration réduit le niveau d'effort nécessaire pour effectuer et suivre les changements, ainsi que la fréquence des erreurs causées par les procédures manuelles.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utiliser des systèmes de gestion de la configuration : exploitez des systèmes de gestion de la configuration afin de suivre et de mettre en œuvre les modifications, de réduire les erreurs causées par les processus manuels et de réduire le niveau d'effort.
+ [Gestion de la configuration d'infrastructure](https://aws.amazon.com/answers/configuration-management/aws-infrastructure-configuration-management/)
+ [AWS Config](https://aws.amazon.com/config/)
+ [Qu'est-ce qu'AWS Config ?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Présentation d'AWS CloudFormation](https://youtu.be/Omppm_YUG2g)
+ [Qu'est-ce qu'AWS CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [AWS OpsWorks](https://aws.amazon.com/opsworks/)
+ [Qu'est-ce qu'AWS OpsWorks ?](https://docs.aws.amazon.com/opsworks/latest/userguide/welcome.html)
+ [Présentation d'AWS Elastic Beanstalk](https://youtu.be/SrwxAScdyT0)
+ [Qu'est-ce qu'AWS Elastic Beanstalk ?](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/Welcome.html)
## Ressources
**Documents connexes :**
+ [AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/what-is-appconfig.html)
+ [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/)
+ [AWS OpsWorks](https://aws.amazon.com/opsworks/)
+ [AWS Systems Manager Modifier le calendrier](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-change-calendar.html)
+ [fenêtres de maintenance AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html)
+ [Gestion de la configuration d'infrastructure](https://aws.amazon.com/answers/configuration-management/aws-infrastructure-configuration-management/)
+ [Qu'est-ce qu'AWS CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [Qu'est-ce qu'AWS Config ?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Qu'est-ce qu'AWS Elastic Beanstalk ?](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/Welcome.html)
+ [Qu'est-ce qu'AWS OpsWorks ?](https://docs.aws.amazon.com/opsworks/latest/userguide/welcome.html)
**Vidéos connexes :**
+ [Présentation d'AWS CloudFormation](https://youtu.be/Omppm_YUG2g)
+ [Présentation d'AWS Elastic Beanstalk](https://youtu.be/SrwxAScdyT0)
# OPS05-BP04 Utiliser des systèmes de gestion du développement et du déploiement
Utilisez des systèmes de gestion du développement et du déploiement. Ces systèmes réduisent les erreurs causées par les processus manuels et diminuent le niveau d'effort nécessaire au déploiement des modifications.
Dans AWS, vous pouvez créer des pipelines d'intégration continue/de déploiement continu (CI/CD) à l'aide de services tels que les [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/) (par exemple, AWS CodeCommit, [AWS CodeBuild](https://aws.amazon.com/codebuild/), [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)et [AWS CodeStar](https://aws.amazon.com/codestar/)).
**Anti-modèles courants :**
+ Après avoir compilé votre code sur votre système de développement, vous copiez l'exécutable sur vos systèmes de production et il ne démarre pas. Les fichiers journaux locaux indiquent qu’il n’a pas fonctionné en raison de dépendances manquantes.
+ Vous créez avec succès votre application avec de nouvelles fonctionnalités dans votre environnement de développement et soumettez le code à l'assurance qualité (QA). L'assurance qualité échoue, car il manque des ressources statiques.
+ Vendredi, après de nombreux efforts, vous avez réussi à créer manuellement votre application dans votre environnement de développement, y compris vos nouvelles fonctionnalités codées. Lundi, vous ne pouvez pas répéter les étapes qui vous ont permis de créer votre application avec succès.
+ Vous effectuez les tests que vous avez créés pour votre nouvelle version. Ensuite, vous passez la semaine suivante à configurer un environnement de test et à exécuter tous les tests d'intégration existants, suivis des tests de performances. Le nouveau code a un impact inacceptable sur les performances et doit être redéveloppé, puis retesté.
**Avantages liés au respect de cette bonne pratique :** En fournissant des mécanismes pour gérer les activités de construction et de déploiement, vous réduisez le niveau d'effort nécessaire pour effectuer des tâches répétitives, vous libérez les membres de votre équipe pour qu'ils puissent se concentrer sur leurs tâches créatives de grande valeur et vous limitez l'introduction d'erreurs provenant des procédures manuelles.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utiliser des systèmes de gestion du développement et du déploiement : servez-vous de systèmes de gestion du développement et du déploiement afin de suivre et de mettre en œuvre les modifications, de réduire les erreurs causées par les processus manuels et de réduire le niveau d'efforts. Automatisez entièrement le pipeline d'intégration et de déploiement à partir du code d'enregistrement et par le biais du développement, des tests, du déploiement et de la validation. Cela permet de réduire les délais, d'augmenter la fréquence des changements et de diminuer le niveau d'effort.
+ [Qu'est-ce qu'AWS CodeBuild ?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [Bonnes pratiques d'intégration continue pour le développement de logiciels](https://www.youtube.com/watch?v=GEPJ7Lo346A)
+ [Slalom: CI/CD for serverless applications on AWS](https://www.youtube.com/watch?v=tEpx5VaW4WE)
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
## Ressources
**Documents connexes :**
+ [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/)
+ [Qu'est-ce qu'AWS CodeBuild ?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
**Vidéos connexes :**
+ [Bonnes pratiques d'intégration continue pour le développement de logiciels](https://www.youtube.com/watch?v=GEPJ7Lo346A)
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
+ [Slalom: CI/CD for serverless applications on AWS](https://www.youtube.com/watch?v=tEpx5VaW4WE)
# OPS05-BP05 Procéder à la gestion des correctifs
Procédez à la gestion des correctifs afin de profiter des fonctionnalités, de résoudre les problèmes et de rester conforme à la gouvernance. Automatisez la gestion des correctifs pour réduire les erreurs causées par les processus manuels et le niveau d'efforts nécessaires aux correctifs.
La gestion des correctifs et des vulnérabilités fait partie de vos activités de gestion des bénéfices et des risques. Il est préférable d'avoir des infrastructures immuables et de déployer des charges de travail dans des états de bon fonctionnement connus et vérifiés. Lorsque cela n'est pas viable, l'application de correctifs est la seule solution.
La mise à jour des images de machine, des images de conteneur ou [des exécutions personnalisées et des bibliothèques supplémentaires Lambda](https://docs.aws.amazon.com/lambda/latest/dg/security-configuration.html) pour supprimer les vulnérabilités fait partie de la gestion des correctifs. Vous devez gérer les mises à jour des [Amazon Machine Images](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) (AMI) pour les images Linux ou Windows Server à l'aide de [EC2 Image Builder](https://aws.amazon.com/image-builder/). Vous pouvez utiliser [Amazon Elastic Container Registry](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) avec votre pipeline existant pour [gérer les images Amazon ECS](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) et [les images Amazon EKS](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_EKS.html). AWS Lambda inclut [des fonctionnalités](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html) de gestion des versions.
L'application de correctifs ne doit pas être effectuée sur les systèmes de production sans avoir effectué un test préalable dans un environnement sûr. Les correctifs ne doivent être appliqués que s'ils favorisent la réalisation d'un résultat opérationnel ou métier. Sur AWS, vous pouvez utiliser [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) pour automatiser le processus d'application des correctifs sur les systèmes gérés et planifier l'activité à l'aide des [fenêtres de maintenance AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html).
**Anti-modèles courants :**
+ On vous demande d'appliquer tous les nouveaux correctifs de sécurité dans un délai de deux heures, ce qui entraîne de multiples pannes dues à l'incompatibilité de l'application avec les correctifs.
+ Une bibliothèque non corrigée entraîne des conséquences imprévues, car des parties inconnues y utilisent des failles pour accéder à votre charge de travail.
+ Vous corrigez automatiquement les environnements de développement sans en informer les développeurs. Vous recevez plusieurs réclamations des développeurs indiquant que leur environnement ne fonctionne plus correctement.
+ Vous n'avez pas corrigé le logiciel sur une instance persistante. Lorsque vous rencontrez un problème avec le logiciel et que vous contactez le fournisseur, celui-ci vous informe que la version n'est pas prise en charge et que vous devez appliquer un correctif à un niveau spécifique pour recevoir de l'aide.
+ Un correctif récemment publié pour le logiciel de chiffrement que vous avez utilisé présente des améliorations significatives de performances. Votre système non corrigé présente des problèmes de performances qui persistent suite à l'absence de correctifs.
**Avantages liés au respect de cette bonne pratique :** En établissant un processus de gestion des correctifs, y compris vos critères de correctifs et la méthodologie de distribution dans vos environnements, vous serez en mesure de bénéficier de leurs avantages et de contrôler leur impact. Cela permettra l'adoption des fonctions et fonctionnalités désirées, d’éliminer les problèmes et de respecter durablement la gouvernance. Mettez en œuvre des systèmes de gestion des correctifs et d'automatisation pour réduire le niveau d'effort nécessaire au déploiement des correctifs et limiter les erreurs causées par les processus manuels.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Gestion des correctifs : appliquez des correctifs aux systèmes pour corriger les problèmes, obtenir les fonctionnalités souhaitées et rester conforme à la politique de gouvernance et aux exigences de support du fournisseur. Dans les systèmes immuables, déployez avec l'ensemble de correctifs approprié pour obtenir le résultat souhaité. Automatisez le mécanisme de gestion des correctifs afin de réduire le temps écoulé avant l'application des correctifs, de limiter les erreurs causées par les processus manuels et de réduire le niveau d'efforts nécessaire pour appliquer les correctifs.
+ [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
## Ressources
**Documents connexes :**
+ [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/)
+ [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
**Vidéos connexes :**
+ [CI/CD for Serverless Applications on AWS](https://www.youtube.com/watch?v=tEpx5VaW4WE)
+ [Design with Ops in Mind](https://youtu.be/uh19jfW7hw4)
**Exemples connexes :**
+ [Ateliers Well-Architected : inventaire et gestion des correctifs](https://wellarchitectedlabs.com/operational-excellence/100_labs/100_inventory_patch_management/)
# OPS05-BP06 Partager les normes de conception
Partagez les bonnes pratiques entre les équipes pour sensibiliser et maximiser les bénéfices des efforts de développement. Documentez-les et mettez-les à jour au fur et à mesure de l'évolution de votre architecture. Si votre organisation applique des normes partagées, il est essentiel de prévoir des mécanismes permettant de demander des ajouts, des modifications et des exceptions aux normes. Sans cette possibilité, les normes deviennent une contrainte à l'innovation.
**Résultat souhaité :**
+ Les normes de conception sont partagées par toutes les équipes de votre organisation.
+ Elles sont documentées et mises à jour au fur et à mesure de l'évolution des bonnes pratiques.
**Anti-modèles courants :**
+ Deux équipes de développement ont chacune créé un service d'authentification des utilisateurs. Vos utilisateurs doivent conserver un ensemble distinct d'informations d'identification pour chaque partie du système à laquelle ils veulent accéder.
+ Chaque équipe gère sa propre infrastructure. Une nouvelle exigence de conformité impose une modification de votre infrastructure et chaque équipe la met en œuvre de manière différente.
**Avantages liés au respect de cette bonne pratique :**
+ L'utilisation de normes communes favorise l'adoption de bonnes pratiques et maximise les avantages des efforts de développement.
+ La documentation et la mise à jour des normes de conception permettent à votre organisation de rester à jour par rapport aux bonnes pratiques et aux exigences de sécurité et de conformité.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Partagez les bonnes pratiques existantes, les normes de conception, les listes de contrôle, les procédures d'exploitation, les conseils et les exigences de gouvernance entre les équipes. Prévoyez des procédures pour demander des modifications, des ajouts et des exceptions aux normes de conception afin de favoriser l'amélioration et l'innovation. Assurez-vous que les équipes sont au courant du contenu publié. Prévoyez un mécanisme permettant de mettre à jour les normes de conception au fur et à mesure que de nouvelles bonnes pratiques apparaissent.
**Exemple de client**
AnyCompany Retail dispose d'une équipe d'architecture interfonctionnelle qui crée des modèles d'architecture logicielle. Cette équipe construit l'architecture en y intégrant les aspects de conformité et de gouvernance. Les équipes qui adoptent ces normes communes bénéficient des avantages de la conformité et de la gouvernance intégrées. Elles peuvent rapidement s'appuyer sur la norme de conception. L'équipe d'architecture se réunit tous les trimestres pour évaluer les modèles d'architecture et les mettre à jour si nécessaire.
**Étapes d'implémentation**
1. Identifiez une équipe interfonctionnelle qui sera chargée de développer et de mettre à jour les normes de conception. Cette équipe travaillera avec les parties prenantes de votre organisation pour élaborer des normes de conception, des procédures d'exploitation, des listes de contrôle, des conseils et des exigences de gouvernance. Documentez les normes de conception et partagez-les au sein de votre organisation.
1. [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) permet de créer des portefeuilles représentant les normes de conception en utilisant l'infrastructure en tant que code. Vous pouvez partager des portefeuilles entre plusieurs comptes.
1. Prévoyez un mécanisme permettant de mettre à jour les normes de conception au fur et à mesure que de nouvelles bonnes pratiques sont identifiées.
1. Si les normes de conception sont appliquées de manière centralisée, il faut prévoir un processus pour demander des modifications, des mises à jour et des exemptions.
**Niveau d'effort du plan d'implémentation :** moyen. L'élaboration d'un processus de création et de partage des normes de conception peut nécessiter une coordination et une coopération avec les parties prenantes de votre organisation.
## Ressources
**Bonnes pratiques associées :**
+ [OPS01-BP03 Évaluer les exigences de gouvernance](ops_priorities_governance_reqs.md) - Les exigences de gouvernance influencent les normes de conception.
+ [OPS01-BP04 Évaluer les exigences de conformité](ops_priorities_compliance_reqs.md) - La conformité est un élément essentiel de la création de normes de conception.
+ [OPS07-BP02 Assurer un examen cohérent de l'état de préparation opérationnelle](ops_ready_to_support_const_orr.md) - Les listes de contrôle de la disponibilité opérationnelle constituent un mécanisme de mise en œuvre des normes de conception lors de la conception de votre charge de travail.
+ [OPS11-BP01 Définir un processus d'amélioration continue](ops_evolve_ops_process_cont_imp.md) - La mise à jour des normes de conception fait partie de l'amélioration continue.
+ [OPS11-BP04 Gérer les connaissances](ops_evolve_ops_knowledge_management.md) - Dans le cadre de votre pratique de gestion des connaissances, documentez et partagez les normes de conception.
**Documents connexes :**
+ [ Automate AWS Backups with AWS Service Catalog](https://aws.amazon.com/blogs/mt/automate-aws-backups-with-aws-service-catalog/) (Automatiser les sauvegardes AWS avec AWS Service Catalog)
+ [AWS Service Catalog Account Factory-Enhanced ](https://aws.amazon.com/blogs/mt/aws-service-catalog-account-factory-enhanced/) (Compte de catalogue de services AWS Factory-Enhanced)
+ [ How Expedia Group built Database as a Service (DBaaS) offering using AWS Service Catalog](https://aws.amazon.com/blogs/mt/how-expedia-group-built-database-as-a-service-dbaas-offering-using-aws-service-catalog/) [Comment le groupe Expedia a mis en place une offre DBaaS (Database as a Service) grâce au catalogue de services AWS]
+ [ Maintain visibility over the use of cloud architecture patterns ](https://aws.amazon.com/blogs/architecture/maintain-visibility-over-the-use-of-cloud-architecture-patterns/) (Maintenir une visibilité sur l'utilisation des modèles d'architecture cloud)
+ [ Simplify sharing your AWS Service Catalog portfolios in an AWS Organizations setup ](https://aws.amazon.com/blogs/mt/simplify-sharing-your-aws-service-catalog-portfolios-in-an-aws-organizations-setup/) (Simplifiez le partage de vos portefeuilles de catalogues de services AWS dans une configuration AWS Organizations)
**Vidéos connexes :**
+ [AWS Service Catalog – Getting Started ](https://www.youtube.com/watch?v=A9kKy6WhqVA)
+ [AWS re:Invent 2020: Manage your AWS Service Catalog portfolios like an expert ](https://www.youtube.com/watch?v=lVfXkWHAtR8)
**Exemples connexes :**
+ [ Architecture de référence AWS Service Catalog](https://github.com/aws-samples/aws-service-catalog-reference-architectures)
+ [ Atelier AWS Service Catalog](https://catalog.us-east-1.prod.workshops.aws/workshops/d40750d7-a330-49be-9945-cde864610de9/en-US)
**Services associés :**
+ [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)
# OPS05-BP07 Mettre en œuvre des pratiques visant à améliorer la qualité du code
Mettez en place des pratiques pour améliorer la qualité du code et limiter les failles. Parmi les exemples, citons le développement piloté par les tests, les révisions de code, l'adoption de normes et la programmation en binôme. Incorporez ces pratiques dans votre processus d'intégration et de livraison continues.
**Résultat souhaité :**
+ Votre organisation utilise des bonnes pratiques comme les révisions de code ou la programmation en binôme pour améliorer la qualité du code.
+ Les développeurs et les opérateurs adoptent les bonnes pratiques en matière de qualité du code dans le cadre du cycle de vie du développement logiciel.
**Anti-modèles courants :**
+ Vous livrez du code à la branche principale de votre application sans effectuer de révision du code. La modification est automatiquement déployée en production et provoque une panne.
+ Une nouvelle application est développée sans aucun test d'unité, de bout en bout ou d'intégration. Il n'y a aucun moyen de tester l'application avant son déploiement.
+ Vos équipes procèdent à des modifications manuelles en production pour corriger les défauts. Les modifications ne sont pas soumises à des tests ou à des révisions de code et ne sont pas saisies ou enregistrées dans le cadre des processus d'intégration et de livraison continues.
**Avantages liés au respect de cette bonne pratique :**
+ En adoptant des pratiques visant à améliorer la qualité du code, vous contribuez à minimiser les problèmes introduits dans la production.
+ La qualité du code s'améliore grâce aux bonnes pratiques telles que la programmation en binôme et les révisions de code.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Mettez en œuvre des pratiques visant à améliorer la qualité du code afin de minimiser les défauts avant leur déploiement. Utilisez des pratiques telles que le développement piloté par les tests, les révisions de code et la programmation en binôme pour améliorer la qualité de votre développement.
**Exemple de client**
AnyCompany Retail adopte plusieurs pratiques pour améliorer la qualité du code. La société a adopté le développement piloté par les tests comme norme d'écriture des applications. Pour certaines nouvelles fonctionnalités, elle demande aux développeurs de programmer en binôme pendant un sprint. Chaque demande d'extraction est soumise à une révision du code par un développeur principal avant d'être intégrée et déployée.
**Étapes d'implémentation**
1. Adoptez des pratiques de qualité du code telles que le développement piloté par les tests, les révisions de code et la programmation en binôme dans votre processus d'intégration et de livraison continues. Utilisez ces techniques pour améliorer la qualité des logiciels.
1. [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) peut fournir des recommandations de programmation pour le code Java et Python en utilisant le machine learning.
1. Vous pouvez créer des environnements de développement partagés avec [AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/welcome.html), où vous pouvez collaborer au développement du code.
**Niveau d'effort du plan d'implémentation :** moyen. Il existe de nombreuses façons de mettre en œuvre cette bonne pratique, mais il peut être difficile de la faire adopter par l'organisation.
## Ressources
**Bonnes pratiques associées :**
+ [OPS05-BP06 Partager les normes de conception](ops_dev_integ_share_design_stds.md) - Vous pouvez partager les normes de conception dans le cadre de votre pratique de la qualité du code.
**Documents connexes :**
+ [ Agile Software Guide ](https://martinfowler.com/agile.html) (Guide du logiciel agile)
+ [My CI/CD pipeline is my release captain (Mon pipeline d'intégration/livraison continues est mon « release captain », responsable de la cohérence du code)](https://aws.amazon.com/builders-library/cicd-pipeline/)
+ [ Automate code reviews with Amazon CodeGuru Reviewer ](https://aws.amazon.com/blogs/devops/automate-code-reviews-with-amazon-codeguru-reviewer/) (Automatiser les révisions de code avec Amazon CodeGuru Reviewer)
+ [Adopt a test-driven development approach](https://docs.aws.amazon.com/prescriptive-guidance/latest/best-practices-cdk-typescript-iac/development-best-practices.html) (Adopter une approche de développement axé sur les tests)
+ [ How DevFactory builds better applications with Amazon CodeGuru ](https://aws.amazon.com/blogs/machine-learning/how-devfactory-builds-better-applications-with-amazon-codeguru/) (Comment DevFactory crée de meilleures applications avec Amazon CodeGuru)
+ [ Concernant la programmation en binôme ](https://martinfowler.com/articles/on-pair-programming.html)
+ [ RENGA Inc. automates code reviews with Amazon CodeGuru ](https://aws.amazon.com/blogs/machine-learning/renga-inc-automates-code-reviews-with-amazon-codeguru/) (RENGA Inc. automatise les révisions de code avec Amazon CodeGuru)
+ [ The Art of Agile Development: Test-Driven Development ](http://www.jamesshore.com/v2/books/aoad1/test_driven_development) (L'art du développement agile : le développement piloté par les tests)
+ [ Why code reviews matter (and actually save time\$1) ](https://www.atlassian.com/agile/software-development/code-reviews) [Pourquoi les révisions de code sont importantes (et font gagner du temps \$1)]
**Vidéos connexes :**
+ [AWS re:Invent 2020: Continuous improvement of code quality with Amazon CodeGuru ](https://www.youtube.com/watch?v=iX1i35H1OVw)
+ [AWS Summit ANZ 2021 - Driving a test-first strategy with CDK and test driven development](https://www.youtube.com/watch?v=1R7G_wcyd3s) (AWS Summit ANZ 2021 : mener une stratégie donnant la priorité aux tests avec CDK et le développement axé sur les tests)
**Services associés :**
+ [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/what-is-codeguru-profiler.html)
+ [AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/welcome.html)
# OPS05-BP08 Utiliser plusieurs environnements
Utilisez plusieurs environnements pour expérimenter, développer et tester votre charge de travail. Utilisez des niveaux de contrôle croissants lorsque les environnements approchent de la production pour vous assurer que votre charge de travail fonctionnera correctement une fois déployée.
**Anti-modèles courants :**
+ Vous effectuez un développement dans un environnement de développement partagé et un autre développeur remplace vos modifications de code.
+ Les contrôles de sécurité restrictifs sur votre environnement de développement partagé vous empêchent d'expérimenter de nouveaux services et fonctionnalités.
+ Vous effectuez des tests de charge sur vos systèmes de production et provoquez une panne pour vos utilisateurs.
+ Une erreur critique entraînant une perte de données s'est produite en production. Dans votre environnement de production, vous essayez de recréer les conditions qui ont conduit à la perte de données afin de pouvoir identifier comment elle s'est produite et empêcher qu'elle ne se reproduise. Pour éviter toute perte de données supplémentaire pendant les tests, vous devez rendre l'application indisponible aux utilisateurs.
+ Vous explorez un service multi-locataire et n'êtes pas en mesure de répondre à la demande d'un client pour un environnement dédié.
+ Il est possible que vous ne procédiez pas toujours aux tests, mais lorsque vous le faites, vous le faites en production.
+ Vous pensez que la simplicité d'un environnement unique l'emporte sur la portée de l'impact des modifications au sein de l'environnement.
**Avantages liés au respect de cette bonne pratique :** En déployant plusieurs environnements, vous pouvez prendre en charge plusieurs environnements de développement, de test et de production simultanément sans créer de conflits entre les développeurs ou les communautés d'utilisateurs.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utiliser plusieurs environnements : fournissez aux développeurs des environnements de test avec des contrôles réduits au minimum pour permettre l'expérimentation. Fournissez des environnements de développement individuels pour permettre le travail en parallèle, ce qui augmente l'agilité du développement. Mettez en œuvre davantage de contrôles rigoureux dans les environnements proches de la production pour offrir aux développeurs la liberté d'innover. Utilisez l'infrastructure en tant que code et les systèmes de gestion de la configuration pour déployer des environnements configurés de manière cohérente par rapport aux contrôles de production pour veiller au bon fonctionnement des systèmes lorsqu'ils sont déployés. Lorsque les environnements ne sont pas en cours d'utilisation, désactivez-les pour éviter les coûts associés à des ressources inutilisées (par exemple, les systèmes de développement en soirée et les week-ends). Déployez des environnements équivalents à la production lors des tests de charge pour obtenir des résultats valides.
+ [Qu'est-ce qu'AWS CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [Comment arrêter et démarrer des instances Amazon EC2 à des intervalles réguliers avec AWS Lambda ?](https://aws.amazon.com/premiumsupport/knowledge-center/start-stop-lambda-cloudwatch/)
## Ressources
**Documents connexes :**
+ [Comment arrêter et démarrer des instances Amazon EC2 à des intervalles réguliers avec AWS Lambda ?](https://aws.amazon.com/premiumsupport/knowledge-center/start-stop-lambda-cloudwatch/)
+ [Qu'est-ce qu'AWS CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
# OPS05-BP09 Effectuer des modifications fréquentes, légères et réversibles
Les modifications fréquentes, légères et réversibles limitent la portée et l'impact d'une modification. Cela facilite la résolution des problèmes, accélère les corrections et offre la possibilité d’annuler une modification.
**Anti-modèles courants :**
+ Vous déployez une nouvelle version de votre application tous les trimestres.
+ Vous apportez fréquemment des modifications à votre schéma de base de données.
+ Vous effectuez des mises à jour manuelles sur place, en remplaçant les installations et configurations existantes.
**Avantages liés au respect de cette bonne pratique :** Vous reconnaissez plus rapidement les avantages des efforts de développement en déployant fréquemment de petites modifications. Lorsque les changements sont minimes, il est beaucoup plus facile d'identifier s'ils ont des conséquences inattendues. Lorsque les modifications sont réversibles, les risques liés à leur mise en œuvre sont minimes, car la récupération est simplifiée.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Effectuer des modifications fréquentes, légères et réversibles : les modifications fréquentes, petites et réversibles réduisent la portée et l'impact d'un changement. Cela facilite la résolution des problèmes, accélère les corrections et offre la possibilité d’annuler une modification. Cela augmente également la vitesse à laquelle vous pouvez apporter de la valeur à votre entreprise.
# OPS05-BP10 Automatiser complètement l'intégration et le déploiement
Automatisez la création, le déploiement et le test de la charge de travail. Cela permet de réduire les erreurs découlant des processus manuels, ainsi que les efforts nécessaires au déploiement des modifications.
Appliquez des métadonnées à l'aide des [balises de ressources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) et [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html) en respectant une stratégie de balisage [cohérente](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) pour activer l'identification de vos ressources. Balisez vos ressources pour l’organisation, la comptabilité analytique, les contrôles des accès et le ciblage de l'exécution des activités des opérations automatisées.
**Anti-modèles courants :**
+ Vendredi, vous avez fini de créer le nouveau code de votre branche de fonctionnalité. Lundi, après avoir exécuté vos scripts de test de la qualité du code et chacun de vos scripts de tests unitaires, vous vérifierez votre code pour la prochaine version prévue.
+ Vous êtes chargé de coder un correctif pour un problème critique affectant un grand nombre de clients en production. Après avoir testé le correctif, vous validez votre code et envoyez un e-mail à l'équipe de gestion des modifications pour demander l'autorisation de le déployer en production.
**Avantages liés au respect de cette bonne pratique :** En mettant en œuvre des systèmes automatisés de gestion de la création et du déploiement, vous réduisez les erreurs causées par les processus manuels et diminuez l'effort de déploiement des modifications, ce qui permet aux membres de votre équipe de se concentrer sur la création de valeur ajoutée.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Utiliser des systèmes de gestion du développement et du déploiement : servez-vous de systèmes de gestion du développement et du déploiement afin de suivre et de mettre en œuvre les modifications, de réduire les erreurs causées par les processus manuels et de réduire le niveau d'efforts. Automatisez entièrement le pipeline d'intégration et de déploiement à partir du code d'enregistrement et par le biais du développement, des tests, du déploiement et de la validation. Cela permet de réduire les délais, d'augmenter la fréquence des changements et de diminuer le niveau d'effort.
+ [Qu'est-ce qu'AWS CodeBuild ?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [Bonnes pratiques d'intégration continue pour le développement de logiciels](https://www.youtube.com/watch?v=GEPJ7Lo346A)
+ [Slalom: CI/CD for serverless applications on AWS](https://www.youtube.com/watch?v=tEpx5VaW4WE)
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
## Ressources
**Documents connexes :**
+ [Qu'est-ce qu'AWS CodeBuild ?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
**Vidéos connexes :**
+ [Bonnes pratiques d'intégration continue pour le développement de logiciels](https://www.youtube.com/watch?v=GEPJ7Lo346A)
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
+ [Slalom: CI/CD for serverless applications on AWS](https://www.youtube.com/watch?v=tEpx5VaW4WE)
# OPS 6 Comment réduire les risques liés au déploiement ?
Adoptez des approches qui fournissent un retour d'information rapide sur la qualité et permettent une reprise rapide à la suite de changements qui n'offrent pas les résultats escomptés. L'utilisation de ces pratiques diminue l'impact des problèmes découlant du déploiement des modifications.
**Topics**
+ [OPS06-BP01 Planifier les modifications infructueuses](ops_mit_deploy_risks_plan_for_unsucessful_changes.md)
+ [OPS06-BP02 Tester et valider les modifications](ops_mit_deploy_risks_test_val_chg.md)
+ [OPS06-BP03 Utiliser des systèmes de gestion du déploiement](ops_mit_deploy_risks_deploy_mgmt_sys.md)
+ [OPS06-BP04 Effectuer des tests avec des déploiements limités](ops_mit_deploy_risks_test_limited_deploy.md)
+ [OPS06-BP05 Effectuer un déploiement avec des environnements parallèles](ops_mit_deploy_risks_deploy_to_parallel_env.md)
+ [OPS06-BP06 Déployer des modifications fréquentes, minimes, réversibles](ops_mit_deploy_risks_freq_sm_rev_chg.md)
+ [OPS06-BP07 Automatiser complètement l'intégration et le déploiement](ops_mit_deploy_risks_auto_integ_deploy.md)
+ [OPS06-BP08 Automatiser les tests et la restauration](ops_mit_deploy_risks_auto_testing_and_rollback.md)
# OPS06-BP01 Planifier les modifications infructueuses
Planifiez de revenir à un état antérieur connu pour être bon, ou corrigez l'environnement de production si une modification n'a pas le résultat escompté. Cette préparation accélère la reprise grâce à des réponses plus rapides.
**Anti-modèles courants :**
+ Vous avez effectué un déploiement et votre application est devenue instable, mais il semble qu’il y ait des utilisateurs actifs sur le système. Vous devez décider entre annuler la modification et avoir un impact sur les utilisateurs actifs et attendre pour annuler la modification en sachant que les utilisateurs peuvent être impactés de toute façon.
+ Après avoir modifié la routine, vos nouveaux environnements sont accessibles, mais l'un de vos sous-réseaux est devenu inaccessible. Vous devez décider de tout annuler ou d'essayer de réparer le sous-réseau inaccessible. Pendant cette période de détermination, le sous-réseau reste inaccessible.
**Avantages liés au respect de cette bonne pratique :** La mise en place d'une stratégie réduit le temps moyen de récupération (MTTR) après des modifications infructueuses, limitant ainsi l'impact sur les utilisateurs finaux.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Planifier les modifications infructueuses : planifiez de revenir à un état antérieur connu pour être bon (c'est-à-dire, annuler la modification) ou procédez à une correction dans l'environnement de production (c'est-à-dire, déployer davantage la modification) si une modification n'a pas le résultat escompté. Lorsque vous identifiez des modifications que vous ne pouvez pas annuler si elles échouent, effectuez les vérifications préalables avant de valider les modifications.
# OPS06-BP02 Tester et valider les modifications
Testez les modifications et validez les résultats à toutes les étapes du cycle de vie afin de vérifier les nouvelles fonctionnalités et de réduire les risques et l'impact des déploiements ayant échoué.
Sur AWS, vous pouvez créer des environnements parallèles temporaires, ce qui diminue les risques, les efforts et les frais liés à l'expérimentation et aux tests. Automatisez le déploiement de ces environnements à l'aide de [AWS CloudFormation](https://aws.amazon.com/cloudformation/) pour garantir leur mise en place cohérente.
**Anti-modèles courants :**
+ Vous déployez une nouvelle superbe fonctionnalité dans votre application. Elle ne fonctionne pas. Vous ne savez pas.
+ Vous mettez à jour vos certificats. Vous installez accidentellement les certificats sur les composants incorrects. Vous ne savez pas.
**Avantages liés au respect de cette bonne pratique :** En testant et validant les modifications à la suite du déploiement, vous êtes en mesure d'identifier rapidement les problèmes, ce qui vous permet d'atténuer l'impact sur vos clients.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Tester et valider les modifications : testez les changements et validez les résultats à tous les stades du cycle de vie (par exemple, développement, test et production), afin de valider les nouvelles fonctionnalités et de réduire les risques et l'impact des déploiements qui échouent.
+ [AWS Cloud9](https://aws.amazon.com/cloud9/)
+ [Qu'est-ce qu'AWS Cloud9 ?](https://docs.aws.amazon.com/cloud9/latest/user-guide/welcome.html)
+ [Comment tester et déboguer AWS CodeDeploy localement avant d'expédier votre code](https://aws.amazon.com/blogs/devops/how-to-test-and-debug-aws-codedeploy-locally-before-you-ship-your-code/)
## Ressources
**Documents connexes :**
+ [AWS Cloud9](https://aws.amazon.com/cloud9/)
+ [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/)
+ [Comment tester et déboguer AWS CodeDeploy localement avant d'expédier votre code](https://aws.amazon.com/blogs/devops/how-to-test-and-debug-aws-codedeploy-locally-before-you-ship-your-code/)
+ [Qu'est-ce qu'AWS Cloud9 ?](https://docs.aws.amazon.com/cloud9/latest/user-guide/welcome.html)
# OPS06-BP03 Utiliser des systèmes de gestion du déploiement
Utilisez les systèmes de gestion de déploiement pour suivre et mettre en œuvre des modifications. Cela permet de réduire les erreurs découlant des processus manuels, ainsi que les efforts nécessaires au déploiement des modifications.
Dans AWS, vous pouvez créer des pipelines d'intégration continue/de déploiement continu (CI/CD) à l'aide de services tels que les [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/) (par exemple, AWS CodeCommit, [AWS CodeBuild](https://aws.amazon.com/codebuild/), [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)et [AWS CodeStar](https://aws.amazon.com/codestar/)).
**Anti-modèles courants :**
+ Vous déployez manuellement des mises à jour sur les serveurs d'applications de votre flotte, et un certain nombre de serveurs ne répondent plus en raison d'erreurs de mise à jour.
+ Vous déployez manuellement sur votre flotte de serveurs d'applications pendant plusieurs heures. L'incohérence des versions pendant la modification entraîne des comportements inattendus.
**Avantages liés au respect de cette bonne pratique :** L'adoption de systèmes de gestion du déploiement réduit le niveau d'effort nécessaire pour déployer les modifications, ainsi que la fréquence des erreurs causées par les procédures manuelles.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utiliser des systèmes de gestion du déploiement : utilisez des systèmes de gestion du déploiement pour suivre et mettre en œuvre les modifications. Cette démarche permet de réduire les erreurs causées par les processus manuels, mais aussi réduire le niveau d'efforts pour déployer des modifications. Automatisez le pipeline d'intégration et de déploiement à partir du code d'enregistrement et par le biais des tests, du déploiement et de la validation. Cela permet de réduire les délais, d'augmenter la fréquence des changements et de diminuer davantage le niveau d'effort.
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [Qu'est-ce qu'AWS Elastic Beanstalk ?](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/Welcome.html)
+ [Qu'est-ce qu'Amazon API Gateway ?](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html)
## Ressources
**Documents connexes :**
+ [Guide de l'utilisateur AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/)
+ [Essayer un exemple de déploiement bleu/vert dans AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/applications-create-blue-green.html)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [Qu'est-ce qu'AWS Elastic Beanstalk ?](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/Welcome.html)
+ [Qu'est-ce qu'Amazon API Gateway ?](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html)
**Vidéos connexes :**
+ [Deep Dive on Advanced Continuous Delivery Techniques Using AWS](https://www.youtube.com/watch?v=Lrrgd0Kemhw)
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
# OPS06-BP04 Effectuer des tests avec des déploiements limités
Faites le test avec des déploiements limités et avec des systèmes existants pour confirmer les résultats souhaités avant le déploiement à grande échelle. Par exemple, utilisez les tests Canary de déploiement ou des déploiements sur un seul hôte.
**Anti-modèles courants :**
+ Vous déployez une modification infructueuse dans l'ensemble de l’environnement de production en une seule fois. Vous ne savez pas.
**Avantages liés au respect de cette bonne pratique :** En testant et en validant les modifications après un déploiement limité, vous êtes en mesure d'identifier rapidement les problèmes avec un impact minimal sur vos clients, ce qui vous permet d'atténuer davantage l'impact sur vos clients.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Effectuer des tests avec des déploiements limités : effectuez des tests avec des déploiements limités et avec des systèmes existants pour confirmer les résultats attendus avant le déploiement à grande échelle. Par exemple, utilisez les tests Canary de déploiement ou des déploiements sur un seul hôte.
+ [Guide de l'utilisateur AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [Déploiements bleu/vert avec AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.CNAMESwap.html)
+ [Configurer un déploiement de version API Gateway Canary](https://docs.aws.amazon.com/apigateway/latest/developerguide/canary-release.html)
+ [Essayer un exemple de déploiement bleu/vert dans AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/applications-create-blue-green.html)
+ [Utilisation des configurations de déploiement AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-configurations.html)
## Ressources
**Documents connexes :**
+ [Guide de l'utilisateur AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [Déploiements bleu/vert avec AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.CNAMESwap.html)
+ [Configurer un déploiement de version API Gateway Canary](https://docs.aws.amazon.com/apigateway/latest/developerguide/canary-release.html)
+ [Essayer un exemple de déploiement bleu/vert dans AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/applications-create-blue-green.html)
+ [Utilisation des configurations de déploiement AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-configurations.html)
# OPS06-BP05 Effectuer un déploiement avec des environnements parallèles
Mettez en œuvre les modifications dans des environnements parallèles, puis passez au nouvel environnement. Conservez l'ancien environnement jusqu'à la confirmation de la réussite du déploiement. Procéder de la sorte réduit les durées de récupération en activant la restauration à l'ancien environnement.
**Anti-modèles courants :**
+ Vous effectuez un déploiement mutable en modifiant vos systèmes existants. Après avoir découvert que la modification n'a pas abouti, vous êtes obligé de modifier à nouveau les systèmes pour restaurer l'ancienne version, ce qui prolonge votre délai de récupération.
+ Pendant une fenêtre de maintenance, vous désactivez l'ancien environnement, puis vous commencez à créer votre nouvel environnement. Plusieurs heures après le début de la procédure, vous découvrez des problèmes irrémédiables liés au déploiement. Bien qu'extrêmement fatigué, vous êtes obligé de retrouver les procédures de déploiement précédentes et de commencer à recréer l'ancien environnement.
**Avantages liés au respect de cette bonne pratique :** En utilisant des environnements parallèles, vous pouvez pré-déployer le nouvel environnement et y passer lorsque vous le souhaitez. Si le nouvel environnement ne réussit pas, vous pouvez vous rétablir rapidement les opérations en restaurant votre environnement d'origine.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Effectuer un déploiement avec des environnements parallèles : implémentez les modifications dans des environnements parallèles, puis migrez vers le nouvel environnement. Conservez l'ancien environnement jusqu'à la confirmation de la réussite du déploiement. Cela réduit le temps de récupération en permettant la restauration de l'ancien environnement. Par exemple, utilisez des infrastructures immuables avec des déploiements de type bleu/vert.
+ [Utilisation des configurations de déploiement AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-configurations.html)
+ [Déploiements bleu/vert avec AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.CNAMESwap.html)
+ [Configurer un déploiement de version API Gateway Canary](https://docs.aws.amazon.com/apigateway/latest/developerguide/canary-release.html)
+ [Essayer un exemple de déploiement bleu/vert dans AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/applications-create-blue-green.html)
## Ressources
**Documents connexes :**
+ [Guide de l'utilisateur AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [Déploiements bleu/vert avec AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.CNAMESwap.html)
+ [Configurer un déploiement de version API Gateway Canary](https://docs.aws.amazon.com/apigateway/latest/developerguide/canary-release.html)
+ [Essayer un exemple de déploiement bleu/vert dans AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/applications-create-blue-green.html)
+ [Utilisation des configurations de déploiement AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-configurations.html)
**Vidéos connexes :**
+ [Deep Dive on Advanced Continuous Delivery Techniques Using AWS](https://www.youtube.com/watch?v=Lrrgd0Kemhw)
# OPS06-BP06 Déployer des modifications fréquentes, minimes, réversibles
Utilisez les modifications fréquentes, légères et réversibles pour réduire la portée d'une modification. Ainsi, vous facilitez la résolution des problèmes et accélérez les corrections avec la possibilité d’annuler une modification.
**Anti-modèles courants :**
+ Vous déployez une nouvelle version de votre application tous les trimestres.
+ Vous apportez fréquemment des modifications à votre schéma de base de données.
+ Vous effectuez des mises à jour manuelles sur place, en remplaçant les installations et configurations existantes.
**Avantages liés au respect de cette bonne pratique :** Vous reconnaissez plus rapidement les avantages des efforts de développement en déployant fréquemment de petites modifications. Lorsque les changements sont minimes, il est beaucoup plus facile d'identifier s'ils ont des conséquences inattendues. Lorsque les changements sont réversibles, les risques de mise en œuvre d’une modification sont minimes, car la récupération est simplifiée.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Déployer des modifications fréquentes, minimes, réversibles : des modifications fréquentes, petites et réversibles permettent de réduire la portée d'un changement. Ainsi, vous facilitez la résolution des problèmes et accélérez les corrections avec la possibilité d’annuler une modification.
# OPS06-BP07 Automatiser complètement l'intégration et le déploiement
Automatisez la création, le déploiement et le test de la charge de travail. Cela permet de réduire les erreurs causées par les processus manuels et de diminuer l'effort de déploiement des modifications.
Appliquez des métadonnées à l'aide des [balises de ressources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) et [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html) en respectant une stratégie de balisage [cohérente](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) pour activer l'identification de vos ressources. Balisez vos ressources pour l’organisation, la comptabilité analytique, les contrôles des accès et le ciblage de l'exécution des activités des opérations automatisées.
**Anti-modèles courants :**
+ Vendredi, vous avez fini de créer le code de votre branche de fonctionnalité. Lundi, après avoir exécuté vos scripts de test de la qualité du code et chacun de vos scripts de tests unitaires, vous vérifierez votre code pour la prochaine version prévue.
+ Vous êtes chargé de coder un correctif pour un problème critique affectant un grand nombre de clients en production. Après avoir testé le correctif, vous validez votre code et envoyez un e-mail à l'équipe de gestion des modifications pour demander l'autorisation de le déployer en production.
**Avantages liés au respect de cette bonne pratique :** En mettant en œuvre des systèmes automatisés de gestion de la création et du déploiement, vous réduisez les erreurs causées par les processus manuels et diminuez l'effort de déploiement des changements, ce qui permet aux membres de votre équipe de se concentrer sur la création de valeur ajoutée.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Utiliser des systèmes de gestion du développement et du déploiement : servez-vous de systèmes de gestion du développement et du déploiement afin de suivre et de mettre en œuvre les modifications, de réduire les erreurs causées par les processus manuels et de réduire le niveau d'efforts. Automatisez entièrement le pipeline d'intégration et de déploiement à partir du code d'enregistrement et par le biais du développement, des tests, du déploiement et de la validation. Cela permet de réduire les délais, d'augmenter la fréquence des changements et de diminuer le niveau d'effort.
+ [Qu'est-ce qu'AWS CodeBuild ?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [Bonnes pratiques d'intégration continue pour le développement de logiciels](https://www.youtube.com/watch?v=GEPJ7Lo346A)
+ [Slalom: CI/CD for serverless applications on AWS](https://www.youtube.com/watch?v=tEpx5VaW4WE)
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [Deep Dive on Advanced Continuous Delivery Techniques Using AWS](https://www.youtube.com/watch?v=Lrrgd0Kemhw)
## Ressources
**Documents connexes :**
+ [Essayer un exemple de déploiement bleu/vert dans AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/applications-create-blue-green.html)
+ [Qu'est-ce qu'AWS CodeBuild ?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [Qu'est-ce qu'AWS CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
**Vidéos connexes :**
+ [Bonnes pratiques d'intégration continue pour le développement de logiciels](https://www.youtube.com/watch?v=GEPJ7Lo346A)
+ [Deep Dive on Advanced Continuous Delivery Techniques Using AWS](https://www.youtube.com/watch?v=Lrrgd0Kemhw)
+ [Introduction to AWS CodeDeploy - automated software deployment with Amazon Web Services](https://www.youtube.com/watch?v=Wx-ain8UryM)
+ [Slalom: CI/CD for serverless applications on AWS](https://www.youtube.com/watch?v=tEpx5VaW4WE)
# OPS06-BP08 Automatiser les tests et la restauration
Automatisez le test des environnements déployés pour confirmer les résultats souhaités. Automatisez la restauration du dernier état connu de bonne qualité lorsque les résultats ne sont pas atteints, afin de minimiser les temps de récupération et de réduire les erreurs causées par les processus manuels.
**Anti-modèles courants :**
+ Vous déployez les modifications apportées à votre charge de travail. Une fois la modification terminée, vous commencez les tests de post-déploiement. Une fois qu'elles sont terminées, vous vous rendez compte que votre charge de travail est inutilisable et que les clients sont déconnectés. Vous commencez les opérations pour restaurer la version précédente. Après un délai prolongé au cours duquel vous avez détecté le problème, le délai de reprise est allongé par votre redéploiement manuel.
**Avantages liés au respect de cette bonne pratique :** En testant et en validant les modifications après le déploiement, vous êtes en mesure d'identifier les problèmes immédiatement. En restaurant automatiquement la version précédente, vous réduisez l'impact sur vos clients.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Automatiser les tests et la restauration : automatisez les tests des environnements déployés pour confirmer les résultats souhaités. Automatisez la restauration du dernier état connu de bonne qualité lorsque les résultats ne sont pas atteints, afin de minimiser les temps de récupération et de réduire les erreurs causées par les processus manuels. Par exemple, effectuez des transactions utilisateur synthétiques détaillées après le déploiement, vérifiez les résultats et annulez en cas d'échec.
+ [Redéployer et annuler un déploiement avec AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployments-rollback-and-redeploy.html)
## Ressources
**Documents connexes :**
+ [Redéployer et annuler un déploiement avec AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployments-rollback-and-redeploy.html)
# OPS 7 Comment savoir si vous êtes prêt à gérer une charge de travail ?
Évaluez la disponibilité opérationnelle de votre charge de travail, des processus et des procédures, ainsi que le personnel pour comprendre les risques opérationnels liés à votre charge de travail.
**Topics**
+ [OPS07-BP01 Garantir les compétences du personnel](ops_ready_to_support_personnel_capability.md)
+ [OPS07-BP02 Assurer un examen cohérent de l'état de préparation opérationnelle](ops_ready_to_support_const_orr.md)
+ [OPS07-BP03 Utiliser des runbooks pour effectuer des procédures](ops_ready_to_support_use_runbooks.md)
+ [OPS07-BP04 Utiliser des playbooks pour analyser les problèmes](ops_ready_to_support_use_playbooks.md)
+ [OPS07-BP05 Prendre des décisions avisées pour déployer des systèmes et des modifications](ops_ready_to_support_informed_deploy_decisions.md)
+ [OPS07-BP06 Activer les formules de support pour les charges de travail de production](ops_ready_to_support_enable_support_plans.md)
# OPS07-BP01 Garantir les compétences du personnel
Prévoyez un mécanisme pour valider que vous disposez du nombre approprié de personnes formées pour supporter la charge de travail. Elles doivent être formées à la plateforme et aux services qui constituent votre charge de travail. Donnez-leur les connaissances nécessaires pour exploiter la charge de travail. Vous devez former un nombre suffisant de membres du personnel pour assurer le fonctionnement normal de la charge de travail et résoudre les incidents qui surviennent. Prévoyez suffisamment de personnel pour pouvoir effectuer une rotation pendant les astreintes et les vacances afin d'éviter l'épuisement professionnel.
**Résultat souhaité :**
+ Il y a suffisamment de membres du personnel formés pour supporter la charge de travail aux moments où celle-ci est disponible.
+ Vous assurez la formation de votre personnel sur les logiciels et services qui constituent votre charge de travail.
**Anti-modèles courants :**
+ Déploiement d'une charge de travail sans que les membres de l'équipe soient qualifiés pour gérer la plateforme et les services utilisés.
+ Ne pas disposer d'un personnel suffisant pour assurer les rotations d'astreinte ou les congés du personnel.
**Avantages liés au respect de cette bonne pratique :**
+ Le fait de disposer de membres d'équipe compétents vous permet de prendre efficacement en charge votre charge de travail.
+ Avec un nombre suffisant de membres de l'équipe, vous pouvez supporter la charge de travail et les rotations d'astreinte tout en diminuant le risque d'épuisement professionnel.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Confirmez qu'il y a suffisamment de personnel formé pour soutenir la charge de travail. Vérifiez que vous avez suffisamment de membres de l'équipe pour couvrir les activités opérationnelles normales, y compris les rotations d'astreinte.
**Exemple de client**
AnyCompany Retail veille à ce que les équipes qui supportent la charge de travail soient correctement dotées en personnel et formées. Elles disposent de suffisamment d'ingénieurs pour assurer une rotation d'astreinte. Le personnel reçoit une formation sur le logiciel et la plateforme sur lesquels repose la charge de travail et est encouragé à obtenir des certifications. Il y a suffisamment de membres du personnel pour que les gens puissent prendre des congés tout en supportant la charge de travail et la rotation des astreintes.
**Étapes d'implémentation**
1. Affectez un nombre suffisant d'employés à l'exploitation et au soutien de votre charge de travail, y compris aux fonctions d'astreinte.
1. Formez votre personnel aux logiciels et aux plateformes qui composent votre charge de travail.
1. [AWS Training and Certification](https://aws.amazon.com/training/) dispose d'une bibliothèque de cours sur AWS. Le service propose des cours gratuits et payants, en ligne et en personne.
1. [AWS organise des événements et des webinaires](https://aws.amazon.com/events/) au cours desquels vous apprendrez auprès d'experts AWS.
1. Évaluez régulièrement la taille et les compétences de l'équipe en fonction de l'évolution des conditions d'exploitation et de la charge de travail. Adaptez la taille et les compétences de l'équipe aux besoins opérationnels.
**Niveau d'effort du plan d'implémentation :** élevé. L'embauche et la formation d'une équipe pour soutenir une charge de travail peuvent demander des efforts considérables, mais présentent des avantages importants à long terme.
## Ressources
**Bonnes pratiques associées :**
+ [OPS11-BP04 Gérer les connaissances](ops_evolve_ops_knowledge_management.md) - Les membres de l'équipe doivent disposer des informations nécessaires au fonctionnement et au soutien de la charge de travail. La gestion des connaissances est la clé pour y parvenir.
**Documents connexes :**
+ [Événements et webinaires AWS](https://aws.amazon.com/events/)
+ [Formation et certification AWS](https://aws.amazon.com/training/)
# OPS07-BP02 Assurer un examen cohérent de l'état de préparation opérationnelle
Utilisez les examens de disponibilité opérationnelle (ORR) afin de vous assurer que vous pouvez gérer votre charge de travail. L'ORR est un mécanisme élaboré par Amazon afin de s'assurer que les équipes peuvent exécuter leurs charges de travail en toute sécurité. Un ORR est un processus d'examen et d'inspection qui utilise une liste de contrôle des exigences. Un ORR est une expérience en libre-service que les équipes utilisent pour certifier leurs charges de travail. Les ORR comprennent les bonnes pratiques tirées des enseignements liés aux années que nous avons consacrées à la création de logiciels.
La liste de contrôle d'un ORR est composée de recommandations architecturales, de processus opérationnels, de gestion d'événements et de qualité de version. Notre processus de correction des erreurs (CoE) est l'un des principaux moteurs de ces éléments. Votre propre analyse post-incident doit orienter l'évolution de votre propre ORR. Un ORR consiste non seulement à suivre les bonnes pratiques, mais permet également d'éviter la répétition d'événements que vous avez déjà vus. Enfin, les exigences en matière de sécurité, de gouvernance et de conformité peuvent également être incluses dans un ORR.
Exécutez les ORR avant qu'une charge de travail ne soit généralement disponible, puis tout au long du cycle de développement du logiciel. L'exécution d'un ORR avant le lancement augmente votre capacité de gestion de la charge de travail en toute sécurité. Réexécutez régulièrement votre ORR sur la charge de travail afin de détecter toute dérive par rapport aux bonnes pratiques. Vous pouvez avoir des listes de contrôle des ORR pour les lancements de nouveaux services et des ORR pour les examens périodiques. Cela vous permet de vous tenir au courant des nouvelles bonnes pratiques et d'intégrer les leçons tirées de l'analyse après incident. Au fur et à mesure que votre utilisation du cloud évolue, vous pouvez intégrer les exigences des ORR dans votre architecture par défaut.
**Résultat souhaité :** vous avez une liste de contrôle de l'ORR avec les bonnes pratiques pour votre organisation. Les ORR sont effectuées avant le lancement des charges de travail. Les ORR sont exécutés périodiquement tout au long du cycle de vie de la charge de travail.
**Anti-modèles courants :**
+ Vous lancez une charge de travail sans savoir si vous pouvez l'utiliser.
+ Les exigences en matière de gouvernance et de sécurité ne sont pas incluses dans la certification d'une charge de travail pour le lancement.
+ Les charges de travail ne sont pas réévaluées périodiquement.
+ Les charges de travail sont lancées sans procédures requises en place.
+ Vous voyez la répétition de la même cause racine de défaillances dans plusieurs charges de travail.
**Avantages liés au respect de cette bonne pratique :**
+ Vos charges de travail comprennent les bonnes pratiques en matière d'architecture, de processus et de gestion.
+ Les enseignements tirés sont intégrés à votre processus d'ORR.
+ Les procédures requises sont en place lors du lancement des charges de travail.
+ Les ORR sont exécutés tout au long du cycle de vie logiciel de vos charges de travail.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Un ORR est composé de deux éléments : un processus et une liste de contrôle. Votre processus d'ORR doit être adopté par votre organisation et soutenu par un responsable exécutif. Au minimum, les ORR doivent être effectués avant qu'une charge de travail ne soit généralement disponible. Exécutez l'ORR tout au long du cycle de développement du logiciel afin de l'actualiser avec les bonnes pratiques ou les nouvelles exigences. La liste de contrôle d'un ORR doit comprendre les éléments de configuration, les exigences en matière de sécurité et de gouvernance et les bonnes pratiques de votre organisation. Au fil du temps, vous pouvez utiliser des services tels qu' [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html), [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)et [les barrières de protection AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)afin d'intégrer les bonnes pratiques de l'ORR aux barrières de protection pour la détection automatique des bonnes pratiques.
**Exemple client**
Après plusieurs incidents de production, AnyCompany Retail a décidé de mettre en place un processus d'ORR. L'entreprise a élaboré une liste de contrôle composée de bonnes pratiques, d'exigences en matière de gouvernance et de conformité et d'enseignements tirés des pannes. De nouvelles charges de travail effectuent des ORR avant leur lancement. Chaque charge de travail effectue un ORR annuel avec un sous-ensemble de bonnes pratiques pour intégrer de nouvelles bonnes pratiques et des exigences qui sont ajoutées à la liste de contrôle de l'ORR. Au fil du temps, AnyCompany Retail a utilisé [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) afin de détecter certaines bonnes pratiques, en accélérant le processus d'ORR.
**Étapes d'implémentation**
Pour en savoir plus sur les ORR, lisez le livre blanc [Operational Readiness Reviews (ORR)](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/wa-operational-readiness-reviews.html). Il fournit des informations détaillées sur l'historique du processus d'ORR, sur la façon d'établir votre propre pratique d'ORR et sur la façon d'élaborer votre liste de contrôle pour les ORR. Les étapes suivantes sont une version abrégée de ce document. Pour une compréhension approfondie des ORR et de la façon dont vous pouvez créer les vôtres, nous vous recommandons de lire ce livre blanc.
1. Réunissez les parties prenantes clés, notamment les représentants de la sécurité, des opérations et du développement.
1. Demandez à chaque partie prenante de fournir au moins une exigence. Pour la première itération, essayez de limiter le nombre d'éléments à trente ou moins.
+ [L'Annexe A, Example ORR questions,](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/appendix-b-example-orr-questions.html) du livre blanc Operational Readiness Reviews (ORR) contient des exemples de questions que vous pouvez utiliser pour démarrer.
1. Regroupez vos exigences dans une feuille de calcul.
+ Vous pouvez utiliser [des approches personnalisées](https://docs.aws.amazon.com/wellarchitected/latest/userguide/lenses-custom.html) dans l' [AWS Well-Architected Tool](https://console.aws.amazon.com/wellarchiected/) afin de développer votre ORR et de le partager avec vos comptes et votre AWS Organization.
1. Identifiez une charge de travail pour effectuer l'ORR. Il est recommandé d'utiliser une charge de travail avant le lancement ou une charge de travail interne.
1. Parcourez la liste de contrôle de l'ORR et notez toutes vos découvertes. Les découvertes peuvent ne pas être acceptables si une mesure d'atténuation est en place. Pour toute découverte qui ne comporte pas de mesures d'atténuation, ajoutez ces dernières à votre liste de tâches en attente et implémentez-les avant le lancement.
1. Continuez d'ajouter des bonnes pratiques et des exigences à votre liste de contrôle de l'ORR au fil du temps.
Les clients Support disposant d'un Enterprise Support peuvent demander [l'atelier Operational Readiness Review Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/) à leur gestionnaire de compte technique. Cet atelier est une session *de travail à rebours* permettant de développer votre propre liste de contrôle pour un ORR.
**Niveau d'effort du plan d'implémentation :** élevé L'adoption d'une pratique d'ORR dans votre organisation nécessite un parrainage de la haute direction et l'adhésion des parties prenantes. Créez et mettez à jour la liste de contrôle à l'aide des commentaires de l'ensemble de votre organisation.
## Ressources
**Bonnes pratiques associées :**
+ [OPS01-BP03 Évaluer les exigences de gouvernance](ops_priorities_governance_reqs.md) – Les exigences en matière de gouvernance conviennent naturellement à la liste de contrôle d'un ORR.
+ [OPS01-BP04 Évaluer les exigences de conformité](ops_priorities_compliance_reqs.md) – Les exigences de conformité sont parfois incluses dans la liste de contrôle d'un ORR. Parfois, il s'agit d'un processus distinct.
+ [OPS03-BP07 Fournir aux équipes les ressources appropriées](ops_org_culture_team_res_appro.md) – La capacité de l'équipe peut faire partie des exigences d'un ORR.
+ [OPS06-BP01 Planifier les modifications infructueuses](ops_mit_deploy_risks_plan_for_unsucessful_changes.md) – Un plan de restauration ou de retour en arrière doit être établi avant le lancement de votre charge de travail.
+ [OPS07-BP01 Garantir les compétences du personnel](ops_ready_to_support_personnel_capability.md) – Pour gérer une charge de travail, vous devez disposer du personnel requis.
+ [SEC01-BP03 Identifier et valider les objectifs de contrôle](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) – Les objectifs de contrôle de sécurité constituent d'excellentes exigences d'ORR.
+ [REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_planning_for_recovery_objective_defined_recovery.html) – Les plans de reprise après sinistre constituent une exigence appropriée dans le cadre d'un ORR.
+ [COST02-BP01 Développer des stratégies en fonction des exigences de votre organisation](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) – Il est recommandé d'inclure les politiques de gestion des coûts dans la liste de contrôle d'un ORR.
**Documents connexes :**
+ [AWS Control Tower - Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [AWS Well-Architected Tool - Custom Lenses](https://docs.aws.amazon.com/wellarchitected/latest/userguide/lenses-custom.html)
+ [Operational Readiness Review Template par Adrian Hornsby](https://medium.com/the-cloud-architect/operational-readiness-review-template-e23a4bfd8d79)
+ [Livre blanc Operational Readiness Reviews (ORR)](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/wa-operational-readiness-reviews.html)
**Vidéos connexes :**
+ [AWS Supports You \$1 Building an Effective Operational Readiness Review (ORR)](https://www.youtube.com/watch?v=Keo6zWMQqS8)
**Exemples connexes :**
+ [Sample Operational Readiness Review (ORR) Lens](https://github.com/aws-samples/custom-lens-wa-sample/tree/main/ORR-Lens)
**Services associés :**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [AWS Well-Architected Tool](https://docs.aws.amazon.com/wellarchitected/latest/userguide/intro.html)
# OPS07-BP03 Utiliser des runbooks pour effectuer des procédures
A *runbook* est un processus documenté pour atteindre un résultat spécifique. Les runbooks consistent en une série d'étapes permettant à la personne qui les suit d'obtenir des résultats concrets. L'utilisation des runbooks dans les opérations remonte aux débuts de l'aviation. Dans les opérations de cloud, nous utilisons des runbooks pour réduire les risques et obtenir les résultats souhaités. Dans sa forme la plus simple, un runbook est une liste de contrôle pour exécuter une tâche.
Les runbooks représentent une part essentielle du fonctionnement de votre charge de travail. De l'intégration d'un nouveau membre de l'équipe au déploiement d'une version majeure, les runbooks sont des processus codifiés qui fournissent des résultats cohérents quelle que soit la personne qui les utilise. Les runbooks doivent être publiés dans un emplacement central et mis à jour à mesure que le processus évolue, car la mise à jour des runbooks est un composant essentiel du processus de gestion des changements. Ils doivent également inclure des conseils sur la gestion des erreurs, les outils, les autorisations, les exceptions et les remontées en cas de problème.
À mesure que votre entreprise évolue, commencez à automatiser les runbooks. Prenez tout d'abord les runbooks courts et fréquemment utilisés. Utilisez des langages de scripts pour automatiser les étapes ou les rendre plus faciles. À mesure que vous automatiserez les premiers runbooks, vous consacrerez du temps à l'automatisation de runbooks plus complexes. Au fil du temps, la plupart de vos runbooks seront automatisés d'une certaine façon.
**Résultat souhaité :** Votre équipe dispose de plusieurs guides détaillés pour exécuter des tâches de charge de travail. Les runbooks contiennent le résultat souhaité, les outils et autorisations nécessaires, ainsi que les instructions pour gérer les erreurs. Ils sont stockés dans un emplacement central et mis à jour fréquemment.
**Anti-modèles courants :**
+ Utilisation de la mémoire pour exécuter chaque étape d'un processus.
+ Déploiement manuel des changements sans liste de contrôle.
+ Différents membres de l'équipe exécutant le même processus, mais avec des étapes ou résultats différents.
+ Désynchronisation des runbooks avec les changements du système et l'automatisation.
**Avantages liés au respect de cette bonne pratique :**
+ Réduction du taux d'erreur pour les tâches manuelles.
+ Exécution cohérente des opérations.
+ Exécution des tâches plus tôt par les nouveaux membres de l'équipe.
+ Automatisation des runbooks pour diminuer la quantité de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Les runbooks peuvent prendre plusieurs formes selon le niveau de maturité de votre entreprise. Au minimum, ils doivent consister en un document texte détaillé. Le résultat souhaité doit être clairement indiqué. Ils documentent explicitement les autorisations spéciales ou outils nécessaires. Ils fournissent des conseils sur la gestion des erreurs et les remontées en cas de problème. Recherchez le propriétaire du runbook et publiez-le dans un emplacement central. Une fois votre runbook documenté, validez-le en demandant à un membre de votre équipe de l'exécuter. À mesure que les procédures évoluent, mettez à jour vos runbooks conformément à votre processus de gestion des changements.
Vos runbooks texte doivent être automatisés à mesure que votre entreprise évolue. Grâce à des services tels que [les automatisations AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), vous pouvez transformer un fichier texte en automatisations pouvant être exécutées sur votre charge de travail. Ces automatisations peuvent être exécutées en réponse aux événements, tout en réduisant la charge opérationnelle pour maintenir votre charge de travail.
**Exemple client**
AnyCompany Retail doit mettre à jour des schémas de bases de données lors de déploiements logiciels. L'équipe en charge des opérations de cloud en collaboration avec l'équipe responsable de l'administration des bases de données ont créé un runbook, pour déployer manuellement ces changements. Le runbook répertoriait chacune des étapes du processus sous forme de liste de contrôle. Il comprenait une section sur la gestion des erreurs en cas de problème. Les équipes ont publié le runbook sur leur wiki interne contenant leurs autres runbooks. L'équipe en charge des opérations de cloud envisage d'automatiser le runbook dans un prochain sprint.
## Étapes d'implémentation
Si vous ne disposez pas d'un référentiel de documents, un référentiel de contrôle de version est un emplacement idéal pour commencer à créer votre bibliothèque de runbooks. Vous pouvez créer vos runbooks en utilisant le format Markdown. Voici un exemple de modèle de runbook que vous pouvez utiliser pour commencer à créer vos runbooks.
```
# Runbook Title ## Runbook Info | Runbook ID | Description | Tools Used | Special Permissions | Runbook Author | Last Updated | Escalation POC | |-------|-------|-------|-------|-------|-------|-------| | RUN001 | What is this runbook for? What is the desired outcome? | Tools | Permissions | Your Name | 2022-09-21 | Escalation Name | ## Steps 1. Step one 2. Step two
```
1. Si vous ne possédez pas de référentiel de documentation ou de wiki existant, créer un référentiel de contrôle de version dans votre système de contrôle de version.
1. Identifier un processus ne possédant pas de runbook. Le processus idéal doit être réalisé de manière semi-régulière, contenir peu d'étapes et avoir des échecs à faible impact.
1. Dans votre référentiel de documents, créer un brouillon au format Markdown en utilisant le modèle. Remplissez le champ `Runbook Title` et les champs obligatoires sous `Runbook Info`.
1. En commençant par la première, remplir la partie `Étapes` du runbook.
1. Donner le runbook à un membre de l'équipe. Demandez-lui d'utiliser le runbook pour valider les étapes. En cas d'élément manquant ou de besoin de clarification, mettez à jour le runbook.
1. Publier le runbook sur votre référentiel de documentation interne. Une fois publié, partagez l'information avec votre équipe et les autres parties prenantes.
1. Au fil du temps, vous créerez une bibliothèque de runbooks. À mesure que cette bibliothèque s'étoffe, commencez à travailler sur l'automatisation des runbooks.
**Niveau d'effort du plan d'implémentation :** faible. La norme minimum pour un runbook est un guide texte détaillé. L'automatisation des runbooks peut augmenter l'effort d'implémentation.
## Ressources
**Bonnes pratiques associées :**
+ [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md) : les runbooks doivent avoir un propriétaire chargé d'en assurer la maintenance.
+ [OPS07-BP04 Utiliser des playbooks pour analyser les problèmes](ops_ready_to_support_use_playbooks.md) : les runbooks et les playbooks sont identiques à une différence près : un runbook a un résultat souhaité. Dans de nombreux cas, les runbooks sont déclenchés suite à l'identification d'une cause profonde par un playbook.
+ [OPS10-BP01 Utiliser un processus pour la gestion des événements, des incidents et des problèmes](ops_event_response_event_incident_problem_process.md) : les runbooks sont une part essentielle de la pratique de la gestion d'un bon déroulement, d'un incident et d'un problème
+ [OPS10-BP02 Disposer d'un processus par alerte](ops_event_response_process_per_alert.md) : les runbooks et les playbooks doivent être utilisés pour répondre aux alertes. Avec le temps, ces réactions doivent être automatisées.
+ [OPS11-BP04 Gérer les connaissances](ops_evolve_ops_knowledge_management.md) : la maintenance des runbooks représente une part essentielle de la gestion des connaissances.
**Documents connexes :**
+ [Atteindre l'excellence opérationnelle grâce à l'automatisation de playbooks et de runbooks](https://aws.amazon.com/blogs/mt/achieving-operational-excellence-using-automated-playbook-and-runbook/)
+ [AWS Systems Manager : travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)
+ [Playbook d'atténuation des risques pour les importantes migrations AWS – Tâche 4 : amélioration de vos runbooks de migration](https://docs.aws.amazon.com/prescriptive-guidance/latest/large-migration-migration-playbook/task-four-migration-runbooks.html)
+ [Utiliser les runbooks AWS Systems Manager Automation pour résoudre des tâches opérationnelles](https://aws.amazon.com/blogs/mt/use-aws-systems-manager-automation-runbooks-to-resolve-operational-tasks/)
**Vidéos connexes :**
+ [AWS re:Invent 2019: DIY guide to runbooks, incident reports, and incident response (SEC318-R1)](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [Comment automatiser des opérations informatiques sur AWS \$1 Amazon Web Services](https://www.youtube.com/watch?v=GuWj_mlyTug)
+ [Intégrations de scripts dans AWS Systems Manager](https://www.youtube.com/watch?v=Seh1RbnF-uE)
**Exemples connexes :**
+ [AWS Systems Manager : procédure étape par étape pour l'automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-walk.html)
+ [AWS Systems Manager : restaurer un volume racine à partir du dernier runbook d'instantanés](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-document-sample-restore.html)
+ [Créer un runbook de réponse d'incident AWS à l'aide des blocs-notes Jupyter et CloudTrail Lake](https://catalog.us-east-1.prod.workshops.aws/workshops/a5801f0c-7bd6-4282-91ae-4dfeb926a035/en-US)
+ [Gitlab – Runbooks](https://gitlab.com/gitlab-com/runbooks)
+ [Rubix – Une bibliothèque Python pour créer des runbooks dans les blocs-notes Jupyter](https://github.com/Nurtch/rubix)
+ [Utilisation d'un créateur de documents pour créer un runbook personnalisé](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-walk-document-builder.html)
+ [Ateliers Well-Architected : automatisation des opérations avec les playbooks et les runbooks](https://wellarchitectedlabs.com/operational-excellence/200_labs/200_automating_operations_with_playbooks_and_runbooks/)
**Services associés :**
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
# OPS07-BP04 Utiliser des playbooks pour analyser les problèmes
Les playbooks sont des guides étape par étape utilisés pour analyser un incident. Lorsque des incidents se produisent, les playbooks sont utilisés pour analyser, évaluer l'impact et identifier une cause racine. Les playbooks sont utilisés dans le cadre de différents scénarios allant des échecs de déploiement aux incidents de sécurité. Dans la plupart des cas, les playbooks identifient la cause racine qui est atténuée par l'utilisation d'un runbook. Les playbooks sont une composante essentielle des plans de réponse de votre organisation en cas d'incident.
Un playbook efficace comporte plusieurs fonctionnalités clés. Il guide l'utilisateur, étape par étape, dans le processus de découverte. Si vous optez pour un point de vue extérieur, quelles étapes devez-vous suivre pour diagnostiquer un incident ? Définissez clairement dans le playbook si des outils spéciaux ou des autorisations élevées sont nécessaires. Il est essentiel d'élaborer un plan de communication pour informer les parties prenantes du statut de l'analyse. Lorsqu'il est impossible de déterminer la cause racine, le playbook doit comporter un plan de remontée des informations vers la hiérarchie. Si la cause racine est identifiée, le playbook doit faire référence à un runbook décrivant une solution pour la résoudre. Les playbooks doivent être stockés dans un emplacement central et mis à jour régulièrement. Si des playbooks sont utilisés pour des alertes précises, donnez aux membres de votre équipe des indications relatives au playbook dans le cadre de l'alerte.
Au fur et à mesure que votre organisation évolue, automatisez vos playbooks. Commencez par des playbooks qui couvrent les incidents à faible risque. Utilisez des scripts pour automatiser les étapes de découverte. Veillez à créer des runbooks complémentaires destinés à atténuer les causes racine courantes.
**Résultat souhaité :** votre organisation dispose de playbooks pour les incidents courants. Les playbooks sont stockés dans un emplacement central et mis à la disposition des membres de votre équipe. Les playbooks sont souvent mis à jour. Pour toute cause racine connue, des runbooks complémentaires sont créés.
**Anti-modèles courants :**
+ Il n'existe pas de façon standard d'analyser un incident.
+ Les membres de l'équipe comptent sur la mémoire musculaire ou les connaissances institutionnelles pour résoudre un échec de déploiement.
+ Les nouveaux membres de l'équipe apprennent à analyser les problèmes par un procédé de tâtonnement.
+ Les bonnes pratiques d'analyse des problèmes ne sont pas partagées entre les équipes.
**Avantages liés au respect de cette bonne pratique :**
+ Les playbooks dynamisent les efforts nécessaires pour atténuer les incidents.
+ Différents membres de l'équipe peuvent utiliser le même playbook pour identifier une cause racine de façon cohérente.
+ Les causes racine connues peuvent être associées à des runbooks développés spécialement pour leur résolution, ce qui permet d'accélérer le délai de récupération.
+ Les playbooks permettent aux membres de l'équipe de commencer à apporter leur contribution plus tôt.
+ Les équipes peuvent adapter leurs processus à l'aide de playbooks reproductibles.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
La façon dont vous créez et utilisez les playbooks dépend de la maturité de votre organisation. Si vous débutez dans le cloud, créez des playbooks sous forme de texte dans un référentiel de documents centralisé. Au fur et à mesure que votre organisation évolue, les playbooks peuvent devenir semi-automatisés avec des langages de script comme Python. Ces scripts peuvent être exécutés dans un bloc-notes Jupyter afin d'accélérer la découverte. Les organisations avancées ont des playbooks entièrement automatisés pour les problèmes courants qui sont corrigés automatiquement avec des runbooks.
Pour commencer à créer vos playbooks, répertoriez les incidents qui affectent couramment votre charge de travail. Pour commencer, choisissez des playbooks pour les incidents à faible risque dont la cause racine a été réduite à quelques problèmes. Une fois que vous disposez de playbooks pour des scénarios plus simples, passez aux scénarios à risque élevé ou à ceux dont la cause racine est peu connue.
Vos playbooks sous forme de texte doivent être automatisés à mesure que votre entreprise évolue. Grâce à des services tels que [AWS Systems Manager Automation,](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)le texte brut peut être transformé en automatisations. Ces automatisations peuvent être exécutées en fonction de votre charge de travail pour accélérer les analyses. Ces automatisations peuvent être activées en réponse à des événements, ce qui réduit le temps nécessaire pour découvrir et résoudre les incidents.
Les clients peuvent utiliser [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) afin de répondre aux incidents. Ce service offre une interface unique pour trier les incidents, informer les parties prenantes pendant la découverte et l'atténuation, et collaborer tout au long de l'incident. Il utilise AWS Systems Manager Automation afin d'accélérer la détection et la récupération.
**Exemple client**
AnyCompany Retail a dû faire face à un incident de production. L'ingénieur d'astreinte a utilisé un playbook pour analyser le problème. À mesure qu'il effectuait les différentes étapes, il a informé les parties prenantes identifiées dans le playbook de l'évolution de la situation. L'ingénieur a identifié que la cause racine était une condition de concurrence dans un service back-end. À l'aide d'un runbook, il a relancé le service et a permis à AnyCompany Retail d'être à nouveau en ligne.
## Étapes d'implémentation
Si vous n'avez pas de référentiel de documents existant, nous vous suggérons de créer un référentiel de contrôle de version pour votre bibliothèque de playbooks. Vous pouvez créer vos playbooks en utilisant Markdown, qui est compatible avec la plupart des systèmes d'automatisation de playbook. Si vous démarrez de zéro, utilisez l'exemple de modèle de playbook suivant.
```
# Titre du playbook ## Informations sur le playbook | ID du playbook | Description | Outils utilisés | Autorisations spéciales | Auteur du playbook | Dernière mise à jour | POC de remontée hiérarchique | Parties prenantes | Plan de communication | |-------|-------|-------|-------|-------|-------|-------|-------|-------| | RUN001 | À quoi sert ce playbook ? Pour quel type d'incident est-il utilisé ? | Outils | Autorisations | Votre nom | 2022-09-21 | Contact pour la remontée des informations vers la hiérarchie | Nom de la partie prenante | Comment les dernières informations seront-elles communiquées au cours de l'analyse ? | ## Étapes 1. Première étape 2. Deuxième étape
```
1. Si vous ne possédez pas de référentiel de documents ni de wiki existant, créez un référentiel de contrôle de version pour vos playbooks dans votre système de contrôle de version.
1. Identifiez un problème courant qui doit être analysé. Il doit s'agir d'un scénario où la cause racine se limite à quelques problèmes et où la résolution présente peu de risques.
1. À l'aide du modèle Markdown, remplissez la section `Nom du playbook` et les champs situés sous `Informations sur le playbook`.
1. Remplissez les étapes de résolution du problème. Soyez aussi clair que possible sur les actions à effectuer ou les domaines à analyser.
1. Remettez le playbook à un membre de l'équipe et demandez-lui de le passer en revue afin de le valider. S'il manque quelque chose ou si un point n'est pas clair, mettez à jour le playbook.
1. Publiez le playbook dans votre référentiel de documents et informez votre équipe et les parties prenantes.
1. Cette bibliothèque de playbooks s'enrichira à mesure que vous ajouterez d'autres playbooks. Une fois que vous avez plusieurs playbooks, commencez à les automatiser en utilisant des outils comme AWS Systems Manager Automation afin de garantir la synchronisation entre l'automatisation et les playbooks.
**Niveau d'effort du plan d'implémentation :** faible. Vos playbooks doivent être des documents texte stockés dans un emplacement central. Les organisations plus avancées évolueront vers l'automatisation des playbooks.
## Ressources
**Bonnes pratiques associées :**
+ [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md) : un propriétaire doit être désigné pour les playbooks et être chargé d'en assurer la gestion.
+ [OPS07-BP03 Utiliser des runbooks pour effectuer des procédures](ops_ready_to_support_use_runbooks.md) : les runbooks et les playbooks sont similaires, mais se distinguent par le fait qu'un résultat souhaité est défini pour un runbook. Dans de nombreux cas, les runbooks sont utilisés après qu'un playbook a identifié une cause racine.
+ [OPS10-BP01 Utiliser un processus pour la gestion des événements, des incidents et des problèmes](ops_event_response_event_incident_problem_process.md) : les runbooks constituent un élément important d'une bonne pratique de gestion des événements, des incidents et des problèmes.
+ [OPS10-BP02 Disposer d'un processus par alerte](ops_event_response_process_per_alert.md) : les runbooks et les playbooks doivent être utilisés pour répondre aux alertes. Avec le temps, ces réactions doivent être automatisées.
+ [OPS11-BP04 Gérer les connaissances](ops_evolve_ops_knowledge_management.md) : la gestion des playbooks est un élément clé de la gestion des connaissances.
**Documents connexes :**
+ [ Achieving Operational Excellence using automated playbook and runbook ](https://aws.amazon.com/blogs/mt/achieving-operational-excellence-using-automated-playbook-and-runbook/)
+ [AWS Systems Manager – Utilisation de runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)
+ [ Use AWS Systems Manager Automation runbooks to resolve operational tasks ](https://aws.amazon.com/blogs/mt/use-aws-systems-manager-automation-runbooks-to-resolve-operational-tasks/)
**Vidéos connexes :**
+ [AWS re:Invent 2019: DIY guide to runbooks, incident reports, and incident response (SEC318-R1) ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [AWS Systems Manager Incident Manager - AWS Virtual Workshops ](https://www.youtube.com/watch?v=KNOc0DxuBSY)
+ [ Integrate Scripts into AWS Systems Manager](https://www.youtube.com/watch?v=Seh1RbnF-uE)
**Exemples connexes :**
+ [AWS Customer Playbook Framework ](https://github.com/aws-samples/aws-customer-playbook-framework)
+ [AWS Systems Manager : Procédures d'automatisation ](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-walk.html)
+ [ Building an AWS incident response runbook using Jupyter notebooks and CloudTrail Lake ](https://catalog.workshops.aws/workshops/a5801f0c-7bd6-4282-91ae-4dfeb926a035/en-US)
+ [ Rubix – Une bibliothèque Python pour créer des runbooks dans les bloc-notes Jupyter ](https://github.com/Nurtch/rubix)
+ [ Utilisation de Document Builder pour créer un runbook personnalisé ](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-walk-document-builder.html)
+ [ Ateliers Well-Architected : automatisation des opérations avec les playbooks et les runbooks ](https://wellarchitectedlabs.com/operational-excellence/200_labs/200_automating_operations_with_playbooks_and_runbooks/)
+ [ Ateliers Well-Architected : playbook de réponse aux incidents avec Jupyter ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
**Services associés :**
+ [AWS Systems Manager Automation ](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
# OPS07-BP05 Prendre des décisions avisées pour déployer des systèmes et des modifications
Mettez en place des processus pour les modifications réussies et ratées de votre charge de travail. Un pré-mortem est un exercice où une équipe simule un échec pour développer des stratégies d'atténuation. Utilisez des pré-mortems pour anticiper les échecs et créer des procédures le cas échéant. Évaluez les avantages et les risques liés au déploiement de modifications dans votre charge de travail. Vérifiez que toutes les modifications sont conformes à la gouvernance.
**Résultat souhaité :**
+ Vous prenez des décisions éclairées lorsque vous déployez des modifications dans votre charge de travail.
+ Les modifications sont conformes à la gouvernance.
**Anti-modèles courants :**
+ Déployer une modification dans notre charge de travail sans disposer de processus pour gérer un déploiement raté.
+ Apporter des modifications à votre environnement de production qui ne sont pas conformes aux exigences de gouvernance.
+ Déployer une nouvelle version de votre charge de travail sans établir une base de référence pour l'utilisation des ressources.
**Avantages liés au respect de cette bonne pratique :**
+ Vous êtes préparé à des modifications ratées de votre charge de travail.
+ Les modifications apportées à votre charge de travail sont conformes aux politiques de gouvernance.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Utilisez des pré-mortems pour développer des processus pour les modifications ratées. Documentez vos processus pour les modifications ratées. Veillez à ce que toutes les modifications soient conformes à la gouvernance. Évaluez les avantages et les risques liés au déploiement de modifications dans votre charge de travail.
**Exemple de client**
AnyCompany Retail effectue régulièrement des pré-mortems pour valider ses processus en cas de modification ratée. La société documente ses processus dans un Wiki partagé et le met à jour fréquemment. Toutes les modifications sont conformes aux exigences de gouvernance.
**Étapes d'implémentation**
1. Prenez des décisions éclairées lorsque vous déployez des modifications dans votre charge de travail. Définissez et révisez les critères d'un déploiement réussi. Développez des scénarios ou des critères qui déclencheraient la restauration d'une modification. Comparez les avantages du déploiement des modifications avec les risques associés à l'échec d'une modification.
1. Vérifiez que toutes les modifications sont conformes aux politiques de gouvernance.
1. Utilisez les pré-mortems pour planifier les modifications ratées et documenter les stratégies d'atténuation. Réalisez un exercice théorique pour modéliser une modification qui n'a pas abouti et valider les procédures de restauration.
**Niveau d'effort du plan d'implémentation :** modéré. La mise en œuvre d'une pratique de pré-mortems nécessite une coordination et des efforts de la part des parties prenantes de votre organisation.
## Ressources
**Bonnes pratiques associées :**
+ [OPS01-BP03 Évaluer les exigences de gouvernance](ops_priorities_governance_reqs.md) - Les exigences de gouvernance sont un facteur clé pour déterminer s'il faut déployer une modification.
+ [OPS06-BP01 Planifier les modifications infructueuses](ops_mit_deploy_risks_plan_for_unsucessful_changes.md) - Établissez des plans pour atténuer les effets d'un déploiement raté et utilisez des pré-mortems pour les valider.
+ [OPS06-BP02 Tester et valider les modifications](ops_mit_deploy_risks_test_val_chg.md) - Chaque modification apportée à un logiciel doit être correctement testée avant le déploiement afin de réduire les défauts en production.
+ [OPS07-BP01 Garantir les compétences du personnel](ops_ready_to_support_personnel_capability.md) - Il est essentiel de disposer de suffisamment de membres du personnel formés pour supporter la charge de travail afin de prendre une décision éclairée quant au déploiement d'une modification du système.
**Documents connexes :**
+ [Amazon Web Services : risques et conformité](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [Modèle de responsabilité partagée d'AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [ Governance in the AWS Cloud: The Right Balance Between Agility and Safety ](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/) (La gouvernance dans le cloud AWS : le juste équilibre entre agilité et sécurité)
# OPS07-BP06 Activer les formules de support pour les charges de travail de production
Activez la prise en charge de tous les logiciels et services sur lesquels repose votre charge de travail de production. Sélectionnez un niveau de support approprié pour répondre à vos besoins en matière de niveau de service de production. Il convient de prévoir des formules de support pour ces dépendances en cas d'interruption de service ou de problème logiciel. Documentez les formules de support et les procédures de demande de support pour tous les fournisseurs de services et de logiciels. Mettez en œuvre des mécanismes permettant de vérifier que les points de contact du support sont tenus à jour.
**Résultat souhaité :**
+ Mettre en œuvre des formules de support pour les logiciels et les services sur lesquels reposent les charges de travail de production.
+ Choisir une formule de support appropriée en fonction des besoins du niveau de service.
+ Documenter les formules de support, les niveaux de support et les procédures de demande de support.
**Anti-modèles courants :**
+ Vous n'avez pas de formule de support pour un fournisseur de logiciels critiques. Votre charge de travail en est affectée et vous ne pouvez rien faire pour accélérer la mise en place d'une solution ou obtenir des mises à jour en temps voulu de la part du fournisseur.
+ Un développeur qui était le principal point de contact pour un fournisseur de logiciels a quitté l'entreprise. Vous n'arrivez pas à joindre directement le support du fournisseur. Vous devez passer du temps à rechercher et à naviguer dans des systèmes de contact génériques, ce qui augmente le temps nécessaire pour répondre en cas de besoin.
+ Un fournisseur de logiciels connaît un arrêt de production. Il n'existe pas de documentation sur la manière de déposer un dossier de support.
**Avantages liés au respect de cette bonne pratique :**
+ En adoptant le niveau de support approprié, vous êtes en mesure d'obtenir une réponse dans le délai nécessaire pour répondre aux besoins du niveau de service.
+ En tant que client bénéficiant du support, vous pouvez faire remonter les problèmes de production.
+ Les fournisseurs de logiciels et de services peuvent contribuer au dépannage pendant un incident.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Activez les formules de support pour tous les fournisseurs de logiciels et de services sur lesquels repose votre charge de travail de production. Mettez en place des formules de support appropriées pour répondre aux besoins du niveau de service. Pour les clients AWS, cela signifie qu'il faut activer l'offre AWS Business Support ou supérieure sur tous les comptes où vous avez des charges de travail de production. Rencontrez régulièrement les fournisseurs de services de support afin d'obtenir des informations actualisées sur les offres de support, les processus et les contacts. Documentez les procédures de demande de support auprès des fournisseurs de logiciels et de services, y compris la manière de faire remonter les informations en cas de panne. Mettez en œuvre des mécanismes permettant de tenir à jour les contacts du support.
**Exemple de client**
Chez AnyCompany Retail, toutes les dépendances des logiciels et services commerciaux disposent de formules de support. Par exemple, l'offre AWS Enterprise Support est activée sur tous les comptes comportant des charges de travail de production. Tout développeur peut soulever un incident auprès du support en cas de problème. Il existe une page wiki contenant des informations sur la manière de demander de l'aide, sur les personnes à prévenir et sur les bonnes pratiques pour accélérer le traitement d'un incident.
**Étapes d'implémentation**
1. Travaillez avec les parties prenantes de votre organisation pour identifier les fournisseurs de logiciels et de services sur lesquels repose votre charge de travail. Documentez ces dépendances.
1. Déterminez les besoins en matière de niveau de service pour votre charge de travail. Sélectionnez un plan de support qui leur corresponde.
1. Pour les logiciels et services commerciaux, mettez en place une formule de support avec les fournisseurs.
1. Nous vous conseillons vivement de souscrire à AWS Business Support ou à un niveau supérieur pour tous les comptes de production, ce qui vous permettra de bénéficier de temps de réponse plus courts de la part d'AWS Support. Si vous ne disposez pas d'une offre de support premium, mettez en place un plan d'action pour gérer les problèmes qui nécessitent l'aide de AWS Support. AWS Support fournit une combinaison d'outils et de technologies, de personnes et de programmes conçus pour vous aider à optimiser vos performances, à réduire vos coûts et à innover plus rapidement. AWS Business Support offre des avantages supplémentaires, notamment l'accès à AWS Trusted Advisor et à AWS Personal Health Dashboard, ainsi que des délais de réponse plus rapides.
1. Documentez la formule de support dans votre outil de gestion des connaissances. Il s'agit notamment de savoir comment demander de l'aide, qui avertir en cas de demande de support et comment faire remonter l'information pendant un incident. Un wiki constitue un bon mécanisme pour permettre à quiconque d'apporter les mises à jour nécessaires à la documentation lorsqu'il prend connaissance de changements dans les processus ou les contacts de support.
**Niveau d'effort du plan d'implémentation :** faible. La plupart des fournisseurs de logiciels et de services proposent des formules de support à l'inscription. La documentation et le partage des bonnes pratiques en matière de support sur votre système de gestion des connaissances permettent de vérifier que votre équipe sait ce qu'il faut faire en cas d'incident de production.
## Ressources
**Bonnes pratiques associées :**
+ [OPS02-BP02 Les processus et procédures ont des propriétaires identifiés](ops_ops_model_def_proc_owners.md)
**Documents connexes :**
+ [AWS Support Plans ](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html)
**Services associés :**
+ [AWS Business Support ](https://aws.amazon.com/premiumsupport/plans/business/)
+ [AWS Enterprise Support ](https://aws.amazon.com/premiumsupport/plans/enterprise/)
# Exploiter
**Topics**
+ [OPS 8 Comment comprendre l'état de votre charge de travail ?](ops-08.md)
+ [OPS 9 Comment comprendre l'état de vos opérations ?](ops-09.md)
+ [OPS 10 Comment gérer les événements relatifs à la charge de travail et aux opérations ?](ops-10.md)
# OPS 8 Comment comprendre l'état de votre charge de travail ?
Définissez, capturez et analysez les métriques de votre charge de travail pour obtenir une visibilité sur ses événements et prendre ainsi les mesures adéquates.
**Topics**
+ [OPS08-BP01 Identifier les indicateurs clés de performance](ops_workload_health_define_workload_kpis.md)
+ [OPS08-BP02 Définir les métriques de la charge de travail](ops_workload_health_design_workload_metrics.md)
+ [OPS08-BP03 Collecter et analyser les métriques de charge de travail](ops_workload_health_collect_analyze_workload_metrics.md)
+ [OPS08-BP04 Définir des références de métriques de charge de travail](ops_workload_health_workload_metric_baselines.md)
+ [OPS08-BP05 Découvrir des modèles d'activité attendus pour la charge de travail](ops_workload_health_learn_workload_usage_patterns.md)
+ [OPS08-BP06 Signaler les menaces pesant sur les résultats de la charge de travail](ops_workload_health_workload_outcome_alerts.md)
+ [OPS08-BP07 Signaler la détection d'anomalies dans la charge de travail](ops_workload_health_workload_anomaly_alerts.md)
+ [OPS08-BP08 Confirmer la réalisation des résultats et l'efficacité des KPI et des métriques](ops_workload_health_biz_level_view_workload.md)
# OPS08-BP01 Identifier les indicateurs clés de performance
Identifiez les indicateurs clés de performance (KPI) en fonction des résultats économiques souhaités (par exemple, le taux de commande, le taux de fidélisation des clients et le bénéfice par rapport aux frais d'exploitation) et des résultats pour les clients (par exemple, la satisfaction des clients). Évaluez les KPI pour déterminer le succès de la charge de travail.
**Anti-modèles courants :**
+ La direction de l’entreprise vous demande dans quelle mesure une charge de travail a répondu aux besoins des entreprises, mais vous n'avez pas de cadre de référence pour déterminer le succès.
+ Vous n'êtes pas en mesure de déterminer si l'application commerciale prête à l'emploi que vous exploitez pour votre organisation est rentable.
**Avantages liés au respect de cette bonne pratique :** En identifiant les indicateurs clés de performance, vous permettez d'atteindre des résultats opérationnels comme test de l’état et du succès de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Identifier les indicateurs clés de performance : identifiez les indicateurs clés de performance (KPI) en fonction des résultats désirés pour l'entreprise et le client. Évaluez les KPI pour déterminer le succès de la charge de travail.
# OPS08-BP02 Définir les métriques de la charge de travail
Définissez des métriques qui mesurent l'état de la charge de travail. L'état de la charge de travail est mesurée par la réalisation de résultats opérationnels (KPI) et l'état des composants et des applications de la charge de travail. Les paniers abandonnés, les commandes passées, le coût, le prix et la charge de travail provisionnée sont des exemples d'indicateurs clés de performance. Bien que vous puissiez recueillir les données télémétriques de plusieurs composants, sélectionnez un sous-ensemble qui donne un aperçu de l'état global de la charge de travail. Ajustez les métriques de la charge de travail au fil du temps, en fonction de l'évolution des besoins de l'entreprise.
**Résultat souhaité :**
+ Vous avez identifié des métriques qui valident la réalisation des KPI qui reflètent les résultats opérationnels.
+ Vous disposez de métriques qui fournissent une vision cohérente de l'état de la charge de travail.
+ Les métriques de la charge de travail sont évaluées périodiquement en fonction de l'évolution des besoins de l'entreprise.
**Anti-modèles courants :**
+ Vous surveillez toutes les applications de votre charge de travail, mais vous n'êtes pas en mesure de déterminer si votre charge de travail atteint les résultats opérationnels.
+ Vous avez défini des métriques de la charge de travail mais elles ne sont associées à aucun indicateur clé de performance de l'entreprise.
**Avantages liés au respect de cette bonne pratique :**
+ Vous pouvez mesurer votre charge de travail en fonction de la réalisation des résultats opérationnels.
+ Vous savez si votre charge de travail est en bon état ou si elle nécessite une intervention.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
L'objectif de ces bonnes pratiques est que vous puissiez répondre à la question suivante : ma charge de travail est-elle en bon état ? L'état de la charge de travail est déterminé par la réalisation des résultats opérationnels et l'état des applications et des composants de la charge de travail. Travaillez à rebours à partir des indicateurs clés de performance de l'entreprise pour identifier les métriques. Identifiez les métriques clés des composants et des applications. Passez périodiquement en revue les métriques de la charge de travail en fonction de l'évolution des besoins de l'entreprise.
**Exemple de client**
L'état de la charge de travail est déterminé chez AnyCompany Retail par un ensemble de métriques sur les applications et les composants. En partant des indicateurs clés de performance de l'entreprise, les équipes identifient des métriques telles que le taux de commande qui peuvent montrer qu'ils atteignent les résultats opérationnels. Ces indicateurs comprennent également des métriques clés des applications, comme la réponse aux pages, et des métriques des composants, comme les connexions ouvertes aux bases de données. Chaque trimestre, les équipes réévaluent les métriques de la charge de travail pour s'assurer qu'elles sont toujours valables pour déterminer l'état de la charge de travail.
**Étapes d'implémentation**
1. En commençant par les indicateurs clés de performance de l'entreprise, identifiez les métriques qui montrent que vous atteignez les résultats opérationnels. Si certains indicateurs clés de performance ne disposent pas de métriques, instrumentez votre charge de travail avec des métriques supplémentaires pour tous les indicateurs clés de performance d'entreprise manquants.
1. Vous pouvez publier des métriques personnalisées de vos applications vers [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html).
1. [AWS Distro for OpenTelemetry](https://aws-otel.github.io/) peut collecter des métriques à partir d'applications existantes et vous pouvez l'utiliser pour ajouter de nouvelles métriques.
1. Les clients bénéficiant d'un forfait Enterprise Support peuvent demander un [Building a Monitoring Strategy Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/) (Atelier sur l'élaboration d'une stratégie de suivi) à leur gestionnaire de compte technique. Cet atelier vous aidera à élaborer une stratégie d'observabilité pour votre charge de travail.
1. Identifiez les métriques des applications et des composants de la charge de travail. Quelles sont les métriques clés qui montrent l'état des composants individuels et des applications ? Les applications et les composants peuvent émettre de nombreuses métriques différentes, mais choisissez une à trois métriques clés qui montrent leur état global.
1. Mettez en œuvre un mécanisme pour évaluer périodiquement les métriques de la charge de travail. Lorsque les indicateurs clés de performance changent, travaillez avec les parties prenantes pour mettre à jour les métriques de la charge de travail. Au fur et à mesure que les composants et les applications de votre charge de travail évoluent, ajustez vos métriques de charge de travail en conséquence.
**Niveau d'effort du plan d'implémentation :** moyen. L'ajout de métriques pour les indicateurs clés de performance des entreprises aux applications peut nécessiter un effort modéré.
## Ressources
**Bonnes pratiques associées :**
+ [OPS04-BP01 Implémenter la télémétrie de l'application](ops_telemetry_application_telemetry.md) - Votre application doit émettre des données télémétriques qui soutiennent les résultats opérationnels.
+ [OPS04-BP02 Mettre en œuvre et configurer la télémétrie de la charge de travail](ops_telemetry_workload_telemetry.md) - Vous devez instrumenter votre charge de travail pour qu'elle émette des données télémétriques avant de pouvoir définir les métriques de la charge de travail qui soutiennent les résultats opérationnels.
+ [OPS08-BP01 Identifier les indicateurs clés de performance](ops_workload_health_define_workload_kpis.md) - Vous devez d'abord identifier les indicateurs clés de performance avant de sélectionner les métriques de la charge de travail.
**Documents connexes :**
+ [ Adding metrics and traces to your application on Amazon EKS with AWS Distro for OpenTelemetry, AWS X-Ray, and Amazon CloudWatch ](https://aws.amazon.com/blogs/mt/adding-metrics-and-traces-to-your-application-on-amazon-eks-with-aws-distro-for-opentelemetry-aws-x-ray-and-amazon-cloudwatch/) (Ajout de métriques et de suivis à votre application sur Amazon EKS avec AWS Distro for OpenTelemetry, AWS X-Ray et Amazon CloudWatch.)
+ [Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
+ [implémentation des vérifications de l'état](https://aws.amazon.com/builders-library/implementing-health-checks/)
+ [Comment surveiller efficacement vos applications](https://aws.amazon.com/startups/start-building/how-to-monitor-applications/)
+ [How to better monitor your custom application metrics using Amazon CloudWatch Agent](https://aws.amazon.com/blogs/devops/new-how-to-better-monitor-your-custom-application-metrics-using-amazon-cloudwatch-agent/) (Comment mieux surveiller les métriques de votre application personnalisée à l'aide de l'agent Amazon CloudWatch)
**Vidéos connexes :**
+ [AWS re:Invent 2020: Monitoring production services at Amazon ](https://www.youtube.com/watch?v=hnPcf_Czbvw)
+ [AWS re:Invent 2022 - Building observable applications with OpenTelemetry (BOA310) ](https://www.youtube.com/watch?v=efk8XFJrW2c)
+ [How to Easily Setup Application Monitoring for Your AWS Workloads - AWS Online Tech Talks](https://www.youtube.com/watch?v=LKCth30RqnA) (Comment facilement configurer la surveillance des applications de vos charges de travail AWS : AWS Online Tech Talks)
+ [Mastering Observability of Your Serverless Applications - AWS Online Tech Talks](https://www.youtube.com/watch?v=CtsiXhiAUq8) (Maîtriser l'observabilité de vos applications sans serveur : AWS Online Tech Talks)
**Exemples connexes :**
+ [One Observability Workshop](https://catalog.workshops.aws/observability/en-US/intro)
**Services associés :**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [AWS Distro for OpenTelemetry ](https://aws-otel.github.io/)
# OPS08-BP03 Collecter et analyser les métriques de charge de travail
Procédez à des révisions régulières et proactives des métriques de la charge de travail afin d'identifier les tendances, de déterminer si une réponse est nécessaire et de valider la réalisation des résultats opérationnels. Regroupez les métriques de vos applications et composants de charge de travail dans un emplacement central. Utilisez des tableaux de bord et des outils analytiques pour analyser les données télémétriques et déterminer l'état de la charge de travail. Mettez en œuvre un mécanisme permettant de procéder à des révisions périodiques de la charge de travail avec les parties prenantes de votre organisation.
**Résultat souhaité :**
+ Les métriques de la charge de travail sont collectées dans un endroit central.
+ Des tableaux de bord et des outils analytiques permettent d'analyser les tendances de l'état de la charge de travail.
+ Vous procédez à des révisions périodiques des métriques de la charge de travail avec votre organisation.
**Anti-modèles courants :**
+ Votre organisation collecte des métriques de la charge de travail dans deux plateformes d'observabilité différentes. Vous ne pouvez pas déterminer l'état de la charge de travail parce que les plateformes sont incompatibles.
+ Les taux d'erreur pour un composant de votre charge de travail augmentent peu à peu. Vous ne remarquez pas cette tendance parce que votre organisation ne procède pas à des révisions périodiques des métriques de la charge de travail. Le composant tombe en panne au bout d'une semaine, ce qui nuit à votre charge de travail.
**Avantages liés au respect de cette bonne pratique :**
+ Vous êtes davantage sensibilisé à l'état de la charge de travail et à la réalisation des résultats opérationnels.
+ Les tendances de l'état de la charge de travail peuvent être développées au fil du temps.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Collectez les métriques de la charge de travail dans un emplacement central. À l'aide de tableaux de bord et d'outils analytiques, analysez les métriques de la charge de travail afin de mieux connaître l'état de la charge de travail, de développer des tendances en la matière et de valider l'atteinte des résultats opérationnels. Mettez en œuvre un mécanisme permettant de procéder à des révisions périodiques des métriques de la charge de travail.
**Exemple de client**
AnyCompany Retail procède à des révisions des métriques de la charge de travail chaque semaine, le mercredi. La société réunit les parties prenantes de toute l'entreprise et passe en revue les métriques de la semaine précédente. Au cours de la réunion, les équipes mettent en lumière les tendances et les enseignements tirés des outils analytiques. Des tableaux de bord internes sont publiés avec les principales métriques de la charge de travail que tout employé peut consulter et rechercher.
**Étapes d'implémentation**
1. Identifiez les métriques de la charge de travail qui sont liées à l'état de la charge de travail. En commençant par les indicateurs clés de performance de l'entreprise, identifiez les métriques pour les applications, les composants et les plateformes qui fournissent une vue d'ensemble de l'état de la charge de travail.
1. Vous pouvez publier des métriques personnalisées sur [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). Vous pouvez utiliser l'[agent Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) pour collecter des métriques et des journaux à partir d'instances Amazon EC2 et de serveurs sur site.
1. [AWS Distro for OpenTelemetry](https://aws-otel.github.io/) peut collecter des métriques à partir d'applications existantes et vous pouvez l'utiliser pour ajouter de nouvelles métriques.
1. Les clients bénéficiant d'un forfait Enterprise Support peuvent demander un [Building a Monitoring Strategy Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/) (Atelier sur l'élaboration d'une stratégie de suivi) à leur gestionnaire de compte technique. Cet atelier vous aide à élaborer une stratégie d'observabilité pour votre charge de travail.
1. Collectez les métriques de la charge de travail dans une plateforme centrale. Si les métriques de la charge de travail sont réparties entre différentes plateformes, il peut être difficile d'analyser et de développer des tendances. La plateforme doit disposer de tableaux de bord et de capacités analytiques.
1. [Amazon CloudWatch](https://docs.aws.amazon.com/) peut collecter et stocker les métriques de la charge de travail. Dans les topologies à comptes multiples, il est recommandé d'avoir un [compte central de journalisation et de surveillance](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html), appelé *compte d'archivage des journaux*.
1. Créez un tableau de bord consolidé des métriques de la charge de travail. Utilisez cette vue pour la révision des métriques et l'analyse des tendances.
1. Vous pouvez créer des [tableaux de bord CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) personnalisés pour rassembler les métriques de votre charge de travail dans une vue consolidée.
1. Mettez en œuvre un processus de révision des métriques de la charge de travail. Sur une base hebdomadaire, bihebdomadaire ou mensuelle, examinez vos métriques de la charge de travail avec les parties prenantes, y compris le personnel technique et non spécialisé. Utilisez ces sessions de révision pour identifier les tendances et obtenir un aperçu de l'état de la charge de travail.
**Niveau d'effort du plan d'implémentation :** élevé. Si les mesures de la charge de travail ne sont pas collectées de manière centralisée, leur regroupement sur une seule plateforme pourrait nécessiter un investissement important.
## Ressources
**Bonnes pratiques associées :**
+ [OPS08-BP01 Identifier les indicateurs clés de performance](ops_workload_health_define_workload_kpis.md) - Vous devez d'abord identifier les indicateurs clés de performance avant de sélectionner les métriques de la charge de travail.
+ [OPS08-BP02 Définir les métriques de la charge de travail](ops_workload_health_design_workload_metrics.md) - Vous devez définir les métriques de la charge de travail avant de les collecter et de les analyser.
**Documents connexes :**
+ [ Power operational insights with Amazon Quick ](https://aws.amazon.com/blogs/big-data/power-operational-insights-with-amazon-quicksight/) (Optimiser les informations opérationnelles avec Amazon Quicksight)
+ [ Using Amazon CloudWatch dashboards custom widgets ](https://aws.amazon.com/blogs/mt/introducing-amazon-cloudwatch-dashboards-custom-widgets/) (Utilisation des widgets personnalisés des tableaux de bord Amazon CloudWatch)
**Vidéos connexes :**
+ [ Create Cross Account & Cross Region CloudWatch Dashboards ](https://www.youtube.com/watch?v=eIUZdaqColg) (Création de tableaux de bord CloudWatch inter-comptes et inter-régions)
+ [ Monitor AWS Resources Using Amazon CloudWatch Dashboards ](https://www.youtube.com/watch?v=I7EFLChc07M) (Surveiller les ressources AWS à l'aide des tableaux de bord Amazon CloudWatch)
**Exemples connexes :**
+ [AWS Management and Governance Tools Workshop - CloudWatch Dashboards ](https://mng.workshop.aws/operations-2022/detect/cwdashboard.html) (Atelier sur les outils de gestion et de gouvernance AWS : tableaux de bord Amazon CloudWatch)
+ [ Well-Architected Labs - Level 100: Monitoring with CloudWatch Dashboards ](https://www.wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_with_cloudwatch_dashboards/) (Ateliers Well-Architected - Niveau 100 : surveillance avec les tableaux de bord Amazon CloudWatch)
**Services associés :**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [AWS Distro for OpenTelemetry](https://aws-otel.github.io/)
# OPS08-BP04 Définir des références de métriques de charge de travail
L'établissement d'une base de référence pour les métriques de la charge de travail aide à comprendre l'état et les performances de la charge de travail. En utilisant des références, vous pouvez identifier les applications et les composants peu ou trop performants. Une référence de la charge de travail renforce votre capacité à atténuer les problèmes avant qu'ils ne deviennent des incidents. Les bases de référence sont essentielles au développement de modèles d'activité et à la mise en œuvre de la détection des anomalies lorsque les métriques s'écartent des valeurs attendues.
**Résultat souhaité :**
+ Vous disposez d'un niveau de référence des métriques pour votre charge de travail dans des conditions normales.
+ Vous pouvez déterminer si votre charge de travail fonctionne normalement.
**Anti-modèles courants :**
+ Après le déploiement d'une nouvelle fonctionnalité, on constate une baisse de la latence des requêtes. Aucune base de référence n'a été établie pour une métrique composite des requêtes entrantes traitées et de la latence globale. Vous n'êtes pas en mesure de déterminer si la modification a entraîné une amélioration ou si elle a provoqué une défaillance.
+ Un pic soudain d'activité des utilisateurs se produit, mais vous n'avez pas établi de base de référence pour les métriques. Le pic d'activité conduit lentement à une fuite de mémoire dans une application. Cela finit par mettre votre charge de travail hors ligne.
**Avantages liés au respect de cette bonne pratique :**
+ Vous comprenez le schéma normal d'activité de votre charge de travail à l'aide de métriques pour les composants et applications clés.
+ Vous pouvez déterminer si votre charge de travail, ses applications et ses composants se comportent normalement ou s'ils nécessitent une intervention.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Utilisez les données historiques pour établir une base de référence des métriques de la charge de travail pour les applications et les composants de votre charge de travail. Exploitez la base de référence des métriques lors des réunions d'examen des métriques et du dépannage. Examinez périodiquement les performances de la charge de travail et ajustez la base de référence en fonction de l'évolution de l'architecture.
**Exemple de client**
Des bases de référence sont établies pour tous les composants et applications de AnyCompany Retail. À partir de données historiques, AnyCompany Retail a élaboré ses bases de référence pour les métriques de la charge de travail sur une période de deux mois. Tous les deux mois, les équipes réévaluent les bases de référence et les ajustent en fonction des données réelles.
**Étapes d'implémentation**
1. En partant des métriques de la charge de travail, établissez une base de référence pour les composants et les applications clés à l'aide de données historiques. Limitez le nombre de métriques par composant ou application et évitez la lassitude liée à la surveillance de ces indicateurs.
1. Vous pouvez utiliser [Amazon CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) pour interroger des métriques à grande échelle et identifier des tendances et des modèles.
1. La [détection des anomalies Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) utilise des algorithmes de machine learning pour identifier des modèles de comportement pour des métriques, déterminer des références et faire apparaître des anomalies.
1. [Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html) permet de détecter les problèmes opérationnels de votre charge de travail grâce au machine learning.
1. Les clients bénéficiant d'un forfait Enterprise Support peuvent demander un [Building a Monitoring Strategy Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/) (Atelier sur l'élaboration d'une stratégie de suivi) à leur gestionnaire de compte technique. Cet atelier vous aidera à élaborer une stratégie d'observabilité pour votre charge de travail.
1. Mettez en place un mécanisme pour passer en revue périodiquement les bases de référence des métriques de la charge de travail, en particulier avant les événements importants de l'entreprise. Au moins une fois par trimestre, évaluez la base de référence de vos métriques de charge de travail à l'aide de données historiques. Utilisez la base de référence dans vos réunions de révision des métriques.
**Niveau d'effort du plan d'implémentation :** faible. Après avoir établi les métriques de la charge de travail, l'établissement de bases de référence peut vous obliger à collecter suffisamment de données pour identifier des modèles de comportement normaux.
## Ressources
**Bonnes pratiques associées :**
+ [OPS08-BP02 Définir les métriques de la charge de travail](ops_workload_health_design_workload_metrics.md) - Il faut d'abord établir les métriques de la charge de travail avant de déterminer les bases de référence.
+ [OPS08-BP03 Collecter et analyser les métriques de charge de travail](ops_workload_health_collect_analyze_workload_metrics.md) - Il est nécessaire de collecter et d'analyser les métriques de la charge de travail avant d'établir les bases de référence des métriques.
+ [OPS08-BP05 Découvrir des modèles d'activité attendus pour la charge de travail](ops_workload_health_learn_workload_usage_patterns.md) - Cette bonne pratique s'appuie sur la base de référence pour développer des tendances d'utilisation.
+ [OPS08-BP06 Signaler les menaces pesant sur les résultats de la charge de travail](ops_workload_health_workload_outcome_alerts.md) - Les bases de référence des métriques sont nécessaires pour identifier les seuils et développer des alertes.
+ [OPS08-BP07 Signaler la détection d'anomalies dans la charge de travail](ops_workload_health_workload_anomaly_alerts.md) - La détection des anomalies nécessite l'établissement de bases de référence métriques.
**Documents connexes :**
+ [AWS Observability Best Practices - Alarms ](https://aws-observability.github.io/observability-best-practices/tools/alarms/) (Bonnes pratiques AWS en matière d'observabilité : alarmes)
+ [Comment surveiller efficacement vos applications](https://aws.amazon.com/startups/start-building/how-to-monitor-applications/)
+ [ How to set up CloudWatch Anomaly Detection to set dynamic alarms, automate actions, and drive online sales ](https://aws.amazon.com/blogs/mt/how-to-set-up-cloudwatch-anomaly-detection-to-set-dynamic-alarms-automate-actions-and-drive-online-sales/) (Comment configurer CloudWatch Anomaly Detection pour définir des alarmes dynamiques, automatiser des actions et stimuler les ventes en ligne)
+ [ Operationalizing CloudWatch Anomaly Detection ](https://aws.amazon.com/blogs/mt/operationalizing-cloudwatch-anomaly-detection/) (Opérationnalisation de la détection d'anomalies de CloudWatch)
**Vidéos connexes :**
+ [AWS re:Invent 2020: Monitoring production services at Amazon ](https://www.youtube.com/watch?v=hnPcf_Czbvw)
+ [AWS re:Invent 2021- Get insights from operational metrics at scale with CloudWatch Metrics Insights ](https://www.youtube.com/watch?v=xKib0xvbIfo)
+ [AWS re:Invent 2022 - Developing an observability strategy (COP302) ](https://www.youtube.com/watch?v=Ub3ATriFapQ)
+ [AWS Summit DC 2022 - Monitoring and observability for modern applications ](https://www.youtube.com/watch?v=AHiuyT0B5Gk) (Sommet AWS DC 2022 : surveillance et observabilité pour les applications modernes)
+ [ Sommet AWS SF 2022 : L'observabilité et la surveillance des applications avec AWS (COP310) ](https://www.youtube.com/watch?v=or7uFFyHIX0)
**Exemples connexes :**
+ [AWS CloudTrail and Amazon CloudWatch Integration Workshop ](https://catalog.us-east-1.prod.workshops.aws/workshops/2e48b9fc-f721-4417-b811-962b7f31b61c/en-US) (Atelier d'intégration d'AWS CloudTrail et Amazon CloudWatch)
**Services associés :**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)
# OPS08-BP05 Découvrir des modèles d'activité attendus pour la charge de travail
Établissez des modèles d'activité de la charge de travail pour identifier les comportements anormaux afin que vous puissiez réagir de manière appropriée si nécessaire.
CloudWatch via la [fonctionnalité de détection des anomalies CloudWatch,](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) applique des algorithmes statistiques et de machine learning pour générer une plage de valeurs attendues représentative du comportement métrique normal.
[Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html) peut être utilisé pour identifier un comportement anormal grâce à la corrélation des événements, à l'analyse des journaux et à l'application du machine learning pour analyser la télémétrie de votre charge de travail. Lorsque des comportements inattendus sont détectés, il fournit [les métriques et les événements associés](https://docs.aws.amazon.com/devops-guru/latest/userguide/understanding-insights-console.html) avec des recommandations pour résoudre le comportement.
**Anti-modèles courants :**
+ Vous examinez les journaux d'utilisation du réseau et vous constatez que l'utilisation du réseau a augmenté entre 11h30 et 13h30 et entre 16h30 et 18h00. Vous ne savez pas si cette situation est normale ou non.
+ Vos serveurs Web redémarrent tous les soirs à 3 h du matin. Vous ne savez pas s'il s'agit d'un comportement normal.
**Avantages liés au respect de cette bonne pratique :** En apprenant des modèles de comportement, vous pouvez reconnaître un comportement inattendu et prendre des mesures si nécessaire.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Découvrir des modèles d'activité attendus pour la charge de travail : définissez des modèles d'activité de charge de travail pour déterminer quand un comportement ne correspond pas aux valeurs attendues, afin de pouvoir répondre de manière appropriée si nécessaire.
## Ressources
**Documents connexes :**
+ [Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)
+ [fonctionnalité de détection des anomalies CloudWatch,](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html)
# OPS08-BP06 Signaler les menaces pesant sur les résultats de la charge de travail
Déclenchez une alerte quand une menace pèse sur les résultats de la charge de travail, afin de pouvoir répondre de manière appropriée si nécessaire.
Idéalement, vous avez déjà identifié un seuil de métriques en fonction duquel configurer une alarme ou un événement qui déclenchera une réponse automatique.
Sur AWS, vous pouvez utiliser [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) pour créer des scripts Canary permettant de surveiller vos points de terminaison et vos API en effectuant les mêmes actions que vos clients. La télémétrie générée et les [informations obtenues](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries_Details.html) peuvent vous permettre d'identifier les problèmes avant que vos clients ne soient affectés.
Vous pouvez également utiliser [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) pour rechercher et analyser de façon interactive vos données de journaux à l'aide d'un langage de requête dédié. CloudWatch Logs Insights [détecte automatiquement les champs dans les journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_AnalyzeLogData-discoverable-fields.html) à partir des services AWS et des événements de journaux personnalisés au format JSON. Il s'adapte à votre volume de journaux et à la complexité des demandes et vous donne des réponses en quelques secondes, ce qui vous aide à rechercher les facteurs contribuant à un incident.
**Anti-modèles courants :**
+ Vous n'avez aucune connectivité réseau. Personne ne le sait. Personne ne tente d'identifier pourquoi ni de prendre des mesures pour restaurer la connectivité.
+ Suite à un correctif, vos instances persistantes sont devenues indisponibles, ce qui perturbe les utilisateurs. Vos utilisateurs ont ouvert des demandes de support. Personne n'a été informé. Personne ne prend de mesures.
**Avantages liés au respect de cette bonne pratique :** En identifiant que les résultats opérationnels sont menacés et en vous avertissant des mesures à prendre, vous avez la possibilité de prévenir ou d'atténuer l'impact d'un incident.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Signaler les menaces pesant sur les résultats de la charge de travail : déclenchez une alerte lorsque la réalisation des résultats de la charge de travail est en péril afin de pouvoir réagir de manière appropriée si nécessaire.
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
+ [Création d'alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Appel des fonctions Lambda avec les notifications Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-lambda.html)
## Ressources
**Documents connexes :**
+ [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)
+ [Création d'alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Appel des fonctions Lambda avec les notifications Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-lambda.html)
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
# OPS08-BP07 Signaler la détection d'anomalies dans la charge de travail
Déclenchez une alerte lorsque des anomalies dans la charge de travail sont détectées afin de pouvoir réagir de manière appropriée si nécessaire.
L'analyse de vos métriques de charge de travail au fil du temps peut permettre d'établir des schémas de comportement que vous pouvez quantifier assez précisément pour définir un événement ou déclencher une alarme en réponse.
Une fois entraînée, la fonctionnalité [fonctionnalité de détection des anomalies CloudWatch,](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) peut être utilisée pour [donner l'alerte](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) sur les anomalies détectées ou peut fournir des valeurs attendues superposées sur un [graphique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_a_metric.html#create-metric-graph) de données de métriques pour une comparaison continue.
**Anti-modèles courants :**
+ Vos ventes sur le site Web de commerce grand public ont augmenté de façon soudaine et spectaculaire. Personne ne le sait. Personne ne tente d'identifier l'origine de cette poussée. Personne ne prend de mesures pour garantir des expériences client de qualité sous la charge supplémentaire.
+ Suite à l'application d'un correctif, vos serveurs persistants redémarrent fréquemment et perturbent les utilisateurs. Vos serveurs redémarrent généralement jusqu'à trois fois, mais pas plus. Personne ne le sait. Personne ne tente d'identifier la raison pour laquelle cela se produit.
**Avantages liés au respect de cette bonne pratique :** En comprenant les modèles de comportement de la charge de travail, vous pouvez identifier les comportements inattendus et prendre des mesures si nécessaire.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Signaler la détection d'anomalies dans la charge de travail : déclenchez une alerte lorsque des anomalies de charge de travail sont détectées afin de pouvoir réagir de manière appropriée si nécessaire.
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
+ [Création d'alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Appel des fonctions Lambda avec les notifications Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-lambda.html)
## Ressources
**Documents connexes :**
+ [Création d'alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [fonctionnalité de détection des anomalies CloudWatch,](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html)
+ [Appel des fonctions Lambda avec les notifications Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-lambda.html)
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
# OPS08-BP08 Confirmer la réalisation des résultats et l'efficacité des KPI et des métriques
Créez une vue des opérations de la charge de travail au niveau de l'entreprise, afin de déterminer si vous répondez aux besoins et d'identifier les domaines ayant besoin d'être améliorés pour atteindre les objectifs commerciaux. Validez l'efficacité des KPI et des métriques et vérifiez-les si nécessaire.
AWS prend également en charge des systèmes d'analyse de journaux et des outils d'informatique décisionnelle tiers via les API de service AWS et les kits SDK (par exemple, Grafana, Kibana et Logstash).
**Anti-modèles courants :**
+ Le temps de réponse de la page n'a jamais été considéré comme un contributeur à la satisfaction des clients. Vous n'avez jamais défini de métrique ou de seuil pour le temps de réponse de la page. Vos clients se plaignent de la « lenteur ».
+ Vous n'avez pas atteint vos objectifs de temps de réponse minimum. Afin d'améliorer le temps de réponse, vous avez mis à l'échelle vos serveurs d'applications. Vous dépassez désormais d'une marge significative les objectifs de temps de réponse et vous disposez également d'une capacité inutilisée importante pour laquelle vous payez.
**Avantages liés au respect de cette bonne pratique :** En examinant et en vérifiant les KPI et les métriques, vous comprenez comment votre charge de travail soutient la réalisation de des résultats commerciaux, et vous pouvez identifier les points à améliorer pour atteindre les objectifs commerciaux.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Confirmer la réalisation des résultats et l'efficacité des KPI et des métriques : créez une vue à l'échelle de l'entreprise des opérations de votre charge de travail pour vous aider à déterminer si vous répondez à vos besoins et identifier les domaines qui doivent être améliorés pour atteindre vos objectifs métier. Validez l'efficacité des KPI et des métriques et vérifiez-les si nécessaire.
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ [Qu'est-ce que l'analytique des journaux ?](https://aws.amazon.com/log-analytics/)
## Ressources
**Documents connexes :**
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ [Qu'est-ce que l'analytique des journaux ?](https://aws.amazon.com/log-analytics/)
# OPS 9 Comment comprendre l'état de vos opérations ?
Définissez, capturez et analysez les métriques des opérations pour obtenir une visibilité sur les événements des opérations afin de pouvoir prendre des mesures appropriées.
**Topics**
+ [OPS09-BP01 Identifier les indicateurs clés de performance](ops_operations_health_define_ops_kpis.md)
+ [OPS09-BP02 Définir des métriques pour les opérations](ops_operations_health_design_ops_metrics.md)
+ [OPS09-BP03 Collecter et analyser les métriques des opérations](ops_operations_health_collect_analyze_ops_metrics.md)
+ [OPS09-BP04 Établir des références pour les métriques des opérations](ops_operations_health_ops_metric_baselines.md)
+ [OPS09-BP05 Découvrir les modèles d'activité attendus pour les opérations](ops_operations_health_learn_ops_usage_patterns.md)
+ [OPS09-BP06 Signaler les menaces pesant sur les résultats des opérations](ops_operations_health_ops_outcome_alerts.md)
+ [OPS09-BP07 Signaler la détection d'anomalies dans les opérations](ops_operations_health_ops_anomaly_alerts.md)
+ [OPS09-BP08 Confirmer la réalisation des résultats et l'efficacité des KPI et des métriques](ops_operations_health_biz_level_view_ops.md)
# OPS09-BP01 Identifier les indicateurs clés de performance
Identifier les indicateurs clés de performance : identifiez les indicateurs clés de performances (KPI) en fonction de l'activité souhaitée (par exemple, les nouvelles fonctionnalités fournies) et des résultats clients (par exemple, les demandes de support client). Évaluez les KPI pour déterminer la réussite des opérations.
**Anti-modèles courants :**
+ La direction de l’entreprise vous demande comment les opérations permettent d’atteindre les objectifs de l'entreprise, mais vous n'avez pas de cadre de référence pour déterminer le succès.
+ Vous ne pouvez pas déterminer si vos fenêtres de maintenance ont un impact sur les résultats de l’entreprise.
**Avantages liés au respect de cette bonne pratique :** En identifiant des indicateurs clés de performance, vous permettez d'atteindre les résultats opérationnels comme test d’état et de succès de vos opérations.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Identifiez les indicateurs clés de performance (KPI) en fonction des résultats désirés pour l'entreprise et le client. Évaluez les KPI pour déterminer la réussite des opérations.
# OPS09-BP02 Définir des métriques pour les opérations
Définissez des métriques pour les opérations pour mesurer la réalisation des KPI (par exemple, déploiements réussis et déploiements ayant échoué). Définissez des métriques pour les opérations pour mesurer l’état des activités opérationnelles (par exemple, temps moyen de détection d'un incident (MTTD), et temps moyen de reprise après incident (MTTR)). Évaluez les paramètres pour déterminer si les opérations atteignent les résultats souhaités, et pour comprendre l’état des activités de vos opérations.
**Anti-modèles courants :**
+ Vos métriques d'opérations sont basées sur ce que l'équipe estime raisonnable.
+ Vos calculs de métriques comportent des erreurs qui donneront des résultats incorrects.
+ Vous n'avez aucune métrique définie pour vos activités d'opérations.
**Avantages liés au respect de cette bonne pratique :** En définissant et en évaluant les métriques des opérations, vous pouvez déterminer l’état de vos activités opérationnelles et mesurer les résultats obtenus.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Définir des métriques pour les opérations : définissez les métriques des opérations pour mesurer la réalisation des KPI. Définissez les métriques des opérations pour mesurer l'état des opérations et leurs activités. Évaluez les métriques pour déterminer si les opérations atteignent les résultats souhaités et pour comprendre l'état des opérations.
+ [Publier des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [Recherche et filtrage des données de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
## Ressources
**Documents connexes :**
+ [AWS Answers : journalisation centralisée](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
+ [Détecter les changements d'état du pipeline et réagir en conséquence avec Amazon CloudWatch Events](https://docs.aws.amazon.com/codepipeline/latest/userguide/detect-state-changes-cloudwatch-events.html)
+ [Publier des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [Recherche et filtrage des données de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)
**Vidéos connexes :**
+ Élaborer un plan de surveillance
# OPS09-BP03 Collecter et analyser les métriques des opérations
Effectuez des examens réguliers et proactifs des mesures afin d'identifier les tendances et de déterminer les cas où des réponses appropriées sont nécessaires.
Vous devez regrouper les données de journaux issues de l'exécution de vos activités et appels d'API opérationnels dans un service tel que CloudWatch Logs. Générez des métriques à partir des observations du contenu nécessaire des journaux pour obtenir des informations sur les performances des activités opérationnelles.
Sur AWS, vous pouvez [exporter vos données de journaux vers Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) ou [envoyer des journaux directement](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Sending-Logs-Directly-To-S3.html) to [Amazon S3](https://aws.amazon.com/s3/) pour un stockage à long terme. Avec [AWS Glue](https://aws.amazon.com/glue/), vous pouvez découvrir et préparer vos données de journaux dans Amazon S3 à des fins d'analyse, en stockant les métadonnées associées dans le [AWSAWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/populate-data-catalog.html). [Amazon Athena](https://aws.amazon.com/athena/)grâce à son intégration native à AWS Glue, peut ensuite être utilisé pour analyser vos données de journaux, en les interrogeant à l'aide de SQL standard. En utilisant un outil d'informatique décisionnelle comme [Quick](https://aws.amazon.com/quicksight/) vous pouvez visualiser, explorer et analyser vos données.
**Anti-modèles courants :**
+ La fourniture constante de nouvelles fonctions est considérée comme un indicateur clé de performance. Vous n'avez aucune méthode pour mesurer la fréquence des déploiements.
+ Vous enregistrez les déploiements, les déploiements annulés, les correctifs et les correctifs annulés pour suivre les activités de vos opérations, mais personne ne vérifie les métriques.
+ Vous avez un objectif de temps de récupération de 15 minutes pour restaurer les bases de données perdues, qui a été défini lorsque le système a été déployé et n'avait pas d'utilisateurs. Vous avez maintenant dix mille utilisateurs et votre activité existe depuis deux ans. Une restauration récente a pris plus de deux heures. Cela n'a pas été enregistré et personne n'en est informé.
**Avantages liés au respect de cette bonne pratique :** En collectant et en analysant les métriques de vos opérations, vous comprenez mieux l'état de vos opérations et pouvez disposer d'un aperçu des tendances qui peuvent avoir un impact sur vos opérations ou la réalisation des résultats de votre entreprise.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Collecter et analyser les métriques des opérations : effectuez régulièrement des évaluations proactives des métriques pour identifier les tendances et déterminer où des réponses appropriées sont nécessaires.
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
+ [Collecte des métriques et des journaux des instances Amazon EC2 et serveurs sur site avec l'agent CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
## Ressources
**Documents connexes :**
+ [Amazon Athena](https://aws.amazon.com/athena/)
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
+ [Quick](https://aws.amazon.com/quicksight/)
+ [AWS Glue](https://aws.amazon.com/glue/)
+ [AWSAWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/populate-data-catalog.html)
+ [Collecte des métriques et des journaux des instances Amazon EC2 et serveurs sur site avec l'agent CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
# OPS09-BP04 Établir des références pour les métriques des opérations
Établissez des bases de référence afin de fournir les valeurs attendues comme base de comparaison et d'identification des activités opérationnelles sous et sur-performantes.
**Anti-modèles courants :**
+ On vous a demandé quel est le délai prévu pour le déploiement. Vous n'avez pas mesuré le temps nécessaire au déploiement et vous ne pouvez pas déterminer le délai prévu.
+ On vous a demandé combien de temps il faut pour reprendre les opérations à la suite d'un problème avec les serveurs d'applications. Vous n'avez aucune information sur le délai de reprise du premier contact du client. Vous n'avez aucune information sur le temps de reprise à partir de la première identification d'un problème via la surveillance.
+ On vous a demandé quel est l’effectif du personnel de support pendant le week-end. Vous n'avez aucune idée du nombre type de dossiers de support au cours d’un week-end et vous ne pouvez pas fournir d'estimation.
+ Vous avez un objectif de temps de récupération de 15 minutes pour restaurer les bases de données perdues, qui a été défini lorsque le système a été déployé et n'avait pas d'utilisateurs. Vous avez maintenant dix mille utilisateurs et votre activité existe depuis deux ans. Vous n'avez aucune information sur la façon dont le délai de restauration a changé pour votre base de données.
**Avantages liés au respect de cette bonne pratique :** En définissant des valeurs de métriques de base, vous êtes en mesure d'évaluer les valeurs des métriques actuelles et les tendances des métriques, afin de déterminer si une action est nécessaire.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Découvrir des modèles d'activité attendus pour les opérations : définissez des modèles d'activité pour les opérations pour déterminer quand un comportement ne correspond pas aux valeurs attendues, afin de pouvoir répondre de manière appropriée si nécessaire.
# OPS09-BP05 Découvrir les modèles d'activité attendus pour les opérations
Définissez des modèles d'activités opérationnelles pour identifier les activités anormales afin de pouvoir réagir de manière appropriée si nécessaire.
**Anti-modèles courants :**
+ Votre taux d'échec de déploiement a considérablement augmenté récemment. Vous traitez chacune des défaillances de manière indépendante. Vous ne vous rendez pas compte que les défaillances correspondent aux déploiements effectués par un nouvel employé qui ne maîtrise pas le système de gestion des déploiements.
**Avantages liés au respect de cette bonne pratique :** En vous familiarisant avec les modèles de comportement, vous pouvez reconnaître un comportement inattendu et prendre des mesures si nécessaire.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Découvrir des modèles d'activité attendus pour les opérations : définissez des modèles d'activité pour les opérations pour déterminer quand un comportement ne correspond pas aux valeurs attendues, afin de pouvoir répondre de manière appropriée si nécessaire.
# OPS09-BP06 Signaler les menaces pesant sur les résultats des opérations
Chaque fois que les résultats des opérations sont menacés, une alerte doit être émise et impliquer des mesures concrètes. Les résultats des opérations sont toute activité qui accompagne une charge de travail en production. Cela comprend toutes les activités, du déploiement de nouvelles versions d'applications à la récupération après une panne. Les résultats des opérations doivent être traités avec la même importance que les résultats métier.
Les équipes chargées des logiciels doivent identifier les principales métriques et activités des opérations, et créer des alertes les concernant. Les alertes doivent être rapides et exploitables. Si une alerte est émise, une référence à un runbook ou un playbook correspondant doit être incluse. Les alertes sans action correspondante peuvent entraîner une lassitude.
**Résultat souhaité :** lorsque des activités d'opérations sont à risque, des alertes sont envoyées pour entraîner une action. Les alertes contiennent le contexte expliquant pourquoi une alerte est déclenchée et pointent vers un playbook pour une analyse ou un runbook pour une atténuation. Lorsque c'est possible, les runbooks sont automatisés et des notifications sont envoyées.
**Anti-modèles courants :**
+ Vous analysez un incident et des demandes de support sont déposées. Les demandent de support enfreignent le contrat de niveau de service (SLA), mais aucune alerte n'est remontée.
+ Un déploiement en production prévu à minuit est retardé en raison de changements de code de dernière minute. Aucune alerte n'est déclenchée et le déploiement est suspendu.
+ Une panne de production se produit, mais aucune alerte n'est envoyée.
+ Votre temps de déploiement dépasse toujours les estimations. Aucune mesure n'est prise pour analyser la situation.
**Avantages liés au respect de cette bonne pratique :**
+ Le fait d'émettre une alerte lorsque les résultats des opérations sont à risque augmente votre capacité de gestion de votre charge de travail en gardant une longueur d'avance sur les problèmes.
+ Les résultats métier s'améliorent grâce à des résultats d'opérations sains.
+ La détection et la correction des problèmes d'opérations sont améliorées.
+ L'intégrité globale des opérations est améliorée.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Les résultats des opérations doivent être définis avant que vous puissiez émettre une alerte les concernant. Commencez par définir les activités d'opérations les plus importantes pour votre organisation. Est-ce un déploiement en production en moins de deux heures ou répondre à une demande de support dans un délai donné ? Votre organisation doit définir les principales activités d'opérations et la façon dont elles sont mesurées afin de permettre leur surveillance, leur amélioration et l'émission d'alertes les concernant. Vous avez besoin d'un emplacement central où la charge de travail et les opérations de télémétrie sont stockées et analysées. Le même mécanisme doit pouvoir émettre une alerte lorsqu'un résultat d'opération est menacé.
**Exemple client**
Une alarme CloudWatch a été déclenchée lors d'un déploiement courant chez AnyCompany Retail. Le délai de déploiement a été dépassé. Amazon EventBridge a créé un OpsItem dans AWS Systems Manager OpsCenter. L'équipe chargée des opérations dans le cloud a utilisé un playbook pour analyser le problème et a constaté qu'un changement de schéma prenait plus de temps que prévu. Elle a alerté le développeur d'astreinte et a continué à surveiller le déploiement. Une fois le déploiement terminé, elle a résolu l'OpsItem. L'équipe analysera l'incident lors d'une étude post-mortem.
## Étapes d'implémentation
1. Si vous n'avez pas identifié les KPI, les métriques et les activités des opérations, implémentez les bonnes pratiques précédentes pour cette question (OPS09-BP01 à OPS09-BP05).
+ Les clients Support [bénéficiant d'un Entreprise Support](https://aws.amazon.com/premiumsupport/plans/enterprise/) peuvent demander [l'Operations KPI Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/#Operational_Workshops_and_Deep_Dives) à leur gestionnaire de compte technique. Cet atelier collaboratif, proposé sans encourir de frais supplémentaires, vous aide à définir les KPI et les métriques des opérations alignés sur les objectifs métier. Contactez votre gestionnaire de compte technique pour en savoir plus.
1. Une fois les activités, les KPI et les métriques des opérations établis, configurez les alertes dans votre plateforme d'observabilité. Les alertes doivent être accompagnées d'une action, comme un playbook ou un runbook. Évitez les alertes sans action.
1. Au fil du temps, vous devez évaluer vos métriques, vos KPI et vos activités d'opérations afin d'identifier les points à améliorer. Capturez les rétroactions des opérateurs dans les runbooks et les playbooks afin d'identifier les points à améliorer dans le cadre des réponses aux alertes.
1. Les alertes doivent comprendre un mécanisme permettant de signaler les faux positifs. Cela doit entraîner un examen des seuils de la métrique.
**Niveau d'effort du plan d'implémentation :** moyen. Plusieurs bonnes pratiques doivent être mises en place avant l'implémentation de cette bonne pratique. Une fois que les activités des opérations ont été déterminées et que les KPI des opérations ont été établis, les alertes doivent être établies.
## Ressources
**Bonnes pratiques associées :**
+ [OPS02-BP03 Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances](ops_ops_model_def_activity_owners.md) : chaque activité et chaque résultat d'opération doivent avoir un propriétaire identifié qui est responsable. C'est la personne qui doit être alertée lorsque des risques pèsent sur les résultats.
+ [OPS03-BP02 Les membres de l'équipe sont habilités à agir lorsque les résultats sont remis en cause](ops_org_culture_team_emp_take_action.md) : lorsque des alertes sont émises, votre équipe doit disposer d'une agence qui agira pour remédier au problème.
+ [OPS09-BP01 Identifier les indicateurs clés de performance](ops_operations_health_define_ops_kpis.md) : l'émission d'une alerte pour des résultats d'opérations commence par l'identification des KPI d'opérations.
+ [OPS09-BP02 Définir des métriques pour les opérations](ops_operations_health_design_ops_metrics.md) : établissez cette bonne pratique avant de commencer à générer des alertes.
+ [OPS09-BP03 Collecter et analyser les métriques des opérations](ops_operations_health_collect_analyze_ops_metrics.md) : la collecte centralisée des métriques d'opérations est nécessaire pour créer des alertes.
+ [OPS09-BP04 Établir des références pour les métriques des opérations](ops_operations_health_ops_metric_baselines.md) : les métriques d'opérations permettent d'ajuster les alertes et d'éviter la lassitude liée à ces dernières.
+ [OPS09-BP05 Découvrir les modèles d'activité attendus pour les opérations](ops_operations_health_learn_ops_usage_patterns.md) : vous pouvez améliorer la précision de vos alertes en comprenant les modèles d'activité pour les événements liés aux opérations.
+ [OPS09-BP08 Confirmer la réalisation des résultats et l'efficacité des KPI et des métriques](ops_operations_health_biz_level_view_ops.md) : évaluez la réalisation des résultats d'opérations afin de vous assurer que vos KPI et vos métriques sont valides.
+ [OPS10-BP02 Disposer d'un processus par alerte](ops_event_response_process_per_alert.md) : chaque alerte doit être associée à un runbook ou un playbook et indiquer le contexte pour la personne alertée.
+ [OPS11-BP02 Effectuer une analyse post-incident](ops_evolve_ops_perform_rca_process.md) : effectuez une analyse après l'incident afin d'identifier les points à améliorer.
**Documents connexes :**
+ [AWS Deployment Pipelines Reference Architecture: Application Pipeline Architecture](https://pipelines.devops.aws.dev/application-pipeline/)
+ [GitLab: Getting Started with Agile / DevOps Metrics](https://about.gitlab.com/handbook/marketing/strategic-marketing/devops-metrics/)
**Vidéos connexes :**
+ [Aggregate and Resolve Operational Issues Using AWS Systems Manager OpsCenter](https://www.youtube.com/watch?v=r6ilQdxLcqY)
+ [Integrate AWS Systems Manager OpsCenter with Amazon CloudWatch Alarms](https://www.youtube.com/watch?v=Gpc7a5kVakI)
+ [Integrate Your Data Sources into AWS Systems Manager OpsCenter Using Amazon EventBridge](https://www.youtube.com/watch?v=Xmmu5mMsq3c)
**Exemples connexes :**
+ [Automate remediation actions for Amazon EC2 notifications and beyond using Amazon EC2 Systems Manager Automation and AWS Health](https://aws.amazon.com/blogs/mt/automate-remediation-actions-for-amazon-ec2-notifications-and-beyond-using-ec2-systems-manager-automation-and-aws-health/)
+ [AWS Management and Governance Tools Workshop - Operations 2022](https://mng.workshop.aws/operations-2022.html)
+ [Ingesting, analyzing, and visualizing metrics with DevOps Monitoring Dashboard on AWS](https://docs.aws.amazon.com/solutions/latest/devops-monitoring-dashboard-on-aws/welcome.html)
**Services associés :**
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ [Support Proactive Services - Operations KPI Workshop](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/#Operational_Workshops_and_Deep_Dives)
+ [AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html)
+ [CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
# OPS09-BP07 Signaler la détection d'anomalies dans les opérations
Déclenchez une alerte quand des anomalies sont détectées dans les opérations, afin de pouvoir répondre de manière appropriée si nécessaire.
L'analyse de vos métriques opérationnelles au fil du temps peut permettre d'établir des schémas de comportement que vous pouvez quantifier assez précisément pour définir un événement ou déclencher une alarme en réponse.
Une fois entraînée, la fonctionnalité [fonctionnalité de détection des anomalies CloudWatch,](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) peut être utilisée pour [donner l'alerte](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) sur les anomalies détectées ou peut fournir des valeurs attendues superposées sur un [graphique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_a_metric.html#create-metric-graph) de données de métriques pour une comparaison continue.
[Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html) peut être utilisé pour identifier un comportement anormal grâce à la corrélation des événements, à l'analyse des journaux et à l'application du machine learning pour analyser la télémétrie de votre charge de travail. La [insights](https://docs.aws.amazon.com/devops-guru/latest/userguide/understanding-insights-console.html) générés sont présentés avec les données et les recommandations pertinentes.
**Anti-modèles courants :**
+ Vous appliquez un correctif à votre flotte d'instances. Vous avez testé le correctif avec succès dans l'environnement de test. Le correctif échoue pour un pourcentage élevé d'instances de votre flotte. Vous ne faites rien.
+ Vous notez que des déploiements sont prévus à partir de vendredi en fin journée. Votre organisation a des fenêtres de maintenance prédéfinies les mardis et jeudis. Vous ne faites rien.
**Avantages liés au respect de cette bonne pratique :** En comprenant les modèles de comportement des opérations, vous pouvez identifier les comportements inattendus et prendre des mesures si nécessaire.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Signaler la détection d'anomalies dans les opérations : déclenchez une alerte lorsque des anomalies d'opération sont détectées afin de pouvoir réagir de manière appropriée si nécessaire.
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
+ [Création d'alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Appel des fonctions Lambda avec les notifications Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-lambda.html)
## Ressources
**Documents connexes :**
+ [Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)
+ [fonctionnalité de détection des anomalies CloudWatch,](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html)
+ [Création d'alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Détecter les changements d'état du pipeline et réagir en conséquence avec Amazon CloudWatch Events](https://docs.aws.amazon.com/codepipeline/latest/userguide/detect-state-changes-cloudwatch-events.html)
+ [Appel des fonctions Lambda avec les notifications Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-lambda.html)
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
# OPS09-BP08 Confirmer la réalisation des résultats et l'efficacité des KPI et des métriques
Créez une vue des activités des opérations au niveau de l'entreprise pour vous aider à déterminer si vous répondez aux besoins et permettre d'identifier les domaines ayant besoin d'être améliorés pour atteindre les objectifs commerciaux. Validez l'efficacité des KPI et des métriques et vérifiez-les si nécessaire.
AWS prend également en charge des systèmes d'analyse de journaux et des outils d'informatique décisionnelle tiers via les API de service AWS et les kits SDK (par exemple, Grafana, Kibana et Logstash).
**Anti-modèles courants :**
+ La fréquence de vos déploiements a augmenté avec l'augmentation du nombre d'équipes de développement. Le nombre de déploiements attendu est défini une fois par semaine. Vous déployez régulièrement tous les jours. Lorsqu'il existe un problème lié au système de déploiement et que les déploiements sont impossibles, la situation n’est pas détectée pendant plusieurs jours.
+ Lorsque votre entreprise ne fournissait auparavant un support que pendant les heures de bureau du lundi au vendredi. Votre objectif de temps de réponse pour les incidents est le jour ouvré suivant. Récemment, vous avez commencé à proposer un support 24h/24, 7j/7 avec un objectif de temps de réponse de deux heures. Votre personnel de nuit est débordé et les clients sont mécontents. Rien n'indique qu'il existe un problème au niveau des délais d'intervention en cas d'incident puisque vous fonctionnez sur la base du jour ouvré suivant.
**Avantages liés au respect de cette bonne pratique :** En examinant et en vérifiant les KPI et les métriques, vous comprenez comment votre charge de travail soutient la réalisation de des résultats commerciaux, et vous pouvez identifier les points à améliorer pour atteindre les objectifs commerciaux.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Confirmer la réalisation des résultats et l'efficacité des KPI et des métriques : créez une vue à l'échelle de l'entreprise des activités opérationnelles pour vous aider à déterminer si vous répondez à vos besoins et identifier les domaines qui doivent être améliorés pour atteindre vos objectifs métier. Validez l'efficacité des KPI et des métriques et vérifiez-les si nécessaire.
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ [Qu'est-ce que l'analytique des journaux ?](https://aws.amazon.com/log-analytics/)
## Ressources
**Documents connexes :**
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ [Qu'est-ce que l'analytique des journaux ?](https://aws.amazon.com/log-analytics/)
# OPS 10 Comment gérer les événements relatifs à la charge de travail et aux opérations ?
Préparez et validez des procédures de réponse aux événements afin de réduire leur effet disruptif sur votre charge de travail.
**Topics**
+ [OPS10-BP01 Utiliser un processus pour la gestion des événements, des incidents et des problèmes](ops_event_response_event_incident_problem_process.md)
+ [OPS10-BP02 Disposer d'un processus par alerte](ops_event_response_process_per_alert.md)
+ [OPS10-BP03 Hiérarchiser les événements opérationnels en fonction de leur impact sur l'activité](ops_event_response_prioritize_events.md)
+ [OPS10-BP04 Définir l'acheminement hiérarchique](ops_event_response_define_escalation_paths.md)
+ [OPS10-BP05 Définissez un plan de communication avec les clients en cas d'interruption de service](ops_event_response_push_notify.md)
+ [OPS10-BP06 Communiquer l'état grâce aux tableaux de bord](ops_event_response_dashboards.md)
+ [OPS10-BP07 Automatiser les réponses aux événements](ops_event_response_auto_event_response.md)
# OPS10-BP01 Utiliser un processus pour la gestion des événements, des incidents et des problèmes
Votre entreprise dispose de processus pour gérer les événements, les incidents et les problèmes. *Événements* se produisent dans votre charge de travail, mais ne nécessitent pas d'intervention. *Les incidents* sont des événements qui nécessitent une intervention. *Les problèmes* sont des événements récurrents qui nécessitent une intervention ou ne peuvent pas être résolus. Vous avez besoin de processus pour réduire l'impact de ces événements sur votre entreprise et répondre de manière adaptée.
Lorsque des incidents et des problèmes se produisent dans votre charge de travail, vous avez besoin de processus pour les gérer. Comment communiquer le statut de l'événement aux parties prenantes ? Qui supervise l'intervention ? Quels sont les outils à utiliser pour réduire l'impact de ces événements ? Voici des exemples de questions auxquelles vous devez répondre pour renforcer votre processus de réponse.
Les processus doivent être documentés dans un emplacement central et accessible à toute personne impliquée dans votre charge de travail. Si vous ne disposez pas d'un wiki central ou d'un magasin de documents, un référentiel de contrôle de version peut être utilisé. Vous devez garder ces plans à jour à mesure que vos processus évoluent.
Les problèmes sont de parfaits candidats à l'automatisation. Ces événements empiètent sur votre temps passé à innover. Commencez par créer un processus reproductible pour réduire l'impact du problème. Avec le temps, concentrez-vous sur l'automatisation de la réduction ou de la résolution du problème sous-jacent. Cela permet de libérer du temps pour vous consacrer à l'amélioration de votre charge de travail.
**Résultat souhaité :** Votre entreprise dispose d'un processus pour gérer les événements, les incidents et les problèmes. Ces processus sont documentés et stockés dans un emplacement central. Ils sont mis à jour à mesure que les processus évoluent.
**Anti-modèles courants :**
+ Un incident se produit pendant le week-end et l'ingénieur de garde ne sait pas quoi faire.
+ Un client vous envoie un e-mail pour vous informer que l'application ne fonctionne plus. Vous redémarrez le serveur pour résoudre le problème. Cela arrive fréquemment.
+ Un incident se produit et plusieurs équipes travaillent indépendamment pour essayer de le résoudre.
+ Des déploiements se produisent dans votre charge de travail sans être enregistrés.
**Avantages liés au respect de cette bonne pratique :**
+ Vous disposez d'une piste d'audit des événements dans votre charge de travail.
+ Votre temps de récupération après un incident diminue.
+ Les membres de l'équipe peuvent résoudre des incidents et des problèmes de manière cohérente.
+ L'effort est plus consolidé lorsqu'on enquête sur un incident.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
L'implémentation de cette bonne pratique signifie que vous suivez les événements de charge de travail. Vous disposez de processus pour gérer les incidents et les problèmes. Les processus sont documentés, partagés et mis à jour fréquemment. Les problèmes sont identifiés, hiérarchisés et résolus.
**Exemple client**
Une partie du wiki interne d'AnyCompany Retail est consacrée au processus pour la gestion de l'événement, de l'incident et du problème. Tous les événements sont envoyés à [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html). Les problèmes sont identifiés en tant qu'OpsItems dans [AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html) et hiérarchisés pour être résolus, ce qui réduit la main d'œuvre indifférenciée. À mesure que les processus évoluent, ils sont mis à jour dans son wiki interne. L'entreprise utilise [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) pour gérer les incidents et coordonner les efforts de réduction de l'impact des événements.
## Étapes d'implémentation
1. Événements
+ Suivez les événements qui se produisent dans votre charge de travail, même si aucune intervention humaine n'est requise.
+ Collaborez avec les parties prenantes de la charge de travail pour développer une liste des événements devant être suivis. Certains exemples sont des déploiements terminés ou des correctifs réussis.
+ Vous pouvez utiliser des services comme [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ou [Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) pour générer des événements personnalisés pour le suivi.
1. Les incidents
+ Commencez par définir le plan de communication pour les incidents. Quelles parties prenantes doivent être informées ? Comment les tiendrez-vous informées ? Qui supervise les efforts de coordination ? Nous recommandons de mettre en place un canal de chat interne pour la communication et la coordination.
+ Définissez les chemins de remontée pour les équipes prenant en charge votre charge de travail, notamment si l'équipe n'a pas de système de rotation de garde. Selon votre niveau de prise en charge, vous pouvez également créer un ticket avec Support.
+ Créez un playbook pour enquêter sur l'incident. Il doit inclure le plan de communication et les étapes détaillées de l'enquête. Incluez la vérification du [Tableau de bord AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) dans votre enquête.
+ Documentez votre plan de réponse aux incidents. Communiquez le plan de gestion des incidents afin que les clients internes et externes comprennent les règles d'engagement et ce qu'on attend d'eux. Entraînez les membres de votre équipe à l'utiliser.
+ Les clients peuvent utiliser [Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) pour configurer et gérer leur plan de réponse aux incidents.
+ Les clients ayant un plan de support Business peuvent demander l' [atelier Gestion des incidents](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/#Operational_Workshops_and_Deep_Dives) auprès de leur gestionnaire de compte technique. Cet atelier guidé teste votre plan de réponse aux incidents existant et vous aide à identifier les domaines à améliorer.
1. Problèmes
+ Les problèmes doivent être identifiés et suivis dans votre système ITSM.
+ Identifiez tous les problèmes connus et hiérarchisez-les par effort de résolution et impact sur la charge de travail.
![\[Matrice de priorité d'action pour hiérarchiser les problèmes.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/impact-effort-chart.png)
+ Résolvez d'abord les problèmes ayant un impact élevé et un effort faible. Une fois ces problèmes résolus, passez à ceux ayant un impact faible et un effort faible.
+ Vous pouvez utiliser [Systems Manager OpsCenter](systems-manager/latest/userguide/OpsCenter.html) pour identifier ces problèmes, leur attacher des runbooks et les suivre.
**Niveau d'effort du plan d'implémentation :** moyen. Vous avez besoin d'un processus et d'outils pour implémenter cette bonne pratique. Documentez vos processus et rendez-les accessibles à toute personne associée à la charge de travail. Mettez-les à jour fréquemment. Vous disposez d'un processus pour gérer les problèmes et les réduire ou les résoudre.
## Ressources
**Bonnes pratiques associées :**
+ [OPS07-BP03 Utiliser des runbooks pour effectuer des procédures](ops_ready_to_support_use_runbooks.md) : les problèmes connus ont besoin d'un runbook associé pour que les efforts de réduction de l'impact soient cohérents.
+ [OPS07-BP04 Utiliser des playbooks pour analyser les problèmes](ops_ready_to_support_use_playbooks.md) : les incidents doivent faire l'objet d'une enquête en utilisant des playbooks.
+ [OPS11-BP02 Effectuer une analyse post-incident](ops_evolve_ops_perform_rca_process.md) : procédez toujours à une analyse à froid suite à une reprise après un incident.
**Documents connexes :**
+ [Atlassian : gestion des incidents à l'âge du DevOps](https://www.atlassian.com/incident-management/devops)
+ [Guide des réponses aux incidents de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [Gestion des incidents à l'âge du DevOps et de SRE](https://www.infoq.com/presentations/incident-management-devops-sre/)
+ [PagerDuty : qu'est-ce que la gestion des incidents ?](https://www.pagerduty.com/resources/learn/what-is-incident-management/)
**Vidéos connexes :**
+ [AWS re:Invent 2020: Incident management in a distributed organization](https://www.youtube.com/watch?v=tyS1YDhMVos)
+ [AWS re:Invent 2021 - Building next-gen applications with event-driven architectures](https://www.youtube.com/watch?v=U5GZNt0iMZY)
+ [AWS Supports You \$1 Exploring the Incident Management Tabletop Exercise](https://www.youtube.com/watch?v=0m8sGDx-pRM)
+ [AWS Systems Manager Incident Manager : ateliers virtuels AWS](https://www.youtube.com/watch?v=KNOc0DxuBSY)
+ [AWS What's Next ft. Incident Manager \$1 Événements AWS](https://www.youtube.com/watch?v=uZL-z7cII3k)
**Exemples connexes :**
+ [Atelier Outils de gestion et de gouvernance AWS : OpsCenter](https://mng.workshop.aws/ssm/capability_hands-on_labs/opscenter.html)
+ [Services proactifs AWS : atelier de gestion des incidents](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/#Operational_Workshops_and_Deep_Dives)
+ [Création d'une application gérée par les événements avec Amazon EventBridge](https://aws.amazon.com/blogs/compute/building-an-event-driven-application-with-amazon-eventbridge/)
+ [Création d'architectures gérées par les événements sur AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/63320e83-6abc-493d-83d8-f822584fb3cb/en-US/)
**Services associés :**
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
+ [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
+ [Tableau de bord AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html)
# OPS10-BP02 Disposer d'un processus par alerte
Répondez de manière bien définie (un runbook ou un playbook), avec un responsable spécifiquement identifié, à tout événement pour lequel vous déclenchez une alerte. Cela permet de répondre efficacement et rapidement aux événements liés aux opérations et d'éviter que les événements donnant lieu à une action ne soient occultés par des notifications de moindre valeur.
**Anti-modèles courants :**
+ Votre système de surveillance vous présente un flux de connexions approuvées et d'autres messages. Le volume des messages est si important que vous manquez des messages d'erreur réguliers qui nécessitent votre intervention.
+ Vous recevez une alerte indiquant que le site Web est en panne. Il n'existe aucun processus défini lorsque cela se produit. Vous êtes contraint d'adopter une approche ponctuelle pour diagnostiquer et résoudre le problème. Le développement de ce processus au fur et à mesure allonge le délai de reprise.
**Avantages liés au respect de cette bonne pratique :** En n'envoyant une alerte que lorsqu'une action est nécessaire, vous évitez que des alertes de faible importance ne dissimulent des alertes plus importantes. En ayant un processus en place pour toutes les alertes nécessitant une action, vous permettez une réponse cohérente et rapide aux événements dans votre environnement.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Processus par alerte : tout événement pour lequel vous déclenchez une alerte doit avoir une réponse bien définie (un runbook ou un playbook) avec un responsable spécifiquement identifié (par exemple, une personne, une équipe ou un rôle), garant du bon déroulement du processus. L’intervention peut être automatisée ou effectuée par une autre équipe, mais le responsable doit veiller à ce que le processus transmette les résultats attendus. En disposant de ces processus, vous garantissez des réponses efficaces et rapides aux événements opérationnels et vous pouvez empêcher que les événements concrets soient masqués par des notifications moins importantes. Par exemple, la mise à l'échelle automatique pourrait être appliquée pour mettre à l'échelle un front-end Web, mais l'équipe des opérations pourrait être responsable de s'assurer que les règles et les limites de mise à l'échelle automatique sont appropriées aux besoins de la charge de travail.
## Ressources
**Documents connexes :**
+ [Fonctionnalités d'Amazon CloudWatch](https://aws.amazon.com/cloudwatch/features/)
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
**Vidéos connexes :**
+ [Élaborer un plan de surveillance](https://www.youtube.com/watch?v=OMmiGETJpfU)
# OPS10-BP03 Hiérarchiser les événements opérationnels en fonction de leur impact sur l'activité
Assurez-vous que, lorsque plusieurs événements nécessitent une intervention, les plus importants pour l’activité sont traités en premier. Les impacts peuvent inclure la mort ou une blessure, une perte financière ou l'atteinte à la réputation ou à la confiance.
**Anti-modèles courants :**
+ Vous recevez une demande de support pour ajouter une configuration d'imprimante pour un utilisateur. Alors que vous travaillez sur le problème, vous recevez une demande de support indiquant que votre site de vente au détail est en panne. Après avoir terminé la configuration de l'imprimante pour votre utilisateur, vous commencez à travailler sur le problème du site Web.
+ Vous êtes averti que votre site Web de vente au détail et votre système de paie sont en panne. Vous ne savez pas auquel des deux vous devez accorder la priorité.
**Avantages liés au respect de cette bonne pratique :** La priorisation des réponses aux incidents ayant le plus grand impact sur l'entreprise vous permet de gérer cet impact.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Hiérarchiser les événements opérationnels en fonction de leur impact sur l'activité : établissez la priorité des événements en fonction de l'impact métier pour vous assurer que, lorsque plusieurs événements nécessitent une intervention, les plus importants pour l'activité sont traités en premier. Les impacts peuvent inclure un décès ou une blessure, des pertes financières, des violations réglementaires ou une atteinte à la réputation ou à la confiance.
# OPS10-BP04 Définir l'acheminement hiérarchique
Définissez l'acheminement hiérarchique dans vos runbooks et playbooks, y compris ce qui le déclenche et les procédures qui le régissent. Identifiez spécifiquement les propriétaires de chaque action afin de garantir des réponses efficaces et rapides aux événements liés aux opérations.
Déterminez quand une décision humaine est nécessaire avant d'effectuer une action. Collaborez avec les décideurs pour que cette décision soit prise à l'avance et que l'action soit préapprouvée, afin que le temps moyen de résolution ne soit pas étendu.
**Anti-modèles courants :**
+ Votre site de vente au détail est en panne. Vous ne comprenez pas le runbook pour restaurer le site. Vous commencez à appeler vos collègues en espérant que quelqu'un sera en mesure de vous aider.
+ Vous recevez une demande de support pour une application inaccessible. Vous n'êtes pas autorisé à administrer le système. Vous ne savez pas qui le fait. Vous essayez de contacter le propriétaire du système qui a ouvert le dossier et il ne répond pas. Vous n'avez aucun contact pour le système et vos collègues ne le connaissent pas.
**Avantages liés au respect de cette bonne pratique :** En définissant des remontées, des déclencheurs de remontée et des procédures de remontée, vous permettez l'ajout systématique de ressources à un incident à un rythme adapté à l'impact.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Définir l'acheminement hiérarchique : définissez des chemins hiérarchiques dans vos runbooks et playbooks, y compris ce qui les déclenche et les procédures qui régissent cet acheminement. Par exemple, l'acheminement hiérarchique d'un problème des ingénieurs support aux ingénieurs support seniors lorsque les runbooks ne peuvent pas résoudre le problème, ou lorsqu'un laps de temps prédéfini s'est écoulé. Un autre exemple d'acheminement hiérarchique approprié est l'acheminement des ingénieurs support seniors à l'équipe de développement pour une charge de travail lorsque les playbooks ne sont pas en mesure d'identifier une méthode de correction, ou lorsqu'un laps de temps prédéfini s'est écoulé. Identifiez spécifiquement les propriétaires de chaque action afin de garantir des réponses efficaces et rapides aux événements liés aux opérations. Les acheminements hiérarchiques peuvent inclure des tiers. Par exemple, un fournisseur de connectivité réseau ou un fournisseur de logiciels. Les acheminements hiérarchiques peuvent inclure des décideurs autorisés identifiés pour les systèmes impactés.
# OPS10-BP05 Définissez un plan de communication avec les clients en cas d'interruption de service
Définissez et testez un plan fiable de communication pour les pannes système pour tenir vos clients et vos parties prenantes informés pendant les pannes. Communiquez directement avec vos utilisateurs lorsque les services qu'ils utilisent sont touchés et lorsqu'ils reviennent à la normale.
**Résultat souhaité :**
+ Vous disposez d'un plan de communication pour les situations allant de la maintenance programmée aux grandes pannes imprévues, y compris l'appel de plans de reprise après sinistre.
+ Dans vos communications, vous fournissez des informations claires et transparentes sur les problèmes liés aux systèmes afin d'aider les clients à ne pas douter des performances de leurs systèmes.
+ Vous utilisez des messages d'erreur personnalisés et des pages d'état pour réduire le pic des demandes au service d'assistance et tenir les utilisateurs informés.
+ Le plan de communication est régulièrement testé pour vérifier qu'il fonctionnera comme prévu en cas de panne réelle.
**Anti-modèles courants :**
+ Une interruption de la charge de travail survient mais vous n'avez aucun plan de communication. Les utilisateurs inondent votre système de tickets (TT) de demandes parce qu'ils n'ont aucune information sur la panne.
+ Vous envoyez un e-mail de notification à vos utilisateurs pendant une panne. Il ne contient pas de calendrier de rétablissement du service, de sorte que les utilisateurs ne peuvent pas planifier en fonction de la panne.
+ Il existe un plan de communication pour les pannes, mais il n'a jamais été testé. Une panne survient et le plan de communication échoue parce qu'une étape critique a été omise, alors qu'elle aurait pu être détectée lors des tests.
+ Pendant une panne, vous envoyez une notification aux utilisateurs contenant trop de détails techniques et d'informations appartenant à votre accord de confidentialité AWS.
**Avantages liés au respect de cette bonne pratique :**
+ Le maintien de la communication pendant les pannes garantit que les clients sont informés de l'état d'avancement des problèmes et du temps estimé pour les résoudre.
+ L'élaboration d'un plan de communication bien défini permet de vérifier que vos clients et utilisateurs finaux sont bien informés afin qu'ils puissent prendre les mesures supplémentaires nécessaires pour atténuer l'impact des pannes.
+ Grâce à une communication adéquate et à une sensibilisation accrue aux interruptions planifiées et non planifiées, vous pouvez améliorer la satisfaction des clients, limiter les réactions involontaires et favoriser la fidélisation des clients.
+ Une communication opportune et transparente sur les pannes de système permet d'instaurer la confiance nécessaire au maintien des relations entre vous et vos clients.
+ Une stratégie de communication éprouvée lors d'une panne ou d'une crise réduit les spéculations et les commérages qui pourraient entraver votre capacité de récupération.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Les plans de communication qui permettent de tenir vos clients informés pendant les pannes sont complets et couvrent plusieurs interfaces, notamment les pages d'erreur destinées aux clients, les messages d'erreur API personnalisés, les bannières d'état du système et les pages d'état de santé. Si votre système comprend des utilisateurs enregistrés, vous pouvez communiquer via des canaux de messagerie tels que l'e-mail, les SMS ou les notifications push pour envoyer des messages personnalisés à vos clients.
**Outils de communication avec les clients**
En guise de première ligne de défense, les applications web et mobiles doivent fournir des messages d'erreur conviviaux et informatifs pendant une panne et avoir la possibilité de rediriger le trafic vers une page d'état.[Amazon CloudFront](https://aws.amazon.com/cloudfront/) est un réseau de diffusion de contenu (CDN) entièrement géré qui permet de définir et de diffuser un contenu d'erreur personnalisé. Les pages d'erreur personnalisées dans CloudFront constituent une bonne première couche de messagerie client pour les pannes au niveau des composants. CloudFront peut également simplifier la gestion et l'activation d'une page d'état pour intercepter toutes les demandes pendant les pannes planifiées ou non.
Les messages d'erreur d'API personnalisés peuvent aider à détecter et à réduire l'impact lorsque les pannes sont limitées à des services distincts. [Amazon API Gateway](https://aws.amazon.com/api-gateway/) vous permet de configurer des réponses personnalisées pour vos API REST. Cela vous permet de fournir des messages clairs et pertinents aux consommateurs d'API lorsque API Gateway n'est pas en mesure d'atteindre les services dorsaux. Les messages personnalisés peuvent également être utilisés pour prendre en charge le contenu des bannières d'interruption de service et les notifications lorsqu'une fonctionnalité particulière du système est dégradée en raison d'interruptions de service.
La messagerie directe est le type de messagerie client le plus personnalisé. [Amazon Pinpoint](https://aws.amazon.com/pinpoint/) est un service géré pour des communications multicanales évolutives. Amazon Pinpoint vous permet de créer des campagnes qui peuvent diffuser des messages à grande échelle dans votre base de clients affectés par SMS, e-mail, voix, notifications push, ou des canaux personnalisés que vous définissez. Lorsque vous gérez la messagerie avec Amazon Pinpoint, les campagnes de messages sont bien définies, testables et peuvent être appliquées intelligemment à des segments de clientèle ciblés. Une fois établies, les campagnes peuvent être programmées ou déclenchées par des événements et elles peuvent facilement être testées.
**Exemple de client**
Lorsque la charge de travail est réduite, AnyCompany Retail envoie un e-mail de notification à ses utilisateurs. L'e-mail décrit les fonctionnalités de l'entreprise qui ont été affectées et donne une estimation réaliste de la date à laquelle le service sera rétabli. En outre, la société dispose d'une page d'état qui affiche des informations en temps réel sur l'état de sa charge de travail. Le plan de communication est testé dans un environnement de développement deux fois par an pour valider son efficacité.
**Étapes d'implémentation**
1. Déterminez les canaux de communication pour votre stratégie de messagerie. Tenez compte des aspects architecturaux de votre application et déterminez la meilleure stratégie pour fournir des commentaires à vos clients. Il peut s'agir d'une ou plusieurs des stratégies d'orientation décrites, notamment les pages d'erreur et d'état, les réponses personnalisées aux erreurs de l'API ou la messagerie directe.
1. Concevez des pages d'état pour votre application. Si vous avez déterminé que les pages d'état ou les pages d'erreur personnalisées conviennent à vos clients, vous devrez concevoir votre contenu et votre message pour ces pages. Les pages d'erreur expliquent aux utilisateurs pourquoi une application n'est pas disponible, quand elle pourrait le redevenir et ce qu'ils peuvent faire entre-temps. Si votre application utilise Amazon CloudFront, vous pouvez envoyer des [réponses d'erreur personnalisées](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) ou utiliser Lambda en périphérie pour [traduire les erreurs](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html#lambda-examples-update-error-status-examples) et réécrire le contenu des pages. CloudFront permet également d'échanger les destinations du contenu de votre application contre une origine de contenu [Amazon S3](https://aws.amazon.com/s3/) statique contenant votre page d'état de maintenance ou d'interruption.
1. Concevez l'ensemble correct de statuts d'erreur API pour votre service. Les messages d'erreur produits par API Gateway lorsqu'il ne peut pas atteindre les services dorsaux, ainsi que les exceptions du niveau de service, peuvent ne pas contenir de messages conviviaux adaptés aux utilisateurs finaux. Sans avoir à modifier le code de vos services dorsaux, vous pouvez configurer des [réponses d'erreur personnalisées](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html) API Gateway afin de faire correspondre les codes de réponse HTTP aux messages d'erreur de l'API.
1. Concevez les messages dans une optique commerciale afin qu'ils soient pertinents pour les utilisateurs finaux de votre système et ne contiennent pas de détails techniques. Tenez compte de votre public et alignez vos messages. Par exemple, vous pouvez orienter les utilisateurs internes vers une solution de contournement ou un processus manuel qui s'appuie sur d'autres systèmes. Les utilisateurs externes peuvent être invités à attendre que le système soit rétabli ou à s'inscrire aux mises à jour pour recevoir une notification lorsque le système sera rétabli. Définissez les messages approuvés pour de multiples scénarios, y compris les pannes inattendues, la maintenance planifiée et les pannes partielles du système où une fonction particulière peut être dégradée ou indisponible.
1. Modélisez et automatisez vos messages destinés aux clients. Une fois que vous avez préparé le contenu de votre message, vous pouvez utiliser [Amazon Pinpoint](https://docs.aws.amazon.com/pinpoint/latest/developerguide/welcome.html) ou d'autres outils pour automatiser votre campagne de messagerie. Avec Amazon Pinpoint, vous pouvez créer des segments cibles pour les utilisateurs concernés et transformer les messages en modèles. Consultez le [tutoriel Amazon Pinpoint](https://docs.aws.amazon.com/pinpoint/latest/developerguide/tutorials.html) pour comprendre comment configurer une campagne de messagerie.
1. Évitez de fortement coupler les capacités de messagerie à votre système de contact avec la clientèle. Votre stratégie de messagerie ne doit pas avoir de dépendance stricte vis-à-vis des magasins de données ou des services du système pour vérifier que vous pouvez envoyer des messages en cas de panne. Envisagez de créer la possibilité d'envoyer des messages à partir de plus d'[une zone de disponibilité ou d'une région](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html) pour la disponibilité de la messagerie. Si vous utilisez des services AWS pour envoyer des messages, privilégiez les opérations du plan de données à celles du [plan de contrôle](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_withstand_component_failures_avoid_control_plane.html) pour appeler votre messagerie.
**Niveau d'effort du plan d'implémentation :** élevé. L'élaboration d'un plan de communication, et des mécanismes pour l'envoyer, peut demander un effort important.
## Ressources
**Bonnes pratiques associées :**
+ [OPS07-BP03 Utiliser des runbooks pour effectuer des procédures](ops_ready_to_support_use_runbooks.md) - Votre plan de communication doit être associé à un cahier des charges afin que votre personnel sache comment réagir.
+ [OPS11-BP02 Effectuer une analyse post-incident](ops_evolve_ops_perform_rca_process.md) - Après une panne, effectuez une analyse post-incident pour identifier les mécanismes permettant d'éviter une nouvelle panne.
**Documents connexes :**
+ [ Modèles de gestion des erreurs dans Amazon API Gateway et AWS Lambda](https://aws.amazon.com/blogs/compute/error-handling-patterns-in-amazon-api-gateway-and-aws-lambda/)
+ [ Réponses Amazon API Gateway ](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html#supported-gateway-response-types)
**Exemples connexes :**
+ [ Tableau de bord AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health-dashboard/)
+ [ Summary of the AWS Service Event in the Northern Virginia (US-EAST-1) Region ](https://aws.amazon.com/message/12721/) [Résumé de l'événement de service AWS dans la région de Virginie du Nord (US-EAST-1)]
**Services associés :**
+ [AWS Support](https://aws.amazon.com/premiumsupport/)
+ [ Contrat Client AWS](https://aws.amazon.com/agreement/)
+ [Amazon CloudFront](https://aws.amazon.com/cloudfront/)
+ [Amazon API Gateway](https://aws.amazon.com/api-gateway/)
+ [Amazon Pinpoint](https://aws.amazon.com/pinpoint/)
+ [Amazon S3](https://aws.amazon.com/s3/)
# OPS10-BP06 Communiquer l'état grâce aux tableaux de bord
Fournissez des tableaux de bord adaptés à leurs publics cibles (par exemple, équipes techniques internes, dirigeants et clients) pour communiquer l'état de fonctionnement actuel de l'entreprise et fournir des métriques d'intérêt.
Vous pouvez créer des [tableaux de bord Amazon CloudWatch](https://aws.amazon.com/blogs/aws/cloudwatch-dashboards-create-use-customized-metrics-views/) sur les pages d'accueil personnalisables de la console CloudWatch. Grâce aux services d'informatique décisionnelle tels que [Quick](https://aws.amazon.com/quicksight/) vous pouvez créer et publier des tableaux de bord interactifs de votre charge de travail et de votre état opérationnel (par exemple, les taux de commande, les utilisateurs connectés et les heures de transaction). Créez des tableaux de bord qui présentent des affichages de vos métriques au niveau du système et de l'entreprise.
**Anti-modèles courants :**
+ Sur demande, vous exécutez un rapport sur l'utilisation actuelle de votre application pour la gestion.
+ Lors d'un incident, vous êtes contacté toutes les 20 minutes par un propriétaire de système concerné qui souhaite savoir si le problème est résolu.
**Avantages liés au respect de cette bonne pratique :** En créant des tableaux de bord, vous autorisez un accès en libre-service aux informations permettant à vos clients de s'informer et de déterminer s'ils doivent prendre des mesures.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Communiquer l'état grâce aux tableaux de bord : créez des tableaux de bord adaptés à leurs groupes cibles (par exemple, les équipes techniques internes, la direction et les clients) pour communiquer l'état d'exploitation actuel de l'entreprise et pour fournir des indicateurs d'intérêt. Fournir une option en libre-service pour les informations d'état réduit l'impact disruptif lié aux demandes d'état de la part de l'équipe opérationnelle. Citons, par exemple, les tableaux de bord Amazon CloudWatch et Tableau de bord AWS Health.
+ [Les tableaux de bord CloudWatch créent et utilisent des vues de métriques personnalisées](https://aws.amazon.com/blogs/aws/cloudwatch-dashboards-create-use-customized-metrics-views/)
## Ressources
**Documents connexes :**
+ [Quick](https://aws.amazon.com/quicksight/)
+ [Les tableaux de bord CloudWatch créent et utilisent des vues de métriques personnalisées](https://aws.amazon.com/blogs/aws/cloudwatch-dashboards-create-use-customized-metrics-views/)
# OPS10-BP07 Automatiser les réponses aux événements
Automatisez les réponses aux événements pour réduire les erreurs causées par les processus manuels, et pour garantir des réponses rapides et cohérentes.
Il existe plusieurs façons d'automatiser les actions de runbooks et de playbooks sur AWS. Pour répondre à un événement à partir d'un changement d'état dans vos ressources AWS, ou à partir de vos propres événements personnalisés, vous devez créer [des règles CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) afin de déclencher des réponses via les cibles CloudWatch (par exemple, les fonctionsLambda, les rubriques Amazon Simple Notification Service (Amazon SNS), les tâches Amazon ECS et AWS Systems Manager Automation).
Pour répondre à une métrique qui dépasse un seuil pour une ressource (par exemple, le temps d'attente), vous devez créer [des alarmes CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) pour effectuer une ou plusieurs actions à l'aide des actions Amazon EC2, des actions Auto Scaling, ou pour envoyer une notification à une rubrique Amazon SNS. Si vous avez besoin d'effectuer des actions personnalisées en réponse à une alarme, appelez Lambda par le biais d'une notification Amazon SNS. Utilisez Amazon SNS pour publier des notifications d'événements et des messages de remontée pour que les personnes restent informées.
AWS prend également en charge les systèmes tiers via les API et les kits SDK de service AWS. Il existe divers outils fournis par les partenaires AWS et des tiers qui permettent la surveillance, les notifications et les réponses. Ces outils incluent notamment New Relic, Splunk, Loggly, SumoLogic et Datadog.
Vous devriez maintenir à disposition des procédures manuelles critiques pouvant être utilisées lorsque les procédures automatisées échouent.
**Anti-modèles courants :**
+ Un développeur vérifie son code. Cet événement aurait pu être utilisé pour démarrer une génération, puis effectuer des tests, mais rien ne se passe.
+ Votre application consigne une erreur spécifique avant de cesser de fonctionner. La procédure de redémarrage de l'application est bien comprise et peut être scriptée. Vous pouvez utiliser l'événement de journal pour appeler un script et redémarrer l'application. Au lieu de cela, lorsque l'erreur se produit à 3 h le dimanche matin, vous êtes réveillé en tant que ressource de garde chargée de résoudre le système.
**Avantages liés au respect de cette bonne pratique :** En utilisant des réponses automatisées aux événements, vous réduisez le temps de réponse et limitez l'introduction d'erreurs provenant d'activités manuelles.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Automatiser les réponses aux événements : automatisez les réponses aux événements pour réduire les erreurs causées par les processus manuels, et pour garantir des réponses rapides et cohérentes.
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
+ [Création d'une règle CloudWatch Events qui se déclenche sur un événement](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html)
+ [Création d'une règle CloudWatch Events qui se déclenche sur un appel d'API AWS avec AWS CloudTrail](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html)
+ [Exemples d'événements CloudWatch Events tirés des services pris en charge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/EventTypes.html)
## Ressources
**Documents connexes :**
+ [Fonctionnalités d'Amazon CloudWatch](https://aws.amazon.com/cloudwatch/features/)
+ [Exemples d'événements CloudWatch Events tirés des services pris en charge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/EventTypes.html)
+ [Création d'une règle CloudWatch Events qui se déclenche sur un appel d'API AWS avec AWS CloudTrail](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html)
+ [Création d'une règle CloudWatch Events qui se déclenche sur un événement](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html)
+ [Qu'est-ce que Amazon CloudWatch Events ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)
**Vidéos connexes :**
+ [Élaborer un plan de surveillance](https://www.youtube.com/watch?v=OMmiGETJpfU)
**Exemples connexes :**
# Évolution
**Topics**
+ [OPS 11 Comment faire évoluer vos opérations ?](ops-11.md)
# OPS 11 Comment faire évoluer vos opérations ?
Consacrez du temps et des ressources à l'amélioration incrémentielle continue pour contribuer à l'évolution de l'efficacité et de l'efficience de vos opérations.
**Topics**
+ [OPS11-BP01 Définir un processus d'amélioration continue](ops_evolve_ops_process_cont_imp.md)
+ [OPS11-BP02 Effectuer une analyse post-incident](ops_evolve_ops_perform_rca_process.md)
+ [OPS11-BP03 Mettre en œuvre des boucles de rétroaction](ops_evolve_ops_feedback_loops.md)
+ [OPS11-BP04 Gérer les connaissances](ops_evolve_ops_knowledge_management.md)
+ [OPS11-BP05 Définir les facteurs d'amélioration](ops_evolve_ops_drivers_for_imp.md)
+ [OPS11-BP06 Valider les informations](ops_evolve_ops_validate_insights.md)
+ [OPS11-BP07 Examiner les métriques des opérations](ops_evolve_ops_metrics_review.md)
+ [OPS11-BP08 Documenter et partager des enseignements](ops_evolve_ops_share_lessons_learned.md)
+ [OPS11-BP09 Allouer du temps aux améliorations](ops_evolve_ops_allocate_time_for_imp.md)
# OPS11-BP01 Définir un processus d'amélioration continue
Évaluez votre charge de travail par rapport aux bonnes pratiques d'architecture internes et externes. Vérifiez votre charge de travail au moins une fois par an. Priorisez les opportunités d'amélioration dans la cadence de développement de votre logiciel.
**Résultat souhaité :**
+ Vous analysez votre charge de travail par rapport aux bonnes pratiques d'architecture au moins une fois par an.
+ Les opportunités d'amélioration reçoivent la même priorité dans votre processus de développement logiciel.
**Anti-modèles courants :**
+ Vous n'avez pas vérifié l'architecture de votre charge de travail depuis qu'elle a été déployée il y a plusieurs années.
+ Les opportunités d'amélioration reçoivent une priorité moindre et restent dans la liste de suivi.
+ Il n'existe aucune norme pour mettre en œuvre des modifications issues des bonnes pratiques pour l'organisation.
**Avantages liés au respect de cette bonne pratique :**
+ Votre charge de travail est conforme aux bonnes pratiques d'architecture.
+ L'évolution de votre charge de travail est réalisée de manière délibérée.
+ Vous pouvez tirer profit des bonnes pratiques de l'organisation pour améliorer toutes les charges de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Vous vérifiez l'architecture de votre charge de travail au moins une fois par an. Évaluez votre charge de travail et identifier les opportunités d'amélioration grâce aux bonnes pratiques internes et externes. Priorisez les opportunités d'amélioration dans la cadence de développement de votre logiciel.
**Exemple de client**
Toutes les charges de travail d'AnyCompany Retail suivent un processus annuel de vérification de l'architecture. L'entreprise a développé sa propre liste de vérification des bonnes pratiques qui s'appliquent à toutes les charges de travail. Grâce à la fonction Custom Lens d'AWS Well-Architected Tool, elle réalise des vérifications avec l'outil et son filtre personnalisé des bonnes pratiques. Les opportunités d'amélioration générées à partir des vérifications sont prioritaires dans leurs sprints (échéances de vérification) logiciels.
**Étapes d'implémentation**
1. Réalisez des vérifications régulières de l'architecture de votre charge de travail de production au moins une fois par an. Utilisez une norme d'architecture documentée qui comprend des bonnes pratiques spécifiques à AWS.
1. Nous vous recommandons d'utiliser vos propres normes définies en interne pour ces vérifications. Si vous n'avez pas de norme interne, nous vous recommandons d'utiliser le cadre AWS Well-Architected.
1. Vous pouvez utiliser AWS Well-Architected Tool pour créer un filtre personnalisé de vos bonnes pratiques internes et vérifier votre architecture.
1. Les clients peuvent contacter leur architecte de solutions AWS pour réaliser une vérification guidée grâce au cadre Well-Architected de leur charge de travail.
1. Priorisez les opportunités d'amélioration identifiées pendant la vérification au sein de votre processus de développement logiciel.
**Niveau d'effort du plan d'implémentation :** faible. Vous pouvez utiliser le cadre AWS Well-Architected pour réaliser la vérification annuelle de votre architecture.
### Ressources
**Bonnes pratiques associées :**
+ [OPS11-BP02 Effectuer une analyse post-incident](ops_evolve_ops_perform_rca_process.md) : l'analyse post-incident est un autre générateur d'éléments d'amélioration. Ajoutez les leçons apprises à votre liste interne de bonnes pratiques d'architecture.
+ [OPS11-BP08 Documenter et partager des enseignements](ops_evolve_ops_share_lessons_learned.md) : au fur et à mesure que vous développez vos bonnes pratiques d'architecture, partagez-les au sein de votre organisation.
**Documents connexes :**
+ [AWS Well-Architected Tool - Custom lenses ](https://docs.aws.amazon.com/wellarchitected/latest/userguide/lenses-custom.html) (AWS Well-Architected Tool : filtres personnalisés)
+ [AWS Well-Architected Whitepaper : processus de vérification](https://docs.aws.amazon.com/wellarchitected/latest/framework/the-review-process.html)
+ [Customize Well-Architected Reviews using Custom Lenses and the AWS Well-Architected Tool](https://aws.amazon.com/blogs/mt/customize-well-architected-reviews-using-custom-lenses-and-the-aws-well-architected-tool/) (Personnaliser les vérification Well-Architected avec les filtres personnalisés et AWS Well-Architected Tool)
+ [Implementing the AWS Well-Architected Custom Lens lifecycle in your organization](https://aws.amazon.com/blogs/architecture/implementing-the-aws-well-architected-custom-lens-lifecycle-in-your-organization/) (Mise en œuvre du cycle de vie du filtre personnalisé AWS Well-Architected dans votre organisation)
**Vidéos connexes :**
+ [Well-Architected Labs - Level 100: Custom Lenses on AWS Well-Architected Tool](https://www.wellarchitectedlabs.com/well-architectedtool/100_labs/100_custom_lenses_on_watool/) (Ateliers Well-Architected : filtres personnalisés sur AWS Well-Architected Tool)
**Exemples connexes :**
+ [AWS Well-Architected Tool](https://docs.aws.amazon.com/wellarchitected/latest/userguide/intro.html)
# OPS11-BP02 Effectuer une analyse post-incident
Examinez les événements ayant un impact sur les clients, et identifiez les facteurs contributifs et les actions préventives. Utilisez ces informations pour développer des mesures d'atténuation afin de limiter ou d’empêcher la récurrence. Développez des procédures pour fournir des réponses rapides et efficaces. Publiez, le cas échéant, les facteurs adjuvants et les mesures correctives adaptées au public ciblé.
**Anti-modèles courants :**
+ Vous administrez un serveur d'applications. Toutes vos séances actives sont interrompues toutes les 23 heures et 55 minutes environ. Vous avez essayé d'identifier le problème sur votre serveur d'applications. Vous pensez qu'il pourrait s'agir d'un problème de réseau, mais vous ne pouvez pas obtenir la coopération de l'équipe réseau, car elle est trop occupée pour vous aider. Vous n'avez pas de processus prédéfini à suivre pour obtenir de l'aide et collecter les informations nécessaires pour déterminer ce qui se passe.
+ Vous avez subi une perte de données au sein de votre charge de travail. C'est la première fois que cela se produit et la cause n'est pas évidente. Vous décidez que ce n'est pas important, car vous pouvez recréer les données. La perte de données se reproduit plus fréquemment en affectant vos clients. Cela vous impose également une charge opérationnelle supplémentaire lorsque vous restaurez les données manquantes.
**Avantages liés au respect de cette bonne pratique :** Le fait de disposer d'un processus prédéfini pour déterminer les composants, les conditions, les actions et les événements qui ont contribué à un incident vous permet d'identifier les possibilités d'amélioration.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Passez en revue tous les incidents ayant un impact sur le client. Dotez-vous d'un processus pour identifier et documenter les facteurs contributifs d'un incident afin de pouvoir mettre au point des mesures d'atténuation pour limiter ou empêcher la récurrence, et élaborez des procédures pour fournir des réponses rapides et efficaces. Indiquez la cause racine, si nécessaire, de manière appropriée et adaptée aux publics cibles.
# OPS11-BP03 Mettre en œuvre des boucles de rétroaction
Les boucles de rétroaction fournissent des informations exploitables qui orientent la prise de décision. Créez des boucles de rétroaction dans vos procédures et vos charges de travail. Elles vous permettent d'identifier les problèmes et les points à améliorer. Elles valident également les investissements dans les améliorations. Ces boucles de rétroaction sont à la base de l'amélioration continue de votre charge de travail.
Il existe deux catégories de boucles de rétroaction : *les rétroactions immédiates* et *les analyses rétrospectives*. Les rétroactions immédiates sont collectées via l'examen des performances et des résultats des activités opérationnelles. Ces rétroactions proviennent des membres de l'équipe, des clients ou de la sortie automatisée de l'activité. Les rétroactions immédiates proviennent notamment de tests A/B et de la mise à disposition de nouvelles fonctionnalités, et il est essentiel d'échouer rapidement.
Les analyses rétrospectives doivent être effectuées régulièrement pour recueillir des rétroactions concernant l'évaluation des métriques et des résultats opérationnels au fil du temps. Ces analyses rétrospectives se déroulent à la fin d'un sprint, sur une cadence, ou après des versions ou des événements majeurs. Ce type de boucle de rétroaction valide les investissements dans les opérations ou votre charge de travail. Il vous permet de mesurer la réussite et valide votre stratégie.
**Résultat souhaité :** Les rétroactions immédiates et les analyses rétrospectives permettent d'apporter des améliorations. Il existe un mécanisme pour recueillir les rétroactions des utilisateurs et des membres de l'équipe. Les analyses rétrospectives sont utilisées pour déterminer les tendances qui entraînent des améliorations.
**Anti-modèles courants :**
+ Vous lancez une nouvelle fonctionnalité, mais vous n'avez aucun moyen de recevoir les rétroactions des clients à ce sujet.
+ Après avoir investi dans des améliorations opérationnelles, vous n'effectuez pas d'analyse rétrospective pour les valider.
+ Vous recueillez les rétroactions des clients, mais ne les examinez pas régulièrement.
+ Les boucles de rétroaction mènent à des mesures de suivi proposées, mais elles ne sont pas incluses dans le processus de développement de logiciels.
+ Les clients ne reçoivent pas de rétroactions sur les améliorations qu'ils ont proposées.
**Avantages liés au respect de cette bonne pratique :**
+ Vous pouvez travailler à rebours en partant du client pour générer de nouvelles fonctionnalités.
+ Votre culture organisationnelle peut réagir plus rapidement face aux changements.
+ Les tendances sont utilisées afin d'identifier des possibilités d'amélioration.
+ Les analyses rétrospectives valident les investissements effectués dans votre charge de travail et vos opérations.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
L'implémentation de cette bonne pratique signifie que vous utilisez à la fois les rétroactions immédiates et les analyses rétrospectives. Ces boucles de rétroaction stimulent les améliorations. Il existe de nombreux mécanismes de rétroaction immédiate, notamment des enquêtes, des sondages auprès des clients ou des formulaires de rétroaction. Votre organisation utilise également des analyses rétrospectives afin d'identifier les possibilités d'amélioration et de valider les initiatives.
**Exemple client**
AnyCompany Retail a créé un formulaire web via lequel les clients peuvent transmettre une rétroaction ou signaler les problèmes. Au cours du scrum hebdomadaire, les rétroactions des utilisateurs sont évaluées par l'équipe de développement logiciel. Les rétroactions sont régulièrement utilisées pour orienter l'évolution de la plateforme de l'entreprise. Elle effectue une analyse rétrospective à la fin de chaque sprint afin d'identifier les éléments qu'elle souhaite améliorer.
## Étapes d'implémentation
1. Rétroaction immédiate
+ Vous avez besoin d'un mécanisme pour recevoir les rétroactions des clients et des membres de l'équipe. Vos activités opérationnelles peuvent également être configurées de façon à fournir une rétroaction automatisée.
+ Votre organisation a besoin d'un processus pour examiner cette rétroaction, déterminer ce qui doit être amélioré et planifier l'amélioration.
+ La rétroaction doit être ajoutée à votre processus de développement logiciel.
+ Lorsque vous apportez des améliorations, effectuez un suivi auprès de l'auteur de la rétroaction.
+ Vous pouvez utiliser [AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html) pour créer et suivre ces améliorations en tant qu' [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html).
1. Analyse rétrospective
+ Effectuez des analyses rétrospectives à la fin d'un cycle de développement, sur une cadence définie ou après une version majeure.
+ Réunissez les parties prenantes impliquées dans la charge de travail pour une réunion rétrospective.
+ Créez trois colonnes sur un tableau blanc ou une feuille de calcul : Arrêter, Commencer et Conserver.
+ *La colonne Arrêter* comportera tout ce que votre équipe doit arrêter de faire.
+ *La colonne Commencer* comportera tout ce que votre équipe doit commencer à faire.
+ *La colonne Conserver* comportera tout ce que vous souhaitez continuer à faire.
+ Faites le tour de la salle et recueillez les rétroactions des parties prenantes.
+ Privilégiez les rétroactions. Attribuez les actions et les parties prenantes aux points que vous souhaitez commencer ou conserver.
+ Ajoutez les actions à votre processus de développement logiciel et communiquez les mises à jour de statut aux parties prenantes à mesure que vous apportez les améliorations.
**Niveau d'effort du plan d'implémentation :** moyen. Pour implémenter cette bonne pratique, vous avez besoin d'une solution pour recevoir une rétroaction immédiate et l'analyser. En outre, vous devez établir un processus d'analyse rétrospective.
## Ressources
**Bonnes pratiques associées :**
+ [OPS01-BP01 Évaluer les besoins des clients externes](ops_priorities_ext_cust_needs.md) : les boucles de rétroaction sont un mécanisme qui permet de recueillir les besoins des clients externes.
+ [OPS01-BP02 Évaluer les besoins des clients internes](ops_priorities_int_cust_needs.md) : les parties prenantes internes peuvent utiliser les boucles de rétroaction afin de communiquer les besoins et les exigences.
+ [OPS11-BP02 Effectuer une analyse post-incident](ops_evolve_ops_perform_rca_process.md) : les analyses post-incident sont une forme importante d'analyse rétrospective menée après les incidents.
+ [OPS11-BP07 Examiner les métriques des opérations](ops_evolve_ops_metrics_review.md) : les examens des métriques opérationnelles permettent d'identifier les tendances et les points à améliorer.
**Documents connexes :**
+ [7 Pitfalls to Avoid When Building a CCOE](https://aws.amazon.com/blogs/enterprise-strategy/7-pitfalls-to-avoid-when-building-a-ccoe/)
+ [Playbook de l'équipe Atlassian – Rétrospectives](https://www.atlassian.com/team-playbook/plays/retrospective)
+ [Email Definitions: Feedback Loops](https://aws.amazon.com/blogs/messaging-and-targeting/email-definitions-feedback-loops/)
+ [Establishing Feedback Loops Based on the AWS Well-Architected Framework Review](https://aws.amazon.com/blogs/architecture/establishing-feedback-loops-based-on-the-aws-well-architected-framework-review/)
+ [IBM Garage Methodology - Hold a retrospective](https://www.ibm.com/garage/method/practices/learn/practice_retrospective_analysis/)
+ [Investopedia – The PDCS Cycle](https://www.investopedia.com/terms/p/pdca-cycle.asp)
+ [Maximizing Developer Effectiveness de Tim Cochran](https://martinfowler.com/articles/developer-effectiveness.html)
+ [Operations Readiness Reviews (ORR) Whitepaper - Iteration](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/iteration.html)
+ [TIL CSI - Continual Service Improvement](https://wiki.en.it-processmaps.com/index.php/ITIL_CSI_-_Continual_Service_Improvement)
+ [When Toyota met e-commerce: Lean at Amazon](https://www.mckinsey.com/capabilities/operations/our-insights/when-toyota-met-e-commerce-lean-at-amazon)
**Vidéos connexes :**
+ [Building Effective Customer Feedback Loops](https://www.youtube.com/watch?v=zz_VImJRZ3U)
**Exemples connexes : **
+ [Astuto - Open source customer feedback tool](https://github.com/riggraz/astuto)
+ [AWS Solutions - QnABot on AWS](https://aws.amazon.com/solutions/implementations/qnabot-on-aws/)
+ [Fider - A platform to organize customer feedback](https://github.com/getfider/fider)
**Services associés :**
+ [AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html)
# OPS11-BP04 Gérer les connaissances
La gestion des connaissances aide les membres de l'équipe à trouver les informations nécessaires à l'accomplissement de leur tâche. Dans les organisations qui fonctionnent selon le principe de l'apprentissage, les informations sont librement partagées, ce qui donne du pouvoir aux individus. Les informations peuvent être découvertes ou recherchées. Les informations sont exactes et à jour. Il existe des mécanismes permettant de générer de nouvelles informations, de mettre à jour les informations existantes et d'archiver les informations obsolètes. L'exemple le plus courant de plateforme de gestion des connaissances est un système de gestion de contenu comme un wiki.
**Résultat souhaité :**
+ Les membres de l'équipe ont accès à des informations précises et opportunes.
+ Les informations sont consultables.
+ Il existe des mécanismes pour ajouter, mettre à jour et archiver les informations.
**Anti-modèles courants :**
+ Il n'y a pas de stockage centralisé des connaissances. Les membres de l'équipe gèrent leurs propres notes sur leurs machines locales.
+ Vous disposez d'un wiki auto-hébergé mais ne disposez d'aucun mécanisme de gestion des informations, ce qui se traduit par des informations obsolètes.
+ Quelqu'un identifie des informations manquantes mais il n'existe aucun processus pour demander leur ajout dans le wiki de l'équipe. Les personnes l'ajoutent elles-mêmes mais manquent une étape clé, ce qui entraîne une panne.
**Avantages liés au respect de cette bonne pratique :**
+ Les membres de l'équipe sont responsabilisés car les informations sont partagées librement.
+ Les nouveaux membres de l'équipe sont intégrés plus rapidement car la documentation est à jour et consultable.
+ Les informations sont opportunes, précises et exploitables.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
La gestion des connaissances est une facette importante des organisations qui fonctionnent selon le principe de l'apprentissage. Pour commencer, vous avez besoin d'un référentiel central pour stocker vos connaissances (par exemple, un wiki auto-hébergé). Vous devez développer des processus pour ajouter, mettre à jour et archiver les connaissances. Développez des normes pour ce qui doit être documenté et laissez chacune et chacun contribuer.
**Exemple de client**
AnyCompany Retail héberge un Wiki interne où toutes les connaissances sont stockées. Les membres de l'équipe sont encouragés à enrichir la base de connaissances dans l'exercice de leurs fonctions quotidiennes. Chaque trimestre, une équipe interfonctionnelle évalue les pages les moins mises à jour et détermine si elles doivent être archivées ou mises à jour.
**Étapes d'implémentation**
1. Commencez par identifier le système de gestion de contenu dans lequel les connaissances seront stockées. Obtenez l'accord des parties prenantes de votre organisation.
1. Si vous ne disposez pas d'un système de gestion de contenu, envisagez d'utiliser un wiki hébergé par vos soins ou un référentiel de contrôle de version comme point de départ.
1. Développez des runbooks pour l'ajout, la mise à jour et l'archivage des informations. Formez votre équipe à ces processus.
1. Identifiez les connaissances qui doivent être stockées dans le système de gestion de contenu. Commencez par les activités quotidiennes (runbooks et playbooks) que les membres de l'équipe effectuent. Travaillez avec les parties prenantes pour prioriser les connaissances à ajouter.
1. Travaillez périodiquement avec les parties prenantes pour identifier les informations obsolètes et les archiver ou les mettre à jour.
**Niveau d'effort du plan d'implémentation :** moyen. Si vous ne disposez pas d'un système de gestion de contenu, vous pouvez mettre en place un wiki auto-hébergé ou un référentiel de documents contrôlé par version.
## Ressources
**Bonnes pratiques associées :**
+ [OPS11-BP08 Documenter et partager des enseignements](ops_evolve_ops_share_lessons_learned.md) - La gestion des connaissances facilite le partage des informations sur les enseignements tirés.
**Documents connexes :**
+ [ Atlassian : gestion des connaissances ](https://www.atlassian.com/itsm/knowledge-management)
**Exemples connexes :**
+ [ DokuWiki ](https://www.dokuwiki.org/dokuwiki)
+ [ Gollum ](https://github.com/gollum/gollum)
+ [ MediaWiki ](https://www.mediawiki.org/wiki/MediaWiki)
+ [ Wiki.js ](https://github.com/Requarks/wiki)
# OPS11-BP05 Définir les facteurs d'amélioration
Identifiez les facteurs d'amélioration pour évaluer et prioriser les possibilités.
Sur AWS, vous pouvez regrouper les journaux de toutes vos activités opérationnelles, de vos charges de travail et de votre infrastructure pour créer un historique d'activité détaillé. Vous pouvez ensuite utiliser les outils AWS pour analyser l'état de vos opérations et de votre charge de travail au fil du temps (par exemple, identifier des tendances, mettre en corrélation des événements et des activités avec des résultats et comparer les environnements et les systèmes) pour identifier les possibilités d'amélioration en fonction de vos facteurs.
Vous devez utiliser CloudTrail pour suivre l'activité des API (via AWS Management Console, l'interface de ligne de commande (CLI), les kits SDK et les API) afin de savoir ce qu'il se passe sur l'ensemble de vos comptes. Suivez les activités de déploiement de vos outils pour développeurs AWS avec CloudTrail et CloudWatch. Ceci permet d'ajouter un historique d'activité détaillé de vos déploiements et de leurs résultats à vos données de journaux CloudWatch Logs.
[Exportez vos données de journaux vers Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) pour un stockage à long terme. Avec [AWS Glue](https://aws.amazon.com/glue/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc), vous détectez et préparez vos données de journaux dans Amazon S3 à des fins d'analyse. Utilisez [Amazon Athena](https://aws.amazon.com/athena/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc), par le biais de son intégration native à AWS Glue, pour analyser vos données de journaux. Utilisez un outil d'informatique décisionnelle comme [Quick](https://aws.amazon.com/quicksight/) pour visualiser, explorer et analyser vos données.
**Anti-modèles courants :**
+ Vous disposez d'un script qui fonctionne, mais qui n'est pas élégant. Vous consacrez du temps à sa réécriture. Il s'agit désormais d'une œuvre d'art.
+ Votre start-up essaie d'obtenir d’autres financements auprès d'un investisseur en capital-risque. Ils veulent que vous prouviez votre conformité à la norme PCI DSS. Vous voulez les contenter, et vous documentez votre conformité, mais manquez une date de livraison pour un client et perdez le client. Ce n'était pas une mauvaise chose à faire, mais maintenant vous vous demandez si c'était opportun.
**Avantages liés au respect de cette bonne pratique :** En déterminant les critères que vous voulez utiliser pour l'amélioration, vous pouvez minimiser l'impact des motivations liées aux événements ou de l'investissement émotionnel.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Comprendre les moteurs de l'amélioration : avant d'apporter des modifications à un système, il faut s'assurer que le résultat souhaité est bien pris en charge par celui-ci.
+ Fonctionnalités souhaitées : évaluez les fonctionnalités souhaitées lorsque vous étudiez les possibilités d'amélioration.
+ [Nouveautés AWS](https://aws.amazon.com/new/)
+ Problèmes inadmissibles : évaluez les problèmes inadmissibles, les bogues et les vulnérabilités lorsque vous étudiez les possibilités d'amélioration.
+ [Derniers bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ Exigences de conformité : évaluez les mises à jour et les changements nécessaires pour assurer la conformité avec la réglementation ou une politique, ou pour continuer à bénéficier du soutien d'un tiers, lors de l'examen des possibilités d'amélioration.
+ [Conformité AWS](https://aws.amazon.com/compliance/)
+ [Programmes de conformité AWS](https://aws.amazon.com/compliance/programs/)
+ [Dernières actualités sur la conformité AWS](https://aws.amazon.com/compliance/compliance-latest-news/)
## Ressources
**Documents connexes :**
+ [Amazon Athena](https://aws.amazon.com/athena/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc)
+ [Quick](https://aws.amazon.com/quicksight/)
+ [Conformité AWS](https://aws.amazon.com/compliance/)
+ [Dernières actualités sur la conformité AWS](https://aws.amazon.com/compliance/compliance-latest-news/)
+ [Programmes de conformité AWS](https://aws.amazon.com/compliance/programs/)
+ [AWS Glue](https://aws.amazon.com/glue/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc)
+ [Derniers bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ [Exportez vos données de journaux vers Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)
+ [Nouveautés AWS](https://aws.amazon.com/new/)
# OPS11-BP06 Valider les informations
Vérifiez vos résultats d'analyse et les réponses avec les équipes interfonctionnelles et les responsables métier. Utilisez ces analyses pour établir la compréhension, identifier des impacts supplémentaires et déterminer des lignes de conduite. Ajustez les réponses si nécessaire.
**Anti-modèles courants :**
+ Vous constatez que l'utilisation de la CPU est de 95 % sur un système et vous en faites une priorité pour trouver un moyen de réduire la charge sur le système. Vous déterminez que la meilleure action consiste à monter en charge. Le système est un transcodeur et dimensionné pour utiliser à 95 % en permanence la CPU. Le propriétaire du système aurait pu vous expliquer la situation si vous l'aviez contacté. Vous avez perdu du temps.
+ Le propriétaire d'un système indique que son système est stratégique. Le système n'a pas été placé dans un environnement hautement sécurisé. Pour améliorer la sécurité, vous mettez en œuvre les contrôles de détection et de prévention supplémentaires requis pour les systèmes stratégiques. Vous informez le propriétaire du système que le travail est terminé et que les ressources supplémentaires lui seront facturées. Dans la discussion qui suit cette notification, le propriétaire du système apprend qu'il existe une définition formelle des systèmes stratégiques qui ne s'applique pas à son système.
**Avantages liés au respect de cette bonne pratique :** En validant les informations avec les propriétaires d'entreprises et les experts du domaine, vous pouvez établir une compréhension commune et orienter plus efficacement les améliorations.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Valider les informations : collaborez avec les propriétaires d'entreprise et les experts du domaine pour vous assurer qu'il existe une compréhension et un accord communs sur la signification des données que vous avez recueillies. Identifiez les autres préoccupations, les impacts potentiels et déterminez les mesures à prendre.
# OPS11-BP07 Examiner les métriques des opérations
Régulièrement, faites des analyses rétrospectives des métriques opérationnelles avec des intervenants provenant de différents services de l'entreprise. Utilisez ces examens pour identifier les possibilités d'amélioration, les pistes d'action potentielles et pour partager les enseignements tirés.
Recherchez des opportunités d'amélioration dans l'ensemble de vos environnements (par exemple, le développement, le test et la production).
**Anti-modèles courants :**
+ Une promotion de vente au détail importante a été interrompue par votre fenêtre de maintenance. L'entreprise continue d’ignorer qu'il existe une fenêtre de maintenance standard qui peut être retardée si d'autres événements ont un impact sur l'activité.
+ Vous avez subi une panne prolongée en raison de votre utilisation d'une bibliothèque défaillante couramment utilisée dans votre organisation. Depuis, vous avez migré vers une bibliothèque fiable. Les autres équipes de votre organisation ne savent pas qu'elles sont exposées à des risques. Si vous vous réunissiez régulièrement et examiniez cet incident, elles seraient averties des risques.
+ Les performances de votre transcodeur n'ont cessé de diminuer, ce qui a eu un impact sur l'équipe multimédia. Ce n'est pas encore catastrophique. Vous ne pourrez le savoir que quand la situation se sera suffisamment dégradée au point de provoquer un incident. Si vous examiniez vos métriques opérationnelles avec l'équipe multimédia, il serait possible d'identifier le changement dans les métriques et sa situation, et vous pourriez traiter le problème.
+ Vous ne passez pas en revue votre respect des SLA des clients. Vous avez tendance à ne pas respecter les SLA de vos clients. Des pénalités financières sont liées au non-respect des SLA de vos clients. Si vous vous réunissiez régulièrement pour examiner les métriques de ces SLA, vous pourriez identifier et résoudre le problème.
**Avantages liés au respect de cette bonne pratique :** En vous réunissant régulièrement pour examiner les métriques des opérations, les événements et les incidents, vous maintenez une compréhension commune entre les équipes, partagez les leçons apprises et pouvez prioriser et cibler les améliorations.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Examiner les métriques des opérations : effectuez régulièrement des analyses rétrospectives des métriques opérationnelles avec des intervenants provenant de différentes équipes et de différents services de l'entreprise. Faites appel à différents intervenants, y compris des membres de l'équipe commerciale, de l'équipe de développement et de l'équipe opérationnelle, pour qu'ils valident vos résultats par l'intermédiaire de rétroactions immédiates et d'analyses rétrospectives et pour partager les leçons apprises. Utilisez leurs informations pour identifier les possibilités d'amélioration et les plans d'action possibles.
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Publier des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
## Ressources
**Documents connexes :**
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [Référence aux dimensions et métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
+ [Publier des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
# OPS11-BP08 Documenter et partager des enseignements
Documenter et partager des enseignements : documentez et partagez les enseignements que vous tirez des activités opérationnelles afin de pouvoir les utiliser en interne et entre les équipes.
Vous devriez partager les enseignements tirés par vos équipes afin d'en retirer un bénéfice accru pour toute votre organisation. Vous devriez partager des informations et des ressources pour prévenir les erreurs évitables et faciliter les efforts de développement. Cela vous permettra de vous concentrer sur la publication des fonctionnalités souhaitées.
Utilisez Gestion des identités et des accès AWS (IAM) pour définir les autorisations permettant de contrôler l'accès aux ressources que vous souhaitez partager au sein des comptes et entre les comptes. Vous devez ensuite utiliser des référentiels AWS CodeCommit avec contrôle de version pour partager des bibliothèques d'application, des procédures scriptées, de la documentation de procédure et d'autres documentations systèmes. Partagez vos normes de calcul en partageant l'accès à vos AMI et en autorisant l'utilisation de vos fonctions Lambda entre les comptes. Vous devez également partager vos normes d'infrastructure comme modèles AWS CloudFormation.
Grâce aux API et aux kits SDK AWS, vous pouvez intégrer des outils et référentiels tiers et externes (par exemple, GitHub, BitBucket et SourceForge). Lorsque vous partagez ce que vous avez appris et développé, veillez à structurer les autorisations de manière à garantir l'intégrité des référentiels partagés.
**Anti-modèles courants :**
+ Vous avez subi une panne prolongée en raison de votre utilisation d'une bibliothèque défaillante couramment utilisée dans votre organisation. Depuis, vous avez migré vers une bibliothèque fiable. Les autres équipes de votre organisation ne savent pas qu'elles sont exposées à des risques. Si vous documentiez et partagiez votre expérience concernant cette bibliothèque, elles seraient avertis des risques.
+ Vous avez identifié un cas limite dans un microservice partagé en interne qui entraîne l'abandon des séances. Vous avez mis à jour vos appels au service pour éviter ce cas limite. Les autres équipes de votre organisation ne savent pas qu'elles sont exposées à des risques. Si vous documentiez et partagiez votre expérience concernant cette bibliothèque, elles seraient avertis des risques.
+ Vous avez trouvé un moyen de réduire considérablement les besoins d'utilisation du processeur pour l'un de vos microservices. Vous ne savez pas si d'autres équipes peuvent tirer parti de cette technique. Si vous documentiez et partagiez votre expérience concernant cette bibliothèque, elles pourraient le faire.
**Avantages liés au respect de cette bonne pratique :** Partagez les enseignements que vous avez tirés pour soutenir l'amélioration et pour optimiser les bénéfices de l'expérience.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Documenter et partager des enseignements : mettez en place des procédures pour documenter les enseignements que vous tirez de l'exécution des activités opérationnelles et des analyses rétrospectives, afin que ceux-ci puissent être utilisés par d'autres équipes.
+ Partager les enseignements : imaginez des procédures permettant de partager ces enseignements, ainsi que les artefacts qui y sont associés, avec les autres équipes. Partagez par exemple les mises à jour concernant les procédures, les conseils, la gouvernance et les bonnes pratiques par l'intermédiaire d'un wiki accessible. Partagez des scripts, du code et des bibliothèques grâce à un référentiel commun.
+ [Déléguer l'accès à votre environnement AWS](https://www.youtube.com/watch?v=0zJuULHFS6A&t=849s)
+ [Partager un référentiel AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/how-to-share-repository.html)
+ [Facilité d'autorisation des fonctions AWS Lambda](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/)
+ [Partager une AMI avec des comptes AWS spécifiques](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html)
+ [Accélérez le partage de modèles avec une URL de concepteur AWS CloudFormation](https://aws.amazon.com/blogs/devops/speed-template-sharing-with-an-aws-cloudformation-designer-url/)
+ [Utilisation d'AWS Lambda avec Amazon SNS](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html)
## Ressources
**Documents connexes :**
+ [Facilité d'autorisation des fonctions AWS Lambda](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/)
+ [Partager un référentiel AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/how-to-share-repository.html)
+ [Partager une AMI avec des comptes AWS spécifiques](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html)
+ [Accélérez le partage de modèles avec une URL de concepteur AWS CloudFormation](https://aws.amazon.com/blogs/devops/speed-template-sharing-with-an-aws-cloudformation-designer-url/)
+ [Utilisation d'AWS Lambda avec Amazon SNS](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html)
**Vidéos connexes :**
+ [Déléguer l'accès à votre environnement AWS](https://www.youtube.com/watch?v=0zJuULHFS6A&t=849s)
# OPS11-BP09 Allouer du temps aux améliorations
Consacrez du temps et des ressources à vos processus pour permettre des améliorations progressives continues.
Sur AWS, vous pouvez créer des copies temporaires d'environnements, ce qui permet de réduire le risque, les efforts, et les coûts d'expérimentation et de test. Ces copies d'environnements peuvent être utilisées pour tester les conclusions de votre analyse, expérimenter, et développer et tester des améliorations planifiées.
**Anti-modèles courants :**
+ Il existe un problème de performances connu sur votre serveur d'applications. Il s'ajoute au retard accumulé dans la mise en œuvre de chaque fonctionnalité planifiée. Si le rythme d'ajout des fonctionnalités prévues reste constant, la question des performances ne sera jamais abordée.
+ Pour permettre l'amélioration continue, vous autorisez les administrateurs et les développeurs à utiliser tout leur temps supplémentaire pour sélectionner et mettre en œuvre les améliorations. Aucune amélioration n'est effectuée.
**Avantages liés au respect de cette bonne pratique :** Ainsi, vous permettez d'apporter des améliorations progressives continues.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Allouer du temps aux améliorations : ce sont les ressources et le temps consacrés à vos processus qui vous permettent d'apporter des améliorations incrémentielles continues. Mettez en œuvre des modifications afin d'améliorer et d'évaluer les résultats, mais également de déterminer le taux de réussite qu'ils représentent. Si les résultats sont en deçà des objectifs et que l’amélioration constitue toujours une priorité, exécutez d'autres plans d'action.
# Sécurité
Le pilier Sécurité présente la capacité de protéger les données ainsi que les systèmes et les ressources pour tirer parti des technologies du cloud et améliorer votre sécurité. Vous trouverez des recommandations sur l'implémentation dans le [livre blanc Pilier Sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Bases du pilier Sécurité](a-sec-security.md)
+ [Identity and Access Management](a-identity-and-access-management.md)
+ [Détection](a-detective-controls.md)
+ [Protection de l'infrastructure](a-infrastructure-protection.md)
+ [Protection des données](a-data-protection.md)
+ [Réponse aux incidents](a-incident-response.md)
+ [Sécurité des applications](a-appsec.md)
# Bases du pilier Sécurité
**Topics**
+ [SEC 1 Comment gérer votre charge de travail en toute sécurité ?](sec-01.md)
# SEC 1 Comment gérer votre charge de travail en toute sécurité ?
Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour réussir à gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail. La connaissance des recommandations actuelles d'AWS et du secteur ainsi que des renseignements sur les menaces vous aide à faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation, vous permet de mettre à l'échelle vos opérations de sécurité.
**Topics**
+ [SEC01-BP01 Séparer les charges de travail à l'aide de comptes](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Sécuriser l'utilisateur root et les propriétés du compte](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Rester informé des menaces de sécurité](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Connaître les recommandations de sécurité](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l'aide d'un modèle de menaces](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Séparer les charges de travail à l'aide de comptes
Établissez des barrières de protection et un isolement communs entre les environnements (par exemple, production, développement et test) et les charges de travail grâce à une stratégie multicompte. La séparation au niveau des comptes est vivement recommandée, car elle fournit une solide limite d'isolement pour la sécurité, la facturation et les accès.
**Résultat souhaité :** une structure de compte qui isole les opérations cloud, les charges de travail non liées et les environnements dans des comptes séparés, ce qui permet de renforcer la sécurité dans l'infrastructure cloud.
**Anti-modèles courants :**
+ Placer plusieurs charges de travail non liées avec différents niveaux de sensibilité des données dans le même compte.
+ Structure d'unité d'organisation mal définie.
**Avantages liés à l'instauration de cette bonne pratique :**
+ Réduction de la portée des répercussions si un utilisateur accède à une charge de travail par inadvertance.
+ Gouvernance centralisée des services, ressources et régions AWS.
+ Maintien de la sécurité de l'infrastructure cloud avec des politiques et une administration centralisée des services de sécurité.
+ Processus automatisé de création et de gestion des comptes.
+ Audit centralisé de votre infrastructure pour les exigences en matière de conformité et de réglementation.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Les Comptes AWS établissent une limite d'isolement de sécurité entre les charges de travail ou les ressources qui fonctionnent à différents niveaux de sensibilité. AWS fournit des outils permettant de gérer vos charges de travail cloud à grande échelle grâce à une stratégie multicompte pour tirer parti de cette limite d'isolement. Pour obtenir des conseils sur les concepts, les modèles et l'implémentation d'une stratégie multicompte sur AWS, consultez [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) (Organisation de votre environnement AWS à l'aide de plusieurs comptes).
Lorsque plusieurs Comptes AWS sont gérés de façon centralisée, ils doivent être organisés selon une hiérarchie définie par des couches d'unités d'organisation. Les contrôles de sécurité peuvent ensuite être organisés et appliqués aux unités d'organisation et aux comptes membres, ce qui permet d'établir des contrôles préventifs uniformes sur les comptes membres au sein de l'organisation. Les contrôles de sécurité sont hérités, vous pouvez donc filtrer les autorisations disponibles pour les comptes membres situés aux niveaux inférieurs d'une hiérarchie d'unités d'organisation. Une bonne conception tire parti de cet héritage pour réduire le nombre et la complexité des politiques de sécurité nécessaires afin de mettre en place les contrôles de sécurité souhaités pour chaque compte membre.
Les services [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) et [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) peuvent être utilisés pour implémenter et gérer cette structure multicompte dans votre environnement AWS. AWS Organizations vous permet d'organiser les comptes dans une hiérarchie définie par une ou plusieurs couches d'unités d'organisation, chacune de ces dernières contenant un certain nombre de comptes membres. Les [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) permettent à l'administrateur de l'organisation d'établir des contrôles préventifs granulaires sur les comptes membres et [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) peut être utilisé pour établir des contrôles proactifs et de détection sur les comptes membres. Un grand nombre de services AWS [s'intègrent à AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) pour fournir des contrôles administratifs délégués et effectuer des tâches propres aux services dans tous les comptes membres de l'organisation.
Ajouté au-dessus d'AWS Organizations, [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) fournit une configuration en un clic des bonnes pratiques pour un environnement AWS multicompte avec une [zone de destination](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). La zone de destination est le point d'entrée de l'environnement multicompte établi par Control Tower. Control Tower offre plusieurs [avantages](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) par rapport à AWS Organizations. Les trois avantages qui permettent d'améliorer la gouvernance des comptes sont les suivants :
+ Des barrières de protection obligatoires intégrées qui sont automatiquement appliquées aux comptes admis dans l'organisation.
+ Des barrières de protection facultatives qui peuvent être activées ou désactivées pour un ensemble donné d'unités d'organisation.
+ [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) fournit un déploiement automatisé des comptes contenant des bases de référence préapprouvées et des options de configuration au sein de votre organisation.
## Étapes d'implémentation
1. **Concevez une structure d'unités d'organisation :** une structure d'unités d'organisation bien conçue réduit la charge de gestion liée à la création et à l'application des politiques de contrôle des services et d'autres contrôles de sécurité. Votre structure d'unités d'organisation doit être [alignée sur les besoins opérationnels, la sensibilité des données et la structure des charges de travail](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/).
1. **Créez une zone de destination pour votre environnement multicompte :** une zone de destination fournit une base cohérente de sécurité et d'infrastructure à partir de laquelle votre organisation peut rapidement développer, lancer et déployer des charges de travail. Vous pouvez utiliser une [zone de destination personnalisée ou AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) pour orchestrer votre environnement.
1. **Établissez des barrières de protection :** implémentez des barrières de protection de sécurité uniformes pour votre environnement dans votre zone de destination. AWS Control Tower fournit une liste de contrôles [obligatoires](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) et [facultatifs](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) qui peuvent être déployés. Les contrôles obligatoires sont déployés automatiquement lors de l'implémentation de Control Tower. Passez en revue la liste des contrôles hautement recommandés et facultatifs, puis implémentez les contrôles adaptés à vos besoins.
1. **Limitez l'accès aux régions qui viennent d'être ajoutées** : pour les nouvelles Régions AWS, les ressources IAM telles que les utilisateurs et les rôles sont uniquement propagées vers les régions que vous spécifiez. Cette action peut être effectuée via la console [lorsque vous utilisez Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html) ou en modifiant les [politiques d'autorisations IAM dans AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/).
1. **Envisagez l'utilisation d'AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)** : les StackSets vous permettent de déployer des ressources, dont les politiques, rôles et groupes IAM dans différentes régions et différents Comptes AWS à partir d'un modèle approuvé.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)
**Documents connexes :**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Consignes pour les audits de sécurité AWS)
+ [Bonnes pratiques dans IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Use CloudFormation StackSets to provision resources across multiple Comptes AWS and regions](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) (Utiliser CloudFormation StackSets pour provisionner les ressources sur plusieurs comptes et régions AWS)
+ [FAQ sur AWS Organizations](https://aws.amazon.com/organizations/faqs/)
+ [Terminologie et concepts relatifs à AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)
+ [Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (Bonnes pratiques pour les politiques de contrôle des services d'AWS Organizations dans un environnement multicompte)
+ [AWS Account Management Reference Guide](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) (Guide de référence de la gestion des comptes AWS)
+ [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) (Organisation de votre environnement AWS à l'aide de plusieurs comptes)
**Vidéos connexes :**
+ [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
+ [Building and Governing Multiple Accounts using AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo)
+ [Enable Control Tower for Existing Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM)
**Ateliers connexes :**
+ [Journée d'immersion Control Tower](https://controltower.aws-management.tools/immersionday/)
# SEC01-BP02 Sécuriser l'utilisateur root et les propriétés du compte
L'utilisateur root est celui qui dispose du plus de privilèges dans un Compte AWS, avec un accès administratif complet à toutes les ressources du compte. De plus, dans certains cas, il ne peut pas être limité par les politiques de sécurité. Si vous désactivez l'accès par programmation pour l'utilisateur root, établissez des contrôles appropriés pour l'utilisateur root et évitez l'utilisation de routine de l'utilisateur root, vous réduirez le risque d'exposition accidentelle des informations d'identification root et de compromission ultérieure de l'environnement cloud.
**Résultat souhaité : **la sécurisation de l'utilisateur root permet de réduire les risques de dommages accidentels ou intentionnels en raison de l'utilisation inappropriée des informations d'identification de l'utilisateur root. La mise en place de contrôles de détection permet également d'alerter le personnel approprié lorsque des mesures sont prises à l'aide de l'utilisateur root.
**Anti-modèles courants :**
+ Se servir de l'utilisateur root pour des tâches autres que celles nécessitant des informations d'identification de l'utilisateur root.
+ Omettre de tester régulièrement des plans d'urgence pour vérifier le fonctionnement de l'infrastructure, des processus et du personnel essentiels dans les situations d'urgence.
+ Ne tenir compte que du flux de connexion type du compte et omettre d'envisager ou de tester d'autres méthodes de récupération de compte.
+ Ne pas gérer les DNS, les serveurs de messagerie et les fournisseurs de services téléphoniques dans le cadre du périmètre de sécurité critique, car ils sont utilisés dans le flux de récupération de compte.
**Avantages liés à l'instauration de cette bonne pratique :** la sécurisation de l'accès à l'utilisateur root permet de garantir le contrôle et la vérification des actions effectuées dans votre compte.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
AWS propose plusieurs outils afin de vous aider à sécuriser votre compte. Toutefois, étant donné que certaines de ces mesures ne sont pas activées par défaut, vous devez intervenir directement pour les implémenter. Considérez ces recommandations comme des étapes fondamentales pour sécuriser votre Compte AWS. À mesure que vous mettez en œuvre ces étapes, il est important d'établir un processus permettant d'évaluer et de surveiller continuellement les contrôles de sécurité.
Lorsque vous créez un compte Compte AWS, vous commencez avec une seule identité disposant d'un accès complet à toutes les ressources et à tous les services AWS de ce compte. Cette identité est appelée l'utilisateur root du Compte AWS. Vous pouvez vous connecter en tant qu'utilisateur root en utilisant l'adresse e-mail et le mot de passe utilisés pour créer le compte. En raison de l'accès élevé accordé à l'utilisateur root AWS, vous devez limiter l'utilisation de cet utilisateur root AWS à l'exécution de tâches [qui en ont spécifiquement besoin](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Les informations d'identification de l'utilisateur root doivent être étroitement protégées et l'authentification multifactorielle (MFA) doit toujours être activée pour l'utilisateur root du Compte AWS.
Outre le flux d'authentification normal pour vous connecter à votre utilisateur root en utilisant un nom d'utilisateur, un mot de passe et un dispositif d'authentification multifactorielle (MFA), il y a des flux de récupération de compte pour vous connecter à l'utilisateur root de votre Compte AWS, à condition de disposer d'un accès à l'adresse e-mail et au numéro de téléphone associés à votre compte. Par conséquent, il est tout aussi important de sécuriser le compte de messagerie de l'utilisateur root là où l'e-mail de récupération est envoyé, ainsi que le numéro de téléphone associé au compte. Il est également nécessaire de tenir compte des dépendances circulaires possibles lorsque l'adresse e-mail associée à l'utilisateur root est hébergée sur des serveurs de messagerie ou des ressources du service de noms de domaine (DNS) à partir du même Compte AWS.
Lorsque vous utilisez AWS Organizations, il y a plusieurs Comptes AWS, chacun d'entre eux ayant un utilisateur root. Un compte est désigné comme compte de gestion et plusieurs couches de comptes membres peuvent alors être ajoutées sous le compte de gestion. Privilégiez la sécurisation de l'utilisateur root de votre compte de gestion, puis occupez-vous des utilisateurs root des comptes membres. La stratégie de sécurisation de l'utilisateur root de votre compte de gestion peut différer de celle des utilisateurs root des comptes membres et vous pouvez placer des contrôles de sécurité préventifs sur les utilisateurs root des comptes membres.
### Étapes d'implémentation
Les étapes d'implémentation suivantes sont recommandées afin d'établir des contrôles pour l'utilisateur root. Le cas échéant, les recommandations comportent des renvois vers [les contrôles de référence CIS AWS Foundations version 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Outre ces étapes, consultez [Consignes en matière de bonnes pratiques avec AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) pour sécuriser vos ressources et votre Compte AWS.
**Contrôles préventifs**
1. Configurez des [coordonnées](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) exactes pour le compte.
1. Ces informations sont utilisées pour le flux de récupération de mot de passe perdu, le flux de récupération de compte d'authentification multifactorielle perdu et pour les communications critiques liées à la sécurité avec votre équipe.
1. Utilisez une adresse e-mail hébergée par votre domaine d'entreprise, de préférence une liste de distribution, comme adresse e-mail de l'utilisateur root. L'utilisation d'une liste de distribution plutôt que d'un compte de messagerie individuel fournit une redondance et une continuité supplémentaires pour l'accès au compte root sur de longues périodes.
1. Le numéro de téléphone indiqué pour les coordonnées doit correspondre à un téléphone dédié et sécurisé à cette fin. Ce numéro de téléphone ne doit figurer sur aucune liste ni être communiqué à personne.
1. Ne créez pas de clés d'accès pour l'utilisateur root. Si des clés d'accès existent, retirez-les (CIS 1.4).
1. Éliminez les informations d'identification par programmation de longue durée (clés d'accès et secrètes) pour l'utilisateur root.
1. S'il existe déjà des clés d'accès pour l'utilisateur root, vous devez effectuer la transition des processus en utilisant ces clés afin de vous servir de clés d'accès temporaires issues d'un rôle Gestion des identités et des accès AWS (IAM), puis [supprimer les clés d'accès de l'utilisateur root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key).
1. Déterminez si vous devez stocker les informations d'identification de l'utilisateur root.
1. Si vous utilisez AWS Organizations pour créer de nouveaux comptes membres, le mot de passe initial pour l'utilisateur root sur ces nouveaux comptes est une valeur aléatoire à laquelle vous n'avez pas accès. Envisagez d'utiliser le flux de réinitialisation du mot de passe à partir de votre compte de gestion AWS Organization pour [accéder au compte membre](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) si nécessaire.
1. Pour les Comptes AWS autonomes ou le compte de gestion AWS Organization, envisagez de créer et de stocker en toute sécurité les informations d'identification de l'utilisateur root. Activez l'authentification multifactorielle pour l'utilisateur root.
1. Activez les contrôles préventifs pour les utilisateurs root des comptes membres dans les environnements AWS multicomptes.
1. Envisagez d'activer la barrière de protection préventive [Désactiver la création des clés d'accès root pour l'utilisateur root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) pour les comptes membres.
1. Envisagez d'activer la barrière de protection préventive [Désactiver les actions en tant qu'utilisateur root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) pour les comptes membres.
1. Si vous avez besoin d'informations d'identification pour l'utilisateur root :
1. Utilisez un mot de passe complexe.
1. Activez l'authentification multifactorielle (MFA) pour l'utilisateur root, plus particulièrement pour les comptes de gestion (payeur) AWS Organizations (CIS 1.5).
1. Envisagez l'utilisation des appareils d'authentification multifactorielle pour la résilience et la sécurité, car les appareils à usage unique peuvent réduire les risques de réutilisation des appareils contenant vos codes d'authentification multifactorielle à d'autres fins. Vérifiez que les appareils d'authentification multifactorielle alimentés par une batterie sont remplacés régulièrement. (CIS 1.6)
+ Si vous souhaitez configurer l'authentification multifactorielle pour l'utilisateur root, suivez les instructions d'activation d'une [authentification multifactorielle virtuelle](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) ou d'un [appareil d'authentification multifactorielle](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root).
1. Envisagez d'inscrire plusieurs appareils d'authentification multifactorielle pour la sauvegarde. [Jusqu'à 8 appareils d'authentification multifactorielle sont autorisés par compte](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/).
+ Notez que l'inscription de plusieurs appareils d'authentification multifactorielle pour l'utilisateur root désactive automatiquement le [flux de récupération de votre compte si l'appareil d'authentification multifactorielle est perdu](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/).
1. Stockez le mot de passe en sécurité et tenez compte des dépendances circulaires si vous le stockez électroniquement. Ne stockez pas le mot de passe de manière à ce qu'il nécessite un accès au même Compte AWS pour l'obtenir.
1. Facultatif : envisagez d'établir un calendrier périodique de rotation des mots de passe pour l'utilisateur root.
+ Les bonnes pratiques relatives à la gestion des informations d'identification dépendent de vos exigences en matière de réglementation et de politiques. Les utilisateurs root protégés par l'authentification multifactorielle ne dépendent pas du mot de passe comme facteur d'authentification unique.
+ [La modification périodique du mot de passe de l'utilisateur root](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_passwords_change-root.html) réduit le risque d'utilisation inappropriée d'un mot de passe exposé par inadvertance.
### Contrôles de détection
+ Créez des alarmes pour détecter l'utilisation des informations d'identification root (CIS 1.7). [L'activation d'Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) permettra de surveiller et d'alerter sur l'utilisation des informations d'identification de l'API de l'utilisateur root via la recherche [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage).
+ Évaluez et implémentez les contrôles de détection inclus dans le [pack de conformité du pilier Sécurité AWS Well-Architected pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) ou, si vous utilisez AWS Control Tower, les [contrôles vivement recommandés](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) disponibles dans Control Tower.
### Conseils opérationnels
+ Déterminez qui, au sein de l'organisation, doit avoir accès aux informations d'identification de l'utilisateur root.
+ Utilisez la règle des deux personnes pour éviter qu'une seule personne ait accès à toutes les informations d'identification et à l'authentification multifactorielle nécessaires pour obtenir l'accès à l'utilisateur root.
+ Vérifiez que l'organisation, et non une seule personne, conserve le contrôle du numéro de téléphone et de l'alias d'e-mail associés au compte (qui sont utilisés pour la réinitialisation du mot de passe et l'authentification multifactorielle).
+ Utilisez l'utilisateur root uniquement de façon exceptionnelle (CIS 1.7).
+ L'utilisateur root AWS ne doit pas être employé pour des tâches quotidiennes, même les tâches d'administration. Connectez-vous en tant qu'utilisateur root uniquement pour effectuer [des tâches AWS qui requièrent l'utilisateur root](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Toutes les autres actions doivent être effectuées par d'autres utilisateurs assumant les rôles appropriés.
+ Vérifiez régulièrement que l'accès à l'utilisateur root fonctionne afin que les procédures soient testées avant une situation d'urgence nécessitant l'utilisation des informations d'identification de l'utilisateur root.
+ Vérifiez régulièrement que l'adresse e-mail associée au compte et les adresses répertoriées sous [Autres contacts](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) fonctionnent. Vérifiez dans ces boîtes de réception si vous avez reçu des notifications de sécurité de la part de abuse@amazon.com. Assurez-vous également que les numéros de téléphone associés au compte fonctionnent.
+ Préparez les procédures d'intervention en cas d'incident pour réagir face à une utilisation inappropriée du compte root. Consultez le guide [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) (Guide d'intervention en cas d'incident de sécurité) et les bonnes pratiques dans la [section sur le pilier Sécurité du livre blanc consacré aux réponses face aux incidents](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) pour plus d'informations sur l'élaboration d'une stratégie de réponse face aux incidents pour votre Compte AWS.
## Ressources
**Bonnes pratiques associées :**
+ [SEC01-BP01 Séparer les charges de travail à l'aide de comptes](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Utiliser de solides mécanismes d'authentification](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Établir un processus d'accès d'urgence](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md)
**Documents connexes :**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Consignes pour les audits de sécurité AWS)
+ [Bonnes pratiques dans IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Amazon GuardDuty – root credential usage alert](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) (Alerte d'utilisation des informations d'identification root)
+ [Step-by-step guidance on monitoring for root credential use through CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html#securityhub-cis1.4-controls-1.7) (Conseils étape par étape sur la surveillance de l'utilisation des informations d'identification root via Control Tower)
+ [MFA tokens approved for use with AWS](https://aws.amazon.com/iam/features/mfa/) (Jetons d'authentification multifactorielle approuvés pour une utilisation avec AWS)
+ Implementing [break glass access](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) on AWS
+ [Top 10 security items to improve in your Compte AWS](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/)
+ [Que faire si je remarque une activité non autorisée dans mon Compte AWS ?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/)
**Vidéos connexes :**
+ [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s)
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
+ [Limitation de l'utilisation des AWS informations d'identification root](https://youtu.be/SMjvtxXOXdU?t=979) de AWS re:inforce 2022 – Bonnes pratiques de sécurité avec AWS IAM
**Exemples et ateliers connexes :**
+ [Atelier : Compte AWS and root user](https://www.wellarchitectedlabs.com/security/100_labs/100_aws_account_and_root_user/)
# SEC01-BP03 Identifier et valider les objectifs de contrôle
Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l'efficacité de l'atténuation des risques.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Identifier les exigences de conformité : découvrez les exigences organisationnelles, juridiques et de conformité que votre charge de travail doit nécessairement respecter.
+ Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider à rester conforme.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Ressources
**Documents connexes :**
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [AWS Security Hub CSPM : gérer les alertes de sécurité et automatiser la conformité](https://youtu.be/HsWtPG_rTak)
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Rester informé des menaces de sécurité
Identifiez les vecteurs d'attaque en restant informé des dernières menaces de sécurité afin de définir et de mettre en œuvre les contrôles appropriés. Utilisez AWS Managed Services pour faciliter la réception des notifications de comportement inattendu ou inhabituel dans vos comptes AWS. Réalisez vos investigations à l'aide d'outils partenaires AWS ou de flux d'informations sur les menaces tiers dans le cadre de votre flux d'informations de sécurité. La [liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/) contient des vulnérabilités de cybersécurité divulguées publiquement, que vous pouvez utiliser pour rester à jour.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ S'abonner aux sources d'informations sur les menaces : consultez régulièrement les informations sur les menaces issues de plusieurs sources spécifiques aux technologies utilisées dans votre charge de travail.
+ [Liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/)
+ Envisager le service [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : offre une visibilité quasiment en temps réel sur les sources d'informations si votre charge de travail est accessible sur Internet.
## Ressources
**Documents connexes :**
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Connaître les recommandations de sécurité
Tenez-vous au courant des recommandations AWS et des recommandations de sécurité pertinentes pour faire évoluer le niveau de sécurité de votre charge de travail. [Les bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contiennent des informations importantes sur les notifications de sécurité et de confidentialité.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Suivre l'actualité AWS : abonnez-vous ou consultez régulièrement les nouvelles recommandations, ainsi que les conseils et astuces.
+ [Ateliers AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentation des services AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ S'abonner aux sources d'actualité sur le secteur : consultez régulièrement les flux d'actualités issus de plusieurs sources pertinentes pour les technologies qui sont utilisées dans votre charge de travail.
+ [Exemple : liste des vulnérabilités et risques communs (CVE)](https://cve.mitre.org/cve/?ref=wellarchitected)
## Ressources
**Documents connexes :**
+ [Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines
Établissez des bases et des modèles sécurisés pour les mécanismes de sécurité qui sont testés et validés dans le cadre de votre version, de vos pipelines et de vos processus. Utilisez des outils et l'automatisation pour tester et valider en continu tous les contrôles de sécurité. Par exemple, analysez des éléments tels que les images machine et les modèles d'infrastructure en tant que de code pour détecter les failles, les irrégularités et les dérives de sécurité par rapport à des points de référence établis à chaque étape. AWS CloudFormation Guard permet de vérifier que les modèles CloudFormation sont sûrs, vous font gagner du temps et réduisent le risque d'erreur de configuration.
Il est essentiel de réduire le nombre d'erreurs de configuration de sécurité introduites dans un environnement de production : plus vous contrôlez la qualité et réduisez les défauts dans le processus de génération, mieux c'est. Concevez des pipelines d'intégration et de déploiement continus (CI/CD, continuous integration and continuous deployment) pour tester la sécurité dans la mesure du possible. Les pipelines CI/CD offrent la possibilité d'améliorer la sécurité à chaque étape de la création et de la distribution. Les outils de sécurité CI/CD doivent être également maintenus à jour pour atténuer l'évolution des menaces.
Suivez les modifications apportées à la configuration de votre charge de travail pour faciliter les audits de conformité, la gestion des modifications et les enquêtes susceptibles de vous concerner. Vous pouvez utiliser AWS Config pour enregistrer et évaluer vos ressources AWS et tierces. Il vous permet d'auditer et d'évaluer en continu la conformité globale avec les règles et les packs de conformité, qui sont des ensembles de règles avec des actions correctives.
Le suivi des modifications doit inclure les modifications planifiées, qui font partie du processus de contrôle des modifications de votre organisation (parfois appelé MACD), les modifications non planifiées et les modifications inattendues, telles que les incidents. Des modifications peuvent se produire sur l'infrastructure, mais elles peuvent également être liées à d'autres catégories, telles que des changements dans les référentiels de code, des modifications au niveau des images machine et de l'inventaire d'applications, des modifications de processus et de politique ou des modifications de documentation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la gestion de la configuration : appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configuration d'un pipeline CI/CD sur AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Ressources
**Documents connexes :**
+ [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Vidéos connexes :**
+ [Managing Multi-Account AWS Environments Using AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l'aide d'un modèle de menaces
Effectuez une modélisation des menaces pour identifier et gérer un registre actualisé des menaces potentielles et des mesures d'atténuation connexes pour votre charge de travail. Hiérarchisez vos menaces et adaptez vos atténuations des contrôles de sécurité pour les prévenir, les détecter et y répondre. Ajustez et maintenez ces mesures en fonction de votre charge de travail et de l'évolution de l'environnement de sécurité.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
**Qu'est-ce que la modélisation des menaces ?**
En voici la définition : « La modélisation des menaces permet d'identifier, de communiquer et de comprendre les menaces et les atténuations dans le contexte de la protection de quelque chose de valeur. » – [The Open Web Application Security Project (OWASP) Application Threat Modeling](https://owasp.org/www-community/Threat_Modeling)
**Quel est l'intérêt de la modélisation des menaces ?**
Les systèmes sont complexes et deviennent de plus en plus complexes et compétents au fil du temps, offrant plus de valeur opérationnelle, ainsi qu'une satisfaction et un engagement client accrus. Cela signifie que les décisions de conception informatique doivent tenir compte d'un nombre toujours croissant de cas d'utilisation. Cette complexité et ce nombre de permutations des cas d'utilisation nuisent généralement à l'efficacité des approches non structurées pour trouver et atténuer les menaces. Dans ces conditions, il est préférable d'adopter une approche systématique pour recenser les menaces potentielles qui pèsent sur le système, concevoir les atténuations et d'établir la priorité de ces atténuations afin de veiller à ce que les ressources limitées de votre organisation aient un impact maximal sur l'amélioration de la posture de sécurité globale du système.
La modélisation des menaces est conçue pour fournir cette approche systématique, dans le but de trouver et de régler les problèmes au début du processus de conception, lorsque les atténuations impliquent un coût relatif et des efforts limités par rapport à plus tard dans le cycle de vie. Cette approche est conforme au principe du secteur relatif à la [sécurité « shift-left »](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Au final, la modélisation des menaces s'intègre au processus de gestion des risques d'une organisation et aide à prendre des décisions sur les contrôles à mettre en œuvre en utilisant une approche axée sur les menaces.
**Quand la modélisation des menaces doit-elle être effectuée ?**
Commencez la modélisation des menaces le plus tôt possible dans le cycle de vie de votre charge de travail, afin de bénéficier de plus de flexibilité pour la gestion des menaces identifiées. Comme pour les bogues logiciels, plus vous identifiez les menaces rapidement, plus leur résolution est économique. Un modèle de menace est un document évolutif et il doit continuer à évoluer avec vos charges de travail. Revoyez vos modèles de menaces au fil du temps, y compris lorsqu'il y a un changement majeur, une évolution du contexte des menaces ou lorsque vous adoptez une nouvelle fonctionnalité ou un nouveau service.
**Étapes d'implémentation**
**Comment pouvons-nous modéliser les menaces ?**
Il existe de nombreuses façons de modéliser les menaces. Comme pour les langages de programmation, chaque méthode a ses avantages et ses inconvénients. À vous de choisir celle qui fonctionne le mieux pour votre organisation. Une approche consiste à commencer par le [cadre des 4 questions de Shostack pour la modélisation des menaces](https://github.com/adamshostack/4QuestionFrame), qui pose des questions ouvertes afin de structurer votre exercice de modélisation des menaces :
1. **Sur quoi travaillons-nous ?**
Le but de cette question est de vous aider à comprendre et à vous mettre d'accord sur le système que vous créez et les détails associés qui sont pertinents pour la sécurité. La création d'un modèle ou d'un diagramme est la solution la plus populaire pour répondre à cette question, car elle vous aide à visualiser ce que vous créez, par exemple en utilisant un [diagramme de flux des données](https://en.wikipedia.org/wiki/Data-flow_diagram). Le fait de noter les hypothèses et les détails importants sur votre système vous aide également à définir ce qui est inclus dans le champ d'application. Cela permet à tous ceux qui contribuent au modèle de menaces de se concentrer sur la même chose et d'éviter les détours fastidieux pour étudier des sujets qui ne rentrent pas dans le champ d'application (y compris les versions obsolètes de votre système). Par exemple, si vous créez une application web, il n'est probablement pas intéressant de consacrer du temps à la modélisation de la séquence de démarrage autorisé du système d'exploitation pour les clients du navigateur, car vous ne pouvez pas avoir un impact sur ce point avec votre conception.
1. **Quels problèmes pouvez-vous rencontrer ?**
C'est là que vous identifiez les menaces qui pèsent sur votre système. Les menaces sont des actions ou des événements accidentels ou intentionnels qui ont des impacts indésirables et pourraient affecter la sécurité de votre système. Sans une compréhension claire de ce qui pourrait poser un problème, vous n'avez aucun moyen de faire quoi que ce soit.
Il n'existe pas de liste standard des problèmes potentiels. La création de cette liste nécessite un brainstorming et une collaboration entre tous les membres de votre équipe et les [décideurs pertinents impliqués](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) dans l'exercice de modélisation des menaces. Vous pouvez faciliter votre brainstorming en utilisant un modèle pour identifier les menaces, par exemple [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), qui suggère différentes catégories à évaluer : Usurpation d'identité, Altération, Répudiation, Divulgation d'informations, Déni de service et Élévation de privilège. De plus, vous pouvez faciliter le brainstorming en examinant les listes et les recherches existantes afin de vous en inspirer, y compris l'[OWASP Top 10](https://owasp.org/www-project-top-ten/), le [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/), ainsi que le catalogue des menaces de votre organisation.
1. **Qu'allons-nous faire à ce sujet ?**
Comme pour la question précédente, il n'existe pas de liste standard avec toutes les atténuations possibles. Lors de cette étape, les informations utilisées sont les menaces, les acteurs et les domaines d'amélioration identifiés par rapport à l'étape précédente.
La sécurité et la conformité sont une [responsabilité partagée entre vous et AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Il est important de comprendre que lorsque vous demandez « Qu'allons-nous faire à ce sujet ? », vous demandez également qui est responsable de ce qui doit être fait. En comprenant l'équilibre des responsabilités entre vous-même et AWS, vous pouvez évaluer votre exercice de modélisation des menaces en fonction des atténuations qui sont sous votre contrôle, c'est-à-dire, en règle générale, une combinaison des options de configuration du service AWS et vos propres atténuations spécifiques au système.
Pour la partie AWS de la responsabilité partagée, vous constaterez que les [services AWS sont couverts par de nombreux programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/). Ces programmes vous aident à comprendre les contrôles rigoureux en place chez AWS afin de garantir la sécurité et la conformité du cloud. Les rapports d'audit de ces programmes peuvent être téléchargés pour les clients AWS à partir d'[AWS Artifact](https://aws.amazon.com/artifact/).
Quels que soient les services AWS utilisés, il y a toujours un élément de responsabilité client et les atténuations correspondant à ces responsabilités doivent être incluses dans votre modèle de menaces. En ce qui concerne les atténuations en matière de contrôle de sécurité pour les services AWS eux-mêmes, envisagez l'implémentation de contrôles de sécurité dans tous les domaines, y compris la gestion des identités et des accès (authentification et autorisation), la protection des données (au repos et en transit), la sécurité de l'infrastructure, la journalisation et la surveillance. La documentation de chaque service AWS comporte un [chapitre dédié à la sécurité](https://docs.aws.amazon.com/security/) qui fournit des conseils sur les contrôles de sécurité à implémenter à des fins d'atténuation. Il est surtout important de réfléchir au code que vous écrivez et à ses dépendances, ainsi que de penser aux contrôles que vous pourriez mettre en place pour résoudre ces menaces. Ces contrôles peuvent notamment prendre les formes suivantes : [validation des entrées](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [gestion des sessions](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) et [gestion des limites](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). La plupart des vulnérabilités sont souvent introduites dans le code personnalisé, c'est pourquoi il est important de se concentrer sur ce domaine.
1. **Avons-nous fait du bon travail ?**
L'objectif est que votre équipe et votre organisation améliorent la qualité des modèles de menaces et la vitesse à laquelle vous effectuez la modélisation des menaces au fil du temps. Ces améliorations découlent d'une combinaison de pratique, d'apprentissage, d'enseignement et de révision. Pour approfondir ces notions et vous exercer, votre équipe et vous-même pouvez suivre le [cours de formation](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) ou l'[atelier](https://catalog.workshops.aws/threatmodel/en-US) sur les bons principes de modélisation des menaces pour les créateurs. De plus, si vous souhaitez obtenir des conseils sur l'intégration de la modélisation des menaces dans le cycle de développement des applications de votre organisation, consultez la publication [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (Comment aborder la modélisation des menaces) sur le Blog de sécurité d'AWS.
## Ressources
**Bonnes pratiques associées :**
+ [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Rester informé des menaces de sécurité](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Connaître les recommandations de sécurité](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité](sec_securely_operate_implement_services_features.md)
**Documents connexes :**
+ [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (Blog de sécurité AWS)
+ [ NIST: Guide to Data-Centric System Threat Modelling](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
**Vidéos connexes :**
+ [AWS Summit ANZ 2021 - How to approach threat modelling ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)
**Formations associées :**
+ [ Threat modeling the right way for builders – AWS Skill Builder virtual self-paced training ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [ Threat modeling the right way for builders – AWS Workshop ](https://catalog.workshops.aws/threatmodel)
# SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité
Évaluez et mettez en œuvre les services et fonctions de sécurité proposés par AWS et les partenaires AWS qui vous permettent de faire évoluer le niveau de sécurité de votre charge de travail. Le blog sur la sécurité AWSmet en évidence les nouveaux services et fonctionnalités AWS, les guides de mise en œuvre et des conseils généraux de sécurité. [Les nouveautés AWS](https://aws.amazon.com/new) représentent un excellent moyen de se tenir au courant de tous les nouveaux services, fonctionnalités et annonces AWS.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Planifier des vérifications régulières : créez un calendrier d'activités de révision qui inclut les exigences de conformité, l'évaluation des nouvelles fonctionnalités et des nouveaux services de sécurité AWS et des créneaux pour rester informé des actualités du secteur.
+ Découvrir les services et fonctions AWS : découvrez les fonctions de sécurité qui sont disponibles pour les services que vous utilisez. Évaluez les nouvelles fonctions au fur et à mesure qu'elles sont publiées.
+ [ Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/)
+ [ Bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentation des services AWS](https://aws.amazon.com/documentation/)
+ Définir le processus d'intégration des services AWS : définissez les processus d'intégration des nouveaux services AWS. Incluez la manière d'évaluer le fonctionnement des nouveaux services AWS et les exigences en matière de conformité pour votre charge de travail.
+ Tester les nouveaux services et les nouvelles fonctions : testez les nouveaux services et les nouvelles fonctions au fil de leur publication dans un environnement hors production qui réplique fidèlement votre environnement de production.
+ Mettre en place d'autres mécanismes de défense : implémentez des mécanismes automatisés pour défendre votre charge de travail et explorez les options disponibles.
+ [Correction des ressources AWS non conformes à l'aide de règles AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Ressources
**Vidéos connexes :**
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)
# Identity and Access Management
**Topics**
+ [SEC 2 Comment gérer l'authentification pour les personnes et les machines ?](sec-02.md)
+ [SEC 3 Comment gérer les autorisations des personnes et des machines ?](sec-03.md)
# SEC 2 Comment gérer l'authentification pour les personnes et les machines ?
Il existe deux types d'identités à gérer dans le cadre de l'exploitation de charges de travail AWS sécurisées. Comprendre le type d'identité à gérer et dont vous devez autoriser l'accès vous permet de garantir l'accès aux ressources adéquates, dans les bonnes conditions.
Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos environnements et applications AWS. Il s'agit des membres de votre organisation ou des utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur web, une application cliente ou des outils de ligne de commande interactifs.
Identités de machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités comprennent des machines s'exécutant dans votre environnement AWS, telles que des instances Amazon EC2 ou des fonctions AWS Lambda. Vous pouvez également gérer les identités de machines pour les tiers qui ont besoin d'un accès. De plus, certaines machines en dehors d'AWS peuvent avoir besoin d'accéder à votre environnement AWS.
**Topics**
+ [SEC02-BP01 Utiliser de solides mécanismes d'authentification](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Utiliser des informations d'identification temporaires](sec_identities_unique.md)
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)
+ [SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification](sec_identities_audit.md)
+ [SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs](sec_identities_groups_attributes.md)
# SEC02-BP01 Utiliser de solides mécanismes d'authentification
Les connexions (authentification au moyen d'informations d'identification de connexion) peuvent présenter des risques lorsque l'on n'utilise pas des mécanismes tels que l'authentification multifactorielle (MFA), surtout dans les situations où les informations d'identification de connexion ont été divulguées par inadvertance ou peuvent être devinées facilement. Vous devez utiliser de solides mécanismes d'authentification pour réduire ces risques en exigeant l'authentification multifactorielle (MFA) et des politiques strictes de gestion des mots de passe.
**Résultat souhaité :** réduire les risques d'accès involontaire aux informations d'identification dans AWS en utilisant des mécanismes de connexion solides pour les utilisateurs [Gestion des identités et des accès AWS (IAM)](https://aws.amazon.com/iam/), l'[utilisateur root Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) (successeur d'AWS Single Sign-On [AWS SSO]), et les fournisseurs d'identité tiers. Cela signifie que vous devez exiger une authentification multifactorielle, appliquer des politiques strictes de gestion des mots de passe et détecter les comportements de connexion anormaux.
**Anti-modèles courants :**
+ Ne pas appliquer de politique stricte de gestion des mots de passe pour vos identités, notamment des mots de passe complexes et l'authentification multifactorielle (MFA).
+ Utiliser les mêmes informations d'identification pour différents utilisateurs.
+ Ne pas utiliser de contrôles de détection pour les connexions suspectes.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Les identités humaines peuvent se connecter à AWS de plusieurs façons. Une bonne pratique AWS consiste à faire appel à un fournisseur d'identité centralisé utilisant la fédération (fédération directe ou AWS IAM Identity Center) lors de l'authentification auprès d'AWS. Dans ce cas, vous devez établir une connexion sécurisée avec votre fournisseur d'identité ou Microsoft Active Directory.
Lorsque vous ouvrez pour la première fois un Compte AWS, vous commencez avec un utilisateur root de Compte AWS. Vous devez utiliser uniquement l'utilisateur root du compte afin de configurer l'accès pour vos utilisateurs (et pour [les tâches qui requièrent l'utilisateur root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)). Il est important d'activer l'authentification multifactorielle pour l'utilisateur root du compte immédiatement après l'ouverture de votre Compte AWS et de sécuriser l'utilisateur root en s'appuyant sur le [Guide des bonnes pratiques AWS](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_aws_account.html).
Si vous créez des utilisateurs dans AWS IAM Identity Center, sécurisez le processus de connexion dans ce service. Pour les identités des consommateurs, vous pouvez utiliser [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/index.html) et sécuriser le processus de connexion dans ce service, ou utiliser l'un des fournisseurs d'identité pris en charge par Amazon Cognito user pools.
Si vous employez des utilisateurs [Gestion des identités et des accès AWS (IAM)](https://aws.amazon.com/iam/), vous devez sécuriser le processus de connexion à l'aide d'IAM.
Quelle que soit la méthode de connexion, il est essentiel d'appliquer une politique de connexion rigoureuse.
**Étapes d'implémentation**
Voici des recommandations générales en matière de connexion. Les paramètres réels que vous configurez doivent être définis par votre politique d'entreprise ou utiliser une norme telle que [NIST 800-63](https://pages.nist.gov/800-63-3/sp800-63b.html).
+ Exigez l'authentification multifactorielle. Dans le cadre des [bonnes pratiques IAM, il est recommandé d'exiger l'authentification multifactorielle](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users) pour les identités et les charges de travail humaines. L'activation de l'authentification multifactorielle fournit une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent des informations d'identification et un mot de passe unique (OTP) ou une chaîne de caractères générée et vérifiée cryptographiquement à partir d'un appareil physique.
+ Mettez en place une longueur de mot de passe minimale, il s'agit d'un facteur essentiel pour garantir la force du mot de passe.
+ Appliquez la complexité des mots de passe pour les rendre plus difficiles à deviner.
+ Permettez aux utilisateurs de changer leurs propres mots de passe.
+ Créez des identités individuelles plutôt que des informations d'identification partagées. En créant des identités individuelles, vous pouvez attribuer à chaque utilisateur un ensemble unique d'informations d'identification de sécurité. Les utilisateurs individuels offrent la possibilité d'auditer l'activité de chaque utilisateur.
Recommandations IAM Identity Center :
+ IAM Identity Center fournit une [politique de mot de passe](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html) prédéfinie lorsque vous utilisez le répertoire par défaut qui établit la longueur, la complexité et les exigences de réutilisation du mot de passe.
+ [Activez l'authentification multifactorielle](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-enable-how-to.html) et configurez le paramètre contextuel ou toujours activé pour l'authentification multifactorielle lorsque la source d'identité est le répertoire par défaut, AWS Managed Microsoft AD ou AD Connector.
+ Autorisez les utilisateurs à [enregistrer leurs propres appareils d'authentification multifactorielle (MFA)](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-allow-user-registration.html).
Recommandations pour les répertoires Amazon Cognito user pools :
+ Configurez les paramètres de [force des mots de passe](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html).
+ [Exigez l'authentification multifactorielle](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) pour les utilisateurs.
+ Utilisez les [paramètres de sécurité avancés](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html) Amazon Cognito user pools pour les fonctionnalités telles que [l'authentification adaptative](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-adaptive-authentication.html) qui peut bloquer les connexions suspectes.
Recommandations pour les utilisateurs IAM :
+ Idéalement, vous utilisez IAM Identity Center ou la fédération directe. Cependant, vous aurez peut-être besoin d'utilisateurs IAM. Le cas échéant, [définissez une politique de mot de passe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) pour les utilisateurs IAM. Vous pouvez utiliser la politique de gestion des mots de passe pour définir des exigences telles que la longueur minimale ou la nécessité d'utiliser des caractères non alphabétiques.
+ Créez une politique IAM pour [appliquer la connexion avec authentification multifactorielle](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1) afin que les utilisateurs puissent gérer leurs propres mots de passe et appareils d'authentification multifactorielle.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)
+ [SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation](sec_permissions_share_securely.md)
**Documents connexes :**
+ [AWS IAM Identity Center (successor to AWS Single Sign-On) ](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html)
+ [Définition d'une politique de mot de passe du compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [ Utilisateur root Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
+ [ Amazon Cognito password policy ](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html)
+ [AWS Credentials](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html) (Informations d'identification AWS)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
**Vidéos connexes :**
+ [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Utiliser des informations d'identification temporaires
Lors de tout type d'authentification, il est préférable d'utiliser des informations d'identification temporaires plutôt que des informations d'identification à long terme afin de réduire ou d'éliminer les risques, tels que la divulgation, le partage ou le vol des informations d'identification par inadvertance.
**Résultat souhaité :** réduire les risques liés aux informations d'identification à long terme, utiliser des informations d'identification temporaires dès que possible pour les identités humaines et machine. Les informations d'identification à long terme créent de nombreux risques, par exemple lorsqu'ils sont téléchargés dans du code dans des référentiels GitHub publics. En utilisant des informations d'identification temporaires, vous réduisez considérablement les risques de compromission de ces informations.
**Anti-modèles courants :**
+ Les développeurs utilisent des clés d'accès à long terme issues des IAM users au lieu d'obtenir des informations d'identification temporaires de la CLI à l'aide de la fédération.
+ Les développeurs intègrent des clés d'accès à long terme dans leur code et téléchargent ce code dans des référentiels Git publics.
+ Les développeurs intègrent des clés d'accès à long terme dans les applications mobiles qui sont ensuite disponibles dans les boutiques d'applications.
+ Les utilisateurs partagent des clés d'accès à long terme avec d'autres utilisateurs ou des employés quittent l'entreprise avec des clés d'accès à long terme toujours en leur possession.
+ Utilisation des clés d'accès à long terme pour les identités machine lorsque des informations d'identification temporaires peuvent être utilisées.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Utilisez des informations d'identification de sécurité temporaires plutôt que des informations d'identification à long terme pour toutes les demandes d'API et de CLI AWS. Les demandes d'API et CLI transmises aux services AWS doivent, dans presque tous les cas, être signées en utilisant des [clés d'accès AWS](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html). Ces demandes peuvent être signées avec des informations d'identification temporaires ou à long terme. Le seul moment où vous devez utiliser des informations d'identification à long terme, également connues sous le nom de clés d'accès à long terme, est si vous employez un [utilisateur IAM ](https://docs.aws.amazon.com//latest/UserGuide/id_users.html) ou l'[utilisateur root du Compte AWS](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html). Lorsque vous fédérez sur AWS ou si vous assumez un [rôle IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html) via d'autres méthodes, des informations d'identification temporaires sont générées. Même lorsque vous accédez à la AWS Management Console à l'aide des informations d'identification de connexion, des informations d'identification temporaires sont gérées pour vous permettre d'appeler les services AWS. Vous avez rarement besoin d'informations d'identification à long terme et vous pouvez accomplir presque toutes les tâches en utilisant des informations d'identification temporaires.
Privilégiez les informations d'identification temporaires plutôt que les informations d'identification à long terme et, parallèlement, mettez en place une stratégie de réduction des utilisateurs IAM au profit de la fédération et des rôles IAM. Bien que les utilisateurs IAM aient été employés pour les identités humaines et machine dans le passé, nous recommandons désormais de ne plus procéder ainsi afin d'éviter les risques liés à l'utilisation de clés d'accès à long terme.
### Étapes d'implémentation
Pour les identités humaines comme les employés, les administrateurs, les développeurs, les opérateurs et les clients :
+ [faites appel à un fournisseur d'identité centralisé](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) et [exigez des utilisateurs humains qu'ils se servent de la fédération avec un fournisseur d'identité pour accéder à AWS à l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-users-federation-idp). La fédération pour vos utilisateurs peut être mise en place soit avec [une fédération directe à chaque Compte AWS](https://aws.amazon.com/identity/federation/), soit en utilisant [AWS IAM Identity Center (successeur d'AWS IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) et le fournisseur d'identité de votre choix. La fédération offre un certain nombre d'avantages par rapport aux utilisateurs IAM, outre l'élimination des informations d'identification à long terme. Les utilisateurs peuvent également demander des informations d'identification temporaires à partir de la ligne de commande pour une [fédération directe](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) ou en utilisant [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html). Cela signifie que peu de cas d'utilisation nécessitent des utilisateurs IAM ou des informations d'identification à long terme pour vos utilisateurs.
+ Lors de l'octroi d'accès aux ressources à des tiers, par exemple les fournisseurs de logiciels en tant que service (SaaS) dans votre Compte AWS, vous pouvez utiliser des [rôles intercomptes](https://docs.aws.amazon.com//latest/UserGuide/tutorial_cross-account-with-roles.html) et des [politiques basées sur les ressources](https://docs.aws.amazon.com//latest/UserGuide/access_policies_identity-vs-resource.html).
+ Si vous devez accorder à des consommateurs ou des clients des autorisations d'accès à vos ressources AWS, vous pouvez utiliser des [groupes d'identités Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) ou [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) pour fournir des informations d'identification temporaires. Les autorisations pour les informations d'identification sont configurées via des rôles IAM. Vous pouvez également définir un rôle IAM distinct avec des autorisations limitées pour les utilisateurs invités qui ne sont pas authentifiés.
Pour les identités machine, vous devrez peut-être utiliser des informations d'identification à long terme. Le cas échéant, vous devez [exiger que les charges de travail utilisent des informations d'identification temporaires avec des rôles IAM pour accéder à AWS](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-workloads-use-roles).
+ Pour [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/) (Amazon EC2), vous pouvez utiliser des [rôles pour Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html).
+ [AWS Lambda](https://aws.amazon.com/lambda/) vous permet de configurer un [rôle d'exécution Lambda afin d'octroyer au service les autorisations](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) permettant d'effectuer des actions AWS en utilisant des informations d'identification temporaires. Il existe de nombreux modèles similaires pour permettre aux services AWS d'octroyer des informations d'identification temporaires à l'aide des rôles IAM.
+ Pour les appareils IoT, vous pouvez utiliser le [fournisseur d'informations d'identification AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) afin de demander des informations d'identification temporaires.
+ Pour les systèmes sur site ou les systèmes qui fonctionnent en dehors d'AWS et qui ont besoin d'accéder aux ressources AWS, vous pouvez utiliser [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).
Dans certains cas, il est impossible d'utiliser des informations d'identification temporaires et vous devrez alors opter pour des informations d'identification à long terme. Le cas échéant, [auditez et effectuez une rotation des informations d'identification périodiquement](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html) et [effectuez une rotation des clés d'accès régulièrement pour les cas d'utilisation qui requièrent des informations d'identification à long terme](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#rotate-credentials). Parmi les exemples qui peuvent exiger des informations d'identification à long terme, citons notamment les plug-ins WordPress et les clients AWS tiers. Dans les situations où vous devez utiliser des informations d'identification à long terme ou des informations d'identification autres que les clés d'accès AWS, comme les connexions aux bases de données, vous pouvez utiliser un service conçu pour gérer la gestion des secrets, par exemple [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager facilite la gestion, la rotation et le stockage sécurisé des secrets chiffrés à l'aide des [services pris en charge](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Pour plus d'informations sur la rotation des informations d'identification à long terme, consultez [Rotation des clés d'accès](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)
+ [SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation](sec_permissions_share_securely.md)
**Documents connexes :**
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [AWS Credentials](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html) (Informations d'identification AWS)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Rôles IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html)
+ [IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Rotating Access Keys](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) (Rotation des clés d'accès)
+ [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Utilisateur root Compte AWS](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html)
**Vidéos connexes :**
+ [Managing user permissions at scale with AWS IAM Identity Center (successor to AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Stocker et utiliser des secrets en toute sécurité
Une charge de travail nécessite une capacité automatisée pour prouver son identité aux bases de données, aux ressources et aux services tiers. Cela se fait à l'aide d'identifiants d'accès secrets, tels que des clés d'accès à l'API, des mots de passe et des jetons OAuth. L'utilisation d'un service spécialement conçu pour stocker, gérer et faire tourner ces informations d'identification permet de réduire les risques de compromission de ces informations d'identification.
**Résultat souhaité :** implémentation d'un mécanisme de gestion sécurisée des informations d'identification des applications qui atteint les objectifs suivants :
+ Identification des secrets nécessaires pour la charge de travail.
+ Réduction du nombre d'informations d'identification à long terme requis en les remplaçant par des informations d'identification à court terme, dans la mesure du possible.
+ Établissement d'un stockage sécurisé et d'une rotation automatisée des informations d'identification à long terme restantes.
+ Audit de l'accès aux secrets qui existent dans la charge de travail.
+ Surveillance continue pour vérifier qu'aucun secret n'est intégré dans le code source pendant le processus de développement.
+ Réduction des risques de divulgation des informations d'identification par inadvertance.
**Anti-modèles courants :**
+ Aucune rotation des informations d'identification.
+ Stockage des informations d'identification à long terme dans le code source ou les fichiers de configuration.
+ Stockage des informations d'identification au repos non chiffrées.
**Avantages liés à l'instauration de cette bonne pratique :**
+ Les secrets sont chiffrés au repos et en transit.
+ L'accès aux informations d'identification est sécurisé par une API (il s'agit plus ou moins d'un *distributeur d'informations d'identification*).
+ L'accès à une information d'identification (en lecture et en écriture) est audité et consigné.
+ Séparation des préoccupations : la rotation des informations d'identification est effectuée par un composant distinct, qui peut être séparé du reste de l'architecture.
+ Les secrets sont distribués automatiquement à la demande aux composants logiciels et la rotation se produit dans un emplacement central.
+ L'accès aux informations d'identification peut être contrôlé de façon précise.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Dans le passé, les informations d'identification utilisées pour s'authentifier auprès des bases de données, des API tierces, des jetons et d'autres secrets pouvaient être intégrées dans du code source ou des fichiers d'environnement. AWS fournit plusieurs mécanismes pour stocker ces informations d'identification en toute sécurité, en effectuer la rotation automatiquement et vérifier leur utilisation.
Pour gérer les secrets de façon optimale, la meilleure solution consiste à suivre les directives de suppression, de remplacement et de rotation. Les informations d'identification les plus sûres sont celles que vous n'avez pas à stocker, gérer ou manipuler. Certaines informations d'identification qui ne sont plus nécessaires au fonctionnement de la charge de travail peuvent être supprimées en toute sécurité.
Pour les informations d'identification qui restent nécessaires au bon fonctionnement de la charge de travail, il peut être possible d'opter pour une solution temporaire ou à court terme au lieu d'utiliser des informations à long terme. Par exemple, au lieu de coder en dur une clé d'accès secrète AWS, envisagez de remplacer les informations d'identification à long terme par des informations d'identification temporaires à l'aide de rôles IAM.
Certains secrets de longue durée ne peuvent pas être supprimés ni remplacés. Ces secrets peuvent être stockés dans un service tel qu'[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html), où ils peuvent être stockés, gérés et mis en rotation de façon centralisée.
Un audit du code source de la charge de travail et des fichiers de configuration peut révéler de nombreux types d'informations d'identification. Le tableau suivant résume les stratégies de traitement des types courants d'informations d'identification :
| Credential type | Description | Suggested strategy |
| --- | --- | --- |
| IAM access keys | AWS IAM access and secret keys used to assume IAM roles inside of a workload | Replace: Use [Rôles IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios.html) assigned to the compute instances (such as [Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) or [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)) instead. For interoperability with third parties that require access to resources in your Compte AWS, ask if they support [Accès intercompte AWS](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html). For mobile apps, consider using temporary credentials through [Groupes d'identités Amazon Cognito (identités fédérées)](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html). For workloads running outside of AWS, consider [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) or [AWS Systems Manager Hybrid Activations](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html). |
| SSH keys | Secure Shell private keys used to log into Linux EC2 instances, manually or as part of an automated process | Replace: Use [AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/) or [EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html) to provide programmatic and human access to EC2 instances using IAM roles. |
| Application and database credentials | Passwords – plain text string | Rotate: Store credentials in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
| Amazon RDS and Aurora Admin Database credentials | Passwords – plain text string | Replace: Use the [Intégration d'Secrets Manager à Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html) or [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html). In addition, some RDS database types can use IAM roles instead of passwords for some use cases (for more detail, see [Authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.DBAuth.html)). |
| OAuth tokens | Secret tokens – plain text string | Rotate: Store tokens in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and configure automated rotation. |
| API tokens and keys | Secret tokens – plain text string | Rotate: Store in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
Parmi les anti-modèles courants, citons l'intégration des clés d'accès IAM dans le code source, les fichiers de configuration ou les applications mobiles. Lorsqu'une clé d'accès IAM est requise pour communiquer avec un service AWS, utilisez des [informations d'identification de sécurité temporaires (à court terme)](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html). Ces informations d'identification à court terme peuvent être fournies via des [rôles IAM pour les](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) instances EC2, des [rôles d'exécution](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) pour les fonctions Lambda, des [rôles IAM Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html) pour l'accès des utilisateurs mobiles et des [politiques IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) pour les appareils IoT. Lorsque vous interagissez avec des tiers, privilégiez [la délégation des accès à un rôle IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html) avec l'accès nécessaire aux ressources de votre compte au lieu de configurer un utilisateur IAM et d'envoyer au tiers la clé d'accès secrète pour cet utilisateur.
Dans de nombreux cas, la charge de travail exige le stockage de secrets nécessaires pour interagir avec d'autres services et ressources. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) est conçu pour gérer en toute sécurité ces informations d'identification, ainsi que le stockage, l'utilisation et la rotation des jetons d'API, mots de passe et autres informations d'identification.
AWS Secrets Manager fournit cinq capacités clés pour assurer le stockage et la manipulation sécurisés des informations d'identification sensibles : [chiffrement au repos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html), [chiffrement en transit](https://docs.aws.amazon.com/secretsmanager/latest/userguide/data-protection.html), [audit complet](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html), [contrôle d'accès détaillé](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) et [rotation extensible des informations d'identification](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html). D'autres services de gestion des secrets créés par des partenaires AWS ou des solutions développées localement qui offrent des capacités et des assurances similaires sont également acceptables.
### Étapes d'implémentation
1. Identifiez les chemins de code contenant des informations d'identification codées en dur à l'aide d'outils automatisés tels que [Amazon CodeGuru](https://aws.amazon.com/codeguru/features/).
+ Utilisez Amazon CodeGuru pour analyser vos référentiels de code. Une fois la vérification terminée, filtrez sur `Type=Secrets` dans CodeGuru afin de trouver les lignes de code qui posent problème.
1. Identifiez les informations d'identification qui peuvent être supprimées ou remplacées.
1. Identifiez les informations d'identification qui ne sont plus nécessaires et marquez-les en vue de leur suppression.
1. Pour les clés secrètes AWS qui sont intégrées au code source, remplacez-les par des rôles IAM associés aux ressources nécessaires. Si une partie de votre charge de travail se trouve en dehors d'AWS mais requiert des informations d'identification IAM pour accéder aux ressources AWS, envisagez l'utilisation d'[IAM Roles Anywhere](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/) ou d'[AWS Systems Manager Hybrid Activations](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html).
1. Pour les autres secrets tiers de longue durée qui nécessitent l'utilisation de la stratégie de rotation, intégrez Secrets Manager dans votre code afin d'extraire les secrets tiers au moment de l'exécution.
1. La console CodeGuru peut [créer automatiquement un secret dans Secrets Manager](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) à l'aide des informations d'identification découvertes.
1. Intégrez l'extraction des secrets d'Secrets Manager dans votre code d'application.
+ Les fonctions Lambda sans serveur peuvent utiliser une [extension Lambda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html) qui ne dépend pas du langage.
+ Pour les instances ou conteneurs EC2, AWS fournit un exemple de [code côté client permettant d'extraire les secrets d'Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) dans plusieurs langages de programmation populaires.
1. Examinez régulièrement votre base de code et effectuez une nouvelle analyse afin de vérifier qu'aucun nouveau secret n'a été ajouté au code.
+ Envisagez d'utiliser un outil tel que [git-secrets](https://github.com/awslabs/git-secrets) pour éviter d'intégrer de nouveaux secrets dans votre référentiel de code source.
1. [Surveillez l'activité d'Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html) afin de détecter toute utilisation inattendue, tout accès aux secrets inapproprié ou toute tentative de suppression de secrets.
1. Réduisez l'exposition humaine aux informations d'identification. Limitez l'accès à la lecture, à l'écriture et à la modification des informations d'identification à un rôle IAM dédié à cette fin et fournissez un accès uniquement pour assumer le rôle à un petit sous-ensemble d'utilisateurs opérationnels.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP02 Utiliser des informations d'identification temporaires](sec_identities_unique.md)
+ [SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification](sec_identities_audit.md)
**Documents connexes :**
+ [Getting Started with AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) (Démarrer avec AWS Secrets Manager)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Amazon CodeGuru Introduces Secrets Detector](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) (Amazon DevOps Guru présente le détecteur de secrets)
+ [Comment AWS Secrets Manager utilise AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html)
+ [Chiffrement et déchiffrement de secrets dans Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
+ [Entrées de blog sur Secrets Manager](https://aws.amazon.com/blogs/security/tag/aws-secrets-manager/)
+ [Amazon RDS annonce l'intégration avec AWS Secrets Manager](https://aws.amazon.com/about-aws/whats-new/2022/12/amazon-rds-integration-aws-secrets-manager/)
**Vidéos connexes :**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale](https://youtu.be/qoxxRlwJKZ4)
+ [Find Hard-Coded Secrets Using Amazon CodeGuru Secrets Detector](https://www.youtube.com/watch?v=ryK3PN--oJs)
+ [Securing Secrets for Hybrid Workloads Using AWS Secrets Manager](https://www.youtube.com/watch?v=k1YWhogGVF8)
**Ateliers connexes :**
+ [Store, retrieve, and manage sensitive credentials in AWS Secrets Manager](https://catalog.us-east-1.prod.workshops.aws/workshops/497b4908-169f-4e6f-b80d-ef10be3038d3/en-US)
+ [AWS Systems Manager Hybrid Activations](https://mng.workshop.aws/ssm/capability_hands-on_labs/hybridactivations.html)
# SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé
Pour les identités humaines, appuyez-vous sur un fournisseur d'identité vous permettant de gérer les identités dans un emplacement centralisé. Cela facilite la gestion de l'accès entre plusieurs applications et services, car vous créez, gérez et révoquez l'accès depuis un seul emplacement. Par exemple, si quelqu'un quitte votre organisation, vous pouvez révoquer l'accès à toutes les applications et services (y compris AWS) depuis un seul emplacement. Cela réduit le nombre d'informations d'identification nécessaires et permet l'intégration aux processus de ressources humaines (RH) existants.
Pour la fédération avec des comptes AWS individuels, vous pouvez utiliser des identités centralisées pour AWS ayant un fournisseur SAML 2.0 avec Gestion des identités et des accès AWS. Vous pouvez utiliser n'importe quel fournisseur, qu'il soit hébergé par vous sur AWS, externe à AWS ou fourni par le réseau de partenaires AWS Partner, compatible avec le protocole [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Vous pouvez utiliser la fédération entre votre compte AWS et le fournisseur choisi pour accorder à un utilisateur ou à une application l'accès pour appeler les opérations d'API AWS à l'aide d'une assertion SAML afin d'obtenir des informations d'identification de sécurité temporaires. L'authentification unique basée sur le web est également prise en charge, ce qui permet aux utilisateurs de se connecter à AWS Management Console à partir de votre site web de connexion.
Pour la fédération sur plusieurs comptes de votre AWS Organizations, vous pouvez configurer votre source d'identité dans [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), et spécifier où vos utilisateurs et groupes sont stockés. Une fois configuré, votre fournisseur d'identité est votre source de vérité et les informations peuvent être [synchronisées](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) à l'aide du protocole SCIM (System for Cross-domain Identity Management) v2.0. Vous pouvez ensuite rechercher des utilisateurs ou des groupes et leur accorder un accès IAM Identity Center aux comptes AWS, aux applications cloud ou aux deux.
IAM Identity Center s'intègre à AWS Organizations, ce qui vous permet de configurer votre fournisseur d'identité une fois, puis [d'accorder l'accès aux comptes existants et aux nouveaux comptes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gérés dans votre organisation. IAM Identity Center vous fournit un stockage par défaut, que vous pouvez utiliser pour gérer vos utilisateurs et groupes. Si vous choisissez d'utiliser le stockage IAM Identity Center, créez vos utilisateurs et groupes et attribuez leur niveau d'accès à vos comptes et applications AWS, en gardant à l'esprit la bonne pratique du moindre privilège. Sinon, vous pouvez choisir de vous [connecter à votre fournisseur d'identité externe ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)à l'aide de SAML 2.0 ou [de vous connecter à votre annuaire Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) à l'aide d’AWS Directory Service. Une fois configuré, vous pouvez vous connecter à AWS Management Console ou à l'application mobile AWS en vous authentifiant via votre fournisseur d'identité central.
Pour gérer les utilisateurs finaux ou les consommateurs de vos charges de travail, comme une application mobile, vous pouvez utiliser [Amazon Cognito](http://aws.amazon.com/cognito/). Il fournit les fonctions d'authentification, d'autorisation et de gestion des utilisateurs pour vos applications Web et mobiles. Vos utilisateurs peuvent se connecter directement avec un nom d'utilisateur et un mot de passe, ou via un tiers tel que Amazon, Apple, Facebook ou Google.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Centraliser l'accès administratif : créez une entité de fournisseur d'identité de gestion des identités et des accès (IAM) pour établir une relation de confiance entre votre Compte AWS et votre fournisseur d'identité (IdP). IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0).
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Centraliser l'accès aux applications : envisagez Amazon Cognito pour centraliser l'accès aux applications. Cognito vous permet d'ajouter rapidement et facilement une inscription et une connexion utilisateur ainsi qu'un contrôle d'accès à vos applications Web et mobiles. [Amazon Cognito](https://aws.amazon.com/cognito/) s'adapte à des millions d'utilisateurs et prend en charge la connexion avec les fournisseurs d'identité sociale comme Facebook, Google et Amazon, ainsi qu'avec les fournisseurs d'identité entreprise via SAML 2.0.
+ Supprimez les utilisateurs et les groupes IAM obsolètes : une fois que vous commencez à utiliser un fournisseur d'identité (IdP), supprimez les utilisateurs et groupes IAM qui ne sont plus nécessaires.
+ [Identification des informations d'identification non utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Suppression d'un groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Ressources
**Documents connexes :**
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification
Contrôlez et effectuez régulièrement une rotation des informations d'identification afin de limiter leur durée d'utilisation pour accéder à vos ressources. Les informations d'identification à long terme créent de nombreux risques qui peuvent être réduits par une rotation régulière de ces informations.
**Résultat souhaité :** implémenter la rotation des informations d'identification afin de réduire les risques associés à l'utilisation d'informations d'identification à long terme. Auditez et corrigez régulièrement toute non-conformité avec les politiques de rotation des informations d'identification.
**Anti-modèles courants :**
+ Ne pas auditer l'utilisation des informations d'identification.
+ Utiliser inutilement des informations d'identification à long terme.
+ Utiliser des informations d'identification à long terme et ne pas effectuer de rotation régulièrement.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** moyen
## Directives d'implémentation
Lorsque l'utilisation d'informations d'identification temporaires est impossible et que vous avez besoin d'informations d'identification à long terme, vérifiez les informations d'identification pour vous assurer que les contrôles définis, tels que l'authentification multifactorielle (MFA) sont appliqués, changés régulièrement et disposent du niveau d'accès approprié.
La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. En passant des utilisateurs Gestion des identités et des accès AWS (IAM) aux identités centralisées, vous pouvez [générer un rapport des informations d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) afin d'auditer vos utilisateurs.
Nous vous recommandons également d'appliquer les paramètres d'authentification multifactorielle dans votre fournisseur d'identité. Vous pouvez configurer [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) ou utiliser les [normes de sécurité AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-3), afin de surveiller si l'authentification multifactorielle est activée pour les utilisateurs. Envisagez d'utiliser IAM Roles Anywhere afin de fournir des informations d'identification temporaires pour les identités machine. Lorsque l'utilisation de rôles IAM et d'informations d'identification temporaires n'est pas possible, il est nécessaire de réaliser fréquemment des audits et la rotation des clés d'accès.
**Étapes d'implémentation**
+ **Auditez régulièrement les informations d'identification :** l'audit des identités configurées dans votre fournisseur d'identité et dans IAM permet de s'assurer que seules les identités autorisées ont accès à votre charge de travail. Ces identités peuvent inclure, sans s'y limiter, des utilisateurs IAM, des utilisateurs AWS IAM Identity Center, des utilisateurs Active Directory ou des utilisateurs dans un autre fournisseur d'identité en amont. Par exemple, supprimez les personnes qui quittent l'organisation et supprimez les rôles intercomptes qui ne sont plus requis. Mettez en place un processus pour auditer périodiquement les autorisations aux services auxquels accède une entité IAM. Cela vous permet d'identifier les politiques à modifier afin de supprimer les autorisations inutilisées. Utilisez les rapports d'informations d'identification et [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) pour auditer les informations d'identification et les autorisations IAM. Vous pouvez utiliser [Amazon CloudWatch afin de configurer des alarmes pour des appels d'API spécifiques](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) au sein de votre environnement AWS. [Amazon GuardDuty peut également vous alerter en cas d'activité inattendue](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html), ce qui peut indiquer un accès trop permissif ou involontaire à des informations d'identification IAM.
+ **Effectuez une rotation régulière des informations d'identification :** lorsque vous ne pouvez pas utiliser d'informations d'identification temporaires, effectuez une rotation régulière des clés d'accès IAM (au maximum tous les 90 jours). Si une clé d'accès est divulguée involontairement à votre insu, cela limite la durée pendant laquelle les informations d'identification peuvent être utilisées pour accéder à vos ressources. Pour plus d'informations sur la rotation des clés d'accès pour les utilisateurs IAM, consultez [Rotation des clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
+ **Passez en revue les autorisations IAM :** pour améliorer la sécurité de votre Compte AWS, passez en revue et surveillez régulièrement chacune de vos politiques IAM. Vérifiez que les politiques respectent le principe du moindre privilège.
+ **Envisagez d'automatiser la création et les mises à jour des ressources IAM :** IAM Identity Center automatise de nombreuses tâches IAM, telles que la gestion des rôles et des politiques. Sinon, AWS CloudFormation peut être utilisé afin d'automatiser le déploiement des ressources IAM, y compris les rôles et les politiques, afin de réduire le risque d'erreur humaine, car les modèles peuvent être vérifiés et la version contrôlée.
+ **Utilisez IAM Roles Anywhere pour remplacer les utilisateurs IAM par des identités machine :** IAM Roles Anywhere vous permet d'utiliser des rôles dans des domaines où cela était impossible auparavant, par exemple avec les serveurs sur site. IAM Roles Anywhere utilise un certificat X.509 autorisé afin de s'authentifier auprès d'AWS et de recevoir des informations d'identification temporaires. L'utilisation d'IAM Roles Anywhere vous évite d'avoir à effectuer des rotations de ces informations d'identification, car les informations d'identification à long terme ne sont plus stockées dans votre environnement sur site. Veuillez noter que vous devrez surveiller et faire tourner le certificat X.509 à l'approche de son expiration.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP02 Utiliser des informations d'identification temporaires](sec_identities_unique.md)
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
**Documents connexes :**
+ [Getting started with AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) (Démarrer avec Amazon SQS)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [Obtenir des rapports d'informations d'identification pour votre Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**Vidéos connexes :**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Exemples connexes :**
+ [ Atelier Well-Architected – Automated IAM User Cleanup ](https://wellarchitectedlabs.com/security/200_labs/200_automated_iam_user_cleanup/)
+ [ Atelier Well-Architected – Automated Deployment of IAM Groups and Roles ](https://wellarchitectedlabs.com/security/200_labs/200_automated_deployment_of_iam_groups_and_roles/)
# SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs
Au fur et à mesure que le nombre d'utilisateurs que vous gérez augmente, vous devez déterminer les moyens de les organiser afin de pouvoir les gérer à grande échelle. Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs pour contrôler l'accès plutôt que des utilisateurs individuels. Cela vous permet de gérer l'accès de manière centralisée en modifiant une fois l'appartenance à un groupe ou les attributs d'un utilisateur avec un [jeu d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent. Vous pouvez utiliser AWS IAM Identity Center (IAM Identity Center) pour gérer les groupes d'utilisateurs et les attributs. IAM Identity Center prend en charge les attributs les plus couramment utilisés, qu'ils soient saisis manuellement lors de la création de l'utilisateur ou alloués automatiquement à l'aide d'un moteur de synchronisation, tel que défini dans la spécification SCIM (Cross-Domain Identity Management).
Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs, plutôt que des utilisateurs individuels, pour contrôler l'accès. Cela vous permet de gérer l'accès de manière centralisée en modifiant l'appartenance à un groupe ou les attributs d'un utilisateur une fois, plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Si vous utilisez AWS IAM Identity Center (IAM Identity Center), configurez des groupes : IAM Identity Center vous permet de configurer des groupes d'utilisateurs et d'attribuer aux groupes le niveau d'autorisation souhaité.
+ [Authentification unique AWS : gérer les identités](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Familiarisez-vous avec le contrôle d'accès basé sur les attributs (ABAC) : l'ABAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs.
+ [Qu'est-ce que l'ABAC pour AWS ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Ressources
**Documents connexes :**
+ [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Exemples connexes :**
+ [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 Comment gérer les autorisations des personnes et des machines ?
Gérez les autorisations des identités de personnes et de machines qui nécessitent un accès à AWS ainsi qu'à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d'accès.
**Topics**
+ [SEC03-BP01 Définir les conditions d'accès](sec_permissions_define.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Établir un processus d'accès d'urgence](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Limiter les autorisations au minimum requis en permanence](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Définir des protections par autorisation pour votre organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Gérer l'accès en fonction du cycle de vie](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation](sec_permissions_share_securely.md)
+ [SEC03-BP09 Partager des ressources en toute sécurité avec un tiers](sec_permissions_share_securely_third_party.md)
# SEC03-BP01 Définir les conditions d'accès
Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.
**Anti-modèles courants :**
+ Codage en dur ou stockage de secrets dans votre application.
+ Octroi d'autorisations personnalisées à chaque utilisateur.
+ Utilisation d'informations d'identification durables.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.
Un accès standard aux Comptes AWS de l'organisation doit être fourni à l'aide d'un [accès fédéré](https://aws.amazon.com/identity/federation/) ou d'un fournisseur d'identité centralisé. Vous devez également centraliser la gestion des identités et vous assurer qu'il existe une pratique établie pour intégrer l'accès à AWS au cycle de vie de l'accès des employés. Par exemple, lorsqu'un employé change de poste et de niveau d'accès, son appartenance à un groupe doit également évoluer de façon à refléter les nouvelles conditions d'accès qui lui sont associées.
Lorsque vous définissez des conditions d'accès pour des identités non humaines, déterminez quels applications et composants ont besoin d'un accès et comment les autorisations sont accordées. Dans cette optique, il est recommandé d'utiliser les rôles IAM créés avec le modèle d'accès du moindre privilège. [Les politiques gérées par AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) établissent des politiques IAM prédéfinies qui couvrent les cas d'utilisation les plus courants.
Les services AWS, tels qu' [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) et [AWS Systems Manager Parameter Store,](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)peuvent permettre de dissocier les secrets de l'application ou de la charge de travail en toute sécurité lorsqu'il est impossible d'utiliser des rôles IAM. Dans Secrets Manager, vous pouvez établir une rotation automatique de vos informations d'identification. Vous pouvez utiliser Systems Manager de façon à référencer les paramètres dans vos scripts, commandes, documents SSM, configuration et flux de travail d'automatisation en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.
Vous pouvez utiliser des rôles Gestion des identités et des accès AWS partout de façon à obtenir [des informations d'identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) pour les charges de travail exécutées en dehors d'AWS. Vos charges de travail peuvent utiliser les mêmes [politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) et [rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que ceux utilisés avec les applications AWS pour accéder aux ressources AWS.
Dans la mesure du possible, privilégiez les informations d'identification temporaires à court terme plutôt que les informations d'identification statiques à long terme. Pour les scénarios dans le cadre desquels les utilisateurs IAM doivent disposer d'un accès par programmation et d'informations d'identification à long terme, utilisez [les dernières informations de clé d'accès utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) pour effectuer la rotation des clés d'accès et supprimer ces dernières.
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS politiques gérées pour IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM policy conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM use cases](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Remove unnecessary credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [How to control access to AWS resources based on Compte AWS, OU, or organization](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Vidéos connexes :**
+ [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Accorder un accès selon le principe du moindre privilège
Une bonne pratique consiste à accorder uniquement l'accès dont les identités ont besoin pour effectuer des actions spécifiques sur des ressources spécifiques dans des conditions spécifiques. Faites appel à des groupes et des attributs d'identité pour définir de façon dynamique des autorisations à grande échelle, plutôt que pour des utilisateurs individuels. Par exemple, vous pouvez autoriser un groupe de développeurs à gérer uniquement les ressources de leur projet. Ainsi, si un développeur quitte le projet, son accès est automatiquement révoqué sans que les stratégies d'accès sous-jacentes soient modifiées.
**Résultat souhaité :** les utilisateurs doivent uniquement disposer des autorisations requises pour faire leur travail. Les utilisateurs ne doivent avoir accès qu'aux environnements de production pour effectuer une tâche précise dans un délai limité et cet accès doit être révoqué une fois la tâche terminée. Les autorisations doivent être révoquées lorsqu'elles ne sont plus nécessaires, y compris lorsqu'un utilisateur passe à un autre projet ou à une autre fonction. Les privilèges d'administrateur ne doivent être accordés qu'à un petit groupe d'administrateurs approuvés. Les autorisations doivent être examinées régulièrement pour éviter toute dérive. Les comptes des machines ou des systèmes doivent recevoir le plus petit ensemble d'autorisations nécessaires pour effectuer leurs tâches.
**Anti-modèles courants :**
+ Octroi par défaut des autorisations d'administrateur aux utilisateurs.
+ Utilisation de l'utilisateur root pour les activités quotidiennes.
+ Création de politiques trop permissives, mais sans tous les privilèges d'administrateur.
+ Absence de révision des autorisations pour comprendre si elles autorisent l'accès selon le principe du moindre privilège.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Le principe du [moindre privilège](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#grant-least-privilege) établit que les identités ne doivent être autorisées à effectuer que le plus petit ensemble d'actions nécessaires pour accomplir une tâche spécifique. Il permet d'atteindre un équilibre entre la convivialité, l'efficacité et la sécurité. Le respect de ce principe permet de limiter l'accès non intentionnel et de déterminer qui a accès aux ressources. Les utilisateurs et les rôles IAM n'ont aucune autorisation par défaut. L'utilisateur root dispose d'une accès complet par défaut et doit être étroitement contrôle et surveillé. De plus, il doit être utilisé uniquement pour des [tâches qui requièrent un accès root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html).
Les politiques IAM sont utilisées pour octroyer explicitement des autorisations aux rôles IAM ou à des ressources spécifiques. Par exemple, les politiques basées sur l'identité peuvent être attachées à des groupes IAM, tandis que les compartiments S3 peuvent être contrôlés par des politiques basées sur les ressources.
Lorsque vous créez une politique IAM, vous pouvez spécifier les actions de service, les ressources et les conditions qui doivent être remplies pour qu'AWS autorise ou refuse l'accès. AWS prend en charge diverses conditions pour vous aider à limiter l'accès. Par exemple, en utilisant la [clé de condition](https://docs.aws.amazon.com//latest/UserGuide/reference_policies_condition-keys.html) `PrincipalOrgID`, vous pouvez refuser des actions si le demandeur ne fait pas partie de votre AWS Organization.
Vous pouvez également contrôler les demandes effectuées par les services AWS en votre nom, par exemple AWS CloudFormation qui crée une fonction AWS Lambda, en utilisant la clé de condition `CalledVia`. Vous devez superposer différents types de politiques pour établir une défense en profondeur et limiter les autorisations globales de vos utilisateurs. Vous pouvez également limiter les autorisations qui peuvent être accordées et sous quelles conditions. Par exemple, vous pouvez autoriser les équipes de votre application à créer leurs propres politiques IAM pour les systèmes qu'elles créent, mais vous devez également appliquer une [limite d'autorisation](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) afin de restreindre les autorisations maximum que le système peut recevoir.
**Étapes d'implémentation**
+ **Implémentez des politiques du moindre privilège** : attribuez des politiques d'accès avec le moins de privilèges possibles aux groupes et rôles IAM pour rester cohérent avec le rôle ou la fonction de l'utilisateur que vous avez défini.
+ **Politiques de base sur l'utilisation des API** : pour déterminer les autorisations nécessaires, vous pouvez notamment passer en revue les journaux AWS CloudTrail. Cela vous permet de créer des autorisations adaptées aux actions généralement effectuées par l'utilisateur dans AWS. [IAM Access Analyzer peut générer automatiquement une politique IAM basée](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) [sur l'activité](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Vous pouvez utiliser IAM Access Advisor au niveau de l'organisation ou du compte pour [suivre](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html) [les dernières informations consultées pour une politique particulière](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html).
+ **Envisagez d'utiliser des [politiques gérées par AWS pour les fonctions professionnelles](https://docs.aws.amazon.com//latest/UserGuide/access_policies_job-functions.html).** Lorsque vous commencez à créer des politiques d'autorisations détaillées, il peut être difficile de savoir par où commencer. AWS dispose de politiques gérées pour les rôles professionnels courants, par exemple la facturation, les administrateurs de bases de données et les scientifiques des données. Ces politiques peuvent permettre de restreindre l'accès des utilisateurs en déterminant comment mettre en œuvre les politiques reposant sur le principe du moindre privilège.
+ **Supprimez les autorisations inutiles :** supprimez les autorisations qui ne sont pas nécessaires et réduisez les politiques trop permissives. La [génération de politique IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-policy-generation.html) peut vous aider à affiner les politiques d'autorisations.
+ **Assurez-vous que les utilisateurs ont un accès limité aux environnements de production :** les utilisateurs ne doivent avoir accès aux environnements de production qu'avec un cas d'utilisation valide. Une fois que l'utilisateur a effectué les tâches précises qui nécessitent un accès en production, cet accès doit être révoqué. Le fait de limiter l'accès aux environnements de production permet de prévenir les événements imprévus ayant une incidence sur la production et réduit la portée des répercussions de l'accès involontaire.
+ **Envisagez des limites d'autorisations :** une limite des autorisations est une fonction qui permet d'utiliser une stratégie gérée définissant les autorisations maximales qu'une entité IAM peut recevoir d'une politique basée sur une identité. La limite des autorisations d'une entité lui permet d'exécuter uniquement les actions autorisées par ses stratégies basées sur l'identité et ses limites d'autorisations.
+ **Envisagez les [balises de ressources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) pour les autorisations :** un modèle de contrôle d'accès basé sur des attributs utilisant des balises de ressources vous permet d'accorder l'accès en fonction de l'objectif de la ressource, du propriétaire, de l'environnement ou d'autres critères. Par exemple, vous pouvez utiliser des balises de ressources pour différencier les environnements de développement et de production. En utilisant ces balises, vous pouvez limiter les développeurs à l'environnement de développement. En combinant les politiques de balisage et d'autorisations, vous pouvez obtenir un accès précis aux ressources sans avoir à définir des politiques compliquées et personnalisées pour chaque fonction professionnelle.
+ **Utilisez les [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) pour AWS Organizations.** Les politiques de contrôle des services contrôlent de façon centralisée les autorisations disponibles maximum pour les comptes membres de votre organisation. Il est important de noter que les politiques de contrôle des services vous permettent de limiter les autorisations des utilisateurs root dans les comptes membres. Envisagez également d'utiliser AWS Control Tower, qui fournit des contrôles gérés normatifs permettant d'enrichir AWS Organizations. Vous pouvez également définir vos propres contrôles dans Control Tower.
+ **Établissez une politique de cycle de vie de l'utilisateur pour votre organisation :** les politiques du cycle de vie de l'utilisateur définissent les tâches à effectuer lorsque les utilisateurs sont intégrés à AWS, changent de rôle ou de fonctions, ou qu'ils n'ont plus besoin d'accéder à AWS. Les autorisations doivent être vérifiées à chaque étape du cycle de vie d'un utilisateur pour s'assurer qu'elles sont suffisamment restrictives et éviter les dérives.
+ **Établissez un calendrier régulier pour passer en revue les autorisations et supprimer les autorisations inutiles :** vous devez régulièrement passer en revue les accès utilisateur afin de vérifier que les utilisateurs ne disposent pas d'un accès trop permissif. [AWS Config](https://aws.amazon.com/config/) et IAM Access Analyzer peuvent être utiles pour auditer les autorisations utilisateur.
+ **Établissez une matrice des fonctions :** une matrice des fonctions permet de visualiser les différents rôles et les niveaux d'accès requis pour votre empreinte AWS. À l'aide d'une matrice des fonctions, vous pouvez définir et séparer les autorisations en fonction des responsabilités des utilisateurs au sein de votre organisation. Utilisez des groupes au lieu d'appliquer des autorisations directement aux utilisateurs ou rôles individuels.** **
## Ressources
**Documents connexes :**
+ [Accorder un accès selon le principe du moindre privilège](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html?ref=wellarchitected#grant-least-privilege)
+ [Limites d'autorisations pour les entités IAM](https://docs.aws.amazon.com//latest/UserGuide/access_policies_boundaries.html)
+ [Techniques for writing least privilege IAM policies](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) [policies based on access activity](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Delegate permission management to developers by using IAM permissions boundaries](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)
+ [Ajustement des autorisations dans AWS à l'aide des dernières informations consultées](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html)
+ [Politiques et autorisations dans IAM](https://docs.aws.amazon.com//latest/UserGuide/access_policies.html)
+ [Test des politiques IAM avec le simulateur de politiques IAM](https://docs.aws.amazon.com//latest/UserGuide/access_policies_testing-policies.html)
+ [Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero Trust architectures: An AWS perspective](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [How to implement the principle of least privilege with CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com//latest/UserGuide/introduction_attribute-based-access-control.html?ref=wellarchitected)
+ [Réduction de la portée de la politique en affichant l'activité des utilisateurs](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html?ref=wellarchitected)
+ [Afficher l'accès du rôle](https://docs.aws.amazon.com//latest/UserGuide/id_roles_manage_delete.html?ref=wellarchitected#roles-delete_prerequisites)
+ [Use Tagging to Organize Your Environment and Drive Accountability](https://docs.aws.amazon.com/aws-technical-content/latest/cost-optimization-laying-the-foundation/tagging.html?ref=wellarchitected)
+ [AWS Tagging Strategies](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/?ref=wellarchitected)
+ [Tagging AWS resources](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-iam-identity-center/)
**Vidéos connexes :**
+ [Next-generation permissions management](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit users and roles to prevent privilege escalation?](https://www.youtube.com/watch?v=omwq3r7poek)
**Exemples connexes :**
+ [Atelier : IAM permissions boundaries delegating role creation](https://wellarchitectedlabs.com/Security/300__Permission_Boundaries_Delegating_Role_Creation/README.html)
+ [Atelier : IAM tag based access control for EC2](https://wellarchitectedlabs.com/Security/300__Tag_Based_Access_Control_for_EC2/README.html?ref=wellarchitected)
# SEC03-BP03 Établir un processus d'accès d'urgence
Un processus permettant l'accès d'urgence à votre charge de travail en cas de problème lié à un processus automatisé ou un pipeline. Ceci vous permet d'utiliser la stratégie du moindre privilège, tout en veillant à ce que les utilisateurs obtiennent le niveau d'accès approprié lorsqu'ils en ont besoin. Ce processus peut inclure une combinaison de différentes capacités, par exemple un rôle AWS entre comptes d'urgence pour l'accès, ou un processus spécifique que les administrateurs doivent suivre pour valider et approuver une demande d'urgence.
**Anti-modèles courants :**
+ Absence de processus d'urgence pour récupérer après une panne avec votre configuration d'identité existante.
+ Octroi d'autorisations élevées à long terme à des fins de dépannage ou de récupération.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
La mise en place d'un accès d'urgence peut prendre plusieurs formes pour lesquelles il est important d'être prêt. La première forme est un échec de votre fournisseur d'identité principal. Dans ce cas, vous devez compter sur une deuxième méthode d'accès avec les autorisations requises pour la récupération. Cette méthode pourrait être un fournisseur d'identité de secours ou un utilisateur IAM. Cette deuxième méthode doit être [étroitement contrôlée, surveillée, et son utilisation](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) doit être indiquée dans l'événement. L'identité des accès d'urgence doit provenir d'un compte utilisé à cette fin et disposer d'autorisations destinées uniquement à assumer un rôle spécifiquement conçu pour la récupération.
Vous devriez également être prêt pour un accès d'urgence lorsqu'un accès d'administration temporaire élevé est nécessaire. Un scénario courant consiste à limiter les autorisations mutantes à un processus automatisé utilisé pour déployer les modifications. Lorsque ce processus rencontre un problème, les utilisateurs peuvent avoir besoin de demander des autorisations élevées pour restaurer la fonctionnalité. Le cas échéant, établissez un processus dans le cadre duquel les utilisateurs peuvent demander un accès élevé et les administrateurs peuvent le valider et l'approuver. Les plans d'implémentation décrivant en détail les bonnes pratiques pour la préallocation des accès et la configuration de rôles d'urgence, *de type break-glass,*sont fournis dans le cadre de [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md).
## Ressources
**Documents connexes :**
+ [Monitor and Notify on AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Managing temporary elevated access](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Vidéo connexe :**
+ [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Limiter les autorisations au minimum requis en permanence
Au fur et à mesure que vos équipes déterminent les accès nécessaires, supprimez les autorisations inutiles et mettez en place des processus de révision afin d'obtenir des autorisations de moindre privilège. Surveillez et supprimez en permanence les identités et autorisations inutilisées pour les accès humains et machine.
**Résultat souhaité :** les politiques d'autorisation doivent respecter le principe du moindre privilège. Au fur et à mesure que les tâches et les rôles sont mieux définis, vos politiques d'autorisation doivent être revues de façon à supprimer les autorisations inutiles. Cette approche réduit l'impact si les informations d'identification sont exposées par inadvertance ou autrement consultées sans autorisation.
**Anti-modèles courants :**
+ Octroi par défaut des autorisations d'administrateur aux utilisateurs.
+ Création de politiques trop permissives, mais sans tous les privilèges d'administrateur.
+ Maintien des politiques d'autorisation une fois qu'elles ne sont plus nécessaires.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** moyen
## Directives d'implémentation
Lorsque les équipes et les projets ne font que commencer, des politiques d'autorisation permissives peuvent être utilisées pour favoriser l'innovation et l'agilité. Par exemple, dans un environnement de développement ou de test, les développeurs peuvent se voir octroyer un accès à un large éventail de services AWS. Nous vous recommandons d'évaluer l'accès en continu et de restreindre l'accès aux services et aux actions de service nécessaires pour effectuer le travail en cours. Nous recommandons cette évaluation pour les identités humaines et machine. Les identités machine, parfois appelées comptes de système ou de service, donnent un accès AWS aux applications ou aux serveurs. Cet accès est particulièrement important dans un environnement de production, où des autorisations trop permissives peuvent avoir un impact important et exposer les données des clients.
AWS fournit plusieurs méthodes pour identifier les utilisateurs, les rôles, les autorisations et les informations d'identification inutilisés. AWS peut également faciliter l'analyse de l'activité d'accès des utilisateurs et rôles IAM, notamment des clés associées, ainsi que l'accès aux ressources AWS telles que les objets dans les compartiments Amazon S3. La génération de politiques AWS Identity and Access Management Access Analyzer peut vous aider à créer des politiques d'autorisations restrictives basées sur les services et les actions réels avec lesquels un principal interagit. [Le contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) peut permettre de simplifier la gestion des autorisations, car vous pouvez fournir des autorisations aux utilisateurs en utilisant leurs attributs au lieu d'associer des politiques d'autorisations directement à chaque utilisateur.
**Étapes d'implémentation**
+ **Utilisez [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) :** IAM Access Analyzer permet d'identifier les ressources de votre organisation et des comptes, comme les compartiments Amazon Simple Storage Service (Amazon S3) ou les rôles IAM qui sont [partagés avec une entité externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).
+ **Utilisez [la génération de politiques IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) :** la génération de politiques IAM Access Analyzer vous permet de [créer des politiques d'autorisation détaillées basées sur l'activité d'accès d'un utilisateur ou d'un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html#access-analyzer-policy-generation-howitworks).
+ **Déterminez un calendrier et une politique d'utilisation acceptables pour les utilisateurs et les rôles IAM :** utilisez l'[horodatage des derniers accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) pour [identifier les utilisateurs et les rôles inutilisés](https://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/) et les supprimer. Passez en revue les informations relatives aux services et actions consultés en dernier afin d'identifier et de [restreindre les autorisations à des utilisateurs et des rôles spécifiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Par exemple, vous pouvez utiliser les dernières informations consultées pour identifier les actions Amazon S3 spécifiques dont votre rôle d'application a besoin et limiter l'accès du rôle à celles-ci uniquement. Ces fonctionnalités relatives aux informations sur les derniers accès sont disponibles dans la AWS Management Console et par programmation pour vous permettre de les intégrer dans vos flux de travail d'infrastructure et vos outils automatisés.
+ **Envisagez de [consigner les événements de données dans AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) :** par défaut, CloudTrail ne consigne pas les événements de données tels que l'activité au niveau des objets Amazon S3 (par exemple, `GetObject` et `DeleteObject`) ou les activités de table Amazon DynamoDB (par exemple, `PutItem` et `DeleteItem`). Envisagez d'autoriser la journalisation de ces événements afin de déterminer quels utilisateurs et rôles ont besoin d'accéder à des objets Amazon S3 ou des éléments de table DynamoDB spécifiques.
## Ressources
**Documents connexes :**
+ [Grant least privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Remove unnecessary credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [ Qu'est-ce qu'AWS CloudTrail ? ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [ Journalisation et surveillance dans DynamoDB ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/MonitoringDynamoDB.html)
+ [Activation de la journalisation des événements CloudTrail pour les compartiments et les objets Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)
+ [ Obtenir des rapports d'informations d'identification pour votre Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**Vidéos connexes :**
+ [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70)
+ [AWS re:Inforce 2022 - Gestion des identités et des accès AWS (IAM) deep dive ](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP05 Définir des protections par autorisation pour votre organisation
Établissez des contrôles communs qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher vos techniciens de supprimer des ressources communes, telles qu'un rôle IAM utilisé pour votre équipe de sécurité centrale.
**Anti-modèles courants :**
+ Exécution des charges de travail dans votre compte d'administrateur organisationnel.
+ Exécution des charges de travail de production et autres dans le même compte.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Au fur et à mesure que vous développez et gérez des charges de travail supplémentaires dans AWS, vous devez séparer ces charges de travail à l'aide de comptes et gérer ces comptes à l'aide d'AWS Organizations. Nous vous recommandons d'établir des protections par autorisation communes qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher votre équipe de supprimer des ressources communes, telles qu'un rôle IAM utilisé par votre équipe de sécurité centrale.
Vous pouvez commencer en implémentant des exemples de politiques de contrôle des services, par exemple en empêchant les utilisateurs de désactiver les services clés. Les SCP utilisent le langage de politique IAM et vous permettent d'établir des contrôles auxquels tous les principaux (utilisateurs et rôles) IAM adhèrent. Vous pouvez restreindre l'accès à des actions de service spécifiques, à des ressources et en fonction de conditions spécifiques pour répondre aux besoins de contrôle d'accès de votre organisation. Si nécessaire, vous pouvez définir des exceptions à vos barrières de protection. Par exemple, vous pouvez restreindre les actions de service pour toutes les entités IAM du compte, à l'exception d'un rôle d'administrateur spécifique.
Nous vous déconseillons l'exécution de vos charges de travail dans votre compte de gestion. Le compte de gestion doit être utilisé afin de gouverner et déployer des barrières de protection en matière de sécurité qui affecteront les comptes des membres. Certains services AWS prennent en charge l'utilisation d'un compte d'administrateur délégué. Lorsqu'il est disponible, nous vous recommandons d'utiliser ce compte délégué plutôt que le compte de gestion. Vous devez limiter fortement l'accès au compte d'administrateur organisationnel.
La mise en place d'une stratégie multicompte vous permet de bénéficier d'une plus grande flexibilité dans l'application de barrières de protection à vos charges de travail. L'AWS Security Reference Architecture propose des conseils normatifs en ce qui concerne la conception de la structure de votre compte. Les services AWS tels qu'AWS Control Tower offrent des capacités de gestion centralisée des contrôles préventifs et de détection au sein de votre organisation. Définissez un objectif clair pour chaque compte ou unité opérationnelle au sein de votre organisation et limitez les contrôles conformément à cet objectif.
## Ressources
**Documents connexes :**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Politiques de contrôle de service (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Get more out of service control policies in a multi-account environment](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Architecture de référence de sécurité (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Vidéos connexes :**
+ [Enforce Preventive Guardrails using Service Control Policies](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Gérer l'accès en fonction du cycle de vie
Intégrez les contrôles d'accès au cycle de vie des opérateurs et des applications et à votre fournisseur de fédération centralisée. Par exemple, supprimez l'accès d'un utilisateur lorsqu'il quitte l'organisation ou change de poste.
Lorsque vous gérez des charges de travail à l'aide de comptes distincts, vous devrez partager des ressources entre ces comptes. Nous vous recommandons de partager des ressources à l'aide d' [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Ce service vous permet de partager facilement et en toute sécurité des ressources AWS au sein de votre AWS Organizations et de vos unités d'organisation. Avec AWS RAM, l'accès aux ressources partagées est automatiquement accordé ou révoqué lorsque les comptes sont déplacés vers et hors de l'organisation ou de l'unité d'organisation avec laquelle ils sont partagés. Cela permet de vous assurer que les ressources sont uniquement partagées avec les comptes que vous souhaitez.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Cycle de vie de l'accès utilisateur : implémentez une stratégie de cycle de vie d'accès utilisateur pour les nouveaux utilisateurs qui rejoignent l'entreprise, les changements de poste et les utilisateurs qui quittent l'entreprise, afin que seuls les utilisateurs actifs disposent d'un accès approprié.
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Suppression des informations d'identification inutiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Travailler avec des stratégies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vidéos connexes :**
+ [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Séparation des responsabilités, moindre privilège, délégation et CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analyser l'accès public et entre les comptes
Surveillez en continu les résultats qui mettent en évidence l'accès public et intercompte. Limitez l'accès public et intercompte uniquement aux ressources spécifiques qui requièrent ce type d'accès.
**Résultat souhaité :** savoir quelles ressources AWS sont partagées et avec qui. Surveillez et auditez continuellement vos ressources partagées afin de vérifier qu'elles ne sont partagées qu'avec les principaux autorisés.
**Anti-modèles courants :**
+ Ne pas tenir un inventaire des ressources partagées.
+ Ne pas suivre de processus pour régir l'accès intercompte et public aux ressources.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** faible
## Directives d'implémentation
Si votre compte est dans AWS Organizations, vous pouvez accorder l'accès aux ressources à l'ensemble de l'organisation, à des unités d'organisation spécifiques ou à des comptes individuels. Si votre compte n'est pas membre d'une organisation, vous pouvez partager des ressources avec des comptes individuels. Vous pouvez accorder un accès direct intercompte à l'aide de politiques axées sur les ressources, par exemple les politiques de compartiment [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html), ou en autorisant un principal dans un autre compte à assumer un rôle IAM dans votre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l'accès n'est accordé qu'aux principaux autorisés. Définissez un processus d'approbation de toutes les ressources qui doivent être accessibles au public.
[AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) utilise une [sécurité prouvable](https://aws.amazon.com/security/provable-security/) pour identifier tous les chemins d'accès à une ressource depuis l'extérieur de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d'accès public et intercompte pour vous permettre d'analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. IAM Access Analyzer vous permet également de [prévisualiser les résultats](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html) avant de déployer les autorisations des ressources. Vous pouvez ainsi vérifier que vos modifications de politique n'accordent que l'accès public et intercompte prévu à vos ressources. Lors de la conception pour un accès multicompte, vous pouvez utiliser les [politiques d'approbation](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) afin de contrôler dans quels cas un rôle peut être assumé. Par exemple, vous pouvez utiliser la clé de condition [`PrincipalOrgId` pour refuser une tentative d'assumer un rôle depuis l'extérieur de votre AWS Organizations](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
[AWS Config peut signaler les ressources](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) qui sont mal configurées et, via des contrôles de politique AWS Config, il peut détecter les ressources pour lesquelles un accès public est configuré. Des services tels que [AWS Control Tower](https://aws.amazon.com/controltower/) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplifient le déploiement des contrôles de détection et des barrières de protection dans AWS Organizations afin d'identifier et de résoudre les problèmes des ressources exposées au public. Par exemple, AWS Control Tower a une barrière de protection gérée qui peut détecter si des [instantanés Amazon EBS peuvent être restaurés par des Comptes AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
**Étapes d'implémentation**
+ **Envisagez d'activer [AWS Config pour AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html) :** AWS Config vous permet de regrouper les résultats de plusieurs comptes d'un AWS Organizations dans un compte d'administrateur délégué. Cela fournit une vue d'ensemble et vous permet de [déployer AWS Config Rules sur plusieurs comptes afin de détecter les ressources accessibles publiquement](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html).
+ **Configurez AWS Identity and Access Management Access Analyzer** IAM Access Analyzer vous permet d'identifier les ressources de votre organisation et les comptes, par exemple les compartiments Amazon S3 ou les rôles IAM qui sont [partagés avec une entité externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).
+ **Utilisez l'atténuation automatique dans AWS Config pour répondre aux changements apportés à la configuration de l'accès public des compartiments Amazon S3 :** [Vous pouvez réactiver automatiquement les paramètres d'accès public du bloc pour les compartiments Amazon S3](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/).
+ **Implémentez la surveillance et les alertes afin de déterminer si les compartiments Amazon S3 sont devenus publics :** vous devez mettre en place [la surveillance et les alertes](https://aws.amazon.com/blogs/aws/amazon-s3-update-cloudtrail-integration/) pour identifier si le Blocage de l'accès public Amazon S3 est désactivé et si les compartiments Amazon S3 deviennent publics. De plus, si vous utilisez AWS Organizations, vous pouvez créer une [politique de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) qui empêche les modifications des politiques d'accès public Amazon S3. AWS Trusted Advisor vérifie les compartiments Amazon S3 qui ont des autorisations d'accès ouvert. Les autorisations de compartiment qui accordent à tous un accès au chargement ou à la suppression créent des problèmes de sécurité potentiels, en permettant à quiconque d'ajouter, de modifier ou de supprimer les éléments d'un compartiment. La vérification Trusted Advisor examine les autorisations explicites de compartiment et les politiques associées de compartiment susceptibles de remplacer les autorisations du compartiment. Vous pouvez également utiliser AWS Config pour surveiller l'accès public de vos compartiments Amazon S3. Pour plus d'informations, consultez [How to Use AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/). Lors de l'examen de l'accès, il est important de tenir compte des types de données contenus dans les compartiments Amazon S3. [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) permet de découvrir et de protéger les données sensibles, comme les PII, les PHI et les informations d'identification, dont les clés privées ou AWS.
## Ressources
**Documents connexes :**
+ [Utiliser AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Bibliothèque des contrôles AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html)
+ [AWS Foundational Security Best Practices standard](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) (Normes concernant les bonnes pratiques de sécurité de base AWS)
+ [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) (Règles gérées AWS Config)
+ [Référence de la vérification AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
+ [ Surveillance des résultats de vérification AWS Trusted Advisor avec Amazon EventBridge ](https://docs.aws.amazon.com/awssupport/latest/user/cloudwatch-events-ta.html)
+ [ Managing AWS Config Rules Across All Accounts in Your Organization ](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) (Gestion des règles AWS Config pour tous les comptes de votre organisation)
+ [AWS Config et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)
**Vidéos connexes :**
+ [Best Practices for securing your multi-account environment](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation
À mesure que le nombre de charges de travail augmente, vous devrez peut-être partager l'accès aux ressources de ces charges de travail ou fournir les ressources plusieurs fois pour plusieurs comptes. Vous pouvez utiliser des constructions pour compartimenter votre environnement, par exemple des environnements de développement, de test et de production. Cependant, le fait d'avoir des constructions distinctes ne vous empêche pas de partager en toute sécurité. En partageant des composants qui se chevauchent, vous pouvez réduire les frais d'exploitation et offrir une expérience cohérente sans avoir à deviner ce que vous avez pu manquer en créant la même ressource plusieurs fois.
**Résultat souhaité :** limiter autant que possible les accès involontaires en utilisant des méthodes sécurisées pour partager des ressources au sein de votre organisation, et vous aider dans le cadre de votre initiative de prévention de la perte de données. Réduisez vos frais généraux opérationnels par rapport à la gestion de composants individuels, réduisez les erreurs liées à la création manuelle du même composant plusieurs fois et augmentez la capacité de mise à l'échelle de vos charges de travail. Vous pouvez bénéficier d'une réduction du délai de résolution dans les scénarios de défaillance multipoints et augmenter votre confiance dans l'évaluation du moment où un composant n'est plus nécessaire. Pour des conseils normatifs sur l'analyse des ressources partagées en externe, consultez [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md).
**Anti-modèles courants :**
+ Manque de processus pour surveiller continuellement et alerter automatiquement sur un partage externe inattendu.
+ Manque de référence sur ce qui doit être partagé et ce qui ne doit pas l'être.
+ Adoption par défaut d'une politique largement ouverte au lieu de la partager explicitement lorsque c'est nécessaire.
+ Création manuelle des ressources de base qui se chevauchent si nécessaire.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** moyen
## Directives d'implémentation
Concevez vos contrôles et modèles d'accès de façon à régir la consommation de ressources partagées en toute sécurité et uniquement avec des entités approuvées. Surveillez les ressources partagées et examinez l'accès aux ressources partagées en permanence, et soyez alerté sur les partages inappropriés ou inattendus. Consultez [Analyser l'accès public et intercompte](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html) pour vous aider à établir une gouvernance afin de réduire l'accès externe aux seules ressources qui en ont besoin, et d'établir un processus de surveillance continue et d'alerte automatique.
Le partage intercompte dans AWS Organizations est pris en charge par [un certain nombre de services AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html), comme [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) et [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html). Ces services permettent de partager les données vers un compte central, de rendre les données accessibles à partir d'un compte central ou de gérer les ressources et les données à partir d'un compte central. Par exemple, AWS Security Hub CSPM peut transférer les découvertes des comptes individuels vers un compte central où vous pouvez voir toutes ces informations. AWS Backup peut prendre une sauvegarde pour une ressource et la partager entre les comptes. Vous pouvez utiliser [AWS Resource Access Manager](https://aws.amazon.com/ram/) (AWS RAM) afin de partager d'autres ressources communes, telles que [les sous-réseaux VPC et les pièces jointes Transit Gateway](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall) ou [les pipelines Amazon SageMaker AI](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
Pour limiter votre compte au partage de ressources au sein de votre organisation, utilisez les [politiques de contrôle des services (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) afin d'empêcher l'accès aux principaux externes. Lorsque vous partagez des ressources, combinez les contrôles basés sur l'identité et les contrôles réseau afin de [créer un périmètre de données pour votre organisation](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) dans le but de contribuer à la protection contre les accès involontaires. Un périmètre de données est un ensemble de barrières de protection préventives qui vous permettent de vous assurer que seules les identités approuvées accèdent aux ressources approuvées à partir des réseaux attendus. Ces contrôles doivent placer des limites appropriées pour les ressources susceptibles d'être partagées et empêcher le partage ou l'exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques de point de terminaison VPC et la condition `AWS:PrincipalOrgId` afin de vous assurer que les identités qui accèdent aux compartiments Amazon S3 appartiennent à votre organisation. Il est important de noter que les [SCP ne s'appliquent pas aux rôles liés aux services (LSR) ni aux principaux de services AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).
Lorsque vous utilisez Amazon S3, [désactivez les listes de contrôle d'accès pour votre compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) et utilisez les politiques IAM pour définir le contrôle des accès. Pour [limiter l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) depuis [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migrez depuis l'identité d'accès d'origine (OAI) vers le contrôle d'accès d'origine (OAC) qui prend en charge des fonctionnalités supplémentaires, y compris le chiffrement côté serveur avec [AWS Key Management Service](https://aws.amazon.com/kms/).
Dans certains cas, vous pouvez autoriser le partage des ressources à l'extérieur de votre organisation ou accorder à un tiers l'accès à vos ressources. Pour des conseils normatifs sur la gestion des autorisations de partage des ressources à l'externe, consultez [Gestion des autorisations](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html).
**Étapes d'implémentation**
1. **Utilisez AWS Organizations.**
AWS Organizations est un service de gestion des comptes qui vous permet de regrouper plusieurs Comptes AWS dans une organisation que vous créez et gérez de façon centralisée. Vous pouvez regrouper vos comptes en unités d'organisation (UO) et joindre différentes politiques à chacune d'entre elles afin de vous aider à répondre à vos besoins en matière de budget, de sécurité et de conformité. Vous pouvez également contrôler la façon dont l'intelligence artificielle (IA) et le machine learning (ML) d'AWS peuvent collecter et stocker des données, et utiliser la gestion multicompte des services AWS intégrés à Organizations.
1. **Intégrez AWS Organizations aux services AWS.**
Lorsque vous permettez à un service AWS d'effectuer des tâches en votre nom dans les comptes membres de votre organisation, AWS Organizations crée un rôle IAM lié à ce service dans chaque compte membre. Gérez l'accès approuvé à l'aide de la AWS Management Console, des API AWS ou d'AWS CLI. Pour obtenir des conseils normatifs sur la mise en place d'un accès approuvé, consultez [Utilisation d'AWS Organizations avec d'autres services AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) et [Services AWS que vous pouvez utiliser avec Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. **Établissez un périmètre de données.**
Le périmètre AWS est généralement représenté comme une organisation gérée par AWS Organizations. Avec les réseaux et les systèmes sur site, l'accès aux ressources AWS est ce que beaucoup considèrent comme le périmètre de mon AWS. L'objectif du périmètre est de vérifier que l'accès est autorisé si l'identité est approuvée, si la ressource est approuvée et si le réseau est attendu.
1. Définissez et implémentez les périmètres.
Suivez les étapes décrites dans [Perimeter implementation](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html) (Implémentation du périmètre) dans le livre blanc Building a Perimeter on AWS (Créer un périmètre sur AWS) pour chaque condition d'autorisation. Pour des conseils normatifs sur la protection de la couche réseau, consultez [Protection des réseaux](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html).
1. Surveillez et alertez en continu.
[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) vous permet d'identifier les ressources de votre organisation et les comptes qui sont partagés avec des entités externes. Vous pouvez intégrer [IAM Access Analyzer à AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) pour envoyer et regrouper les découvertes d'une ressource d'IAM Access Analyzer vers Security Hub CSPM afin de contribuer à l'analyse de la situation de sécurité de votre environnement. Pour mettre en place l'intégration, activez IAM Access Analyzer et Security Hub CSPM dans chaque région de chaque compte. Vous pouvez utiliser AWS Config Rules pour auditer la configuration et alerter la partie appropriée à l'aide d'[Amazon Q Developer in chat applications avec AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/enabling-aws-security-hub-integration-with-aws-chatbot/). Vous pouvez ensuite utiliser les [documents AWS Systems Manager Automation](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) pour résoudre les problèmes des ressources non conformes.
1. Pour des conseils normatifs sur la surveillance et les alertes en continu relatives aux ressources partagées en externe, consultez [Analyser l'accès public et entre les comptes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html).
1. **Utilisez le partage des ressources dans les services AWS et limitez l'accès en conséquence.**
De nombreux services AWS vous permettent de partager des ressources avec un autre compte ou de cibler une ressource dans un autre compte, par exemple [Amazon Machine Images (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) et [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html). Limitez l'API `ModifyImageAttribute` à la spécification des comptes approuvés pour partager l'AMI. Spécifiez la condition `ram:RequestedAllowsExternalPrincipals` lorsque vous utilisez AWS RAM pour limiter le partage à votre organisation seulement, pour empêcher l'accès à des identités non approuvées. Pour des conseils et des considérations normatifs, consultez [Partage des ressources et cibles externes](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html).
1. **Utilisez AWS RAM pour partager en toute sécurité dans un compte ou avec d'autres Comptes AWS.**
[AWS RAM](https://aws.amazon.com/ram/) vous aide à partager en toute sécurité les ressources que vous avez créées avec les rôles et les utilisateurs de votre compte et avec d'autres Comptes AWS. Dans un environnement multicompte, AWS RAM vous permet de créer une ressource une fois et de la partager avec d'autres comptes. Cette approche permet de réduire vos frais généraux opérationnels tout en assurant la cohérence, la visibilité et l'auditabilité grâce à des intégrations avec Amazon CloudWatch et AWS CloudTrail, que vous ne recevez pas lorsque vous utilisez l'accès intercompte.
Si vous avez déjà partagé des ressources à l'aide d'une politique basée sur les ressources, vous pouvez utiliser l'API [https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) ou un équivalent pour faire passer le partage des ressources vers un partage AWS RAM complet.
Dans certains cas, vous devrez peut-être prendre des mesures supplémentaires pour partager les ressources. Par exemple, pour partager un instantané chiffré, vous devez [partager une clé AWS KMS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-kms-key).
## Ressources
**Bonnes pratiques associées :**
+ [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP09 Partager des ressources en toute sécurité avec un tiers](sec_permissions_share_securely_third_party.md)
+ [SEC05-BP01 Créer des couches réseau](sec_network_protection_create_layers.md)
**Documents connexes :**
+ [Propriétaire d'un compartiment accordant des autorisations entre comptes à des objets qu'il ne possède pas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Procédure d'utilisation d'un ID externe lorsque vous accordez l'accès à vos ressources AWS à un tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [Services AWS que vous pouvez utiliser avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)
+ [ Establishing a data perimeter on AWS: Allow only trusted identities to access company data ](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)
**Vidéos connexes :**
+ [Granular Access with AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)
**Outils associés :**
+ [ Exemples de politiques de périmètre de données ](https://github.com/aws-samples/data-perimeter-policy-examples)
# SEC03-BP09 Partager des ressources en toute sécurité avec un tiers
La sécurité de votre environnement cloud ne s'arrête pas à votre organisation. Votre organisation peut faire appel à un tiers pour gérer une partie de vos données. La gestion des autorisations pour le système géré par un tiers doit suivre la pratique de l'accès juste à temps en utilisant le principe du moindre privilège avec des informations d'identification temporaires. En travaillant en étroite collaboration avec un tiers, vous pouvez réduire ensemble l'étendue de l'impact et le risque d'accès involontaire.
**Résultat souhaité :** des informations d'identification Gestion des identités et des accès AWS (IAM) à long terme, des clés d'accès IAM et des clés secrètes qui sont associées à un utilisateur peuvent être utilisées par n'importe qui tant que les informations d'identification sont valides et actives. L'utilisation d'un rôle IAM et d'informations d'identification temporaires vous permettent d'améliorer votre situation globale en matière de sécurité en réduisant l'effort de gestion des informations d'identification à long terme, y compris la gestion et les frais généraux opérationnels de ces détails sensibles. En utilisant un identifiant unique universel (UUID) pour l'ID externe dans la politique d'approbation IAM et en veillant à ce que les politiques IAM restent attachées au rôle IAM sous votre contrôle, vous pouvez auditer et vérifier que l'accès accordé au tiers n'est pas trop permissif. Pour des conseils normatifs sur l'analyse des ressources partagées en externe, consultez [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md).
**Anti-modèles courants :**
+ Utilisation de la politique d'approbation IAM sans aucune condition.
+ Utilisation d'informations d'identification IAM et de clés d'accès à long terme.
+ Réutilisation des ID externes.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** moyen
## Directives d'implémentation
Vous pouvez autoriser le partage des ressources en dehors d'AWS Organizations ou accorder un accès tiers à votre compte. Par exemple, un tiers peut fournir une solution de surveillance qui doit accéder aux ressources de votre compte. Dans ces cas de figure, vous devez créer un rôle intercompte IAM en lui attribuant uniquement les privilèges requis par le tiers. De plus, vous devez définir une politique d'approbation à l'aide de la [condition d'ID externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Lorsque vous utilisez un identifiant externe, vous pouvez (ou le tiers peut) générer un identifiant unique pour chaque client, tiers ou location. L'ID unique ne doit être contrôlé que par vous après sa création. Le tiers doit implémenter un processus pour relier l'ID externe au client de manière sécurisée, auditable et reproductible.
Vous pouvez également utiliser [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) afin de gérer les rôles IAM pour les applications en dehors d'AWS qui utilisent les API AWS.
Si le tiers n'a plus besoin d'accéder à votre environnement, supprimez le rôle. Évitez de fournir à des tiers des informations d'identification à long terme. Gardez un œil sur les autres services AWS qui prennent en charge le partage. Par exemple, AWS Well-Architected Tool autorise le [partage d'une charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) avec d'autres Comptes AWS et [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) vous aide à partager en toute sécurité une ressource AWS que vous possédez avec d'autres comptes.
**Étapes d'implémentation**
1. **Utilisez des rôles intercomptes pour donner accès aux comptes externes.**
[Les rôles intercomptes](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) réduisent la quantité d'informations sensibles stockées par des comptes externes et des tiers pour servir leurs clients. Les rôles intercomptes vous permettent d'octroyer l'accès aux ressources AWS de votre compte en toute sécurité à un tiers, par exemple aux AWS Partner ou à d'autres comptes de votre organisation, tout en préservant la capacité de gérer et de vérifier cet accès.
Il se peut que le tiers vous fournisse des services à partir d'une infrastructure hybride ou qu'il extraie des données hors site pour les transférer dans un emplacement hors site. [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) permet aux charges de travail tierces d'interagir en toute sécurité avec vos charges de travail AWS et réduit davantage la nécessité d'utiliser des informations d'identification à long terme.
Vous ne devez pas utiliser d'informations d'identification à long terme ni de clés d'accès associées aux utilisateurs pour fournir un accès à un compte externe. Utilisez plutôt les rôles intercomptes pour fournir l'accès intercompte.
1. **Utilisez un ID externe avec des tiers.**
L'utilisation d'un [ID externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) vous permet de désigner qui peut assumer un rôle dans une politique d'approbation IAM. La politique d'approbation peut exiger que l'utilisateur qui assume le rôle fasse valoir la condition et la cible dans lesquelles il opère. Elle permet également au propriétaire du compte d'accepter que le rôle soit endossé uniquement dans des circonstances spécifiques. La fonction principale de l'ID externe est de traiter et de prévenir le problème de [confusion de principal](https://docs.aws.amazon.com/blogs/security/how-to-use-external-id-when-granting-access-to-your-aws-resources/).
Utilisez un ID externe si vous êtes propriétaire d'un Compte AWS et vous avez configuré un rôle pour un tiers qui accède à d'autres Comptes AWS en plus des vôtres, ou lorsque vous assumez des rôles au nom de différents clients. Collaborez avec votre tiers ou AWS Partner pour établir une condition d'identification externe à inclure dans la politique d'approbation IAM.
1. **Utilisez des ID externes universellement uniques.**
Implémentez un processus qui génère une valeur unique aléatoire pour un ID externe, comme un identifiant unique universel (UUID). Un tiers qui réutilise des ID externes entre différents clients ne règle pas le problème de confusion du principal, car le client A pourrait être en mesure de consulter les données du client B en utilisant le rôle ARN du client B avec l'ID externe dupliqué. Dans un environnement multilocataire, où un tiers prend en charge plusieurs clients avec différents Comptes AWS, le tiers doit utiliser un ID unique différent comme ID externe pour chaque Compte AWS. Le tiers est responsable de la détection des ID externes dupliqués et de la correspondance sécurisée entre chaque client et son ID externe respectif. Le tiers doit vérifier qu'il peut uniquement assumer ce rôle lorsqu'il indique l'ID externe. Le tiers doit s'abstenir de stocker le rôle du client ARN et l'ID externe jusqu'à ce que l'ID externe soit requis.
L'ID externe n'est pas traité comme un secret, mais il ne doit pas être facile à deviner, comme un numéro de téléphone, un nom ou un numéro de compte. Faites de l'ID externe un champ en lecture seule afin qu'il ne puisse pas être modifié dans le but de se faire passer pour la configuration.
Le tiers ou vous-même pouvez générer l'ID externe. Définissez un processus pour déterminer qui est responsable de la génération de l'ID. Quelle que soit l'entité qui crée l'ID externe, le tiers applique l'unicité et les formats de façon uniforme parmi les clients.
1. **Rendez obsolètes les informations d'identification à long terme fournis par le client.**
Rendez obsolète l'utilisation d'informations d'identification à long terme et utilisez des rôles intercomptes ou IAM Roles Anywhere. Si vous devez utiliser des informations d'identification à long terme, établissez un plan pour migrer vers un accès basé sur les rôles. Pour plus d'informations sur la gestion des clés, consultez [Gestion des identités](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html). Collaborez également avec votre équipe Compte AWS et le tiers pour établir un runbook d'atténuation des risques. Pour obtenir des conseils normatifs sur la façon d'intervenir et d'atténuer les répercussions potentielles d'un incident de sécurité, consultez [Réponse aux incidents](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html).
1. **Vérifiez que la configuration est conforme aux conseils normatifs ou qu'elle est automatisée.**
La politique créée pour l'accès intercompte doit suivre le [principe du moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Le tiers doit fournir un document de politique de rôle ou un mécanisme de configuration automatisé qui utilise un modèle AWS CloudFormation ou un équivalent pour vous. Cela réduit le risque d'erreurs associées à la création manuelle de politiques et offre une piste auditable. Pour plus d'informations sur l'utilisation d'un modèle CloudFormation afin de créer des rôles intercomptes, consultez [Rôles intercomptes](https://aws.amazon.com/blogs/apn/tag/cross-account-roles/).
Le tiers doit fournir un mécanisme de configuration automatisé et auditable. Cependant, si vous utilisez le document de politique de rôle décrivant l'accès nécessaire, vous devez automatiser la configuration du rôle. Si vous utilisez un modèle CloudFormation ou un équivalent, vous devrez surveiller les changements liés à la détection des dérives dans le cadre de la pratique d'audit.
1. **Planifiez les modifications.**
Votre structure de compte, la nécessité de faire appel à un tiers, ou son offre de service peuvent changer. Vous devez anticiper les changements et les défaillances, et planifier en conséquence avec les personnes, processus et technologies appropriés. Auditez régulièrement le niveau d'accès que vous fournissez et implémentez des méthodes de détection pour vous avertir des changements imprévus. Surveillez et auditez l'utilisation du rôle et de l'entrepôt de données des ID externes. Vous devez être prêt à révoquer l'accès tiers, de façon temporaire ou permanente, en raison de changements ou de tendances d'accès imprévus. De plus, mesurez l'impact sur votre opération de révocation, y compris le temps nécessaire pour l'exécution, les personnes impliquées, le coût et l'impact sur d'autres ressources.
Pour des conseils normatifs sur les méthodes de détection, consultez [Bonnes pratiques de détection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html).
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP02 Utiliser des informations d'identification temporaires](sec_identities_unique.md)
+ [SEC03-BP05 Définir des protections par autorisation pour votre organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Gérer l'accès en fonction du cycle de vie](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md)
+ [ SEC04 Détection ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**Documents connexes :**
+ [Propriétaire d'un compartiment accordant des autorisations entre comptes à des objets qu'il ne possède pas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [ How to use trust policies with IAM roles ](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [ Déléguer l'accès entre les Comptes AWS à l'aide des rôles IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)
+ [ How do I access resources in another Compte AWS using IAM? ](https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-iam/)
+ [ Bonnes pratiques de sécurité dans IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [ Logique d'évaluation de politiques intercomptes ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)
+ [Procédure d'utilisation d'un ID externe lorsque vous accordez l'accès à vos ressources AWS à un tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [ Collecting Information from AWS CloudFormation Resources Created in External Accounts with Custom Resources ](https://aws.amazon.com/blogs/apn/collecting-information-from-aws-cloudformation-resources-created-in-external-accounts-with-custom-resources/)
+ [ Securely Using External ID for Accessing AWS Accounts Owned by Others ](https://aws.amazon.com/blogs/apn/securely-using-external-id-for-accessing-aws-accounts-owned-by-others/)
+ [ Extend IAM roles to workloads outside of IAM with IAM Roles Anywhere ](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/)
**Vidéos connexes :**
+ [ How do I allow users or roles in a separate Compte AWS access to my Compte AWS? ](https://www.youtube.com/watch?v=20tr9gUY4i0)
+ [AWS re:Invent 2018: Become an IAM Policy Master in 60 Minutes or Less ](https://www.youtube.com/watch?v=YQsK4MtsELU)
+ [AWS Knowledge Center Live: IAM Best Practices and Design Decisions ](https://www.youtube.com/watch?v=xzDFPIQy4Ks)
**Exemples connexes :**
+ [ Atelier Well-Architected – Lambda cross account IAM role assumption (Level 300) ](https://www.wellarchitectedlabs.com/security/300_labs/300_lambda_cross_account_iam_role_assumption/)
+ [ Configure cross-account access to Amazon DynamoDB](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/configure-cross-account-access-to-amazon-dynamodb.html) (Configuration de l'accès intercompte à Amazon DynamoDB)
+ [AWS STS Network Query Tool ](https://github.com/aws-samples/aws-sts-network-query-tool)
# Détection
**Topics**
+ [SEC 4 Comment détecter et enquêter sur les événements de sécurité ?](sec-04.md)
# SEC 4 Comment détecter et enquêter sur les événements de sécurité ?
Capturez et analysez les événements de journaux et les métriques pour obtenir une meilleure visibilité. Prenez des mesures en réaction aux événements de sécurité et aux menaces potentielles afin de contribuer à sécuriser votre charge de travail.
**Topics**
+ [SEC04-BP01 Configurer une journalisation de service et d'application](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Automatiser la réponse aux événements](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implémenter des événements de sécurité exploitables](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 Configurer une journalisation de service et d'application
Conservez les journaux d'événements de sécurité des services et des applications. Il s'agit d'un principe de sécurité fondamental pour les cas d'audit, d'enquête et d'utilisation opérationnelle, et d'une exigence de sécurité commune dictée par les normes, politiques et procédures de gouvernance, de risque et de conformité (GRC).
**Résultat souhaité :** une organisation doit être en mesure de récupérer de façon fiable et cohérente les journaux d'événements de sécurité à partir de services et d'applications AWS rapidement lorsqu'il est nécessaire de réaliser un processus ou une obligation interne, par exemple une intervention en cas d'incident de sécurité. Envisagez de centraliser les journaux pour obtenir de meilleurs résultats opérationnels.
**Anti-modèles courants :**
+ Les journaux sont stockés à perpétuité ou supprimés trop tôt.
+ Tout le monde peut accéder aux journaux.
+ Se fier entièrement aux processus manuels pour la gouvernance et l'utilisation des journaux.
+ Stocker chaque type de journal au cas où il serait nécessaire.
+ Vérifier l'intégrité des journaux uniquement lorsque cela s'avère nécessaire.
**Avantages liés à l'instauration de cette bonne pratique :** implémentation d'un mécanisme d'analyse des causes fondamentales (RCA) pour les incidents de sécurité et une source de preuve pour vos obligations en matière de gouvernance, de risque et de conformité.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Au cours d'une enquête de sécurité ou d'autres cas d'utilisation en fonction de vos besoins, vous devez être en mesure d'examiner les journaux pertinents pour consigner et comprendre la portée et la chronologie complètes de l'incident. Des journaux sont également requis pour la génération d'alertes, indiquant que certaines actions intéressantes ont eu lieu. Il est essentiel de sélectionner, d'activer, de stocker et de configurer les mécanismes d'interrogation et de récupération ainsi que les alertes.
**Étapes d'implémentation**
+ **Sélectionnez et activez les sources du journal.** Avant une enquête de sécurité, vous devez saisir les journaux pertinents pour reconstruire rétroactivement l'activité dans un Compte AWS. Sélectionnez et activez les sources de journaux pertinentes pour vos charges de travail.
Les critères de sélection des sources de journalisation doivent être fondés sur les cas d'utilisation requis par votre entreprise. Établissez une piste pour chaque Compte AWS en utilisant AWS CloudTrail ou une piste AWS Organizations, puis configurez un compartiment Amazon S3 pour cette piste.
AWS CloudTrail est un service de journalisation qui suit les appels API sur un Compte AWS pour capturer l'activité de service AWS. Il est activé par défaut avec une conservation de 90 jours des événements de gestion qui peuvent être [extraits via l'historique des événements CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) à l'aide de la AWS Management Console, de l'AWS CLI ou d'un kit AWS SDK. Pour une conservation et une visibilité plus longues des données, [créez une piste CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) et associez-la à un compartiment Amazon S3, ainsi qu'à un groupe de journaux Amazon CloudWatch si nécessaire. Vous pouvez également créer un [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html), qui conserve les journaux CloudTrail jusqu'à sept ans et fournit une fonction de requête SQL.
AWS recommande aux clients qui utilisent un VPC d'activer les journaux réseau trafic et DNS en utilisant les [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) et les [journaux de requête du résolveur de requêtes Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html), respectivement, et de les diffuser en continu dans un compartiment Amazon S3 ou un groupe de journaux CloudWatch. Vous pouvez créer un journal de flux VPC pour un VPC, un sous-réseau ou une interface réseau. Pour les journaux de flux VPC, vous pouvez choisir la façon dont et l'endroit où vous les utilisez pour réduire les coûts.
Les journaux AWS CloudTrail, les journaux de flux VPC et les journaux de requêtes du résolveur Route 53 sont les sources de journalisation de base qui soutiennent les enquêtes de sécurité dans AWS. Vous pouvez également utiliser [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) pour collecter, normaliser et stocker ces données de journaux au format Apache Parquet et Open Cybersecurity Schema Framework (OCSF), qui est prêt pour l'interrogation. Security Lake prend également en charge d'autres journaux AWS et des journaux de sources tierces.
Les services AWS peuvent générer des journaux non capturés par les sources de journaux de base, comme les journaux Elastic Load Balancing, les journaux AWS WAF, les journaux de l'enregistreur AWS Config, les découvertes Amazon GuardDuty, les journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et les journaux d'application et de système d'exploitation des instances Amazon EC2. Pour une liste complète des options de journalisation et de surveillance, consultez [Annexe A : Définitions de la capacité cloud – Journalisation et événements](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) dans le [Guide de réponse aux incidents de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html).
+ **Recherchez les capacités de journalisation pour chaque service et application AWS :** chaque service et application AWS vous offre des options de stockage des journaux, chacune avec ses propres capacités de conservation et de cycle de vie. Les deux services de stockage de journaux les plus courants sont Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch. Pour de longues périodes de conservation, il est recommandé d'utiliser Amazon S3 pour sa rentabilité et ses capacités de cycle de vie flexibles. Si l'option de journalisation principale est Journaux Amazon CloudWatch, en tant qu'option, vous devez envisager d'archiver les journaux les moins consultés dans Amazon S3.
+ **Sélectionnez le stockage des journaux :** le choix du stockage des journaux est généralement lié à l'outil d'interrogation que vous utilisez, aux capacités de conservation, à la familiarité et au coût. Les options principales du stockage de journaux sont un compartiment Amazon S3 ou un groupe de journaux CloudWatch.
Un compartiment Amazon S3 offre un stockage durable et rentable avec une politique de cycle de vie facultative. Les journaux stockés dans des compartiments Amazon S3 peuvent être interrogés à l'aide de services tels que Amazon Athena.
Un groupe de journaux CloudWatch offre un stockage durable et une installation de requête intégrée via CloudWatch Logs Insights.
+ **Identifiez la conservation appropriée des journaux :** lorsque vous utilisez un compartiment Amazon S3 ou un groupe de journaux CloudWatch pour stocker des journaux, vous devez établir des cycles de vie adéquats pour chaque source de journaux afin d'optimiser les coûts de stockage et de récupération. Les clients ont généralement entre trois mois et un an de journaux facilement disponibles pour la recherche, avec une conservation de sept ans maximum. Le choix de la disponibilité et de la conservation doit correspondre à vos exigences en matière de sécurité et à un ensemble d'obligations statutaires, réglementaires et opérationnelles.
+ **Activez la journalisation pour chaque service et application AWS avec des politiques de conservation et de cycle de vie appropriées :** pour chaque service ou application AWS dans votre organisation, recherchez les conseils de configuration de journalisation spécifiques :
+ [ Configurer AWS CloudTrail Trail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Configurer des journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Configurer l'exportation des découvertes Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
+ [ Configurer l'enregistrement AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
+ [ Configurer le trafic d'ACL web AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [ Configurer les journaux de trafic réseau AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
+ [ Configurer les journaux d'accès Elastic Load Balancing](https://docs.aws.amazon.com/)
+ [ Configurer les journaux de requêtes du résolveur Amazon Route 53 ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
+ [ Configurer les journaux Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
+ [ Configurer les journaux de plan de contrôle Amazon EKS ](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
+ [ Configurer l'agent Amazon CloudWatch pour les instances Amazon EC2 et les serveurs sur site ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ **Sélectionnez et implémentez des mécanismes d'interrogation pour les journaux :** pour les interrogations de journaux, vous pouvez utiliser [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) pour les données stockées dans les groupes de journaux CloudWatch, et [Amazon Athena](https://aws.amazon.com/athena/) et [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) pour les données stockées dans Amazon S3. Vous pouvez également utiliser des outils d'interrogation tiers tels qu'un service de gestion des informations de sécurité et des événements (SIEM).
Le processus de sélection d'un outil d'interrogation de journaux doit tenir compte des aspects humains, technologiques et de processus de vos opérations de sécurité. Choisissez un outil qui répond aux exigences opérationnelles, métier et de sécurité, tout en étant accessible et gérable à long terme. Gardez à l'esprit que les outils d'interrogation de journaux fonctionnent de manière optimale lorsque le nombre de journaux à analyser est maintenu dans les limites de l'outil. Il n'est pas rare d'avoir plusieurs outils d'interrogation en raison de contraintes de coût ou techniques.
Par exemple, vous pouvez utiliser un outil de gestion des événements et des informations de sécurité tiers pour effectuer des requêtes sur les 90 derniers jours de données, mais utiliser Athena pour effectuer des requêtes au-delà de 90 jours en raison du coût d'ingestion du journal d'un SIEM. Quelle que soit l'implémentation choisie, assurez-vous que votre approche réduit au minimum le nombre d'outils requis pour maximiser l'efficacité opérationnelle, en particulier pendant une enquête sur un événement de sécurité.
+ **Utilisez des journaux pour les alertes :** AWS fournit des alertes par l'intermédiaire de plusieurs services de sécurité :
+ [AWS Config](https://aws.amazon.com/config/) surveille et enregistre vos configurations de ressources AWS et vous permet d'automatiser l'évaluation et la correction par rapport aux configurations souhaitées.
+ [Amazon GuardDuty](https://aws.amazon.com/guardduty/) est un service de détection des menaces qui surveille continuellement les activités malveillantes et les comportements non autorisés pour protéger votre Comptes AWS et vos charges de travail. GuardDuty ingère, regroupe et analyse les informations provenant de sources telles que la gestion et les événements de données AWS CloudTrail, les journaux DNS, les flux de journaux VPC et les journaux d'audit Amazon EKS. GuardDuty extrait des flux de données indépendants directement depuis CloudTrail, les journaux de flux VPC, les journaux de requêtes DNS et Amazon EKS. Vous n'avez pas besoin de gérer les politiques de compartiment Amazon S3 ni de modifier la façon dont vous collectez et stockez les journaux. Il est toujours recommandé de conserver ces journaux à des fins d'enquête et de conformité.
+ [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) fournit un emplacement unique qui regroupe, organise et priorise vos alertes de sécurité ou vos résultats provenant de plusieurs services AWS et de produits tiers en option pour vous donner une vue complète des alertes de sécurité et du statut de conformité.
Vous pouvez également utiliser des moteurs de génération d'alertes personnalisés pour les alertes de sécurité non couvertes par ces services ou pour les alertes spécifiques pertinentes à votre environnement. Pour plus d'informations sur la création de ces alertes, consultez [Détection dans le guide des réponses aux incidents de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html).
## Ressources
**Bonnes pratiques associées :**
+ [SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques](sec_detect_investigate_events_analyze_all.md)
+ [SEC07-BP04 Définir la gestion du cycle de vie des données](sec_data_classification_lifecycle_management.md)
+ [SEC10-BP06 Prédéployer les outils](sec_incident_response_pre_deploy_tools.md)
**Documents connexes :**
+ [AWS Security Incident Response Guide ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [Démarrer avec Amazon Security Lake ](https://aws.amazon.com/security-lake/getting-started/)
+ [ Mise en route avec Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Security Partner Solutions: Logging and Monitoring](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) (Solutions partenaires de sécurité : journalisation et surveillance)
**Vidéos connexes :**
+ [AWS re:Invent 2022 - Introducing Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY)
**Exemples connexes :**
+ [ Assisted Log Enabler for AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [AWS Security Hub CSPM Findings Historical Export ](https://github.com/aws-samples/aws-security-hub-findings-historical-export)
**Outils associés :**
+ [ Snowflake pour la cybersécurité ](https://www.snowflake.com/en/data-cloud/workloads/cybersecurity/)
# SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques
les équipes responsables des opérations de sécurité s'appuient sur la collecte de journaux et l'utilisation d'outils de recherche pour découvrir les événements d'intérêt potentiels, susceptibles d'indiquer une activité non autorisée ou une modification non intentionnelle. Cependant, la simple analyse des données collectées et le traitement manuel des informations ne suffisent pas pour faire face au volume d'informations provenant d'architectures complexes. L'analyse et les rapports ne facilitent pas l'affectation des ressources appropriées pour traiter un événement dans les délais impartis.
Une bonne pratique pour constituer une équipe d'opérations de sécurité mature consiste à intégrer profondément le flux d'événements et de résultats de sécurité dans un système de notification et de flux de travail, tel qu'un système de tickets, un système de gestion des bogues et problèmes ou un autre système de gestion des informations et des événements de sécurité (SIEM). Ainsi, le flux de travail n'est plus intégré aux rapports par e-mail et statiques, ce qui permet d'acheminer, de transférer et de gérer les événements ou les résultats. De nombreuses organisations intègrent également des alertes de sécurité dans leurs plateformes de discussion instantanée et collaborative et de productivité des développeurs. Pour les organisations qui se lancent dans l'automatisation, un système de tickets à faible latence axé sur les API, offre une flexibilité considérable pour planifier ce qu'il faut automatiser en premier.
Cette bonne pratique s'applique non seulement aux événements de sécurité générés par les messages du journal décrivant l'activité des utilisateurs ou les événements du réseau, mais aussi aux changements détectés dans l'infrastructure elle-même. La capacité à détecter les changements, à déterminer si un changement était approprié, puis à acheminer ces informations vers le processus de correction approprié est essentielle pour gérer et valider une architecture sécurisée, dans le contexte de changements dont la nature indésirable est suffisamment subtile pour que leur exécution ne puisse être actuellement empêchée par une combinaison de configuration Gestion des identités et des accès AWS(IAM) et AWS Organizations.
Amazon GuardDuty et AWS Security Hub CSPM fournissent des mécanismes d'agrégation, de déduplication et d'analyse pour les enregistrements de journaux qui sont également mis à votre disposition via d'autres services AWS. GuardDuty ingère, agrège et analyse les informations provenant de sources telles que les événements de gestion et de données AWS CloudTrail, les journaux DNS VPC et les journaux de flux VPC. Security Hub CSPM peut ingérer, agréger et analyser les résultats provenant de GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager et d'un nombre important de produits de sécurité tiers disponibles dans AWS Marketplace et, s'il a été conçu en conséquence, votre propre code. GuardDuty et Security Hub CSPM ont tous les deux un modèle Administrateur/Maître qui peut agréger les résultats et les informations sur plusieurs comptes. Security Hub CSPM est souvent utilisé par les clients qui ont un système de gestion des informations et des événements de sécurité (SIEM) sur site comme préprocesseur et agrégateur de journaux et d'alertes côté AWS à partir duquel ils peuvent ensuite ingérer Amazon EventBridge via un processeur et un redirecteur basé sur AWS Lambda.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Évaluer les fonctionnalités de traitement des journaux : évaluez les options disponibles pour le traitement des journaux.
+ [Utilisez Amazon OpenSearch Service pour enregistrer et surveiller (presque) tout. ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [Trouvez un partenaire spécialisé dans les solutions de journalisation et de surveillance. ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ Pour commencer à analyser les journaux CloudTrail, testez Amazon Athena.
+ [ Configuration d'Athena pour analyser les journaux CloudTrail ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ Implémenter la journalisation centralisée dans AWS : consultez l'exemple de solution AWS suivant pour centraliser la journalisation à partir de plusieurs sources.
+ [Centraliser la solution de journalisation ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ Implémenter la journalisation centralisée avec le partenaire : les partenaires APN disposent de solutions pour vous aider à analyser les journaux de manière centralisée.
+ [ Journalisation et surveillance ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## Ressources
**Documents connexes :**
+ [AWS Answers : journalisation centralisée ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Premiers pas : Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solutions partenaires de sécurité : journalisation et surveillance](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vidéos connexes :**
+ [ Surveillance centralisée de la configuration et de la conformité des ressources ](https://youtu.be/kErRv4YB_T4)
+ [Résolution des problèmes identifiés par Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Gestion des menaces dans le cloud : Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 Automatiser la réponse aux événements
L'utilisation de l'automatisation pour enquêter et corriger les événements réduit les efforts humains et les erreurs. Elle vous permet aussi de mettre à l'échelle les capacités d'investigation. Les vérifications régulières vous aideront à ajuster les outils d'automatisation et à itérer en continu.
Dans AWS, l'analyse des événements d'intérêt et des informations utiles sur des changements potentiellement inattendus dans un flux de travail automatisé peut être réalisée avec Amazon EventBridge. Ce service fournit un moteur de règles évolutif conçu pour négocier les formats d'événements AWS natifs (tels que les événements AWS CloudTrail) ainsi que les événements personnalisés que vous pouvez générer vous-même. Amazon GuardDuty vous permet également d'acheminer les événements vers un système de flux de travail pour ceux qui mettent en place des systèmes de réponse aux incidents (AWS Step Functions), vers un compte de sécurité central ou encore vers un compartiment pour une analyse plus approfondie.
La détection des changements et l'acheminement de ces informations vers le flux de travail approprié peuvent également être réalisés via AWS Config Rules et [les packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). AWS Config détecte les modifications apportées aux services concernés (bien que sa latence soit supérieure à celle d'EventBridge) et génère des événements qui peuvent être analysés avec AWS Config Rules pour la restauration, l'application de la politique de conformité et le transfert d'informations aux systèmes, tels que les plateformes de gestion des modifications et les systèmes de tickets opérationnels. En plus d'écrire vos propres fonctions Lambda pour répondre aux événements AWS Config, vous pouvez tirer parti du [kit de développement AWS Config Rules](https://github.com/awslabs/aws-config-rdk)et d'une [bibliothèque de règles open source](https://github.com/awslabs/aws-config-rules) AWS Config Rules. Les packs de conformité sont une collection d'actions correctives et de règles AWS Config Rules que vous déployez en tant qu'entité unique créée en tant que modèle YAML. A [exemple de modèle de pack de conformité](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) est disponible pour le pilier Sécurité Well-Architected.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Implémenter des alertes automatisées avec GuardDuty : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques.
+ Automatiser les processus d'investigation : développez des processus automatisés qui enquêtent sur un événement et rapportent les informations à un administrateur pour gagner du temps.
+ [ Atelier : Amazon GuardDuty dans la pratique ](https://hands-on-guardduty.awssecworkshops.com/)
## Ressources
**Documents connexes :**
+ [AWS Answers : journalisation centralisée ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Premiers pas : Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solutions partenaires de sécurité : journalisation et surveillance](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Configuration d'Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**Vidéos connexes :**
+ [ Surveillance centralisée de la configuration et de la conformité des ressources ](https://youtu.be/kErRv4YB_T4)
+ [Résolution des problèmes identifiés par Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Gestion des menaces dans le cloud : Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé des contrôles de détection ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 Implémenter des événements de sécurité exploitables
Créez des alertes qui sont envoyées à votre équipe et qui peuvent être exécutées par celle-ci. Assurez-vous que les alertes incluent des informations pertinentes pour que l'équipe agisse en conséquence. pour chaque mécanisme de détection dont vous disposez, vous devez également disposer d'un processus, sous la forme d'un [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) ou [d'un playbook](https://wa.aws.amazon.com/wat.concept.playbook.en.html)pour enquêter. Par exemple, lorsque vous activez [Amazon GuardDuty](http://aws.amazon.com/guardduty), il génère des résultats [différents](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Vous devez avoir une entrée de runbook pour chaque type de résultat. Par exemple, si un [cheval de Troie](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) est détecté, votre runbook comporte des instructions simples qui demandent à quelqu'un d'enquêter et de corriger.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Découvrir les métriques disponibles pour les services AWS : découvrez les métriques disponibles via Amazon CloudWatch pour les services que vous utilisez.
+ [Documentation des services AWS](https://aws.amazon.com/documentation/)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Configurez des alarmes Amazon CloudWatch.
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Ressources
**Documents connexes :**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [Solutions partenaires de sécurité : journalisation et surveillance](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vidéos connexes :**
+ [ Surveillance centralisée de la configuration et de la conformité des ressources ](https://youtu.be/kErRv4YB_T4)
+ [Résolution des problèmes identifiés par Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Gestion des menaces dans le cloud : Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# Protection de l'infrastructure
**Topics**
+ [SEC 5 Comment protéger vos ressources réseau ?](sec-05.md)
+ [SEC 6 Comment assurer la protection de vos ressources de calcul ?](sec-06.md)
# SEC 5 Comment protéger vos ressources réseau ?
Pour toute charge de travail ayant une forme quelconque de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, plusieurs couches de défense sont nécessaires pour vous protéger contre les menaces externes et internes basées sur le réseau.
**Topics**
+ [SEC05-BP01 Créer des couches réseau](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Contrôler le trafic sur toutes les couches](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatiser la protection du réseau](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mettre en œuvre l'inspection et la protection](sec_network_protection_inspection.md)
# SEC05-BP01 Créer des couches réseau
Créez des groupes multicouches pour les composants qui partagent des exigences en matière de sensibilité afin de réduire au minimum la portée potentielle des répercussions d'un accès non autorisé. Par exemple, un cluster de bases de données dans un cloud privé virtuel (VPC) n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans routage vers ou depuis Internet. Le trafic ne doit provenir que de la ressource adjacente suivante la moins sensible. Réfléchissez au cas d'une application web se trouvant derrière un équilibreur de charge. Votre base de données ne doit pas être accessible directement depuis l'équilibreur de charge. La logique métier ou le serveur web doivent être les seuls à avoir un accès direct à votre base de données.
**Résultat souhaité :** créer un réseau multicouche. Les réseaux multicouches permettent de regrouper logiquement des composants de réseau similaires. Ils réduisent également la portée potentielle de l'impact de l'accès non autorisé au réseau. Un réseau multicouche approprié complique les choses pour les utilisateurs non autorisés qui souhaitent accéder à des ressources supplémentaires au sein de votre environnement AWS. En plus de sécuriser les chemins réseau internes, vous devez également protéger votre périphérie de réseau, comme les applications web et les points de terminaison d'API.
**Anti-modèles courants :**
+ Créer toutes les ressources dans un seul VPC ou sous-réseau.
+ Utiliser des groupes de sécurité trop permissifs.
+ Ne pas utiliser de sous-réseaux.
+ Autoriser un accès direct aux stockages de données tels que les bases de données.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Les composants, tels que les instances Amazon Elastic Compute Cloud (Amazon EC2), les clusters de bases de données Amazon Relational Database Service (Amazon RDS) et les fonctions AWS Lambda qui partagent les exigences d'accessibilité, peuvent être segmentés en couches formées par des sous-réseaux. Envisagez de déployer des charges de travail sans serveur, comme [les fonctions Lambda](https://docs.aws.amazon.com/lambda/index.html) dans un VPC ou derrière un [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html). [Les tâches AWS Fargate](https://aws.amazon.com/fargate/getting-started/) qui n'ont pas besoin d'accès à Internet doivent être placées dans des sous-réseaux sans routage vers ou depuis Internet. Cette approche multicouche réduit l'impact d'une mauvaise configuration de couche unique, ce qui pourrait autoriser un accès involontaire. Pour AWS Lambda, vous pouvez exécuter vos fonctions dans votre VPC pour anticiper les contrôles basés sur un VPC.
Pour une connectivité réseau pouvant inclure des milliers de VCP, des Comptes AWS et des réseaux sur site, vous devez utiliser [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). Transit Gateway agit comme un hub qui contrôle la façon dont le trafic est acheminé entre tous les réseaux connectés, qui agissent comme des rayons. Le trafic entre Amazon Virtual Private Cloud (Amazon VPC) et Transit Gateway reste sur le réseau privé AWS, ce qui réduit l'exposition externe aux utilisateurs non autorisés et les problèmes de sécurité potentiels. L'appairage inter-région Transit Gateway chiffre également le trafic inter-région sans point unique de défaillance ni goulot d'étranglement sur la bande passante.
**Étapes d'implémentation**
+ **Utilisez [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html) pour analyser le chemin entre une source et une destination en fonction de la configuration :** Reachability Analyzer vous permet d'automatiser la vérification de la connectivité vers et depuis les ressources connectées VPC. Notez que cette analyse se fait en examinant la configuration (aucun paquet réseau n'est envoyé lors de l'analyse).
+ **Utilisez l'[analyseur d'accès réseau Amazon VPC](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) pour identifier l'accès involontaire aux ressources du réseau :** l'analyseur d'accès réseau Amazon VPC vous permet de spécifier vos besoins d'accès réseau et d'identifier les chemins réseau potentiels.
+ **Déterminez si les ressources doivent être dans un sous-réseau public :** ne placez pas les ressources dans les sous-réseaux publics de votre VPC à moins qu'elles doivent absolument recevoir du trafic réseau entrant de sources publiques.
+ **Créez [des sous-réseaux dans vos VPC](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) :** créez des sous-réseaux pour chaque couche réseau (dans les groupes qui comprennent plusieurs zones de disponibilité) pour améliorer la micro-segmentation. Vérifiez également que vous avez associé les [tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) appropriées à vos sous-réseaux pour contrôler le routage et la connectivité Internet.
+ **Utilisez [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html) pour gérer vos groupes de sécurité VPC :** AWS Firewall Manager permet d'alléger la complexité de gestion liée à l'utilisation de plusieurs groupes de sécurité.
+ **Utilisez [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) pour vous protéger contre les vulnérabilités web courantes :** AWS WAF peut permettre d'améliorer la sécurité de la périphérie en inspectant le trafic à la recherche des vulnérabilités web courantes, telles que l'injection de SQL. Il vous permet également de limiter le trafic des adresses IP provenant de certains pays ou emplacements géographiques.
+ **Utilisez [Amazon CloudFront](https://docs.aws.amazon.com/cloudfront/index.html) comme réseau de distribution de contenu (CDN) :** Amazon CloudFront peut vous aider à accélérer votre application web en stockant les données plus près de vos utilisateurs. Il peut également améliorer la sécurité de la périphérie en appliquant HTTPS, en limitant l'accès aux zones géographiques et en veillant à ce que le trafic réseau ne puisse accéder aux ressources que lorsqu'il est acheminé via CloudFront.
+ **Utilisez [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) lors de la création d'interfaces de programmation d'applications (API) :** Amazon API Gateway permet de publier, surveiller et sécuriser les API REST, HTTPS et WebSocket.
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Sécurité dans Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)
+ [ Amazon VPC Network Access Analyzer ](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/getting-started.html#run-analysis) (Analyseur d'accès réseau VPC)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs ](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
+ [AWS re:Inforce 2022 - Validate effective network access controls on AWS](https://www.youtube.com/watch?v=aN2P2zeQek0)
+ [AWS re:Inforce 2022 - Advanced protections against bots using AWS WAF](https://www.youtube.com/watch?v=pZ2eftlwZns)
**Exemples connexes :**
+ [Atelier Well-Architected – Automated Deployment of VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [ Atelier : Amazon VPC Network Access Analyzer ](https://catalog.us-east-1.prod.workshops.aws/workshops/cf2ecaa4-e4be-4f40-b93f-e9fe3b1c1f64)
# SEC05-BP02 Contrôler le trafic sur toutes les couches
lorsque vous créez l'architecture de votre topologie réseau, vous devez examiner les exigences de connectivité de chaque composant. Par exemple, si un composant nécessite d'accéder à Internet (en entrée et en sortie), une connectivité aux VPC, aux services périphériques et aux centres de données externes.
Un VPC vous permet de définir votre topologie de réseau qui s'étend sur une Région AWS avec une plage d'adresses IPv4 privée que vous définissez, ou une plage d'adresses IPv6 que sélectionne AWS. Vous devez appliquer des contrôles multiples avec une approche de défense en profondeur pour le trafic entrant et sortant, y compris l'utilisation de groupes de sécurité (pare-feu à inspection permanente), de listes de contrôle d'accès (ACL) réseau, de sous-réseaux et de tables de routage. Au sein d'un VPC, vous pouvez créer des sous-réseaux dans une zone de disponibilité. Chaque sous-réseau peut avoir une table de routage associée qui définit les règles de routage pour gérer les chemins que le trafic emprunte au sein du sous-réseau. Vous pouvez définir un sous-réseau routable Internet en ayant une route qui accède à une passerelle Internet ou NAT connectée au VPC, ou passant par un autre VPC.
Lorsqu'une instance, une base de données Amazon Relational Database Service(Amazon RDS) ou un autre service sont lancés au sein d'un VPC, ils disposent de leur propre groupe de sécurité sur chaque interface réseau. Ce pare-feu se situe en dehors de la couche du système d'exploitation et peut être utilisé pour définir des règles pour le trafic entrant et sortant autorisé. Vous pouvez également définir les relations entre les groupes de sécurité. Par exemple, les instances d'un groupe de sécurité de la couche base de données n'acceptent que le trafic des instances de la couche application, par référence aux groupes de sécurité appliqués aux instances concernées. Si vous utilisez des protocoles non-TCP, il n'est pas nécessaire de laisser une instance Amazon Elastic Compute Cloud(Amazon EC2) directement accessible par Internet (même avec des ports restreints par des groupes de sécurité) sans utiliser d'équilibreur de charge ou [CloudFront](https://aws.amazon.com/cloudfront). Cela permet de la protéger contre un accès involontaire en cas de problème de système d'exploitation ou d'application. Un sous-réseau peut également avoir une liste ACL réseau qui fait office de pare-feu sans état. Vous devez configurer la liste de contrôle d'accès(ACL) au réseau de manière à réduire l'étendue du trafic autorisé entre les couches. Notez que vous devez définir des règles à la fois pour les flux entrants et sortants.
Certains services AWS nécessitent que des composants accèdent à Internet pour effectuer des appels d'API, là où [les points de terminaison d'API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) sont situés. D'autres services AWS utilisent les [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) dans vos Amazon VPC. De nombreux services AWS, notamment Amazon S3 et Amazon DynamoDB, prennent en charge les points de terminaison d'un VPC, et cette technologie a été généralisée dans . [AWS PrivateLink](https://aws.amazon.com/privatelink/). Nous vous recommandons d'utiliser cette approche pour accéder en toute sécurité aux services AWS, aux services tiers et à vos propres services hébergés dans d'autres VPC. Tout le trafic réseau sur AWS PrivateLink reste sur la dorsale mondiale AWS et ne traverse jamais Internet. La connectivité ne peut être initiée que par le consommateur du service, et non par le fournisseur du service. Utiliser AWS PrivateLink pour l'accès au service externe vous permet de créer des VPC isolés sans accès à Internet et contribue à protéger vos VPC contre les vecteurs de menace externes. Les services tiers peuvent utiliser AWS PrivateLink pour permettre à leurs clients de se connecter aux services à partir de leurs VPC via des adresses IP privées. Pour les ressources VPC qui ont besoin d'établir des connexions sortantes à Internet, celles-ci peuvent être établies en mode sortant uniquement (unidirectionnel) via une passerelle NAT gérée par AWS, une passerelle Internet en mode sortant uniquement ou des proxys Web que vous créez et gérez.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Contrôler le trafic réseau dans un VPC : mettez en œuvre les bonnes pratiques liées aux VPC pour contrôler le trafic.
+ [Sécurité des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Groupe de sécurité de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [ACL réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ Contrôler le trafic en périphérie : implémentez des services périphériques comme Amazon CloudFront pour fournir une couche supplémentaire de protection et d'autres fonctions.
+ [Cas d'utilisation d'Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC Ingress Routing](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ Contrôler le trafic réseau privé : implémentez des services qui protègent le trafic privé pour votre charge de travail.
+ [Appairage des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC Endpoint Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Points d'accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 Automatiser la protection du réseau
Automatisez les mécanismes de protection pour disposer d'un réseau capable de se défendre lui-même grâce à l'intelligence des menaces et à la détection des anomalies. Par exemple, des outils de détection et de prévention des intrusions capables de s'adapter aux menaces actuelles et de réduire leur impact. Un pare-feu d'application web est un scénario dans lequel vous pouvez automatiser la protection du réseau, par exemple, en utilisant la solution AWS WAF Security Automations ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) pour bloquer automatiquement les requêtes provenant d'adresses IP associées à des acteurs de menaces connus.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la protection du trafic web : AWS propose une solution qui utilise AWS CloudFormation pour déployer automatiquement un ensemble de règles AWS WAF conçues pour filtrer les attaques courantes sur le web. Les utilisateurs peuvent choisir parmi des fonctions de protection préconfigurées qui définissent les règles incluses dans une liste de contrôle d'accès (ACL web) AWS WAF.
+ [Automatisations de sécurité AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ Envisager les solutions AWS Partner : les partenaires AWS proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.
+ [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Sécurité des VPC Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 Mettre en œuvre l'inspection et la protection
Inspectez et filtrez votre trafic au niveau de chaque couche. Vous pouvez inspecter les configurations de vos VPC pour détecter tout accès involontaire potentiel à l'aide de [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Vous pouvez spécifier vos exigences d'accès au réseau et identifier les chemins réseau potentiels qui ne les satisfont pas. Pour les composants effectuant des transactions via des protocoles basés sur HTTP, un pare-feu d'application Web peut protéger contre les attaques courantes. [AWS WAF](https://aws.amazon.com/waf) est un pare-feu d'application Web qui permet de surveiller et de bloquer les requêtes HTTP correspondant à vos règles configurables qui sont transmises à une API Amazon API Gateway, à Amazon CloudFront ou à un Application Load Balancer. Pour commencer à utiliser AWS WAF, vous pouvez utiliser des [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) en combinaison avec les vôtres ou utiliser des [intégrations de partenaires existantes](https://aws.amazon.com/waf/partners/).
Pour gérer AWS WAF, les protections AWS Shield Advanced et les groupes de sécurité Amazon VPC dans AWS Organizations, vous pouvez utiliser AWS Firewall Manager. Il vous permet de configurer et de gérer de manière centralisée les règles de pare-feu de l'ensemble de vos comptes et applications, ce qui facilite l'application à grande échelle des règles communes. Il permet également de répondre rapidement aux attaques, à l'aide d' [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)ou [de solutions](https://aws.amazon.com/solutions/aws-waf-security-automations/) qui peuvent bloquer automatiquement les demandes indésirables adressées à vos applications Web. Firewall Manager fonctionne également avec [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall est un service géré qui utilise un moteur de règles pour vous donner un contrôle précis sur le trafic réseau avec et sans état. Il prend en charge les spécifications du système de prévention des intrusions (IPS) open source [compatible avec Suricata](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) pour les règles afin de protéger plus efficacement votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Configurer Amazon GuardDuty : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [Atelier : Déploiement automatisé des contrôles de détection](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Configurer des flux de journaux de cloud privé virtuel (VPC) : les journaux de flux de VPC sont une fonction qui vous permet de capturer des informations sur le trafic IP allant et venant des interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées sur Amazon CloudWatch Logs et Amazon Simple Storage Service (Amazon S3). Une fois que vous avez créé un journal de flux, vous pouvez extraire et afficher ses données dans la destination de votre choix.
+ Envisager la mise en miroir du trafic VPC : la mise en miroir du trafic est une fonction Amazon VPC que vous pouvez utiliser pour copier le trafic réseau à partir d'une interface réseau Elastic d'instances Amazon Elastic Compute Cloud (Amazon EC2), puis l'envoyer à des appareils de sécurité et de surveillance hors bande pour l'inspection du contenu, la surveillance des menaces et le dépannage.
+ [Mise en miroir du trafic VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 Comment assurer la protection de vos ressources de calcul ?
Les ressources de calcul de votre charge de travail nécessitent plusieurs couches de défense pour vous aider à vous protéger des menaces externes et internes. Les ressources de calcul incluent les instances EC2, les conteneurs, les fonctions AWS Lambda, les services de bases de données, les appareils IoT, etc.
**Topics**
+ [SEC06-BP01 Gérer les failles](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Réduire la surface d'attaque](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Mettre en œuvre des services gérés](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatiser la protection du calcul](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Permettre aux utilisateurs d'effectuer des actions à distance](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Valider l'intégrité des logiciels](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 Gérer les failles
Analysez et éliminez fréquemment les failles de sécurité dans votre code, vos dépendances et votre infrastructure afin de vous protéger contre les nouvelles menaces.
**Résultat souhaité :** créer et gérer un programme de gestion des failles. Analysez et corrigez régulièrement les ressources telles que les instances Amazon EC2, les conteneurs Amazon Elastic Container Service (Amazon ECS) et les charges de travail Amazon Elastic Kubernetes Service (Amazon EKS). Configurez des fenêtres de maintenance pour les ressources gérées par AWS, par exemple les bases de données Amazon Relational Database Service (Amazon RDS). Utilisez l'analyse de code statique pour rechercher des problèmes courants dans le code source de l'application. Envisagez de tester la pénétration des applications web si votre organisation possède les compétences requises ou peut recruter de l'aide externe.
**Anti-modèles courants :**
+ L'absence de programme de gestion des failles.
+ L'application de correctifs système sans tenir compte de la gravité ni de l'évitement des risques.
+ Utilisation d'un logiciel dont la date de fin de vie (EOL) a été dépassée.
+ Déploiement du code en production avant de l'analyser afin de détecter tout problème de sécurité.
**Avantages liés à l'instauration de cette bonne pratique :**
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Un programme de gestion des failles comprend l'évaluation de la sécurité, l'identification des problèmes, l'établissement des priorités et la mise en œuvre des correctifs dans le cadre de la résolution des problèmes. L'automatisation est la clé pour analyser continuellement les charges de travail afin de détecter les problèmes, l'exposition involontaire du réseau et la mise en œuvre de mesures correctives. L'automatisation de la création et de la mise à jour des ressources permet de gagner du temps et de réduire le risque d'erreurs de configuration, ce qui crée d'autres problèmes. Un programme de gestion des failles bien conçu doit également tenir compte des tests de vulnérabilité pendant les étapes de développement et de déploiement du cycle de vie du logiciel. L'implémentation de la gestion des failles pendant le développement et le déploiement réduit les risques d'avoir une vulnérabilité dans votre environnement de production.
L'implémentation d'un programme de gestion des failles nécessite une bonne compréhension du [modèle de responsabilité partagée AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) et de la façon dont cela affecte vos charges de travail spécifiques. Dans le cadre du modèle de responsabilité partagée, AWS est responsable de la protection de l'infrastructure du AWS Cloud. Cette infrastructure se compose de matériels, de logiciels, de réseaux et d'installations exécutant les services du AWS Cloud. Vous êtes responsable de la sécurité dans le cloud, par exemple des données réelles, de la configuration de la sécurité et des tâches de gestion des instances Amazon EC2. Vous devez également vérifier que les objets Amazon S3 sont classés et configurés correctement. Votre approche en matière de gestion des failles peut également varier selon les services que vous utilisez. Par exemple, AWS gère l'application des correctifs pour notre service de base de données relationnelle gérée, Amazon RDS, mais vous êtes responsable de l'application des correctifs dans les bases de données auto-hébergées.
AWS offre une gamme de services pour vous aider dans le cadre de votre programme de gestion des failles. [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) analyse continuellement les charges de travail AWS afin d'identifier les problèmes de logiciels et les accès réseau involontaires. [Le Gestionnaire de correctifs d'AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) permet de gérer l'application des correctifs sur vos instances Amazon EC2. Amazon Inspector et Systems Manager peuvent être consultés dans [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html), un service de gestion de la situation de sécurité dans le cloud qui aide à automatiser les contrôles de sécurité AWS et à centraliser les alertes de sécurité.
[Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) permet d'identifier les problèmes potentiels dans les applications Java et Python en utilisant l'analyse de code statique.
**Étapes d'implémentation**
+ **Configurez [Amazon Inspector](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html) :** Amazon Inspector détecte automatiquement les instances Amazon EC2 qui viennent d'être lancées, les fonctions Lambda et les images de conteneur éligibles envoyées dans Amazon ECR, et il les analyse immédiatement afin d'identifier les problèmes de logiciels, les défauts potentiels et tout exposition involontaire du réseau.
+ **Analysez le code source :** rechercher les problèmes et les défauts dans les bibliothèques et les dépendances. [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) peut analyser et recommander des mesures correctives pour les [problèmes de sécurité courants](https://docs.aws.amazon.com/codeguru/detector-library/index.html) dans les applications Java et Python. [La Fondation OWASP](https://owasp.org/www-community/Source_Code_Analysis_Tools) publie une liste des outils d'analyse de code source (également appelés outils SAST).
+ **Implémentez un mécanisme permettant d'analyser et de corriger votre environnement existant, ainsi qu'une analyse dans le cadre d'un processus de création de pipeline CI/CD :** implémentez un mécanisme pour analyser et corriger les problèmes dans vos dépendances et systèmes d'exploitation afin de garantir votre protection contre les nouvelles menaces. Exécutez ce mécanisme régulièrement. La gestion des failles logicielles est essentielle pour comprendre où vous devez appliquer les correctifs ou résoudre les problèmes logiciels. Privilégiez la correction des problèmes de sécurité potentiels en intégrant rapidement les évaluations des vulnérabilités à votre pipeline d'intégration continue et de livraison continue (CI/CD). Votre approche peut varier en fonction des services AWS que vous utilisez. Pour vérifier l'absence de problèmes potentiels dans le logiciel exécuté dans les instances Amazon EC2, ajoutez [Amazon Inspector](https://aws.amazon.com/inspector/) à votre pipeline pour vous alerter et arrêter le processus de construction si des problèmes ou des défauts potentiels sont détectés. Amazon Inspector surveille les ressources en continu. Vous pouvez également utiliser des produits open source tels que [OWASP Dependency-Check](https://owasp.org/www-project-dependency-check/), [Snyk](https://snyk.io/product/open-source-security-management/), [OpenVAS](https://www.openvas.org/), des gestionnaires de packages et des outils AWS Partner pour la gestion des failles.
+ **Utilisez [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) :** vous êtes responsable de la gestion des correctifs pour vos ressources AWS, notamment les instances Amazon Elastic Compute Cloud (Amazon EC2), les Amazon Machine Images (AMI) et d'autres ressources de calcul. [Le Gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) automatise le processus d'application de correctifs aux instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Le Gestionnaire de correctifs peut être utilisé pour appliquer des correctifs sur les instances Amazon EC2 pour les systèmes d'exploitation et les applications, dont les applications Microsoft, les packs de service Windows et les mises à niveau mineures pour les instances basées sur Linux. Outre Amazon EC2, le Gestionnaire de correctifs peut également être utilisé pour corriger les serveurs sur site.
Pour obtenir la liste des systèmes d'exploitation compatibles, consultez [Systèmes d'exploitation compatibles](https://docs.aws.amazon.com/systems-manager/latest/userguide/prereqs-operating-systems.html) dans le guide utilisateur Systems Manager. Vous pouvez analyser les instances pour afficher uniquement un rapport sur les correctifs manquants, ou vous pouvez analyser et installer automatiquement tous les correctifs manquants.
+ **Utilisez [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) :** Security Hub CSPM fournit une vue complète de votre situation de sécurité dans AWS. Il collecte des données de sécurité dans [plusieurs services AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html) et communique ces découvertes dans un format normalisé, ce qui vous permet d'établir l'ordre de priorité des découvertes en matière de sécurité dans les services AWS.
+ **Utilisez [AWS CloudFormation](https://aws.amazon.com/cloudformation/) :** [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) est un service d'infrastructure en tant que code (IaC) qui permet la gestion des failles en automatisant le déploiement des ressources et en normalisant l'architecture des ressources sur plusieurs comptes et environnements.
## Ressources
**Documents connexes :**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Security Overview of AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS--Security.pdf)
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [ Improved, Automated Vulnerability Management for Cloud Workloads with a New Amazon Inspector ](https://aws.amazon.com/blogs/aws/improved-automated-vulnerability-management-for-cloud-workloads-with-a-new-amazon-inspector/)
+ [ Automate vulnerability management and remediation in AWS using Amazon Inspector and AWS Systems Manager – Part 1 ](https://aws.amazon.com/blogs/mt/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/)
**Vidéos connexes :**
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service](https://youtu.be/2B5bhZzayjI)
# SEC06-BP02 Réduire la surface d'attaque
Réduisez votre exposition aux accès imprévus en renforçant les systèmes d'exploitation et en limitant au minimum l'utilisation des composants, des bibliothèques et des services consommables en externe. Commencez par réduire les composants inutilisés, qu'il s'agisse de packages de système d'exploitation ou d'applications pour les charges de travail basées sur Amazon Elastic Compute Cloud (Amazon EC2), ou de modules logiciels externes dans votre code (pour toutes les charges de travail). Il existe de nombreux guides sur le renforcement et la configuration de la sécurité pour les systèmes d'exploitation et les logiciels serveur courants. Par exemple, vous pouvez commencer par le [Center for Internet Security](https://www.cisecurity.org/) et partir de là.
Dans Amazon EC2, vous pouvez créer vos propres Amazon Machine Images (AMI), auxquelles vous avez appliqué des correctifs et dont vous avez renforcé la sécurité, pour vous aider à répondre aux exigences de sécurité spécifiques de votre organisation. Les correctifs et autres contrôles de sécurité que vous appliquez sur l'AMI sont effectifs au moment où ils ont été créés. Ils ne sont pas dynamiques, sauf si vous les modifiez après le lancement, par exemple, avec AWS Systems Manager.
Vous pouvez simplifier le processus de création d'AMI sécurisées avec EC2 Image Builder. EC2 Image Builder réduit considérablement l'effort requis pour créer et préserver des images de référence sans avoir à écrire ni à gérer l'automatisation. Lorsque des mises à jour logicielles sont disponibles, Image Builder génère automatiquement une nouvelle image sans obliger les utilisateurs à lancer manuellement les créations d'image. EC2 Image Builder vous permet de valider facilement la fonctionnalité et la sécurité de vos images avant de les utiliser en production avec les tests fournis par AWS et vos propres tests. Vous pouvez également appliquer les paramètres de sécurité fournis par AWS pour sécuriser davantage vos images afin de répondre aux critères de sécurité internes. Par exemple, vous pouvez créer des images conformes à la norme Security Technical Implementation Guide (STIG) à l'aide de modèles fournis par AWS.
Grâce à des outils d'analyse de code statique tiers, vous pouvez identifier les problèmes de sécurité courants tels que les limites d'entrée de fonction non contrôlées, ainsi que les vulnérabilités et expositions courantes applicables. Vous pouvez utiliser [Amazon CodeGuru](https://aws.amazon.com/codeguru/) pour les langues prises en charge. Les outils de vérification des dépendances peuvent également être utilisés pour déterminer si les bibliothèques avec lesquelles votre code est lié sont les dernières versions, sont elles-mêmes exemptes de vulnérabilités et d'expositions courantes et ont des conditions de licence qui répondent aux exigences de votre politique logicielle.
À l'aide d'Amazon Inspector, vous pouvez effectuer des évaluations de configuration de vos instances pour identifier les vulnérabilités et expositions communes connues, les évaluer par rapport à des points de référence en matière de sécurité et automatiser la notification des défauts. Amazon Inspector s'exécute sur des instances de production ou dans un pipeline de conception et notifie les développeurs et ingénieurs lorsque les résultats sont prêts. Vous pouvez accéder aux résultats par programmation et diriger votre équipe vers les systèmes de suivi des bugs et des retards. [EC2 Image Builder](https://aws.amazon.com/image-builder/) peut être utilisé pour gérer les images de serveur (AMI) avec l'application de correctifs automatisée, l'application de politiques de sécurité fournies par AWS et d'autres personnalisations. Lorsque vous utilisez des conteneurs, mettez en œuvre l' [analyse d'image ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) dans votre pipeline de génération et régulièrement par rapport à votre référentiel d'images pour rechercher les failles CVE dans vos conteneurs.
Si Amazon Inspector et d'autres outils sont efficaces pour identifier les configurations et les failles CVE présentes, d'autres méthodes sont nécessaires pour tester votre charge de travail au niveau de l'application. [Le fuzzing](https://owasp.org/www-community/Fuzzing) est une méthode bien connue pour trouver des bugs en utilisant l'automatisation pour injecter des données malformées dans les champs de saisie et d'autres parties de votre application.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Renforcer la sécurité du système d'exploitation : configurez les systèmes d'exploitation de manière à respecter les bonnes pratiques.
+ [Sécurisation d'Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Sécurisation de Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ Renforcer la sécurité des ressources conteneurisées : configurez les ressources conteneurisées de manière à respecter les bonnes pratiques en matière de sécurité.
+ Implémentez les bonnes pratiques AWS Lambda.
+ [Bonnes pratiques AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## Ressources
**Documents connexes :**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 Mettre en œuvre des services gérés
Mettez en œuvre des services qui gèrent les ressources, comme Amazon Relational Database Service (Amazon RDS), AWS Lambda, and Amazon Elastic Container Service (Amazon ECS), afin de réduire vos tâches de maintenance de la sécurité dans le cadre du modèle de responsabilité partagée. Par exemple, Amazon RDS vous aide à configurer, exploiter et dimensionner une base de données relationnelle, automatise les tâches d'administration telles que la mise en service du matériel, la configuration de base de données, l'application de correctifs et les sauvegardes. Cela signifie que vous pouvez consacrer plus de temps à la sécurisation de votre application selon les autres méthodes décrites dans le cadre AWS Well-Architected Framework. Lambda vous permet d'exécuter le code sans avoir à mettre en service ni à gérer des serveurs. Par conséquent, vous pouvez vous concentrer uniquement sur la connectivité, les appels et la sécurité au niveau du code, et non pas sur l'infrastructure ou le système d'exploitation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Explorer les services disponibles : explorez, testez et implémentez des services qui gèrent des ressources, notamment Amazon RDS, AWS Lambda et Amazon ECS.
## Ressources
**Documents connexes :**
+ [ Site web AWS](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Demander un certificat public avec AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 Automatiser la protection du calcul
Automatisez vos mécanismes de protection du calcul, en particulier la gestion des failles, la réduction de la surface d'attaque et la gestion des ressources. L'automatisation vous aide à investir du temps pour sécuriser d'autres aspects de votre charge de travail, et à réduire le risque d'erreur humaine.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la gestion de la configuration : appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Atelier : Déploiement automatisé d'un VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [Atelier : Déploiement automatisé d'une application Web avec EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Automatiser l'application de correctifs aux instances Amazon Elastic Compute Cloud (Amazon EC2) : AWS Systems Manager Patch Manager automatise le processus de correction des instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Vous pouvez utiliser le gestionnaire de correctifs pour appliquer des correctifs aux systèmes d'exploitation et aux applications.
+ [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Application centralisée de correctifs multicomptes et multirégions avec AWS Systems Manager Automation](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ Mettre en place une détection et une prévention des intrusions : mettez en place un outil de détection et de prévention des intrusions pour surveiller et arrêter les opérations malveillantes au niveau des instances.
+ Envisager les solutions AWS Partner : les partenaires AWS proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.
+ [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Ressources
**Documents connexes :**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Application centralisée de correctifs multicomptes et multirégions avec AWS Systems Manager Automation](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [Atelier : Déploiement automatisé d'une application Web avec EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 Permettre aux utilisateurs d'effectuer des actions à distance
La suppression de la possibilité d'accès interactif réduit le risque d'erreur humaine et le potentiel de configuration ou de gestion manuelle. Par exemple, utilisez un flux de travail de gestion des modifications pour déployer des instances Amazon Elastic Compute Cloud (Amazon EC2) à l'aide d'une infrastructure en tant que code, puis gérez les instances Amazon EC2 avec des outils tels qu'AWS Systems Manager au lieu d'autoriser un accès direct ou via un hôte bastion. AWS Systems Manager automatise diverses tâches de maintenance et de déploiement à l'aide de fonctionnalités telles que l' [automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [(flux de travail)](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [les documents](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (playbooks) et la [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Les piles AWS CloudFormation sont construites à partir de pipelines et peuvent automatiser les tâches de déploiement et de gestion de votre infrastructure sans utiliser directement AWS Management Console ni les API.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Remplacer l'accès à la console : remplacez l'accès (protocole SSH ou RDP) aux instances depuis la console par AWS Systems Manager Run Command pour automatiser les tâches de gestion.
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## Ressources
**Documents connexes :**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 Valider l'intégrité des logiciels
Mettez en place des mécanismes (signature de code) pour confirmer que les logiciels, le code et les bibliothèques utilisés dans la charge de travail proviennent de sources fiables et n'ont pas été altérés. Par exemple, vous devez vérifier le certificat de signature de code des fichiers binaires et des scripts pour vérifier l'auteur, et vous assurer qu'il n'a pas été altéré depuis sa création par l'auteur. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) contribue à garantir la confiance et l'intégrité de votre code en gérant de manière centralisée le cycle de vie de la signature de code, y compris la certification de la signature et les clés publiques et privées. Vous pouvez apprendre à utiliser des modèles avancés et les bonnes pratiques en matière de signature de code avec [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). En outre, un total de contrôle du logiciel que vous téléchargez, comparé à celui du fournisseur, peut garantir qu'il n'a pas été altéré.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Étudier les mécanismes : la signature de code est un mécanisme qui peut être utilisé pour valider l'intégrité des logiciels.
+ [NIST : considérations de sécurité pour la signature de code](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## Ressources
**Documents connexes :**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Nouveau : la signature de code, un contrôle de confiance et d'intégrité pour AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# Protection des données
**Topics**
+ [SEC 7 Comment classer vos données ?](sec-07.md)
+ [SEC 8 Comment protéger les données au repos ?](sec-08.md)
+ [SEC 9 Comment protéger vos données en transit ?](sec-09.md)
# SEC 7 Comment classer vos données ?
La classification des données fournit un moyen de classer les données en fonction de leur importance et de leur sensibilité afin de vous aider à déterminer les contrôles de protection et de conservation appropriés.
**Topics**
+ [SEC07-BP01 Identifier les données au sein de votre charge de travail](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Définir les contrôles de protection des données](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatiser l'identification et la classification](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Définir la gestion du cycle de vie des données](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identifier les données au sein de votre charge de travail
Il est essentiel de comprendre le type et la classification des données que votre charge de travail traite, les processus d'entreprise associés, l'endroit où les données sont stockées et qui est le propriétaire des données. Vous devez également connaître les exigences légales et de conformité applicables à votre charge de travail, et savoir quels contrôles de données doivent être appliqués. L'identification des données est la première étape du processus de classification des données.
**Avantages liés à l'instauration de cette bonne pratique :**
La classification des données permet aux responsables de la charge de travail d'identifier les emplacements qui stockent des données sensibles et de déterminer comment ces données doivent être consultées et partagées.
La classification des données vise à répondre aux questions suivantes :
+ **De quel type de données disposez-vous ?**
Il peut s'agir de données telles que :
+ Propriété intellectuelle, comme les secrets commerciaux, les brevets ou les contrats.
+ Informations de santé protégées (PH), comme les dossiers médicaux qui contiennent des informations sur les antécédents médicaux d'une personne.
+ Données d'identification personnelle (PII), comme le nom, l'adresse, la date de naissance et le numéro d'identification ou d'enregistrement national.
+ Données de carte bancaire, comme le numéro de compte principal (PAN), le nom du titulaire de la carte, la date d'expiration et le numéro de code de service.
+ Où les données sensibles sont-elles stockées ?
+ Qui peut consulter, modifier et supprimer des données ?
+ Il est essentiel de comprendre les autorisations des utilisateurs pour éviter toute manipulation inappropriée des données.
+ **Qui peut effectuer des opérations de création, de lecture, de mise à jour et de suppression (CRUD) ? **
+ Tenez compte de l'escalade potentielle des privilèges en comprenant qui peut gérer les autorisations d'accès aux données.
+ **Quelles sont les répercussions sur les activités si les données sont divulguées involontairement, modifiées ou supprimées ? **
+ Comprenez les conséquences du risque si des données sont modifiées, supprimées ou divulguées par inadvertance.
En connaissant les réponses à ces questions, vous pouvez prendre les mesures suivantes :
+ Réduire la portée des données sensibles (comme le nombre d'emplacements de données sensibles) et limiter l'accès aux données sensibles aux utilisateurs approuvés uniquement.
+ Comprendre les différents types de données afin de pouvoir implémenter des mécanismes et des techniques de protection des données appropriés, tels que le chiffrement, la prévention de la perte de données et la gestion des identités et des accès.
+ Optimiser les coûts en fournissant les bons objectifs de contrôle pour les données.
+ Répondre en toute confiance aux questions des organismes de réglementation et des vérificateurs concernant les types et la quantité de données, et la façon dont les données de sensibilités différentes sont isolées les unes des autres.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
La classification des données consiste à déterminer la sensibilité des données. Il peut s'agir de baliser les données pour les rendre facilement interrogeables et traçables. La classification des données réduit également la duplication des données, ce qui peut permettre de réduire les coûts de stockage et de sauvegarde, tout en accélérant le processus de recherche.
Utilisez des services tels que Amazon Macie pour automatiser à grande échelle la découverte et la classification des données sensibles. D'autres services, comme Amazon EventBridge et AWS Config, peuvent être utilisés pour automatiser la correction des problèmes de sécurité des données, comme les compartiments Amazon Simple Storage Service (Amazon S3) non chiffrés et les volumes EBS Amazon EC2 ou les ressources de données non balisées. Pour obtenir une liste complètes des intégrations de service AWS, consultez la [documentation EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html).
[La détection des PII](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) dans les données non structurées, comme les e-mails des clients, les tickets de support, les examens de produits et les réseaux sociaux, peut être effectuée en [utilisant Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/), qui est un service de traitement du langage naturel (NLP) qui utilise le machine learning (ML) pour trouver des idées et des relations, comme les personnes, les lieux, les sentiments et les sujets dans un texte non structuré. Pour une liste des services AWS qui peuvent faciliter l'identification des données, consultez [Techniques courantes pour détecter les données PHI et PII à l'aide des services AWS](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/).
Une autre méthode qui prend en charge la classification et la protection des données est le [balisage des ressources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). Le balisage vous permet d'attribuer des métadonnées à vos ressources AWS pour vous aider à gérer, identifier, organiser, rechercher et filtrer ces dernières.
Dans certains cas, vous pouvez choisir de baliser des ressources entières (comme un compartiment S3), surtout lorsqu'une charge de travail ou un service particulier est censé stocker des processus ou des transmissions d'une classification de données déjà connue.
Le cas échéant, vous pouvez baliser un compartiment S3 au lieu d'objets individuels pour faciliter l'administration et la maintenance de la sécurité.
### Étapes d'implémentation
**Détectez les données sensibles dans Amazon S3 : **
1. Avant de commencer, assurez-vous de disposer des autorisations appropriées pour accéder à la console Amazon Macie et aux opérations d'API. Pour plus d'informations, consultez [Mise en route de Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html).
1. Utilisez Amazon Macie pour effectuer la découverte automatisée des données lorsque vos données sensibles résident dans [Amazon S3](https://aws.amazon.com/s3/).
+ Utilisez le guide [Mise en route de Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) afin de configurer un référentiel pour les résultats de découverte de données sensibles et de créer une tâche de découverte des données sensibles.
+ [Comment utiliser Amazon Macie pour prévisualiser les données sensibles dans les compartiments S3.](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)
Par défaut, Macie analyse les objets en utilisant l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatisée de données sensibles. Vous pouvez personnaliser l'analyse en configurant Macie de façon à utiliser des identifiants de données gérés spécifiques, des identifiants de données personnalisés et des listes d'autorisations lorsqu'il effectue la découverte automatisée des données sensibles pour votre compte ou votre organisation. Vous pouvez ajuster la portée de l'analyse en excluant des compartiments spécifiques (par exemple, les compartiments S3 qui stockent généralement les données de journalisation AWS).
1. Pour configurer et utiliser la découverte automatisée de données sensibles, consultez [Effectuer la découverte automatisée des données sensibles avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html).
1. Consultez également [Découverte automatisée des données pour Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/).
**Détectez les données sensibles dans Amazon RDS : **
pour plus d'informations sur la découverte des données dans les [bases de données Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/), consultez [Classification des données pour la base de données Amazon RDS avec Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/).
**Détectez les données sensibles dans DynamoDB : **
+ [la section Détection des données sensibles dans DynamoDB avec Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) explique comment utiliser Amazon Macie pour détecter les données sensibles dans les [tables Amazon DynamoDB](https://aws.amazon.com/dynamodb/) en exportant les données dans Amazon S3 en vue de leur analyse.
**Solutions de partenaires AWS : **
+ Envisagez d'utiliser notre AWS Partner Network étendu. Les partenaires AWS disposent d'outils complets et de frameworks de conformité qui s'intègrent directement aux services AWS. Les partenaires peuvent vous fournir une solution de gouvernance et de conformité adaptée à vos besoins organisationnels.
+ Pour plus d'informations sur les solutions personnalisées de classification des données, consultez [Gouvernance des données à l'ère de la réglementation et exigences de conformité](https://aws.amazon.com/big-data/featured-partner-solutions-data-governance-compliance/).
Vous pouvez appliquer automatiquement les normes de balisage que votre organisation adopte en créant et en déployant des politiques avec AWS Organizations. Les politiques de balises vous permettent de spécifier les règles qui définissent les noms de clés valides et les valeurs valides pour chaque clé. Vous pouvez choisir de surveiller uniquement, ce qui vous donne la possibilité d'évaluer et de nettoyer vos balises existantes. Une fois que vos balises sont conformes aux normes que vous avez choisies, vous pouvez activer l'application des politiques relatives aux balises pour empêcher la création de balises non conformes. Pour plus d'informations, consultez [Sécurisation des balises de ressources utilisées pour l'autorisation à l'aide d'une politique de contrôle des services dans AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) et l'exemple de politique sur [les solutions pour éviter la modification des balises, sauf par les principaux autorisés.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin).
+ Pour commencer à utiliser des politiques de balises dans [AWS Organizations](https://aws.amazon.com/organizations/), il est vivement recommandé de suivre le workflow dans [Mise en route des politiques de balises](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) avant de passer à des politiques de balises plus avancées. Comprendre les effets d'une simple politique de balise sur un seul compte avant de l'étendre à toute une unité d'organisation (UO) ou une organisation vous permet de voir les effets d'une politique de balise avant d'appliquer la politique de balise. [Mise en route des politiques de balises](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) fournit des liens vers des instructions relatives à des tâches plus avancées en matière de politiques.
+ Envisagez d'évaluer d'autres [services et fonctionnalités AWS](https://docs.aws.amazon.com/whitepapers/latest/data-classification/using-aws-cloud-to-support-data-classification.html#aws-services-and-features) qui prennent en charge la classification des données, comme indiqué dans le livre blanc sur la [classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html).
## Ressources
**Documents connexes :**
+ [Getting started with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) (Mise en route de Amazon Macie)
+ [Automated data discovery with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html)
+ [Mise en route des politiques de balises](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ [Detecting PII entities](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) (Détecter les entités PII)
**Blogs connexes :**
+ [Comment utiliser Amazon Macie pour prévisualiser les données sensibles dans les compartiments S3.](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)
+ [Performing automated sensitive data discovery with Amazon Macie.](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/)
+ [Common techniques to detect PHI and PII data using AWS Services](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/)
+ [Detecting and redacting PII using Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/)
+ [Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Enabling data classification for Amazon RDS database with Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/)
+ [Detecting sensitive data in DynamoDB with Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/)
**Vidéos connexes :**
+ [Event-driven data security using Amazon Macie](https://www.youtube.com/watch?v=onqA7MJssoU)
+ [Amazon Macie for data protection and governance](https://www.youtube.com/watch?v=SmMSt0n6a4k)
+ [Fine-tune sensitive data findings with allow lists](https://www.youtube.com/watch?v=JmQ_Hybh2KI)
# SEC07-BP02 Définir les contrôles de protection des données
Protégez les données en fonction de leur niveau de classification. Par exemple, sécurisez les données classées comme publiques à l'aide des recommandations pertinentes tout en protégeant les données sensibles grâce à des contrôles supplémentaires.
En utilisant des balises de ressource, des comptes AWS séparés par sensibilité (et éventuellement aussi pour chaque mise en garde, isolement ou communauté d'intérêt), les politiques IAM, les politiques de contrôle des services (SCP) AWS Organizations, AWS Key Management Service (AWS KMS) et AWS CloudHSM, vous pouvez définir et mettre en œuvre vos politiques de classification et de protection des données avec chiffrement. Par exemple, si vous disposez d'un projet avec des compartiments S3 qui contiennent des données hautement critiques ou des instances Amazon Elastic Compute Cloud (Amazon EC2) qui traitent des données confidentielles, ils peuvent être marqués avec une balise `Project=ABC` . Seule votre équipe immédiate sait ce que le code du projet signifie, et cela permet d'utiliser un contrôle d'accès basé sur les attributs. Vous pouvez définir des niveaux d'accès aux clés de chiffrement AWS KMS par le biais de politiques de clés et d'autorisations afin de garantir que seuls les services appropriés ont accès au contenu sensible par un mécanisme sécurisé. Si vous prenez des décisions d'autorisation basées sur des balises, vous devez vous assurer que les autorisations sur les balises sont définies de manière appropriée en utilisant des politiques de balises dans AWS Organizations.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Définir votre schéma d'identification et de classification des données : l'identification et la classification de vos données sont faites pour évaluer l'impact potentiel et le type de données que vous stockez et qui peut y accéder.
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ Découvrir les contrôles AWS disponibles : découvrez les contrôles de sécurité pour les services AWS que vous utilisez ou prévoyez d'utiliser. De nombreux services disposent d'une section relative à la sécurité dans leur documentation.
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Démarrer avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Texte manquant](https://aws.amazon.com/compliance/)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatiser l'identification et la classification
l'automatisation de l'identification et de la classification des données peut vous aider à mettre en œuvre les contrôles appropriés. Le recours à l'automatisation en la circonstance plutôt qu'à l'accès direct d'une personne réduit le risque d'erreur humaine et d'exposition. Vous devez évaluer, en utilisant un outil tel qu' [Amazon Macie](https://aws.amazon.com/macie/), qui utilise le machine learning pour découvrir, catégoriser et protéger les données sensibles dans AWS. Amazon Macie reconnaît les données sensibles en tant que données d'identification personnelle (PII) ou propriété intellectuelle, et génère des tableaux de bord et des alertes pour vous offrir de la visibilité sur les méthodes de déplacement ou d'accès à ces données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utiliser l'inventaire Amazon Simple Storage Service (Amazon S3) : l'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets.
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Envisager Amazon Macie : Amazon Macie utilise le machine learning pour détecter et classer automatiquement les données stockées dans Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Ressources
**Documents connexes :**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Définir la gestion du cycle de vie des données
votre stratégie de cycle de vie définie doit être basée sur le niveau de sensibilité, ainsi que sur les exigences légales et organisationnelles. Des aspects, tels que la durée de conservation des données, les processus de destruction des données, la gestion de l'accès aux données, la transformation des données et le partage des données, doivent être pris en compte. Lorsque vous choisissez une méthodologie de classification des données, équilibrez l'utilisabilité par rapport à l'accès. Vous devez également tenir compte des multiples niveaux d'accès et des nuances pour mettre en œuvre une approche sécurisée, mais toujours utilisable, pour chaque niveau. Utilisez toujours une approche de défense en profondeur et réduisez l'accès humain aux données et aux mécanismes de transformation, de suppression ou de copie des données. Par exemple, exigez que les utilisateurs s'authentifient d'une manière forte auprès d'une application, et donnez à l'application, plutôt qu'aux utilisateurs, l'autorisation d'accès requise pour effectuer une « action à distance ». En outre, veillez à ce que les utilisateurs proviennent d'un chemin de réseau approuvé et aient besoin d'un accès aux clés de déchiffrement. Utiliser des outils, tels que des tableaux de bord et des rapports automatisés, pour donner aux utilisateurs des informations à partir des données plutôt que de leur fournir un accès direct aux données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Identifier les types de données : identifiez les types de données que vous stockez ou traitez dans votre charge de travail. Ces données peuvent être du texte, des images, des bases de données binaires, etc.
## Ressources
**Documents connexes :**
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8 Comment protéger les données au repos ?
Protégez vos données au repos en mettant en œuvre plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.
**Topics**
+ [SEC08-BP01 Implémenter la gestion sécurisée des clés](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Appliquer le chiffrement au repos](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatiser la protection des données au repos](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Appliquer le contrôle d'accès](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implémenter la gestion sécurisée des clés
En définissant une approche de chiffrement qui inclut le stockage, le renouvellement et le contrôle d'accès des clés, vous pouvez protéger votre contenu contre les utilisateurs non autorisés et une exposition inutile aux utilisateurs autorisés. AWS Key Management Service (AWS KMS) vous permet de gérer les clés de chiffrement et [s'intègre à de nombreux services AWS.](https://aws.amazon.com/kms/details/#integration). Ce service fournit un stockage durable, sécurisé et redondant pour vos clés AWS KMS. Vous pouvez définir vos alias de clé, ainsi que vos politiques au niveau des clés. Les stratégies vous permettent de définir des administrateurs de clé ainsi que des utilisateurs de clé. En outre, AWS CloudHSM est un module de sécurité matériel basé sur le cloud (HSM) qui vous permet de générer et d'utiliser facilement vos propres clés de chiffrement dans le AWS Cloud. Il vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données, en utilisant des modules de sécurité matériels (HSM) validés FIPS 140-2 niveau 3.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Implémenter AWS KMS : AWS KMS simplifie la création et la gestion des clés, ainsi que le contrôle de l'utilisation du chiffrement sur un large éventail de services AWS et dans vos applications. AWS KMS est un service sécurisé et résilient qui utilise les modules de sécurité matérielle validés selon la norme FIPS 140-2 pour protéger vos clés.
+ [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Utiliser le kit SDK AWS Encryption : utilisez le kit SDK AWS Encryption avec intégration à AWS KMS lorsque votre application doit chiffrer les données côté client.
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Ressources
**Documents connexes :**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Appliquer le chiffrement au repos
Vous devez appliquer l'utilisation du chiffrement pour les données au repos. Le chiffrement permet de préserver la confidentialité des données sensibles en cas d'accès non autorisé ou de divulgation accidentelle.
**Résultat souhaité :** les données privées doivent être chiffrées par défaut au repos. Le chiffrement permet de préserver la confidentialité des données et offre une protection supplémentaire contre la divulgation ou l'exfiltration intentionnelle ou involontaire des données. Les données chiffrées ne peuvent pas être lues ni consultées si elles n'ont pas été déchiffrées au préalable. Toutes les données stockées non chiffrées doivent être inventoriées et contrôlées.
**Anti-modèles courants :**
+ Ne pas utiliser les configurations chiffrées par défaut.
+ Fournir un accès trop permissif aux clés de déchiffrement.
+ Ne pas surveiller l'utilisation des clés de chiffrement et de déchiffrement.
+ Stocker des données non chiffrées.
+ Utiliser la même clé de chiffrement pour toutes les données, quels que soient l'utilisation, le type et la classification des données.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Mappez les clés de chiffrement aux classifications de données dans vos charges de travail. Cette approche offre une protection contre les accès trop permissifs lors de l'utilisation d'une seule, ou d'un très petit nombre de clés de chiffrement pour vos données (consultez [SEC07-BP01 Identifier les données au sein de votre charge de travail](sec_data_classification_identify_data.md)).
AWS Key Management Service (AWS KMS) s'intègre à de nombreux services AWS afin de faciliter le chiffrement des données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. Lorsque vous utilisez AWS KMS, tenez compte du degré de restriction des données. Les clés AWS KMS par défaut et contrôlées par le service sont gérées et utilisées en votre nom par AWS. Pour les données sensibles qui nécessitent un accès précis à la clé de chiffrement sous-jacente, envisagez les clés gérées par le client (CMK). Vous disposez d'un contrôle total sur les CMK, y compris la rotation et la gestion des accès grâce à l'utilisation de politiques de clés.
De plus, [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour les [volumes Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), les [instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) et les [compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
AWS fournit également des options de chiffrement côté client, ce qui vous permet de chiffrer les données avant de les télécharger dans le cloud. Le AWS Encryption SDK fournit une solution pour chiffrer vos données à l'aide du [chiffrement d'enveloppe](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Vous fournissez la clé de wrapping et le AWS Encryption SDK génère une clé de données unique pour chaque objet de données qu'il chiffre. Envisagez AWS CloudHSM si vous avez besoin d'un module de sécurité du matériel géré à un seul locataire (HSM). AWS CloudHSM vous permet de générer, d'importer et de gérer des clés de chiffrement sur un HSM validé FIPS 140-2 de niveau 3. Certains cas d'utilisation pour AWS CloudHSM incluent la protection des clés privées pour l'émission d'une autorité de certification (CA) et le chiffrement transparent des données (TDE) pour les bases de données Oracle. Le kit SDK client AWS CloudHSM fournit un logiciel qui vous permet de chiffrer des données côté client à l'aide de clés stockées dans AWS CloudHSM avant de télécharger vos données dans AWS. Amazon DynamoDB Encryption Client vous permet également de chiffrer et de signer les éléments avant de les télécharger dans une table DynamoDB.
**Étapes d'implémentation**
+ **Imposez le chiffrement au report pour Amazon S3 :** implémentez le [chiffrement par défaut des compartiments Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html).
**Configurez le [chiffrement par défaut pour les nouveaux volumes Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) :** indiquez que vous souhaitez que tous les nouveaux volumes Amazon EBS soient chiffrés, avec la possibilité d'utiliser la clé par défaut fournie par AWS ou une clé que vous créez.
**Configurez des Amazon Machine Images (AMI) chiffrées :** la copie d'une AMI existante avec le chiffrement activé chiffrera automatiquement les volumes racine et les instantanés.
**Configurez le [chiffrement Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) :** configurez le chiffrement de vos clusters de bases de données Amazon RDS et de vos instantanés au repos en utilisant l'option de chiffrement.
**Créez et configurez des clés AWS KMS avec des politiques qui limitent l'accès aux principaux appropriés pour chaque classification des données :** par exemple, créez une clé AWS KMS pour chiffrer les données de production et une clé différente pour chiffrer les données de développement ou de test. Vous pouvez également fournir un accès de clé à d'autres Comptes AWS. Envisagez d'avoir différents comptes pour vos environnements de développement et de production. Si votre environnement de production a besoin de déchiffrer des artefacts dans le compte de développement, vous pouvez modifier la politique de CMK utilisée pour chiffrer les artefacts de développement afin de permettre au compte de production de déchiffrer ces artefacts. L'environnement de production peut ensuite ingérer les données déchiffrées afin de les utiliser en production.
**Configurez le chiffrement dans des services AWS supplémentaires :** pour les autres services AWS que vous utilisez, consultez la [documentation sur la sécurité](https://docs.aws.amazon.com/security/) associée aux services concernés afin de déterminer vos options de chiffrement.
## Ressources
**Documents connexes :**
+ [Documentation sur AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentation sur AWS](https://docs.aws.amazon.com/)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Livre blanc Présentation des détails cryptographiques de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS cryptographic services and tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) (Services et outils de chiffrement AWS)
+ [Chiffrement Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Default encryption for Amazon EBS volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [How do I enable default encryption for an Amazon S3 bucket?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatiser la protection des données au repos
utilisez des outils automatisés pour valider et faire respecter en permanence les contrôles des données au repos, par exemple en vérifiant qu'il n'y a que des ressources de stockage chiffrées. Vous pouvez [automatiser la validation du chiffrement de tous les volumes de données EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) en utilisant [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) peut également vérifier plusieurs contrôles différents via des vérifications automatisées par rapport aux normes de sécurité. De plus, AWS Config Rules peut [corriger les ressources non conformes automatiquement](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
*Données au repos* représentent toutes les données que vous conservez dans un stockage non volatil pendant toute la durée de votre charge de travail. Cela comprend le stockage par bloc, le stockage d'objets, les bases de données, les archives, les appareils IoT et tout autre support de stockage sur lequel les données sont conservées. La protection de vos données inactives permet de réduire le risque d'accès non autorisé, lorsque le chiffrement et les contrôles d'accès appropriés sont mis en place.
Appliquer le chiffrement au repos : vous devez faire en sorte que le seul moyen de stocker des données est de les chiffrer. AWS KMS s'intègre en toute transparence à de nombreux services AWS pour vous permettre de chiffrer plus facilement toutes vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. En outre, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [des règles de configuration gérées AWS](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour [les volumes EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [les instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)et [des compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Ressources
**Documents connexes :**
+ [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Appliquer le contrôle d'accès
Pour vous aider à protéger vos données au repos, appliquez le contrôle d'accès à l'aide de mécanismes tels que l'isolement et la gestion des versions, et appliquez le principe du moindre privilège. Empêchez l'octroi d'un accès public à vos données.
**Résultat souhaité :** vérifiez que seuls les utilisateurs autorisés peuvent accéder aux données en fonction de la nécessité de les connaître. Protégez vos données avec des sauvegardes et des versions régulières pour éviter toute modification ou suppression intentionnelle ou involontaire des données. Isolez les données critiques des autres données afin de protéger leur confidentialité et leur intégrité.
**Anti-modèles courants :**
+ Stocker ensemble des données ayant différentes exigences en termes de sensibilité ou de classification.
+ Utiliser des autorisations trop permissives sur les clés de déchiffrement.
+ Classer les données de façon incorrecte.
+ Ne pas conserver les sauvegardes détaillées des données importantes.
+ Fournir un accès permanent aux données de production.
+ Ne pas auditer l'accès aux données ni examiner régulièrement les autorisations
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** faible
## Directives d'implémentation
L'utilisation de plusieurs contrôles permet de protéger vos données au repos, y compris l'accès (en utilisant le moindre privilèges), l'isolement et la gestion des versions. L'accès à vos données doit être vérifié à l'aide des mécanismes de détection, notamment AWS CloudTrail, et le journal des niveaux de service, comme les journaux d'accès Amazon Simple Storage Service (Amazon S3). Vous devez faire l'inventaire des données accessibles au public et créer un plan permettant de réduire la quantité de données disponibles publiquement au fil du temps.
Amazon Glacier Vault Lock et Amazon S3 Object Lock sont des fonctionnalités qui fournissent un contrôle d'accès obligatoire pour les objets dans Amazon S3. Lorsqu'une politique de coffre est verrouillée avec l'option de conformité, même l'utilisateur root ne peut pas la modifier avant l'expiration du verrouillage.
### Étapes d'implémentation
+ **Appliquez le contrôle d'accès** : appliquez le contrôle d'accès avec le principe du moindre privilège, y compris l'accès aux clés de chiffrement.
+ **Séparez les données selon différents niveaux de classification** : utilisez différents Comptes AWS pour les niveaux de classification des données et gérez ces comptes en utilisant [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
+ **Vérifiez les politiques AWS Key Management Service (AWS KMS)** : [vérifiez le niveau d'accès](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) octroyé dans les politiques AWS KMS.
+ **Examinez les autorisations de compartiment et d'objet Amazon S3** : examinez régulièrement le niveau d'accès octroyé dans les politiques de compartiment S3. Une bonne pratique consiste à éviter d'utiliser des compartiments publiquement accessibles en lecture ou en écriture. Envisagez d'utiliser [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour détecter les compartiments publiquement disponibles et Amazon CloudFront pour diffuser du contenu depuis Amazon S3. Vérifiez que les compartiments qui ne doivent pas permettre l'accès public sont configurés correctement pour empêcher l'accès public. Par défaut, tous les compartiments S3 sont privés et ne sont accessibles qu'aux utilisateurs auxquels l'accès a été explicitement accordé.
+ **Activez [l'Analyseur d'accèsAWS IAM](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) :** l'Analyseur d'accès IAM analyse les compartiments Amazon S3 et génère une découverte quand [une politique S3 octroie un accès à une entité externe.](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-resources.html#access-analyzer-s3)
+ **Activez [la gestion des versions Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) et le [le verrouillage des objets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)** lorsque c'est nécessaire.
+ **Utilisez [l'inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)** : l'inventaire Amazon S3 peut être utilisé pour auditer et rendre compte du statut de réplication et de chiffrement de vos objets S3.
+ **Passez en revue les autorisations de partage [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) et [AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)** : le partage des autorisations peut permettre le partage des images et des volumes avec des Comptes AWS externes à votre charge de travail.
+ **Vérifiez régulièrement les partages du [Gestionnaire des accès aux ressources AWS](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) afin de déterminer si des ressources doivent encore être partagées.** Le Gestionnaire des accès aux ressources vous permet de partager des ressources, telles que les politiques AWS Network Firewall, les règles du résolveur Amazon Route 53 et les sous-réseaux avec vos Amazon VPC. Auditez régulièrement les ressources partagées et cessez de partager les ressources qui n'ont plus besoin de l'être.
## Ressources
**Bonnes pratiques associées :**
+ [SEC03-BP01 Définir les conditions d'accès](sec_permissions_define.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
**Documents connexes :**
+ [Livre blanc Présentation des détails cryptographiques de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [Introduction to Managing Access Permissions to Your Amazon S3 Resources](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) (Introduction à la gestion des autorisations d'accès à vos ressources Amazon S3)
+ [Overview of managing access to your AWS KMS resources](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) (Aperçu de la gestion de l'accès à vos ressources KMS AWS)
+ [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: A Match Made in the Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ [Utilisation de la gestion des versions](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Utilisation du verrouillage des objets Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [Partager un instantané Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI partagées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [Hosting a single-page application on Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html) (Hébergement d'une application à une page sur Amazon S3)
**Vidéos connexes :**
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données
Empêchez tous les utilisateurs d'accéder directement aux données et systèmes sensibles dans des circonstances opérationnelles normales. Par exemple, utilisez un flux de travail de gestion des changements pour gérer les instances Amazon Elastic Compute Cloud (Amazon EC2) avec des outils au lieu d'autoriser un accès direct ou un hôte bastion. Pour ce faire, recourez à [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), qui utilise des [documents d'automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) contenant les étapes nécessaires pour effectuer les tâches. Ces documents peuvent être stockés dans un système de contrôle de source, être examinés par des pairs avant l'exécution et être testés minutieusement pour minimiser les risques par rapport à un accès shell. Les utilisateurs de l'entreprise peuvent disposer d'un tableau de bord au lieu d'un accès direct à un magasin de données afin d'effectuer des requêtes. Lorsque des pipelines CI/CD ne sont pas utilisés, identifiez les contrôles et processus nécessaires pour fournir de manière adéquate un mécanisme alternatif normalement désactivé.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Implémenter des mécanismes pour protéger l'accès aux données : ces mécanismes incluent l'utilisation de tableaux de bord comme Quick pour présenter les données aux utilisateurs au lieu d'envoyer des requêtes directement.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatisez la gestion de la configuration : effectuez des actions à distance, appliquez et validez automatiquement des configurations sécurisées en utilisant un service ou un outil de gestion de configuration. Évitez d'utiliser des hôtes bastion ou d'accéder directement aux instances EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline CI/CD pour les modèles AWS CloudFormation sur AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Ressources
**Documents connexes :**
+ [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 Comment protéger vos données en transit ?
Protégez vos données en transit en mettant en œuvre plusieurs contrôles afin de réduire le risque d'accès non autorisé ou de perte.
**Topics**
+ [SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Appliquer le chiffrement en transit](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatiser la détection des accès involontaires aux données](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifier les communications réseau](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats
stockez les clés et les certificats de chiffrement en toute sécurité et renouvelez-les selon le cycle approprié avec un contrôle d'accès strict. Le moyen le plus efficace consiste à utiliser un service géré tel qu' [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Il permet de fournir, de gérer et de déployer facilement des certificats de sécurité TLS (Transport Layer Security) publics et privés à utiliser avec les services AWS et vos ressources internes connectées. Les certificats TLS servent à sécuriser les communications réseau et à établir l'identité des sites Web sur Internet et des ressources sur les réseaux privés. ACM s'intègre aux ressources AWS, telles que les Elastic Load Balancers (ELBs), les distributions AWS et les API sur API Gateway, en gérant également les renouvellements automatiques des certificats. Si vous utilisez ACM pour déployer une autorité de certification (CA) racine privée, celle-ci peut fournir à la fois des certificats et des clés privées à utiliser dans les instances Amazon Elastic Compute Cloud (Amazon EC2) , conteneurs, etc.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Mettre en œuvre la gestion sécurisée des clés et des certificats : implémentez votre solution de gestion sécurisée des clés et des certificats.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Comment héberger et gérer une infrastructure complète de certificats privés dans AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que Transport Layer Security (TLS) ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la documentation AWS pour connaître les protocoles et la sécurité adaptés aux services que vous utilisez.
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Appliquer le chiffrement en transit
Appliquez vos exigences de chiffrement définies en fonction des politiques, des obligations réglementaires et des normes de votre entreprise afin de répondre aux exigences organisationnelles, juridiques et de conformité. Utilisez uniquement les protocoles avec chiffrement lors de la transmission de données sensibles en dehors de votre cloud privé virtuel (VPC). Le chiffrement permet de préserver la confidentialité des données, même lorsque celles-ci transitent par des réseaux non fiables.
**Résultat souhaité :** toutes les données doivent être chiffrées en transit à l'aide de protocoles TLS sécurisés et de suites de chiffrement. Le trafic réseau entre vos ressources et Internet doit être chiffré pour limiter l'accès non autorisé aux données. Le trafic réseau uniquement au sein de votre environnement AWS doit être chiffré à l'aide de TLS dès que possible. Le réseau interne AWS est chiffré par défaut et le trafic réseau au sein d'un VPC ne peut pas être falsifié ni reniflé à moins qu'une partie non autorisée n'ait accès à quelque ressource que ce soit qui génère du trafic (comme les instances Amazon EC2 et les conteneurs Amazon ECS). Envisagez de protéger le trafic réseau à réseau avec un réseau privé virtuel (VPN) IPsec.
**Anti-modèles courants :**
+ Utiliser des versions obsolètes de composants SSL, TLS et de suite de chiffrement (par exemple, SSL v3.0, clés RSA 1024 bits et chiffrement RC4).
+ Autoriser le trafic non chiffré (HTTP) vers ou depuis des ressources publiques.
+ Ne pas surveiller et ne pas remplacer les certificats X.509 avant leur expiration.
+ Utiliser des certificats X.509 auto-signés pour TLS.
**Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé
## Directives d'implémentation
Les services AWS fournissent des points de terminaison HTTPS utilisant TLS pour la communication, ce qui assure le chiffrement en transit lors de la communication avec les API AWS. Les protocoles non sécurisés comme HTTP peuvent être contrôlés et bloqués dans un VPC à l'aide de groupes de sécurité. Les requêtes HTTP peuvent également [être redirigées automatiquement vers HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) dans Amazon CloudFront ou sur un [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Vous disposez d'un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l'ensemble de vos services. De plus, vous pouvez utiliser la connectivité VPN dans votre VPC à partir d'un réseau externe ou d'[AWS Direct Connect](https://aws.amazon.com/directconnect/) pour faciliter le chiffrement du trafic. Vérifiez que vos clients effectuent des appels vers des API AWS en utilisant au moins TLS 1.2, car [AWS cessera d'utiliser TLS 1.0 et 1.1 en juin 2023](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Des solutions tierces sont disponibles sur AWS Marketplace si vous avez des exigences particulières.
**Étapes d'implémentation**
+ **Appliquez le chiffrement en transit** : vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez un groupe de sécurité afin d'autoriser uniquement le protocole HTTPS pour un Application Load Balancer ou une instance Amazon EC2.
+ **Configurez des protocoles sécurisés dans les services périphériques :** [configurez HTTPS avec Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) et utilisez un [profil de sécurité approprié pour votre situation de sécurité et votre cas d'utilisation](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers).
+ **Utilisez un [VPN pour la connectivité externe](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) :** envisagez d'utiliser un VPN IPsec pour sécuriser les connexions point à point ou réseau à réseau afin d'assurer à la fois la confidentialité et l'intégrité des données.
+ **Configurez les protocoles de sécurité dans les équilibreurs de charge :** sélectionnez une politique de sécurité qui fournit les suites de chiffrement les plus solides prises en charge par les clients qui se connecteront à l'écouteur. [Créez un écouteur HTTPS pour votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ **Configurez des protocoles sécurisés dans Amazon Redshift :** configurez votre cluster de façon à exiger une [connexion SSL ou TLS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html).
+ **Configurez des protocoles de sécurité :** consultez la documentation des services AWS afin de déterminer les capacités de chiffrement en transit.
+ **Configurez un accès sécurisé lors du téléchargement vers les compartiments Amazon S3 :** utilisez les contrôles des politiques de compartiments Amazon S3 pour [appliquer un accès sécurisé](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) aux données.
+ **Envisagez d'utiliser [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) :** ACM vous permet de mettre en service, de gérer et de déployer des certificats TLS publics en vue de leur utilisation avec des services AWS.
+ **Envisagez d'utiliser [AWS Autorité de certification privée](https://aws.amazon.com/private-ca/) pour les besoins PKI privés :** AWS CA privée vous permet de créer des hiérarchies d'autorités de certification privées afin d'émettre des certificats X.509 d'entité finale qui peuvent être utilisés afin de créer des canaux TLS chiffrés.
## Ressources
**Documents connexes :**
+ [Documentation sur AWS](https://docs.aws.amazon.com/index.html)
+ [ Utilisation du protocole HTTP avec CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Connexion de votre VPC à des réseaux distants utilisant AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Create an HTTPS listener for your Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) (Créer un écouteur HTTPS pour votre Application Load Balancer)
+ [ Didacticiel : Configurer SSL/TLS sur Amazon Linux 2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [ Using SSL/TLS to encrypt a connection to a DB instance ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html) (Utilisation de SSL/TLS pour chiffrer une connexion à une instance de base de données)
+ [ Configuration des options de sécurité des connexions ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
# SEC09-BP03 Automatiser la détection des accès involontaires aux données
Utilisez des outils comme Amazon GuardDuty pour détecter automatiquement les activités suspectes ou les tentatives de déplacement de données en dehors des limites définies. Par exemple, GuardDuty peut détecter une activité de lecture Amazon Simple Storage Service (Amazon S3) inhabituelle [avec le résultat Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Outre GuardDuty, [les journaux de flux Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), qui capture des informations sur le trafic réseau, peuvent être utilisés avec Amazon EventBridge pour déclencher la détection des connexions anormales, qu'elles aboutissent ou non. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) peut vous aider à déterminer les données accessibles aux utilisateurs de vos compartiments Amazon S3.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la détection de l'accès involontaire aux données : utilisez un outil ou un mécanisme de détection pour identifier automatiquement les tentatives de déplacement des données en dehors des limites définies, par exemple, pour détecter un système de base de données qui copie des données vers un hôte non reconnu.
+ [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Envisager Amazon Macie : Amazon Macie est un service de sécurité et de confidentialité des données entièrement géré qui utilise le machine learning et la comparaison de modèles pour découvrir et protéger vos données sensibles dans AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Ressources
**Documents connexes :**
+ [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Authentifier les communications réseau
Vérifiez l'identité des communications à l'aide de protocoles comme TLS (Transport Layer Security) ou IPsec qui prennent en charge l'authentification.
L'utilisation de protocoles réseau qui prennent en charge l'authentification permet d'établir une relation de confiance entre les parties. Cela complète le chiffrement utilisé dans le protocole pour réduire les risques de modification ou d'interception des communications. Les protocoles courants qui mettent en œuvre l'authentification incluent le protocole TLS (Transport Layer Security), utilisé dans de nombreux services AWS, et IPsec, utilisé dans [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que TLS ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la [documentation AWS](https://docs.aws.amazon.com/) pour connaître les protocoles et la sécurité relatifs aux services que vous utilisez.
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
# Réponse aux incidents
**Topics**
+ [SEC 10 Comment anticiper les incidents, y répondre et reprendre les activités par la suite ?](sec-10.md)
# SEC 10 Comment anticiper les incidents, y répondre et reprendre les activités par la suite ?
La préparation est essentielle pour une enquête rapide et efficace, une réponse et une reprise en cas d'incidents de sécurité, afin de minimiser les perturbations pour votre organisation.
**Topics**
+ [SEC10-BP01 Identifier les postes clés internes ainsi que les principales ressources externes](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Développer des plans de gestion des incidents](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Préparer les fonctionnalités d'analyse poussée](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Automatiser la fonctionnalité de confinement](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Prédéployer les outils](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Organiser des jeux de rôle](sec_incident_response_run_game_days.md)
# SEC10-BP01 Identifier les postes clés internes ainsi que les principales ressources externes
Identifiez les postes clés internes et externes, les ressources et les obligations légales qui aideront votre organisation à réagir en cas d'incident.
Lorsque vous définissez votre approche de la réponse aux incidents dans le cloud, à l'unisson avec d'autres équipes (telles que votre conseiller juridique, vos dirigeants, les parties prenantes de l'entreprise, les services AWS Support, etc.), vous devez identifier le personnel clé, les parties prenantes et les contacts pertinents. Pour réduire la dépendance et le temps de réponse, veillez à ce que votre équipe, les équipes de sécurité spécialisées et les intervenants soient formés aux services que vous utilisez et aient la possibilité d'effectuer des exercices pratiques.
Nous vous encourageons à identifier des partenaires de sécurité AWS externes qui peuvent vous fournir une expertise extérieure et une perspective différente pour augmenter vos capacités d'intervention. Vos partenaires de sécurité de confiance peuvent vous aider à identifier des risques ou des menaces potentiels que vous ne connaissez peut-être pas.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Identifier les postes clés au sein de votre organisation : tenez à jour une liste des employés au sein de votre organisation que vous devez impliquer pour réagir et vous remettre après un incident.
+ Identifier les partenaires externes : collaborez le cas échéant avec des partenaires externes qui pourront vous aider à réagir et à reprendre après un incident.
## Ressources
**Documents connexes :**
+ [Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vidéos connexes :**
+ [Prepare for and respond to security incidents in your AWS environment ](https://youtu.be/8uiO0Z5meCs)
**Exemples connexes :**
# SEC10-BP02 Développer des plans de gestion des incidents
Le premier document à élaborer pour la réponse aux incidents est le plan de réponse aux incidents. Le plan de réponse aux incidents est conçu pour servir de base à votre programme et à votre stratégie de réponse aux incidents.
**Avantages liés au respect de cette bonne pratique :** Le développement de processus de réponse aux incidents complets et clairement définis est essentiel à la réussite d'un programme de réponse aux incidents évolutif. Lorsqu'un incident de sécurité se produit, des étapes et des flux de travail clairs vous aideront à réagir rapidement. Vous disposez peut-être déjà de processus de réponse aux incidents. Quel que soit votre état actuel, il est important de mettre à jour, d'itérer et de tester régulièrement vos processus de réponse aux incidents.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Un plan de gestion des incidents est essentiel pour réagir, atténuer et se remettre des répercussions potentielles des incidents de sécurité. Un plan de gestion des incidents est un processus structuré qui permet d'identifier les incidents de sécurité, d'y remédier et d'y répondre rapidement.
Le cloud comporte un grand nombre de rôles et exigences opérationnels identiques à ceux d'un environnement sur site. Lorsque vous créez un plan de gestion des incidents, il est important de tenir compte des stratégies d'intervention et de récupération qui correspondent le mieux aux résultats opérationnels et aux exigences de conformité. Par exemple, si vous exécutez des charges de travail dans AWS qui sont conformes à FedRAMP aux États-Unis, il est utile de respecter [NIST SP 800-61 Computer Security Handling Guide](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). De la même manière, lorsque vous exécutez des charges de travail avec des données européennes personnellement identifiables, envisagez des scénarios tels que la façon dont vous pourriez protéger les données et résoudre des problèmes liés à la résidence des données, comme l'exige [le Règlement Général sur la Protection des Données (RGPD)](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en).
Lorsque vous élaborez un plan de gestion des incidents pour vos charges de travail exécutées dans AWS, commencez par le [Modèle de responsabilité partagée AWS,](https://aws.amazon.com/compliance/shared-responsibility-model/) afin de créer une approche de défense en profondeur en matière de réponse aux incidents. Dans le cadre de ce modèle, AWS gère la sécurité du cloud et vous êtes responsable de la sécurité dans le cloud. Cela signifie que vous conservez le contrôle et que vous êtes responsable des contrôles de sécurité que vous choisissez d'implémenter. L' [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) détaille les concepts clés et les conseils de base pour l'élaboration d'un plan de gestion des incidents axé sur le cloud.
Un plan de gestion des incidents efficace doit être répété constamment, tout en poursuivant votre objectif d'opérations dans le cloud. Envisagez d'utiliser les plans d'implémentation décrits ci-dessous pour créer et faire évoluer votre plan de gestion des incidents.
## Étapes d'implémentation
**Définissez les rôles et les responsabilités**
La gestion des événements de sécurité exige une discipline interorganisationnelle et une volonté d'action. Au sein de votre structure organisationnelle, de nombreuses personnes doivent être responsables, tenues de rendre des comptes, consultées ou tenues informées lors d'un incident. Il peut notamment s'agir de représentants des ressources humaines (RH), de l'équipe de direction et du service juridique. Tenez compte de ces rôles et responsabilités et déterminez si des tiers doivent être impliqués. Notez que de nombreuses zones géographiques ont des lois locales qui régissent ce qui doit et ne doit pas être fait. Bien qu'il puisse sembler bureaucratique de créer un tableau RACI (réalisateur, approbateur, consulté et informé) pour vos plans de réponse en matière de sécurité, cela facilite une communication rapide et directe et définit clairement le leadership à chaque étape de l'événement.
Lors d'un incident, il est essentiel d'inclure les propriétaires et les développeurs des applications et des ressources concernées, car ce sont des experts en la matière (SME) qui peuvent fournir des informations et un contexte afin d'aider à mesurer l'impact. Assurez-vous d'établir et de maintenir des relations avec les développeurs et les propriétaires d'applications avant de vous fier à leur expertise pour répondre aux incidents. Les propriétaires d'applications ou SME, tels que vos administrateurs ou ingénieurs cloud, peuvent avoir besoin d'agir dans des situations où l'environnement est inconnu ou complexe, ou lorsque les intervenants n'y ont pas accès.
Enfin, des partenaires de confiance peuvent être impliqués dans l'enquête ou la réponse car ils peuvent apporter une expertise supplémentaire et un examen minutieux. Si vous ne possédez pas ces compétences au sein de votre propre équipe, vous pouvez faire appel à un tiers pour obtenir de l'aide.
**Comprenez les équipes d'intervention et le support AWS**
+ **AWS Support**
+ [Support](https://aws.amazon.com/premiumsupport/) propose une gamme de plans qui donnent accès à des outils et à une expertise qui contribuent à la réussite et à l'intégrité opérationnelle de vos solutions AWS. Si vous avez besoin d'un support technique et de ressources supplémentaires pour planifier, déployer et optimiser votre environnement AWS, vous pouvez sélectionner le plan de support le plus adapté à votre cas d'utilisation AWS.
+ Envisagez le [Centre de support](https://console.aws.amazon.com/support) dans AWS Management Console (connexion requise) en tant que point de contact central pour obtenir de l'aide en cas de problèmes affectant vos ressources AWS. L'accès à Support est contrôlé par Gestion des identités et des accès AWS. Pour plus d'informations sur l'accès aux fonctionnalités Support, consultez [Mise en route avec Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support).
+ **Équipe de réponse aux incidents clients (CIRT) AWS**
+ L'équipe de réponse aux incidents clients (CIRT) AWS est une équipe AWS internationale spécialisée et disponible 24 heures sur 24, 7 jours sur 7, qui fournit une assistance aux clients lors d'événements de sécurité actifs côté client du [Modèle de responsabilité partagée AWS](https://aws.amazon.com/compliance/shared-responsibility-model/).
+ Lorsque la CIRT AWS vous accompagne, elle fournit une assistance en matière de triage et de récupération en cas d'événement de sécurité actif sur AWS. Elle peut vous aider à analyser les causes profondes à l'aide des journaux de service AWS et vous fournir des recommandations pour la récupération. Elle peut également fournir des recommandations de sécurité et des bonnes pratiques pour vous aider à éviter des incidents de sécurité à l'avenir.
+ Les clients AWS peuvent contacter la CIRT AWS par le biais d'un [cas Support](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
+ **Support de réponse aux attaques DDoS**
+ Offres AWS [AWS Shield](https://aws.amazon.com/shield/), qui fournit un service géré de protection contre le déni de service distribué (DDoS) protégeant les applications Web exécutées sur AWS. Shield fournit une détection permanente et des mesures d'atténuation automatiques en ligne capables de minimiser les temps d'arrêt et la latence des applications, de sorte qu'il n'est pas nécessaire d'engager Support pour bénéficier de la protection DDoS. Il existe deux niveaux de Shield : AWS Shield Standard et AWS Shield Advanced. Pour en savoir plus sur les différences entre ces deux niveaux, consultez la [documentation sur les fonctionnalités Shield](https://aws.amazon.com/shield/features/).
+ **AWS Managed Services (AMS)**
+ [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/) fournit une gestion continue de votre infrastructure AWS afin que vous puissiez vous concentrer sur vos applications. En mettant en œuvre les meilleures pratiques pour gérer votre infrastructure, AMS permet de réduire vos frais généraux et vos risques opérationnels. AMS automatise les activités courantes telles que les demandes de modification, la surveillance, la gestion des correctifs, la sécurité et les services de sauvegarde, et fournit des services de cycle de vie complets pour provisionner, exécuter et prendre en charge votre infrastructure.
+ AMS prend la responsabilité de déployer une suite de contrôles de sécurité et fournit une réponse de première ligne 24 heures sur 24, 7 jours sur 7 aux alertes. Lorsqu'une alerte est déclenchée, AMS suit un ensemble standard de playbooks automatisés et manuels pour vérifier une réponse cohérente. Ces playbooks sont partagés avec les clients AMS lors de l'intégration afin qu'ils puissent développer et coordonner une réponse avec AMS.
**Élaborez le plan de réponse aux incidents**
Le plan de réponse aux incidents est conçu pour servir de base à votre programme et à votre stratégie de réponse aux incidents. Le plan de réponse aux incidents doit figurer dans un document formel. Un plan de réponse aux incidents comprend généralement les sections suivantes :
+ **Présentation de l'équipe de réponse aux incidents :** décrit les objectifs et les fonctions de l'équipe de réponse aux incidents.
+ **Rôles et responsabilités :** répertorie les parties prenantes de la réponse aux incidents et détaille leurs rôles en cas d'incident.
+ **Un plan de communication :** détails des coordonnées et de la manière dont vous communiquerez lors d'un incident.
+ **Méthodes de communication de secours :** il est recommandé d'utiliser une communication hors bande comme solution de secours pour les communications en cas d'incident. Un exemple d'application qui fournit un canal de communication hors bande sécurisé est AWS Wickr.
+ **Phases de la réponse aux incidents et mesures à prendre :** énumère les phases de la réponse aux incidents (par exemple, détection, analyse, éradication, maîtrise et récupération), y compris les mesures de haut niveau à prendre au cours de ces phases.
+ **Définitions de la gravité et de la hiérarchisation des incidents :** décrit en détail comment classer la gravité d'un incident, comment hiérarchiser l'incident, puis comment les définitions de gravité affectent les procédures de remontée.
Bien que ces sections soient communes à des entreprises de tailles et de secteurs différents, le plan de réponse aux incidents de chaque organisation est unique. Vous devrez élaborer un plan de réponse aux incidents qui convient le mieux à votre organisation.
## Ressources
**Bonnes pratiques connexes :**
+ [SEC04 (Comment détecter et enquêter sur les événements de sécurité ?)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**Documents connexes :**
+ [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: Computer Security Incident Handling Guide ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
# SEC10-BP03 Préparer les fonctionnalités d'analyse poussée
Il est important que ceux qui traitent les incidents comprennent quand et comment l'analyse poussée s'intègre dans votre plan d'intervention. Votre organisation doit définir quelles preuves sont collectées et quels outils sont utilisés dans le processus. Identifiez et préparez les capacités de mener des enquêtes pointues qui conviennent, y compris les spécialistes externes, les outils et l'automatisation. Parmi les décisions clés que vous devez prendre dès le départ, déterminez si vous collecterez les données à partir d'un système en direct. Certaines données, telles que le contenu de la mémoire volatile ou les connexions réseau actives, seront perdues si le système est éteint ou redémarré.
Votre équipe d'intervention peut combiner des outils, comme AWS Systems Manager, Amazon EventBridge et AWS Lambda, pour exécuter automatiquement des outils d'analyse dans un système d'exploitation et la mise en miroir du trafic VPC pour obtenir une capture des paquets réseau, afin de recueillir des preuves non persistantes. Effectuez d'autres activités, telles que l'analyse des journaux ou l'analyse des images de disque, dans un compte de sécurité dédié avec des postes de travail et des outils d'analyse personnalisés accessibles aux intervenants.
Expédiez régulièrement les journaux pertinents vers un magasin de données offrant une durabilité et une intégrité élevées. Les intervenants doivent avoir accès à ces journaux. AWS propose plusieurs outils qui peuvent faciliter l'examen des journaux, tels qu'Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) et Amazon CloudWatch Logs Insights. De plus, conservez les preuves en sécurité à l'aide d'Amazon Simple Storage Service (Amazon S3) Object Lock. Ce service suit le modèle WORM (write-once-read-many) et empêche la suppression ou l'écrasement d'objets pendant une période définie. Étant donné que les techniques d'investigation nécessitent une formation spécialisée, vous devrez peut-être engager des spécialistes externes.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Identifier les fonctionnalités d'analyse : recherchez les fonctionnalités d'analyse poussée de votre organisation, les outils disponibles et les spécialistes externes.
+ [Automatisation de la réponse aux incidents et investigations ](https://youtu.be/f_EcwmmXkXk)
## Ressources
**Documents connexes :**
+ [Comment automatiser la collecte de disques d'analyse dans AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 Automatiser la fonctionnalité de confinement
Automatisez le confinement d'un incident et la reprise pour réduire les temps de réponse et l'impact sur votre organisation.
Une fois que vous avez créé et mis en pratique les processus et les outils de vos playbooks, vous pouvez déconstruire la logique en une solution basée sur le code, qui peut être utilisée comme outil par de nombreux intervenants pour automatiser la réponse et supprimer les écarts ou les conjectures de vos intervenants. Cela peut accélérer le cycle de vie d'une réponse. L'objectif suivant est de permettre à ce code d'être entièrement automatisé en étant appelé par les alertes ou les événements eux-mêmes, plutôt que par un intervenant humain, pour créer une réponse déclenchée par l'événement. Ces processus doivent également ajouter automatiquement des données pertinentes à vos systèmes de sécurité. Par exemple, un incident impliquant du trafic provenant d'une adresse IP indésirable peut renseigner automatiquement une liste de blocage AWS WAF ou un groupe de règles de pare-feu réseau pour empêcher toute activité similaire ultérieure.
![\[Diagram showing AWS WAF WebACL logs flow through various services for processing and blocking.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/aws-waf-automate-block.png)
*Figure 3 : AWS WAF automatise le blocage des adresses IP malveillantes connues*
Avec un système de réponse déclenché par l'événement, un mécanisme de détection déclenche un mécanisme réactif pour répondre automatiquement à l'événement. Vous pouvez utiliser des fonctionnalités de réaction déclenchées par des événements pour réduire le délai entre les mécanismes de détection et les mécanismes de réaction. Pour créer cette architecture événementielle, vous pouvez utiliser AWS Lambda, un service de calcul sans serveur qui exécute votre code en réponse à des événements et gère automatiquement les ressources de calcul sous-jacentes. Supposons que disposez d'un compte AWS avec le service AWS CloudTrail activé. Si AWS CloudTrail est désactivé (via l'appel d'API `cloudtrail:StopLogging` ), vous pouvez utiliser Amazon EventBridge pour surveiller l'événement `cloudtrail:StopLogging` et appeler une fonction AWS Lambda pour appeler `cloudtrail:StartLogging` afin de redémarrer la journalisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Automatisez la fonctionnalité de confinement.
## Ressources
**Documents connexes :**
+ [ Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vidéos connexes :**
+ [Prepare for and respond to security incidents in your AWS environment](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 Préallouer les accès
Vérifiez que les intervenants en cas d'incident disposent du bon accès préalablement alloué dans AWS afin de réduire le temps d'investigation jusqu'à la reprise.
**Anti-modèles courants :**
+ Utilisation du compte racine pour la réponse aux incidents.
+ Modification des comptes utilisateur existants.
+ Manipulation des autorisations IAM directement lors de la fourniture d'une élévation de privilèges juste-à-temps.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
AWS recommande de réduire ou de supprimer l'utilisation des informations d'identification durables dans la mesure du possible et de privilégier les informations d'identification temporaire à la place, ainsi que *les mécanismes d'élévation* des privilèges juste-à-temps. Les informations d'identification durables sont sujettes aux risques de sécurité et augmentent les frais généraux opérationnels. Pour la plupart des tâches de gestion et de réponse aux incidents, nous vous recommandons de mettre en œuvre [la fédération d'identité](https://docs.aws.amazon.com/identity/federation/) parallèlement [à l'élévation temporaire pour l'accès administratif](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). Dans le cadre de ce modèle, un utilisateur demande une élévation à un niveau de privilège plus élevé (par exemple un rôle de réponse aux incidents) et, si l'utilisateur est admissible à cette élévation, une demande est envoyée à un approbateur. Si la demande est approuvée, l'utilisateur reçoit un ensemble [d'informations d'identification AWS temporaires](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) qui peuvent être utilisées afin d'exécuter les tâches. Une fois que ces informations d'identification ont expiré, l'utilisateur doit soumettre une nouvelle demande d'élévation.
Nous vous recommandons d'utiliser une élévation temporaire des privilèges dans la plupart des cas de réponse aux incidents. Dans cette optique, la meilleure solution consiste à utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) et [les politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) afin de délimiter l'accès.
Dans certains cas, les identités fédérées ne sont pas disponibles, par exemple :
+ Panne liée à la compromission d'un fournisseur d'identité (IdP).
+ Mauvaise configuration ou erreur humaine entraînant la panne d'un système de gestion d'accès fédéré.
+ Activité malveillante, par exemple un déni de service distribué (DDoS) ou une indisponibilité du système.
Dans les cas précédents, il doit y avoir un accès d'urgence *de type Break Glass* configuré afin de permettre l'analyse et la correction rapide des incidents. Nous vous recommandons également d'utiliser [un utilisateur IAM disposant des autorisations appropriées](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) pour effectuer des tâches et accéder aux ressources AWS. Utilisez des informations d'identification racine uniquement pour [les tâches qui requièrent un accès en tant qu'utilisateur root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Pour vérifier que les intervenants en cas d'incident disposent d'un niveau d'accès approprié à AWS et aux autres systèmes pertinents, nous vous recommandons de pré-allouer des comptes utilisateur dédiés. Les comptes utilisateur requièrent un accès privilégié et doivent être étroitement contrôlés et surveillés. Les comptes doivent être créés avec le moins de privilèges requis pour effectuer les tâches nécessaires et le niveau d'accès doit être basé sur les playbooks créés dans le cadre du plan de gestion des incidents.
Utilisez des utilisateurs et des rôles spécialement conçus et dédiés au titre de bonne pratique. L'élévation temporaire de l'accès des utilisateurs ou des rôles via l'ajout de politiques IAM ne permet pas de savoir clairement de quel type d'accès bénéficiaient les utilisateurs pendant l'incident et peut empêcher la révocation des privilèges élevés au niveau supérieur.
Il est important de supprimer autant de dépendances que possible afin de vérifier que l'accès peut être obtenu dans le plus grand nombre possible de scénarios de défaillance. Afin de vous faciliter la tâche, créez un playbook permettant de vérifier que les utilisateurs chargés des réponses en cas d'incident ont été créés en tant qu'utilisateurs Gestion des identités et des accès AWS dans un compte de sécurité dédié et qu'ils ne sont pas gérés via une solution d'authentification unique ou de fédération existante. Chaque intervenant en cas d'incident doit avoir son propre compte nommé. La configuration du compte doit appliquer [une politique stricte de gestion des mots de passe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) et une authentification multifactorielle (MFA). Si les playbooks de réponse aux incidents ne nécessitent qu'un accès à la AWS Management Console, l'utilisateur ne doit pas avoir de clés d'accès configurées et il doit lui être explicitement interdit de créer des clés d'accès. Cela peut être configuré avec des politiquesIAM ou des politiques de contrôle de service (SCP), comme mentionné dans les bonnes pratiques de sécurité AWS pour [les SCP AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Les utilisateurs ne doivent pas avoir d'autres privilèges que la capacité d'assumer des rôles de réponse aux incidents dans d'autres comptes.
Pendant un incident, il peut être nécessaire d'accorder l'accès à d'autres personnes internes ou externes afin de prendre en charge les activités d'analyse, de correction ou de reprise. Dans ce cas, utilisez le mécanisme de playbook mentionné précédemment. Celui-ci doit comporter un processus permettant de s'assurer que tout accès supplémentaire est révoqué immédiatement après l'incident.
Pour s'assurer que l'utilisation des rôles de réponse aux incidents peut être correctement surveillée et vérifiée, il est essentiel que les comptes utilisateur IAM créés à cette fin ne soient pas partagés entre les personnes et que l'utilisateur root Compte AWS ne soit pas utilisé, sauf si [cela s'avère nécessaire pour une tâche spécifique](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Si l'utilisateur root est requis (par exemple, l'accès IAM à un compte spécifique n'est pas disponible), utilisez un processus distinct avec un playbook disponible afin de vérifier la disponibilité du mot de passe utilisateur root et du jeton d'authentification multifactorielle.
Pour configurer les politiques IAM des rôles de réponse aux incidents, pensez à utiliser [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) pour générer des politiques basées sur les journaux AWS CloudTrail. Pour cela, accordez à l'administrateur l'accès au rôle de réponse aux incidents sur un compte hors production et exécutez vos playbooks. Une fois que vous aurez terminé, vous pourrez créer une politique autorisant uniquement les mesures prises. Cette politique peut ensuite être appliquée à tous les rôles de réponse aux incidents dans tous les comptes. Vous pouvez éventuellement créer une politique IAM distincte pour chaque playbook afin de faciliter la gestion et la vérification. Les exemples de playbooks peuvent comprendre des plans d'intervention pour les rançongiciels, les atteintes à la protection des données, la perte d'accès à la production et d'autres scénarios.
Utilisez les comptes utilisateur de réponse aux incidents pour assumer les rôles [IAM dédiés de réponse aux incidents dans d'autres Comptes AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Ces rôles doivent être configurés de façon à pouvoir être assumés uniquement par les utilisateurs du compte de sécurité et la relation de confiance doit exiger que le principal appelant ait été authentifié au moyen de l'authentification multifactorielle. Les rôles doivent utiliser des politiques IAM à portée limitée afin de contrôler l'accès. Assurez-vous que toutes les demandes `AssumeRole` pour ces rôles sont consignées dans CloudTrail et font l'objet d'une alerte, et que toutes les mesures prises en utilisant ces rôles sont consignées.
Il est vivement recommandé de nommer les comptes utilisateur IAM et les rôles IAM afin d'en faciliter la recherche dans les journaux CloudTrail. Par exemple, les comptes IAM pourraient être nommés `-BREAK-GLASS` et les rôles IAM pourraient être nommés `BREAK-GLASS-ROLE`.
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) est utilisé pour consigner l'activité de l'API dans vos comptes AWS et doit être utilisé pour [configurer les alertes sur l'utilisation des rôles de réponse aux incidents](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Consultez la publication de blog sur la configuration des alertes lorsque les clés racine sont utilisées. Les instructions peuvent être modifiées de façon à configurer la [métrique Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) de filtre à filtre sur les événements `AssumeRole` liés au rôle IAM de réponse aux incidents :
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
Dans la mesure où les rôles de réponse aux incidents sont susceptibles d'avoir un niveau d'accès élevé, il est important que ces alertes soient transmises à un vaste groupe et qui y donnera suite rapidement.
Lors d'un incident, il est possible qu'un intervenant ait besoin d'accéder à des systèmes qui ne sont pas sécurisés directement par IAM. Il peut notamment s'agir d'instances Amazon Elastic Compute Cloud, de bases de données Amazon Relational Database Service ou de plateformes de logiciel en tant que service (SaaS). Il est vivement recommandé d'utiliser [AWS Systems Manager Session Manager plutôt que des protocoles natifs tels que SSH ou RDP](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) pour tous les accès administratifs aux instances Amazon EC2. Cet accès peut être contrôlé à l'aide d'IAM, qui est sécurisé et vérifié. Il est également possible d'automatiser certaines parties de vos playbooks en utilisant [des documents AWS Systems Manager,](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)qui permettent de réduire les erreurs utilisateur et d'améliorer le temps de récupération. Pour accéder aux bases de données et aux outils tiers, nous recommandons de stocker les informations d'identification dans AWS Secrets Manager et d'accorder l'accès aux rôles des intervenants en cas d'incident.
En dernier lieu, la gestion des comptes utilisateur IAM de réponse aux incidents doit être ajoutée à vos processus [d'entrées, de changements et de sorties.](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) Elle doit également être vérifiée et testée régulièrement afin de vous assurer que seul l'accès prévu est autorisé.
## Ressources
**Documents connexes :**
+ [Managing temporary elevated access to your AWS environment](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS Security Incident Response Guide ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [Reprise après sinistre AWS Elastic](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [Définition d'une politique de mot de passe du compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Utilisation de l'authentification multifactorielle (MFA) dans l'interface AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ Configuring Cross-Account Access with MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Using IAM Access Analyzer to generate IAM policies ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ How to Receive Notifications When Your AWS Account's Root Access Keys Are Used ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Create fine-grained session permissions using IAM managed policies ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**Vidéos connexes :**
+ [ Automating Incident Response and Forensics in AWS](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [DIY guide to runbooks, incident reports, and incident response](https://youtu.be/E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Exemples connexes :**
+ [ Atelier : AWS Account Setup and Root User ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Atelier : Incident Response with AWS Console and CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 Prédéployer les outils
assurez-vous que le personnel de sécurité dispose des outils appropriés préalablement déployés dans AWS pour accélérer les investigations jusqu'à la reprise.
Pour automatiser les fonctions d'ingénierie et d'exploitation de la sécurité, vous pouvez utiliser un ensemble complet d'API et d'outils d'AWS. Vous pouvez automatiser entièrement la gestion des identités, la sécurité des réseaux, la protection des données et les fonctionnalités de surveillance, et les mettre en œuvre en utilisant les méthodes de développement de logiciel les plus courantes que vous avez déjà mises en place. Lorsque vous automatisez la sécurité, votre système peut surveiller, examiner et déclencher une réponse, plutôt que d'avoir à demander à des personnes de surveiller votre niveau de sécurité et de réagir manuellement aux événements. Un moyen efficace de fournir automatiquement des données de journal consultables et pertinentes sur les services AWS à vos intervenants en cas d'incident est d'activer [Amazon Detective](https://aws.amazon.com/detective/).
Si vos équipes de réponse aux incidents continuent de répondre aux alertes de la même manière, elles risquent de se lasser des alertes. Au fil du temps, l'équipe peut faire moins attention aux alertes et soit faire des erreurs en gérant des situations ordinaires, soit manquer des alertes inhabituelles. L'automatisation permet d'éliminer la lassitude liée aux alertes en utilisant des fonctions qui traitent les alertes répétitives et ordinaires, laissant aux personnes le soin de gérer les incidents sensibles et uniques. L'intégration de systèmes de détection d'anomalies, comme Amazon GuardDuty, AWS CloudTrail Insights et Amazon CloudWatch Anomaly Detection, peut alléger les alertes courantes basées sur des seuils.
Vous pouvez améliorer les processus manuels en automatisant par programmation les étapes du processus. Une fois que vous avez défini le modèle de correction d'un événement, vous pouvez le décomposer en logique exploitable et écrire le code pour exécuter cette logique. Les intervenants peuvent ensuite exécuter ce code pour corriger le problème. Au fil du temps, vous pouvez automatiser un nombre croissant d'étapes et, enfin, gérer automatiquement des catégories entières d'incidents courants.
Pour les outils qui s'exécutent dans le système d'exploitation de votre instance Amazon Elastic Compute Cloud (Amazon EC2), vous devez les évaluer à l'aide d'AWS Systems Manager Run Command, qui vous permet d'administrer des instances à distance et en toute sécurité à l'aide d'un agent que vous installez sur le système d'exploitation de votre instance Amazon EC2. Cela nécessite l'agent AWS Systems Manager (agent SSM) qui est installé par défaut sur de nombreuses Amazon Machine Images (AMI). Notez, cependant, qu'une fois qu'une instance a été compromise, aucune réponse des outils ou des agents qui s'y exécutent ne doit être considérée comme fiable.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Prédéployer les outils : assurez-vous que les outils appropriés ont été préalablement déployés pour le personnel de sécurité dans AWS afin que les mesures adéquates puissent être prises en cas d'incident.
+ [Atelier : gestion des incidents avec AWS Management Console et l'interface de ligne de commande (CLI) ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ Playbook de réponse aux incidents avec Jupyter - AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Automatisation de la sécurité AWS](https://github.com/awslabs/aws-security-automation)
+ Implémenter le balisage des ressources : balisez les ressources avec des informations comme un code pour la ressource soumises à une enquête afin que vous puissiez identifier les ressources pendant un incident.
+ [ Stratégies de balisage AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## Ressources
**Documents connexes :**
+ [ Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vidéos connexes :**
+ [ Mode d'emploi pour les runbooks, les rapports d'incidents et les réponses aux incidents ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 Organiser des jeux de rôle
À mesure que les organisations se développent et évoluent au fil du temps, le paysage des menaces change. Il est donc important de revoir en permanence vos capacités de réponse aux incidents. L'organisation de journées de jeu, ou de simulations, est une méthode qui peut être utilisée pour effectuer cette évaluation. Les simulations utilisent des scénarios d'événements de sécurité réels conçus pour imiter les tactiques, techniques et procédures (TTP) d'un acteur de la menace et permettre à une organisation d'exercer et d'évaluer ses capacités de réponse aux incidents en réagissant à ces cyberévénements fictifs tels qu'ils peuvent se produire dans la réalité.
**Avantages liés au respect de cette bonne pratique :** Les simulations présentent de nombreux avantages :
+ Validation de l'état de préparation à la cybersécurité et renforcement de la confiance de vos intervenants en cas d'incident.
+ Test de la précision et de l'efficacité des outils et des flux de travail.
+ Amélioration des méthodes de communication et de remontées en fonction de votre plan de réponse aux incidents.
+ Possibilité de répondre à des vecteurs moins courants.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Il existe trois principaux types de simulations :
+ **Exercices théoriques :** l'approche théorique des simulations est une session basée sur des discussions auxquelles participent les différentes parties prenantes de la réponse aux incidents afin de mettre en pratique leurs rôles et leurs responsabilités et d'utiliser des outils de communication et des manuels établis. L'animation d'exercices peut généralement être réalisée en une journée complète dans un lieu virtuel, un lieu physique ou une combinaison des deux. Dans la mesure où il repose sur la discussion, l'exercice théorique met l'accent sur les processus, les personnes et la collaboration. La technologie fait partie intégrante de la discussion, mais l'utilisation effective d'outils ou de scripts de réponse aux incidents ne fait généralement pas partie de l'exercice théorique.
+ **Exercices de l'équipe violette :** les exercices de l'équipe violette augmentent le niveau de collaboration entre les intervenants en cas d'incident (équipe bleue) et les acteurs de menaces simulées (équipe rouge). L'équipe bleue est composée de membres du centre des opérations de sécurité (SOC), mais peut également inclure d'autres parties prenantes qui seraient impliquées lors d'un véritable cyberévénement. L'équipe rouge est composée d'une équipe de tests de pénétration ou de parties prenantes clés formées à la sécurité offensive. L'équipe rouge travaille en collaboration avec les animateurs de l'exercice lors de la conception d'un scénario afin que celui-ci soit précis et réalisable. Lors des exercices de l'équipe violette, l'accent est principalement mis sur les mécanismes de détection, les outils et les procédures opérationnelles standard (SOP) qui soutiennent les efforts de réponse aux incidents.
+ **Exercices de l'équipe rouge :** au cours d'un exercice de l'équipe rouge, l'attaque (l'équipe rouge) effectue une simulation pour atteindre un objectif donné ou un ensemble d'objectifs à partir d'une portée prédéterminée. Les défenseurs (équipe bleue) ne seront pas nécessairement au courant de la portée ni de la durée de l'exercice, ce qui permet d'évaluer de manière plus réaliste la manière dont ils réagiraient en cas d'incident réel. Étant donné que les exercices de l'équipe rouge peuvent être des tests invasifs, soyez prudent et mettez en œuvre des contrôles pour vérifier que l'exercice ne cause pas de dommages réels à votre environnement.
Envisagez d'animer des simulations cybernétiques à intervalles réguliers. Chaque type d'exercice peut apporter des avantages uniques aux participants et à l'organisation dans son ensemble. Vous pouvez donc choisir de commencer par des types de simulation moins complexes (tels que des exercices théoriques) et de passer ensuite à des types de simulation plus complexes (exercices de l'équipe rouge). Vous devez sélectionner un type de simulation en fonction de la maturité de votre sécurité, de vos ressources et des résultats souhaités. Certains clients peuvent décider de ne pas effectuer les exercices de l'équipe rouge en raison de leur complexité et de leur coût.
## Étapes d'implémentation
Quel que soit le type de simulation que vous choisissez, les simulations suivent généralement les étapes de mise en œuvre suivantes :
1. **Définissez les principaux éléments de l'exercice :** définissez le scénario de simulation et les objectifs de la simulation. Les deux doivent être acceptés par les dirigeants.
1. **Identifiez les principales parties prenantes :** un exercice nécessite au minimum des animateurs et des participants. Selon le scénario, d'autres parties prenantes telles que les services juridiques, l'équipe de communication ou la direction, peuvent être impliquées.
1. **Créez et testez le scénario :** le scénario devra peut-être être redéfini au fur et à mesure de sa création si des éléments spécifiques ne sont pas réalisables. Un scénario finalisé est attendu à l'issue de cette étape.
1. **Animez la simulation :** le type de simulation détermine l'animation utilisée (un scénario papier par rapport à un scénario simulé hautement technique). Les animateurs doivent adapter leurs tactiques d'animation aux objectifs de l'exercice et impliquer tous les participants dans l'exercice dans la mesure du possible afin d'en tirer le meilleur parti.
1. **Effectuez un rapport après action (AAR) :** identifiez les domaines qui se sont bien déroulés, ceux qui peuvent être améliorés et les lacunes potentielles. L'AAR doit mesurer l'efficacité de la simulation ainsi que la réponse de l'équipe à l'événement simulé afin que les progrès puissent être suivis au fil du temps lors de futures simulations.
## Ressources
**Documents connexes :**
+ [ Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vidéos connexes :**
+ [AWS GameDay - Security Edition](https://www.youtube.com/watch?v=XnfDWID_OQs)
# Sécurité des applications
**Topics**
+ [SEC 11 Comment intégrer et valider les propriétés de sécurité des applications tout au long du cycle de vie de la conception, du développement et du déploiement ?](sec-11.md)
# SEC 11 Comment intégrer et valider les propriétés de sécurité des applications tout au long du cycle de vie de la conception, du développement et du déploiement ?
La formation du personnel, l'automatisation des tests, la compréhension des dépendances et la validation des propriétés de sécurité des outils et des applications contribuent à réduire la probabilité de problèmes de sécurité dans les charges de travail de production.
**Topics**
+ [SEC11-BP01 Formation à la sécurité des applications](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication](sec_appsec_automate_testing_throughout_lifecycle.md)
+ [SEC11-BP03 Réalisation de tests de pénétration réguliers](sec_appsec_perform_regular_penetration_testing.md)
+ [SEC11-BP04 Révisions de code manuelles](sec_appsec_manual_code_reviews.md)
+ [SEC11-BP05 Centralisation des services pour les packages et les dépendances](sec_appsec_centralize_services_for_packages_and_dependencies.md)
+ [SEC11-BP06 Déploiement programmatique de logiciels](sec_appsec_deploy_software_programmatically.md)
+ [SEC11-BP07 Évaluation régulière des caractéristiques de sécurité des pipelines](sec_appsec_regularly_assess_security_properties_of_pipelines.md)
+ [SEC11-BP08 Création d'un programme permettant aux équipes responsables de la charge de travail de s'approprier les mécanismes de sécurité](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
# SEC11-BP01 Formation à la sécurité des applications
Formez les concepteurs de votre organisation aux pratiques courantes de développement et d'exploitation sécurisés des applications. L'adoption de pratiques de développement axées sur la sécurité permet de réduire la probabilité d'apparition de problèmes décelés uniquement au stade de l'examen de la sécurité.
**Résultat souhaité :** les logiciels doivent être conçus et construits en tenant compte de la sécurité. Lorsque les concepteurs d'une organisation sont formés à des pratiques de développement sécurisées qui commencent par un modèle de menace, la qualité et la sécurité globales des logiciels produits s'en trouvent améliorées. Cette approche peut réduire le délai de livraison des logiciels ou des fonctionnalités, car moins de retouches sont nécessaires après la phase d'examen de la sécurité.
Aux fins de cette bonne pratique, le *développement sécurisé* désigne le logiciel conçu et les outils ou systèmes qui soutiennent le cycle du développement logiciel (SDLC).
**Anti-modèles courants :**
+ Attendre un examen de la sécurité, puis réfléchir aux propriétés de sécurité d'un système.
+ Laisser toutes les décisions en matière de sécurité à l'équipe de sécurité.
+ Ne pas communiquer sur la manière dont les décisions prises au cours du cycle de développement du logiciel sont liées aux attentes ou aux politiques générales de l'organisation en matière de sécurité.
+ S'impliquer trop tard dans le processus d'examen de la sécurité.
**Avantages liés au respect de cette bonne pratique :**
+ Meilleure connaissance des exigences organisationnelles en matière de sécurité dès le début du cycle de développement.
+ Possibilité d'identifier les problèmes de sécurité potentiels et d'y remédier plus rapidement, ce qui se traduit par une mise à disposition plus rapide des fonctionnalités.
+ Amélioration de la qualité des logiciels et des systèmes.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Formez les concepteurs de votre organisation. Une formation à la [modélisation des menaces](https://catalog.workshops.aws/threatmodel/en-US) constitue une bonne base pour se former à la sécurité. Idéalement, les concepteurs devraient pouvoir accéder en libre-service aux informations pertinentes pour leur charge de travail. Cet accès leur permet de prendre des décisions éclairées sur les propriétés de sécurité des systèmes qu'ils construisent, sans avoir à solliciter une autre équipe. Le processus de participation de l'équipe de sécurité aux révisions doit être clairement défini et simple à suivre. Les étapes du processus de révision doivent être ajoutées à la formation à la sécurité. Lorsque des modèles d'implémentation connus sont disponibles, ils doivent être faciles à trouver et à relier aux exigences de sécurité globales. Envisagez d'utiliser [AWS CloudFormation,](https://aws.amazon.com/cloudformation/) [AWS Cloud Development Kit (AWS CDK) Constructs](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html), [Service Catalog](https://aws.amazon.com/servicecatalog/), ou d'autres outils de modélisation pour réduire la nécessité d'une configuration personnalisée.
### Étapes d'implémentation
+ Commencez par donner aux concepteurs un cours sur la [modélisation des menaces](https://catalog.workshops.aws/threatmodel/en-US) afin de leur donner une bonne base et de les aider à penser à la sécurité.
+ Fournissez un accès aux formations [AWS Training and Certification](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult), de l'industrie ou des partenaires AWS.
+ Dispensez une formation sur le processus d'examen de la sécurité de votre organisation, qui clarifie la répartition des responsabilités entre l'équipe chargée de la sécurité, les équipes responsables de la charge de travail et les autres parties prenantes.
+ Publiez des conseils en libre-service sur la manière de répondre à vos exigences en matière de sécurité, y compris des exemples de code et des modèles, s'ils sont disponibles.
+ Recueillez régulièrement les commentaires des équipes de concepteurs sur leur expérience du processus d'examen de la sécurité et de la formation, et utilisez ces commentaires pour vous améliorer.
+ Utilisez des tests de simulation de pannes ou des campagnes de chasse aux bogues pour réduire le nombre de problèmes et améliorer les compétences de vos concepteurs.
## Ressources
**Bonnes pratiques associées :**
+ [SEC11-BP08 Création d'un programme permettant aux équipes responsables de la charge de travail de s'approprier les mécanismes de sécurité](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
**Documents connexes :**
+ [AWS Training and Certification](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult)
+ [How to think about cloud security governance](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/)
+ [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)
+ [Accelerating training – The AWS Skills Guild](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/accelerating-training-the-aws-skills-guild.html) (Accélérer la formation – AWS Skills Guild)
**Vidéos connexes :**
+ [Proactive security: Considerations and approaches](https://www.youtube.com/watch?v=CBrUE6Qwfag)
**Exemples connexes :**
+ [Atelier sur la modélisation des menaces](https://catalog.workshops.aws/threatmodel)
+ [Sensibilisation des développeurs à l'industrie](https://owasp.org/www-project-top-ten/)
**Services associés :**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Cloud Development Kit (AWS CDK) (AWS CDK) Constructs](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)
+ [Service Catalog](https://aws.amazon.com/servicecatalog/)
+ [AWS BugBust](https://docs.aws.amazon.com/codeguru/latest/bugbust-ug/what-is-aws-bugbust.html)
# SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication
Automatisez les tests des propriétés de sécurité tout au long du cycle de développement et de publication. L'automatisation facilite l'identification systématique et répétée des problèmes potentiels dans les logiciels avant leur diffusion, ce qui réduit le risque de problèmes de sécurité dans les logiciels fournis.
**Résultat souhaité :** l'objectif des tests automatisés est de fournir un moyen programmatique de détecter les problèmes potentiels de manière précoce et fréquente tout au long du cycle de développement. Lorsque vous automatisez les tests de régression, vous pouvez exécuter à nouveau les tests fonctionnels et non fonctionnels pour vérifier que le logiciel testé précédemment fonctionne toujours comme prévu après une modification. Lorsque vous définissez des tests d'unités de sécurité pour vérifier les erreurs de configuration courantes, telles qu'une authentification défaillante ou manquante, vous pouvez identifier et résoudre ces problèmes dès le début du processus de développement.
L'automatisation des tests utilise des cas de test spécifiques pour la validation de l'application, sur la base des exigences de l'application et de la fonctionnalité souhaitée. Le résultat du test automatisé est basé sur la comparaison entre le résultat du test généré et le résultat attendu, ce qui accélère le cycle de vie global du test. Les méthodologies de test telles que les tests de régression et les suites de tests d'unités sont les mieux adaptées à l'automatisation. L'automatisation des tests des propriétés de sécurité permet aux concepteurs de recevoir des commentaires automatisés sans avoir à attendre un examen de sécurité. Les tests automatisés sous forme d'analyse statique ou dynamique du code peuvent améliorer la qualité du code et aider à détecter les problèmes logiciels potentiels dès le début du cycle de développement.
**Anti-modèles courants :**
+ Ne pas communiquer les cas de test et les résultats des tests automatisés.
+ Effectuer uniquement les tests automatisés juste avant la mise en production.
+ Automatiser les cas de test avec des exigences qui changent fréquemment.
+ Ne pas fournir de recommandations sur la manière de traiter les résultats des tests de sécurité.
**Avantages liés au respect de cette bonne pratique :**
+ Réduction de la dépendance à l'égard des personnes qui évaluent les propriétés de sécurité des systèmes.
+ Le fait de disposer de résultats cohérents dans plusieurs domaines de travail améliore la cohérence.
+ Réduction de la probabilité d'introduire des problèmes de sécurité dans les logiciels de production.
+ Un délai plus court entre la détection et la remédiation grâce à une détection plus précoce des problèmes logiciels.
+ Visibilité accrue des comportements systémiques ou répétés dans plusieurs domaines de travail, ce qui peut être utilisé pour apporter des améliorations à l'échelle de l'organisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Au fur et à mesure du développement de votre logiciel, adoptez divers mécanismes de test pour vous assurer que vous testez votre application à la fois pour les exigences fonctionnelles, basées sur la logique commerciale de votre application, et pour les exigences non fonctionnelles, qui sont axées sur la fiabilité, la performance et la sécurité de l'application.
Les tests statiques de sécurité des applications (SAST) analysent votre code source à la recherche de schémas de sécurité anormaux et fournissent des indications sur le code sujet aux défauts. Les tests SAST s'appuient sur des données statiques, telles que la documentation (spécifications des exigences, documentation de conception et spécifications de conception) et le code source de l'application, pour tester une série de problèmes de sécurité connus. Les analyseurs de code statique permettent d'accélérer l'analyse de gros volumes de code. Le [groupe de qualité NIST](https://www.nist.gov/itl/ssd/software-quality-group) propose une comparaison des [analyseurs de sécurité du code source](https://www.nist.gov/itl/ssd/software-quality-group/source-code-security-analyzers), qui comprend des outils open source pour les [lecteurs de codes à octets](https://samate.nist.gov/index.php/Byte_Code_Scanners.html) et les [lecteurs de code binaire](https://samate.nist.gov/index.php/Binary_Code_Scanners.html).
Complétez vos tests statiques par des méthodes de sécurité des applications (DAST), qui consistent à effectuer des tests sur l'application en cours d'exécution afin d'identifier les comportements potentiellement inattendus. Les tests dynamiques peuvent détecter des problèmes potentiels qui ne sont pas détectables par l'analyse statique. Les tests effectués aux stades du référentiel de code, de la build et du pipeline vous permettent de vérifier différents types de problèmes potentiels avant qu'ils ne s'introduisent dans votre code. [Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/) fournit des recommandations sur le code, y compris l'analyse de la sécurité, dans l'IDE du créateur. [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) peut identifier les problèmes critiques, les problèmes de sécurité et les bogues difficiles à trouver pendant le développement de l'application, et fournit des recommandations pour améliorer la qualité du code.
L'[atelier sur la sécurité pour les développeurs](https://catalog.workshops.aws/sec4devs) utilise des outils de développement AWS, tels que [AWS CodeBuild](https://aws.amazon.com/codebuild/), [AWS CodeCommit](https://aws.amazon.com/codecommit/), et [AWS CodePipeline](https://aws.amazon.com/codepipeline/), pour l'automatisation de la chaîne de production qui comprend les méthodologies de test SAST et DAST.
Au fur et à mesure que vous progressez dans votre cycle de développement du logiciel, mettez en place un processus itératif qui comprend des révisions périodiques des applications avec votre équipe de sécurité. Les commentaires recueillis lors de ces examens de sécurité doivent être traités et validés dans le cadre de l'examen de l'état de préparation à la mise en production. Ces examens permettent de définir un solide niveau de sécurité des applications et fournissent aux concepteurs des commentaires exploitables pour résoudre les problèmes potentiels.
### Étapes d'implémentation
+ Implémentez des outils cohérents d'IDE, de révision du code et de CI/CD qui incluent des tests de sécurité.
+ Réfléchissez à l'étape du cycle de développement du logiciel où il convient de bloquer les pipelines au lieu de simplement avertir les concepteurs que des problèmes doivent être résolus.
+ L'[atelier sur la sécurité pour les développeurs](https://catalog.workshops.aws/sec4devs) fournit un exemple d'intégration des tests statiques et dynamiques dans un pipeline de publication.
+ La réalisation de tests ou d'analyses de code à l'aide d'outils automatisés, tels que [Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/) intégré aux IDE des développeurs et [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) pour l'analyse du code lors de la validation, aide les concepteurs à obtenir des commentaires au bon moment.
+ Lorsque vous utilisez AWS Lambda pour votre conception, vous pouvez utiliser [Amazon Inspector](https://aws.amazon.com/about-aws/whats-new/2023/02/code-scans-lambda-functions-amazon-inspector-preview/) pour analyser le code de l'application dans vos fonctions.
+ L'[Atelier CI/CD AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/) fournit un point de départ pour construire des pipelines CI/CD sur AWS.
+ Lorsque les tests automatisés sont inclus dans les pipelines CI/CD, vous devez utiliser un système de tickets pour suivre la notification et la résolution des problèmes logiciels.
+ Pour les tests de sécurité susceptibles de donner lieu à des conclusions, un lien vers des conseils pour remédier à la situation aide les concepteurs à améliorer la qualité du code.
+ Analysez régulièrement les résultats des outils automatisés afin de donner la priorité à la prochaine automatisation, à la formation des concepteurs ou à la campagne de sensibilisation.
## Ressources
**Documents connexes :**
+ [Livraison et déploiement continus](https://aws.amazon.com/devops/continuous-delivery/)
+ [Partenaires de compétence AWS DevOps](https://aws.amazon.com/devops/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=partner-type%23technology&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-location=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&awsm.page-partner-solutions-cards=1)
+ [Partenaires de compétence en matière de sécurité d'AWS](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=use-case%23app-security&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc) pour la sécurité des applications
+ [Choosing a Well-Architected CI/CD approach](https://aws.amazon.com/blogs/devops/choosing-well-architected-ci-cd-open-source-software-aws-services/)
+ [Monitoring CodeCommit events in Amazon EventBridge and Amazon CloudWatch Events](https://docs.aws.amazon.com/codecommit/latest/userguide/monitoring-events.html) (Surveillance des événements CodeCommit sur Amazon EventBridge et Amazon CloudWatch Events)
+ [Secrets detection in Amazon CodeGuru Review](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/recommendations.html#secrets-detection)
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Comment AWS aborde l'automatisation de déploiement sans intervention et en toute sécurité](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/)
**Vidéos connexes :**
+ [Hands-off: Automating continuous delivery pipelines at Amazon](https://www.youtube.com/watch?v=ngnMj1zbMPY)
+ [Automating cross-account CI/CD pipelines](https://www.youtube.com/watch?v=AF-pSRSGNks)
**Exemples connexes :**
+ [Sensibilisation des développeurs au secteur](https://owasp.org/www-project-top-ten/)
+ [Gouvernance AWS CodePipeline](https://github.com/awslabs/aws-codepipeline-governance) (GitHub)
+ [Atelier sur la sécurité pour les développeurs](https://catalog.us-east-1.prod.workshops.aws/workshops/66275888-6bab-4872-8c6e-ed2fe132a362/en-US)
+ [Atelier CI/CD AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
# SEC11-BP03 Réalisation de tests de pénétration réguliers
Effectuez régulièrement des tests de pénétration de votre logiciel. Ce mécanisme permet d'identifier les problèmes logiciels potentiels impossibles à détecter par des tests automatisés ou une révision manuelle du code. Il peut également vous aider à comprendre l'efficacité de vos contrôles de détection. Les tests de pénétration doivent tenter de déterminer si le logiciel peut être amené à fonctionner de manière inattendue, par exemple en exposant des données qui devraient être protégées ou en accordant des autorisations plus étendues que prévu.
**Résultat souhaité :** les tests de pénétration permettent de détecter, de remédier et de valider les propriétés de sécurité de votre application. Des tests de pénétration réguliers et programmés doivent être effectués dans le cadre du cycle de développement des logiciels (SDLC). Les résultats des tests de pénétration doivent être pris en compte avant le lancement du logiciel. Vous devez analyser les résultats des tests de pénétration pour déterminer s'il existe des problèmes qui pourraient être détectés grâce à l'automatisation. Le fait de disposer d'un processus de test de pénétration régulier et reproductible, qui comprend un mécanisme de commentaires actif, permet d'éclairer les conseils donnés aux concepteurs et d'améliorer la qualité des logiciels.
**Anti-modèles courants :**
+ Les tests de pénétration ne concernent que les problèmes de sécurité connus ou répandus.
+ Tests de pénétration d'applications sans outils et bibliothèques tiers dépendants.
+ Uniquement des tests de pénétration pour les problèmes de sécurité des packages, et non l'évaluation de la logique métier implémentée.
**Avantages liés au respect de cette bonne pratique :**
+ Confiance accrue dans les propriétés de sécurité du logiciel avant sa diffusion.
+ Possibilité d'identifier des modèles d'application privilégiés, ce qui permet d'améliorer la qualité des logiciels.
+ Une boucle de rétroaction permettant d'identifier plus tôt dans le cycle de développement où l'automatisation ou une formation supplémentaire peuvent améliorer les propriétés de sécurité des logiciels.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée : **élevé
## Directives d'implémentation
Le test de pénétration est un exercice de test de sécurité structuré dans lequel vous exécutez des scénarios de faille de sécurité planifiés afin de détecter des problèmes, d'y remédier et de valider les contrôles de sécurité. Les tests de pénétration commencent par une reconnaissance, au cours de laquelle des données sont recueillies sur la base de la conception actuelle de l'application et de ses dépendances. Une liste de scénarios de test spécifiques à la sécurité est élaborée et exécutée. L'objectif principal de ces tests est de découvrir les problèmes de sécurité de votre application, qui pourraient être exploités pour obtenir un accès involontaire à votre environnement ou un accès non autorisé aux données. Vous devez effectuer des tests de pénétration lorsque vous lancez de nouvelles fonctionnalités, ou chaque fois que votre application a subi des changements majeurs en matière de fonction ou d'implémentation technique.
Vous devez identifier l'étape la plus appropriée du cycle de développement pour effectuer des tests de pénétration. Ces tests doivent avoir lieu suffisamment tard pour que la fonctionnalité du système soit proche de l'état final prévu, mais avec suffisamment de temps pour remédier aux éventuels problèmes.
### Étapes d'implémentation
+ Prévoyez un processus structuré pour l'étendue des tests de pénétration. Le fait de baser ce processus sur le [modèle de menace](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) est un bon moyen de maintenir le contexte.
+ Identifiez l'endroit approprié dans le cycle de développement pour effectuer des tests de pénétration. Ce délai doit être respecté lorsque les changements attendus dans l'application sont minimes, mais qu'il reste suffisamment de temps pour mettre en œuvre des mesures correctives.
+ Formez vos créateurs sur ce qu'il faut attendre des résultats des tests de pénétration et sur la manière d'obtenir des informations sur les mesures correctives.
+ Utilisez des outils pour accélérer le processus de test de pénétration en automatisant les tests courants ou reproductibles.
+ Analysez les résultats des tests de pénétration afin d'identifier les problèmes de sécurité systémiques et utilisez ces données pour effectuer des tests automatisés supplémentaires et former en permanence les créateurs.
## Ressources
**Bonnes pratiques associées :**
+ [SEC11-BP01 Formation à la sécurité des applications](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication](sec_appsec_automate_testing_throughout_lifecycle.md)
**Documents connexes :**
+ [Le test de pénétration AWS](https://aws.amazon.com/security/penetration-testing/) fournit des conseils détaillés pour les tests de pénétration sur AWS
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Partenaires AWS disposant de la compétence Sécurité](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc)
+ [Modernize your penetration testing architecture on AWS Fargate](https://aws.amazon.com/blogs/architecture/modernize-your-penetration-testing-architecture-on-aws-fargate/)
+ [AWS Fault Injection Simulator](https://aws.amazon.com/fis/)
**Exemples connexes :**
+ [Automate API testing with AWS CodePipeline](https://github.com/aws-samples/aws-codepipeline-codebuild-with-postman) (GitHub)
+ [Automated security helper](https://github.com/aws-samples/automated-security-helper) (GitHub)
# SEC11-BP04 Révisions de code manuelles
Procédez à une révision manuelle du code des logiciels que vous produisez. Ce processus permet de vérifier que la personne qui a écrit le code n'est pas la seule à en contrôler la qualité.
**Résultat souhaité :** l'inclusion d'une étape de révision manuelle du code au cours du développement permet d'améliorer la qualité du logiciel conçu, de renforcer les compétences des membres les moins expérimentés de l'équipe et d'identifier les domaines dans lesquels l'automatisation peut être utilisée. Les révisions de code manuelles peuvent être soutenues par des outils et des tests automatisés.
**Anti-modèles courants :**
+ Ne pas effectuer de révision de code avant le déploiement.
+ Faire rédiger et réviser le code par la même personne.
+ Ne pas utiliser l'automatisation pour assister ou orchestrer les révisions de code.
+ Ne pas former les créateurs à la sécurité des applications avant qu'ils ne procèdent à la révision du code.
**Avantages liés au respect de cette bonne pratique :**
+ Amélioration de la qualité du code.
+ Amélioration de la cohérence de développement du code grâce à la réutilisation d'approches communes.
+ Réduction du nombre de problèmes découverts lors des tests de pénétration et des étapes ultérieures.
+ Amélioration du transfert de connaissances au sein de l'équipe.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
L'étape de révision doit être implémentée dans le cadre du flux global de gestion du code. Les spécificités dépendent de l'approche utilisée pour les branches, les demandes d'extraction et la fusion. Vous utilisez peut-être AWS CodeCommit ou des solutions tierces telles que GitHub, GitLab ou Bitbucket. Quelle que soit la méthode utilisée, il est important de vérifier que vos processus exigent la révision du code avant qu'il ne soit déployé dans un environnement de production. L'utilisation d'outils tels que [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) peut faciliter l'orchestration du processus de révision de code.
### Étapes d'implémentation
+ Implémentez une étape de révision manuelle dans le cadre de votre flux de gestion du code et procédez à cette révision avant de poursuivre.
+ Envisagez [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) pour gérer et vous aider dans les révisions de code.
+ Implémentez un flux d'approbation qui exige qu'une révision de code soit achevée avant que le code puisse passer à l'étape suivante.
+ Vérifiez qu'il existe un processus permettant d'identifier les problèmes découverts lors des révisions manuelles du code et qui pourraient être détectés automatiquement.
+ Intégrez l'étape de révision manuelle du code d'une manière qui s'aligne sur vos pratiques de développement du code.
## Ressources
**Bonnes pratiques associées :**
+ [SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication](sec_appsec_automate_testing_throughout_lifecycle.md)
**Documents connexes :**
+ [Utilisation des demandes d'extraction dans les référentiels AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/pull-requests.html)
+ [Utilisation des modèles de règles d'approbation dans AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/approval-rule-templates.html)
+ [À propos des demandes de tirage (pull requests)](https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-pull-requests)
+ [Automate code reviews with Amazon CodeGuru Reviewer](https://aws.amazon.com/blogs/devops/automate-code-reviews-with-amazon-codeguru-reviewer/)
+ [Automating detection of security vulnerabilities and bugs in CI/CD pipelines using Amazon CodeGuru Reviewer CLI](https://aws.amazon.com/blogs/devops/automating-detection-of-security-vulnerabilities-and-bugs-in-ci-cd-pipelines-using-amazon-codeguru-reviewer-cli/)
**Vidéos connexes :**
+ [Continuous improvement of code quality with Amazon CodeGuru](https://www.youtube.com/watch?v=iX1i35H1OVw)
**Exemples connexes :**
+ [Atelier sur la sécurité pour les développeurs](https://catalog.workshops.aws/sec4devs)
# SEC11-BP05 Centralisation des services pour les packages et les dépendances
Fournissez des services centralisés aux équipes de créateurs pour l'obtention de packages logiciels et d'autres dépendances. Cela permet de valider les packages avant qu'ils ne soient incorporés au logiciel que vous écrivez, et fournit une source de données pour l'analyse du logiciel utilisé dans votre entreprise.
**Résultat souhaité :** un logiciel est composé d'un ensemble d'autres packages logiciels en plus du code qui est en train d'être écrit. Cela simplifie la consommation des implémentations de fonctionnalités utilisées de manière répétée, telles qu'un analyseur JSON ou une bibliothèque de chiffrement. La centralisation logique des sources de ces packages et dépendances offre aux équipes de sécurité un mécanisme de validation des propriétés des packages avant leur utilisation. Cette approche réduit également le risque qu'un problème inattendu soit causé par une modification d'un package existant, ou par des équipes de créateurs incluant des packages arbitraires provenant directement d'Internet. Utilisez cette approche en conjonction avec les flux de tests manuels et automatisés pour accroître la confiance dans la qualité du logiciel en cours de développement.
**Anti-modèles courants :**
+ Extraction de packages à partir de référentiels arbitraires sur Internet.
+ Ne pas tester les nouveaux packages avant de les mettre à la disposition des créateurs.
**Avantages liés au respect de cette bonne pratique :**
+ Meilleure compréhension des packages utilisés dans le logiciel en cours de création
+ Possibilité d'informer les équipes responsables de la charge de travail lorsqu'un package doit être mis à jour en fonction de la compréhension de qui utilise quoi.
+ Réduire le risque qu'un package présentant des problèmes soit inclus dans votre logiciel.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée : **moyen
## Directives d'implémentation
Fournissez des services centralisés pour les packages et les dépendances d'une manière simple à utiliser pour les créateurs. Les services centralisés sont logiquement centraux plutôt que d'être implémentés sous la forme d'un système monolithique. Cette approche vous permet de fournir des services de manière à répondre aux besoins de vos concepteurs. Vous devez implémenter une méthode efficace pour ajouter des packages au référentiel lorsque des mises à jour sont effectuées ou que de nouvelles exigences apparaissent. Des services AWS tels que [AWS CodeArtifact](https://aws.amazon.com/codeartifact/) ou des solutions de partenaires AWS similaires permettent de fournir cette capacité.
### Étapes d'implémentation :
+ Implémentez un service de référentiel centralisé et logique, disponible dans tous les environnements où des logiciels sont développés.
+ Prévoir l'accès au référentiel dans le cadre de la procédure d'attribution du Compte AWS.
+ Concevez une automatisation pour tester les packages avant qu'ils ne soient publiés dans un référentiel.
+ Conservez des métriques concernant les packages, les langages et les équipes les plus couramment utilisés et ayant subi le plus grand nombre de changements.
+ Prévoyez un mécanisme automatisé permettant aux équipes de créateurs de demander de nouveaux packages et de fournir des commentaires.
+ Analysez régulièrement les packages de votre référentiel afin d'identifier l'impact potentiel des problèmes récemment découverts.
## Ressources
**Bonnes pratiques associées :**
+ [SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication](sec_appsec_automate_testing_throughout_lifecycle.md)
**Documents connexes :**
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Tighten your package security with CodeArtifact Package Origin Control toolkit](https://aws.amazon.com/blogs/devops/tighten-your-package-security-with-codeartifact-package-origin-control-toolkit/)
+ [Detecting security issues in logging with Amazon CodeGuru Reviewer](https://aws.amazon.com/blogs/devops/detecting-security-issues-in-logging-with-amazon-codeguru-reviewer/)
+ [Supply chain Levels for Software Artifacts (SLSA)](https://slsa.dev/)
**Vidéos connexes :**
+ [Proactive security: Considerations and approaches](https://www.youtube.com/watch?v=CBrUE6Qwfag)
+ [The AWS Philosophy of Security (re:Invent 2017)](https://www.youtube.com/watch?v=KJiCfPXOW-U)
+ [When security, safety, and urgency all matter: Handling Log4Shell](https://www.youtube.com/watch?v=pkPkm7W6rGg)
**Exemples connexes :**
+ [Pipeline de publication de packages multirégionaux](https://github.com/aws-samples/multi-region-python-package-publishing-pipeline) (GitHub)
+ [Publication de modules Node.js sur AWS CodeArtifact à l'aide de AWS CodePipeline](https://github.com/aws-samples/aws-codepipeline-publish-nodejs-modules) (GitHub)
+ [Publication de packages AWS CDK Java CodeArtifact](https://github.com/aws-samples/aws-cdk-codeartifact-pipeline-sample) (GitHub)
+ [Distribuer des packages .NET NuGet privés avec AWS CodeArtifact](https://github.com/aws-samples/aws-codeartifact-nuget-dotnet-pipelines) (GitHub)
# SEC11-BP06 Déploiement programmatique de logiciels
Dans la mesure du possible, procédez à des déploiements de logiciels par programme. Cette approche réduit la probabilité qu'un déploiement échoue ou qu'une erreur humaine entraîne un problème inattendu.
**Résultat souhaité : **éloigner les personnes des données est un principe clé pour construire en toute sécurité dans le AWS Cloud. Ce principe s'applique également à la manière dont vous déployez votre logiciel.
Ne pas dépendre d'individus pour déployer un logiciel vous permet d'être certain que ce que vous déployez correspond à ce que vous avez testé, et que le déploiement est effectué de manière cohérente à chaque fois. Il ne doit pas être nécessaire de modifier un logiciel afin qu'il fonctionne dans différents environnements. L'utilisation des principes du développement d'applications à douze facteurs, en particulier l'externalisation de la configuration, vous permet de déployer le même code dans plusieurs environnements sans avoir à le modifier. Le chiffrement de la signature des packages logiciels permet de vérifier que rien n'a changé d'un environnement à l'autre. Le résultat global de cette approche est de réduire les risques dans votre processus de changement et d'améliorer la cohérence des versions du logiciel.
**Anti-modèles courants :**
+ Déploiement manuel d'un logiciel en production.
+ Modification manuelle d'un logiciel pour l'adapter à des environnements différents.
**Avantages liés au respect de cette bonne pratique :**
+ Confiance accrue dans le processus de lancement des logiciels.
+ Réduction du risque que l'échec d'une modification affecte l'entreprise.
+ Augmentation de la cadence de lancement en raison de la diminution du risque de changement.
+ Capacité de restauration automatique en cas d'événements inattendus au cours du déploiement.
+ Capacité à prouver par chiffrement que le logiciel testé est celui qui est déployé.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Créez la structure de votre Compte AWS de manière à supprimer la récurrence de l'accès de personnes à partir d'environnements et utilisez des outils CI/CD pour effectuer des déploiements. Concevez vos applications de manière à ce que les données de configuration spécifiques à l'environnement soient obtenues à partir d'une source externe, telle que [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html). Signez les packages après les avoir testés et validez ces signatures lors du déploiement. Configurez vos pipelines CI/CD pour transmettre le code de l'application et utilisez des tests Canary pour confirmer le succès du déploiement. Utilisez des outils tels que [AWS CloudFormation](https://aws.amazon.com/cloudformation/) ou [AWS CDK](https://aws.amazon.com/cdk/) pour définir votre infrastructure, puis utilisez [AWS CodeBuild](https://aws.amazon.com/codebuild/) et [AWS CodePipeline](https://aws.amazon.com/codepipeline/) pour effectuer des opérations CI/CD.
### Étapes d'implémentation
+ Créez des pipelines CI/CD bien définis pour rationaliser le processus de déploiement.
+ Utilisez [AWS CodeBuild](https://aws.amazon.com/codebuild/) et [AWS Code Pipeline](https://aws.amazon.com/codepipeline/) pour fournir une capacité CI/CD afin de faciliter l'intégration des tests de sécurité dans vos pipelines.
+ Suivez les conseils sur la séparation des environnements dans le livre blanc [Organisation de votre environnement AWS à l'aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
+ Vérifiez que personne n'a accès aux environnements dans lesquels des charges de travail de production sont en cours d'exécution.
+ Architecturez vos applications de manière à prendre en charge l'externalisation des données de configuration.
+ Envisagez un modèle de déploiement bleu/vert.
+ Implémentez des tests Canary pour valider la réussite du déploiement du logiciel.
+ Utilisez des outils cryptographiques tels [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) ou [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) pour signer et vérifier les packages logiciels que vous déployez.
## Ressources
**Bonnes pratiques associées :**
+ [SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication](sec_appsec_automate_testing_throughout_lifecycle.md)
**Documents connexes :**
+ [Atelier CI/CD AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Automatisation de déploiements sécurisés sans intervention](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/)
+ [Code signing using AWS Certificate Manager Private CA and AWS Key Management Service asymmetric keys](https://aws.amazon.com/blogs/security/code-signing-aws-certificate-manager-private-ca-aws-key-management-service-asymmetric-keys/)
+ [Code Signing, a Trust and Integrity Control for AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
**Vidéos connexes :**
+ [Hands-off: Automating continuous delivery pipelines at Amazon](https://www.youtube.com/watch?v=ngnMj1zbMPY)
**Exemples connexes :**
+ [Déploiements bleu/vert avec AWS Fargate](https://catalog.us-east-1.prod.workshops.aws/workshops/954a35ee-c878-4c22-93ce-b30b25918d89/en-US)
# SEC11-BP07 Évaluation régulière des caractéristiques de sécurité des pipelines
Appliquez les principes du pilier Sécurité Well-Architected à vos pipelines, en accordant une attention particulière à la séparation des autorisations. Évaluez régulièrement les caractéristiques de sécurité de votre infrastructure de pipelines. Une gestion efficace de la sécurité *des* pipelines vous permet d'assurer la sécurité des logiciels qui transitent *par* ces pipelines.
**Résultat souhaité : **les pipelines utilisés pour construire et déployer votre logiciel doivent suivre les mêmes pratiques recommandées que toute autre charge de travail dans votre environnement. Les tests implémentés dans les pipelines ne doivent pas être modifiables par les créateurs qui les utilisent. Les pipelines ne doivent disposer que des autorisations nécessaires aux déploiements qu'ils effectuent et doivent implémenter des protections pour éviter de déployer dans les mauvais environnements. Les pipelines ne devraient pas s'appuyer sur des informations d'identification à long terme et devraient être configurés pour émettre un état afin que l'intégrité des environnements de création puisse être validée.
**Anti-modèles courants :**
+ Tests de sécurité qui peuvent être contournés par les créateurs.
+ Des autorisations trop larges pour les pipelines de déploiement.
+ Les pipelines ne sont pas configurés pour valider les entrées.
+ Ne pas passer régulièrement en revue les autorisations associées à votre infrastructure CI/CD.
+ Utilisation d'informations d'identification à long terme ou codées en dur.
**Avantages liés au respect de cette bonne pratique :**
+ Une plus grande confiance dans l'intégrité du logiciel conçu et déployé par le biais des pipelines.
+ Possibilité d'interrompre un déploiement en cas d'activité suspecte.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Le fait de débuter avec des services CI/CD gérés qui prennent en charge les rôles IAM réduit le risque de fuite d'informations d'identification. L'application des principes de Pilier Sécurité à l'infrastructure de votre pipeline CI/CD peut vous aider à déterminer les améliorations à apporter en matière de sécurité. Suivre les recommandations de l'[Architecture de référence des pipelines de déploiement d'AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/) constitue un bon point de départ pour construire vos environnements CI/CD. L'examen régulier de l'implémentation des pipelines et l'analyse des journaux à la recherche de comportements inattendus peuvent vous aider à comprendre les schémas d'utilisation des pipelines utilisés pour déployer des logiciels.
### Étapes d'implémentation
+ Commencez par suivre les recommandations de l'[Architecture de référence des pipelines de déploiement d'AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/).
+ Envisagez d'utiliser [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) pour générer de manière programmatique des politiques IAM de moindre privilège pour les pipelines.
+ Intégrez des fonctions de surveillance et d'alerte à vos pipelines afin d'être informé des activités inattendues ou anormales, car les services [Amazon EventBridge](https://aws.amazon.com/eventbridge/) gérés AWS vous permettent d'acheminer les données vers des cibles telles que [AWS Lambda](https://aws.amazon.com/lambda/) ou [Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS).
## Ressources
**Documents connexes :**
+ [Architecture de référence des pipelines de déploiement d'AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/)
+ [Surveillance d’AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/monitoring.html)
+ [Bonnes pratiques de sécurité pour AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/security-best-practices.html)
**Exemples connexes :**
+ [DevOps monitoring dashboard](https://github.com/aws-solutions/aws-devops-monitoring-dashboard) (GitHub)
# SEC11-BP08 Création d'un programme permettant aux équipes responsables de la charge de travail de s'approprier les mécanismes de sécurité
Créez un programme ou un mécanisme qui permette aux équipes de créateurs de prendre des décisions en matière de sécurité pour les logiciels qu'ils créent. Votre équipe de sécurité doit bien sûr procéder à un examen de ces décisions afin de les valider. Mais le fait de rendre les équipes de créateurs responsables de la sécurité permet d'élaborer des charges de travail plus rapides et plus sûres. Ce mécanisme favorise également une culture de responsabilisation qui a un impact positif sur le fonctionnement des systèmes que vous construisez.
**Résultat souhaité : **pour rendre les équipes de créateurs responsables de la sécurité et décisionnaires, vous pouvez soit former les créateurs aux implications de la sécurité, soit compléter leur formation par des personnes chargées de la sécurité, intégrées ou associées aux équipes de créateurs. Les deux approches sont pertinentes et permettent à l'équipe de prendre des décisions de meilleure qualité en matière de sécurité plus tôt dans le cycle de développement. Ce modèle de responsabilité repose sur la formation à la sécurité des applications. En commençant par le modèle de menace correspondant à une charge de travail donnée, il est possible d'axer le design thinking sur le contexte approprié. Disposer d'une communauté de créateurs axés sur la sécurité ou d'un groupe d'ingénieurs en sécurité travaillant avec des équipes de créateurs présente un autre avantage : la possibilité de comprendre plus en profondeur comment les logiciels sont écrits. Cette compréhension vous aide à déterminer les prochains domaines d'amélioration de votre capacité d'automatisation.
**Anti-modèles courants :**
+ Laisser à une équipe de sécurité le soin de prendre toutes les décisions relatives à la conception de la sécurité.
+ Ne pas tenir compte des exigences de sécurité suffisamment tôt dans le processus de développement.
+ Ne pas recueillir de commentaires des créateurs et des responsables de la sécurité sur le fonctionnement du programme.
**Avantages liés au respect de cette bonne pratique :**
+ Réduction du temps nécessaire à la réalisation des examens de sécurité.
+ Réduction des problèmes de sécurité qui ne sont détectés qu'au stade de l'examen de la sécurité.
+ Amélioration de la qualité globale du logiciel en cours d'écriture.
+ Possibilité d'identifier et de comprendre les problèmes systémiques ou les domaines d'amélioration à forte valeur ajoutée.
+ Réduction de la quantité de travail à refaire en raison des conclusions de l'examen de sécurité.
+ Amélioration de la perception de la fonction de sécurité.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Commencez par suivre les conseils de [SEC11-BP01 Formation à la sécurité des applications](sec_appsec_train_for_application_security.md). Identifiez ensuite le modèle opérationnel du programme qui vous semble le plus adapté à votre organisation. Les deux principaux modèles consistent à former les créateurs ou à intégrer les responsables de la sécurité dans les équipes de créateurs. Une fois que vous avez décidé de l'approche initiale, vous devez mener un projet pilote avec une seule équipe ou un petit groupe d'équipes de charge de travail afin de prouver que le modèle fonctionne pour votre organisation. Le soutien de la direction de l'organisation en matière de construction et de sécurité contribue à la mise en œuvre et à la réussite du programme. Lors de la création de ce programme, il est important de choisir des métriques qui peuvent être utilisées pour montrer la valeur du programme. Apprendre de la manière dont AWS les autres ont abordé ce problème est une bonne expérience d'apprentissage. Cette bonne pratique est très axée sur le changement organisationnel et la culture. Les outils que vous utilisez doivent favoriser la collaboration entre les créateurs et les responsables de la sécurité.
### Étapes d'implémentation
+ Commencez par former vos créateurs à la cybersécurité des applications.
+ Créer une communauté et un programme d'intégration pour former les créateurs.
+ Choisissez un nom pour le programme. Les termes « tuteur », « champion » ou « défenseur » sont couramment utilisés.
+ Identifier le modèle à utiliser : former des créateurs, intégrer des ingénieurs en sécurité ou avoir des rôles de sécurité connexes.
+ Identifier les sponsors du projet parmi les responsables de la sécurité, les créateurs et éventuellement d'autres groupes concernés.
+ Suivez les métriques concernant le nombre de personnes impliquées dans le programme, le temps nécessaire aux examens et les commentaires des créateurs et des responsables de la sécurité. Utilisez ces métriques pour apporter des améliorations.
## Ressources
**Bonnes pratiques associées :**
+ [SEC11-BP01 Formation à la sécurité des applications](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication](sec_appsec_automate_testing_throughout_lifecycle.md)
**Documents connexes :**
+ [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)
+ [How to think about cloud security governance](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/)
**Vidéos connexes :**
+ [Proactive security: Considerations and approaches](https://www.youtube.com/watch?v=CBrUE6Qwfag)
# Fiabilité
Le pilier Fiabilité englobe la capacité d'une charge de travail à exécuter sa fonction de manière correcte et cohérente et ce, en temps utile. Vous pouvez trouver des recommandations sur l'implémentation dans le [livre blanc Pilier Fiabilité](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Fondations](a-foundations.md)
+ [Architecture de charge de travail](a-workload-architecture.md)
+ [Gestion des modifications](a-change-management.md)
+ [Gestion des défaillances](a-failure-management.md)
# Fondations
**Topics**
+ [REL 1 Comment gérer les quotas et les contraintes de service ?](rel-01.md)
+ [REL 2 Comment planifier la topologie de votre réseau ?](rel-02.md)
# REL 1 Comment gérer les quotas et les contraintes de service ?
Pour les architectures de charge de travail basées sur le cloud, il existe des quotas de service (aussi appelés Service Limits). Le rôle de ces quotas est d'empêcher la mise en service accidentelle de plus de ressources que nécessaire et de limiter les taux de demandes sur les opérations d'API afin de protéger les services contre les abus. Il existe également des contraintes de ressource. Par exemple, la vitesse à laquelle vous pouvez transmettre des bits sur un câble de fibre optique, ou la quantité de stockage sur un disque physique.
**Topics**
+ [REL01-BP01 Connaissance des quotas de service et des contraintes](rel_manage_service_limits_aware_quotas_and_constraints.md)
+ [REL01-BP02 Gérer les quotas de service entre les comptes et les régions](rel_manage_service_limits_limits_considered.md)
+ [REL01-BP03 Tenir compte des quotas et des contraintes de service fixes dans l'architecture](rel_manage_service_limits_aware_fixed_limits.md)
+ [REL01-BP04 Surveiller et gérer les quotas](rel_manage_service_limits_monitor_manage_limits.md)
+ [REL01-BP05 Automatiser la gestion des quotas](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL01-BP06 Garantir un écart suffisant entre les quotas actuels et l'utilisation maximale pour permettre le basculement](rel_manage_service_limits_suff_buffer_limits.md)
# REL01-BP01 Connaissance des quotas de service et des contraintes
Connaissez vos quotas par défaut et gérez vos demandes d'augmentation de quota pour votre architecture de charge de travail. Connaissez également les contraintes de ressources, comme le disque ou le réseau, qui sont susceptibles d'avoir un impact.
**Résultat souhaité :** les clients peuvent prévenir la dégradation ou l'interruption des services dans leurs Comptes AWS en mettant en œuvre des directives appropriées pour la surveillance des métriques clés, les vérifications de l'infrastructure et l'automatisation des étapes de remédiation pour vérifier que les quotas des services et les contraintes ne sont pas atteints, ce qui pourrait entraîner une dégradation ou une interruption des services.
**Anti-modèles courants :**
+ Déployer une charge de travail sans comprendre les quotas matériels ou logiciels et leurs limites pour les services utilisés.
+ Déployer une charge de travail de remplacement sans analyser ni reconfigurer les quotas nécessaires ou contacter d'abord l'assistance.
+ Supposer que les services cloud sont sans limite et que les services peuvent être utilisés sans prendre en compte les taux, les limites, les nombres et les quantités.
+ Supposer que les quotas augmenteront automatiquement.
+ Ne pas connaître le processus et la chronologie des demandes de quotas.
+ Supposer que le quota du service cloud pas défaut est le même pour chaque service par rapport à d'autres régions.
+ Supposer que les contraintes de service peuvent être enfreintes et que les systèmes se mettront automatiquement à l'échelle ou augmenteront la limite au-delà des contraintes de la ressource.
+ Ne pas tester l'application sur des pics de trafic pour tester la résistance de l'utilisation de ces ressources.
+ Provisionner les ressources sans analyser la taille de ressource nécessaire.
+ Surprovisionner la capacité en choisissant des types de ressources largement supérieures aux besoins réels ou aux pics attendus.
+ Ne pas évaluer les exigences de capacité pour les nouveaux niveaux de trafic avant un nouvel événement client ou le déploiement d'une nouvelle technologie.
**Avantages liés au respect de cette bonne pratique :** la surveillance et la gestion automatisée des quotas de service et des contraintes de ressources peuvent proactivement réduire les échecs. Les changements dans les modèles de trafic d'un service client peuvent entraînement une interruption ou une dégradation si les bonnes pratiques ne sont pas suivies. En surveillante et en gérant ces valeurs sur toutes les régions et tous les comptes, les applications peuvent bénéficier d'une meilleure résilience lors d'événements indésirables ou imprévus.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Service Quotas est un service AWS qui vous aide à gérer vos quotas pour plus de 250 services AWS depuis un seul et même emplacement. En plus de rechercher les valeurs de quota, vous pouvez également demander et suivre les augmentations de quota à partir de la console Service Quotas ou via le kit SDK AWS. AWS Trusted Advisor propose un contrôle des quotas de service qui affiche votre utilisation et les quotas de différents aspects de certains services. Les quotas de service par défaut par service figurent également dans la documentation AWS de chaque service (par exemple, consultez [Quotas Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).
Certaines limites de services, comme les limites de taux sur les API limitées sont définies dans Amazon API Gateway en configurant un plan d'utilisation. Certaines limites définies en tant que configuration sur leurs services respectifs incluent les IOPS provisionnés, le stockage Amazon RDS alloué et les allocations de volume Amazon EBS. Amazon Elastic Compute Cloud dispose de son propre tableau de bord des limites de service qui peut vous aider à gérer votre instance, Amazon Elastic Block Store et les limites d'adresses IP Elastic. Si vous possédez un cas d'utilisation pour lequel les quotas de service affectent les performances de votre application sans être ajustables à vos besoins, contactez Support pour déterminer si des mesures d'atténuation peuvent être implémentées.
Les quotas de service peuvent être spécifiques à une région ou mondiaux par nature. Un service AWS qui atteint son quota ne se comportera pas comme lors d'une utilisation normale et peut entraîner une interruption ou une dégradation du service. Par exemple, un quota de service limité le nombre de DL Amazon EC2 qui peuvent être utilisés dans une région et cette limite peut être atteinte lors d'un événement de mise à l'échelle du trafic avec des groupes Auto Scaling (ASG).
L'utilisation des quotas de service pour chaque compte doit être évaluée régulièrement pour déterminer quelles seraient les limites de service appropriées pour ce compte. Ces quotas de service existent en tant que barrières de protection opérationnelles pour empêcher le provisionnement accidentel de plus de ressources que nécessaire. Ils servent également à limiter les taux de requêtes sur les opérations d'API pour protéger les services des abus.
Les contraintes de service sont différentes des quotas de service. Les contraintes de service représentent les limites d'une ressource spécifique, telles que définies par ce type de ressource. Il peut s'agir de la capacité de stockage (par exemple, gp2 a une limite de 1 Go à 16 To) ou du débit du disque (10 000 IOPS). Il est essentiel qu'une contrainte d'un type de ressource soit optimisée et constamment évaluée par rapport à une utilisation qui pourrait atteindre ses limites. Si une contrainte est atteinte de manière inattendue, les applications ou les services du compte peuvent être dégradés ou interrompus.
S'il existe un cas d'utilisation pour lequel les quotas de service affectent les performances d'une application sans être ajustables à vos besoins, contactez Support pour déterminer si des améliorations sont possibles. Pour plus d'informations sur l'ajustement des quotas fixes, consultez [REL01-BP03 Tenir compte des quotas et des contraintes de service fixes dans l'architecture](rel_manage_service_limits_aware_fixed_limits.md).
Il existe un grand nombre de services et d'outils AWS pour vous aider à surveiller et gérer Service Quotas. Les services et les outils doivent être exploités pour vérifier automatiquement ou manuellement les niveaux de quotas.
+ AWS Trusted Advisor propose un contrôle des quotas de service qui affiche votre utilisation et les quotas de différents aspects de certains services. Il peut aider à identifier des services proches du quota.
+ AWS Management Console fournit des méthodes permettant d'afficher les valeurs des quotas de service, de les gérer, de demander de nouveaux quotas, de surveiller le statut des demandes de quotas et d'afficher l'historique des quotas.
+ AWS CLI et CDK offrent des méthodes par programmation pour gérer et surveiller automatiquement les niveaux et l'utilisation des quotas de service.
**Étapes d'implémentation**
Pour Service Quotas :
+ [Vérifier AWS Service Quotas.](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ Pour connaître vos quotas de service existant, déterminez les services (comme IAM Access Analyzer) utilisés. Il existe environ 250 services AWS contrôlés par des quotas de service. Ensuite, déterminez le nom du quota de service spécifique qui pourrait être utilisé au sein de chaque compte et région. Il existe environ 3 000 noms de quotas de service par région.
+ Augmentez cette analyse des quotas avec AWS Config pour trouver toutes les [ressources AWS](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) utilisées dans vos Comptes AWS.
+ Utilisez les [données AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html) pour déterminer vos ressources AWS utilisées. Examinez les ressources créées dans AWS Management Console ou via la commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-resources.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-resources.html) de l'AWS CLI. Vous pouvez également voir les ressources configurées pour être déployées directement dans le modèle.
+ Déterminez tous les services indispensables à votre charge de travail en prenant en compte le code de déploiement.
+ Identifiez les quotas de service pertinents. Utilisez les informations accessibles par programmation par le biais de Trusted Advisor et Service Quotas.
+ Établissez une méthode de surveillance automatisée (consultez [REL01-BP02 Gérer les quotas de service entre les comptes et les régions](rel_manage_service_limits_limits_considered.md) et [REL01-BP04 Surveiller et gérer les quotas](rel_manage_service_limits_monitor_manage_limits.md)) pour vous alerter et vous informer si des quotas de service sont sur le point d’atteindre ou ont atteint leur limite.
+ Établissez une méthode automatisée et par programmation pour vérifier si un quota de service a été modifié dans une région mais pas dans d'autres régions au sein du même compte (consultez [REL01-BP02 Gérer les quotas de service entre les comptes et les régions](rel_manage_service_limits_limits_considered.md) et [REL01-BP04 Surveiller et gérer les quotas](rel_manage_service_limits_monitor_manage_limits.md)).
+ Automatisez l'analyse des journaux et des métriques de l'application pour déterminer s'il existe des erreurs de quotas ou de contraintes de service. Si de telles erreurs existent, envoyez des alertes au système de surveillance.
+ Établissez des procédures d'ingénierie pour calculer le changement de quota nécessaire (consultez [REL01-BP05 Automatiser la gestion des quotas](rel_manage_service_limits_automated_monitor_limits.md)) une fois qu'il a été identifié que des quotas plus importants sont nécessaires pour des services spécifiques.
+ Créez une flux de travail de provisionnement et d'approbation pour demander des modifications des quotas de service. Cela doit inclure un flux de travail d'exception en cas de refus d'une demande ou d'une approbation partielle.
+ Créez une méthode d'ingénierie pour vérifier les quotas de service avant le provisionnement et utilisez de nouveaux services AWS avant le déploiement dans des environnements de production ou chargés (par exemple, un compte de test de charge).
Pour les contraintes de service :
+ Établissez des méthodes de surveillance et des métriques pour alerter quand les ressources sont proches de leurs contraintes. Tirez profit de CloudWatch tel que nécessaire pour la surveillance des métriques ou des journaux.
+ Établissez des seuils d'alertes pour chaque ressource ayant une contrainte importante pour l'application ou le système.
+ Créez des procédures de gestion des flux de travail et de l'infrastructure pour changer le type de ressource si la contrainte est proche. Ce flux de travail doit inclure le test de charge comme une bonne pratique pour vérifier que ce nouveau type est le bon type de ressource avec les nouvelles contraintes.
+ Procédez à la migration des ressources identifiées vers le nouveau type de ressource recommandé avec les procédures et les processus existants.
## Ressources
**Bonnes pratiques associées :**
+ [REL01-BP02 Gérer les quotas de service entre les comptes et les régions](rel_manage_service_limits_limits_considered.md)
+ [REL01-BP03 Tenir compte des quotas et des contraintes de service fixes dans l'architecture](rel_manage_service_limits_aware_fixed_limits.md)
+ [REL01-BP04 Surveiller et gérer les quotas](rel_manage_service_limits_monitor_manage_limits.md)
+ [REL01-BP05 Automatiser la gestion des quotas](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL01-BP06 Garantir un écart suffisant entre les quotas actuels et l'utilisation maximale pour permettre le basculement](rel_manage_service_limits_suff_buffer_limits.md)
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
+ [REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos](rel_testing_resiliency_failure_injection_resiliency.md)
**Documents connexes :**
+ [Pilier Fiabilité du cadre AWS Well-Architected : Disponibilité ](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/availability.html)
+ [AWS Service Quotas (anciennement appelés limites de service)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Vérifications des bonnes pratiques AWS Trusted Advisor (voir la section Limites de service)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS limit monitor on AWS answers](https://aws.amazon.com/answers/account-management/limit-monitor/) (Surveillance de limites AWS sur les réponses AWS)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) (Limites de service EC2)
+ [Qu'est-ce qu'Service Quotas ?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [How to Request quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Comment demander une augmentation du quota)
+ [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) (Points de terminaison et quotas de service)
+ [Guide de l'utilisateur Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Quota Monitor for AWS](https://aws.amazon.com/solutions/implementations/quota-monitor/) (Surveillance de quotas pour AWS)
+ [AWS Fault Isolation Boundaries](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html) (Limites d'isolement des pannes AWS)
+ [Availability with redundancy](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/availability-with-redundancy.html) (Disponibilité avec redondance)
+ [AWS pour les données](https://aws.amazon.com/data/)
+ [Qu'est-ce que l'intégration continue ?](https://aws.amazon.com/devops/continuous-integration/)
+ [Qu'est-ce que la livraison continue ?](https://aws.amazon.com/devops/continuous-delivery/)
+ [Partenaire APN : partenaires facilitant la gestion de la configuration](https://partners.amazonaws.com/search/partners?keyword=Configuration+Management&ref=wellarchitected)
+ [Managing the account lifecycle in account-per-tenant SaaS environments on AWS](https://aws.amazon.com/blogs/mt/managing-the-account-lifecycle-in-account-per-tenant-saas-environments-on-aws/) (Gestion du cycle de vie des comptes dans les environnements SaaS de type compte par locataire sur AWS)
+ [Gestion et surveillance de la limitation des API dans vos charges de travail](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)
+ [View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/) (Examiner les recommandations AWS Trusted Advisor à grande échelle avec AWS Organizations)
+ [Automating Service Limit Increases and Enterprise Support with AWS Control Tower](https://aws.amazon.com/blogs/mt/automating-service-limit-increases-enterprise-support-aws-control-tower/) (Automatisation de l'augmentation des limites de service et Enterprise Support avec AWS Control Tower)
**Vidéos connexes :**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
+ [View and Manage Quotas for AWS Services Using Service Quotas](https://www.youtube.com/watch?v=ZTwfIIf35Wc) (Examiner et gérer les quotas pour les services AWS avec les quotas de service)
+ [AWS IAM Quotas Demo](https://www.youtube.com/watch?v=srJ4jr6M9YQ) (Démonstration sur les quotas IAM d'AWS)
**Outils associés :**
+ [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/)
+ [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge](https://aws.amazon.com/eventbridge/)
+ [Amazon DevOps Guru](https://aws.amazon.com/devops-guru/)
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ [AWS CDK](https://aws.amazon.com/cdk/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Marketplace](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
# REL01-BP02 Gérer les quotas de service entre les comptes et les régions
Si vous utilisez plusieurs comptes ou régions, demandez les quotas appropriés dans tous les environnements où vos charges de travail de production s'exécutent.
**Résultat souhaité :** Les services et les applications ne doivent pas être affectés par un épuisement de quota de service pour les configurations qui englobent les comptes ou les régions ou dont les conceptions de résilience s'appuient sur le basculement de zone, de région ou de compte.
**Anti-modèles courants :**
+ Laisser l'utilisation des ressources dans une région d'isolement se développer sans aucun mécanisme pour maintenir de la capacité dans les autres zones.
+ Définir manuellement tous les quotas de manière indépendante dans les régions d'isolement.
+ Ne pas prendre en considération l'effet des architectures de résilience (par ex., actives ou passives) dans les futurs besoins de quotas alors qu'une dégradation est observée dans la région non principale.
+ Ne pas évaluer les quotas régulièrement et ne pas apporter les changements qui s'imposent dans chaque région et chaque compte où la charge de travail s'exécute.
+ Ne pas tirer parti des [modèles de demande de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/organization-templates.html) pour demander des augmentations dans plusieurs régions et comptes.
+ Ne pas mettre à jour les quotas de service pensant à tort que l'augmentation de quotas a des répercussions sur les coûts comme les demandes de réservation de capacité de calcul.
**Avantages liés au respect de cette bonne pratique :** Possibilité de vérifier que vous êtes en mesure de gérer votre charge actuelle dans les régions ou comptes secondaires au cas où les services régionaux viendraient à être indisponibles. Cela peut contribuer à limiter le nombre d'erreurs ou les niveaux de dégradations observés lors d'une perte de région.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Les quotas de service sont suivis par compte. Sauf indication contraire, chaque quota est propre à une Région AWS. En plus des environnements de production, tâchez également de gérer les quotas dans tous les autres environnements applicables de façon à ne pas entraver les tests et le développement. Pour maintenir un haut niveau de résilience, il convient d'évaluer constamment les quotas de service (que ce soit de façon automatisée ou manuelle).
Compte tenu du plus grand nombre de charges de travail englobant les régions du fait de l'implémentation de conceptions utilisant les approches *Actif/Actif*, *Actif/Passif – Chaud*, *Actif/Passif – Froid* et *Actif/Passif – Veilleuse*, il est essentiel de comprendre tous les niveaux de quota de région et de compte. Les modèles de trafic passés ne permettent pas toujours de déterminer correctement si le quota de service est bien défini.
Tout aussi important, la longueur limite des noms de quota de service n'est pas toujours identique d'une région à l'autre. Ainsi, cette valeur peut être égale à cinq dans une région et à dix dans une autre. La gestion de ces quotas doit englober tous les services, comptes et régions identiques pour offrir une résilience cohérente dans des conditions de charge.
Rapprochez toutes les différences de quota de service entre les différentes régions (région active ou région passive) et créez des processus permettant de rapprocher constamment ces différences. Les plans de test de basculements de régions passives sont rarement mis à l'échelle pour atteindre une capacité active de pointe, ce qui signifie que les exercices de simulation (« game day ») et les exercices de table (« table top ») ne permettent pas nécessairement d'identifier les différences dans les quotas de service entre les régions et donc de maintenir les limites adéquates.
La *dérive de quota de service*, condition où les limites de quota de service pour un quota nommé spécifique changent dans une région mais pas dans toutes, est très importante pour le suivi et l'évaluation. Il doit être envisagé de changer le quota dans les régions qui présentent du trafic ou qui pourraient potentiellement en véhiculer.
+ Sélectionnez les comptes et les régions appropriés en fonction de vos exigences de service, de latence, de réglementation et de reprise après sinistre (DR).
+ Identifiez les quotas de services dans l'ensemble des comptes, régions et zones de disponibilité appropriés. Les limites s'appliquent au compte et à la région. Ces valeurs doivent être comparées pour repérer les différences.
**Étapes d'implémentation**
+ Examinez les valeurs Service Quotas susceptibles d'avoir transgressé le niveau d'utilisation à risque. AWS Trusted Advisor propose des alertes pour les violations de seuil de 80 % et 90 %.
+ Examinez les valeurs de quotas de service dans les régions passives (dans une conception de type Actif/Passif). Vérifiez que la charge s'exécutera correctement dans les régions secondaires en cas de défaillance dans la région principale.
+ Automatisez l'évaluation pour identifier une éventuelle dérive de quota de service entre des régions d'un même compte et agissez en conséquence pour changer les limites.
+ Si la structure des unités d'organisation (UO) est prise en charge, les modèles de quota de service doivent être mis à jour en fonction des changements apportés aux quotas qui doivent s'appliquer à plusieurs régions et comptes.
+ Créez un modèle et associez les régions au changement de quota.
+ Examinez tous les modèles de quota de service existants pour y apporter les changements nécessaires (région, limites et comptes).
## Ressources
**Bonnes pratiques associées :**
+ [REL01-BP01 Connaissance des quotas de service et des contraintes](rel_manage_service_limits_aware_quotas_and_constraints.md)
+ [REL01-BP03 Tenir compte des quotas et des contraintes de service fixes dans l'architecture](rel_manage_service_limits_aware_fixed_limits.md)
+ [REL01-BP04 Surveiller et gérer les quotas](rel_manage_service_limits_monitor_manage_limits.md)
+ [REL01-BP05 Automatiser la gestion des quotas](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL01-BP06 Garantir un écart suffisant entre les quotas actuels et l'utilisation maximale pour permettre le basculement](rel_manage_service_limits_suff_buffer_limits.md)
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
+ [REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos](rel_testing_resiliency_failure_injection_resiliency.md)
**Documents connexes :**
+ [Pilier Fiabilité du cadre AWS Well-Architected : Disponibilité ](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/availability.html)
+ [AWS Service Quotas (anciennement appelés limites de service)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Vérifications des bonnes pratiques AWS Trusted Advisor (voir la section Limites de service)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS limit monitor on AWS answers](https://aws.amazon.com/answers/account-management/limit-monitor/) (Surveillance de limites AWS sur les réponses AWS)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) (Limites de service EC2)
+ [Qu'est-ce qu'Service Quotas ?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [How to Request quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Comment demander une augmentation du quota)
+ [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) (Points de terminaison et quotas de service)
+ [Guide de l'utilisateur Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Quota Monitor for AWS](https://aws.amazon.com/solutions/implementations/quota-monitor/) (Surveillance de quotas pour AWS)
+ [AWS Fault Isolation Boundaries](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html) (Limites d'isolement des pannes AWS)
+ [Availability with redundancy](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/availability-with-redundancy.html) (Disponibilité avec redondance)
+ [AWS pour les données](https://aws.amazon.com/data/)
+ [Qu'est-ce que l'intégration continue ?](https://aws.amazon.com/devops/continuous-integration/)
+ [Qu'est-ce que la livraison continue ?](https://aws.amazon.com/devops/continuous-delivery/)
+ [Partenaire APN : partenaires facilitant la gestion de la configuration](https://partners.amazonaws.com/search/partners?keyword=Configuration+Management&ref=wellarchitected)
+ [Managing the account lifecycle in account-per-tenant SaaS environments on AWS](https://aws.amazon.com/blogs/mt/managing-the-account-lifecycle-in-account-per-tenant-saas-environments-on-aws/) (Gestion du cycle de vie des comptes dans les environnements SaaS de type compte par locataire sur AWS)
+ [Gestion et surveillance de la limitation des API dans vos charges de travail](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)
+ [View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/) (Examiner les recommandations AWS Trusted Advisor à grande échelle avec AWS Organizations)
+ [Automating Service Limit Increases and Enterprise Support with AWS Control Tower](https://aws.amazon.com/blogs/mt/automating-service-limit-increases-enterprise-support-aws-control-tower/) (Automatisation de l'augmentation des limites de service et Enterprise Support avec AWS Control Tower)
**Vidéos connexes :**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
+ [View and Manage Quotas for AWS Services Using Service Quotas](https://www.youtube.com/watch?v=ZTwfIIf35Wc) (Examiner et gérer les quotas pour les services AWS avec les quotas de service)
+ [AWS IAM Quotas Demo](https://www.youtube.com/watch?v=srJ4jr6M9YQ) (Démonstration sur les quotas IAM d'AWS)
**Services associés :**
+ [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/)
+ [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge](https://aws.amazon.com/eventbridge/)
+ [Amazon DevOps Guru](https://aws.amazon.com/devops-guru/)
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ [AWS CDK](https://aws.amazon.com/cdk/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Marketplace](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
# REL01-BP03 Tenir compte des quotas et des contraintes de service fixes dans l'architecture
Ayez conscience des quotas de service non modifiables, des contraintes de service et des limites de ressources physiques. Concevez des architectures pour les applications et les services afin d'éviter que ces limites n'aient un impact sur la fiabilité.
Par exemple, la bande passante du réseau, la taille de la charge utile des appels de fonctions sans serveur, le taux d'accélération d'une passerelle API et les connexions simultanées d'utilisateurs à une base de données.
**Résultat souhaité :** l'application ou le service fonctionne comme prévu dans des conditions de trafic normal et élevé. Ils ont été conçus pour fonctionner dans les limites des contraintes fixes ou des quotas de service de cette ressource.
**Anti-modèles courants :**
+ Choix d'une conception qui utilise une ressource d'un service, sans savoir qu'il existe des contraintes de conception qui entraîneront l'échec de cette conception au fil des mises à l'échelle.
+ Effectuer une évaluation comparative qui n'est pas réaliste et qui atteindra les quotas fixés par le service pendant les tests. Par exemple, l'exécution de tests à une limite de débordement mais pendant une durée prolongée.
+ Le choix d'une conception qui ne peut pas évoluer ou être modifiée si des quotas de service fixes doivent être dépassés. Par exemple, une taille de charge utile SQS de 256 KB.
+ L'observabilité n'a pas été conçue et mise en œuvre pour surveiller et alerter sur les seuils des quotas de service qui pourraient être compromis lors d'événements à fort trafic
**Avantages liés au respect de cette bonne pratique :** vérifier que l'application fonctionnera sous tous les niveaux de charge des services projetés sans perturbation ni dégradation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Contrairement aux quotas de services souples ou aux ressources qui peuvent être remplacées par des unités de plus grande capacité, les quotas fixes des services AWS ne peuvent pas être modifiés. Cela signifie que tous ces types de services AWS doivent être évalués en fonction des limites potentielles de capacité matérielle lorsqu'ils sont utilisés dans la conception d'une application.
Les limites strictes sont affichées dans la console Service Quotas. Si les colonnes affichent la valeur `ADJUSTABLE = No`, alors le service comporte une limite stricte. Des limites strictes sont également indiquées dans les pages de configuration de certaines ressources. Par exemple, Lambda possède des limites strictes spécifiques qui ne peuvent pas être ajustées.
À titre d'exemple, lors de la conception d'une application python destinée à être exécutée dans une fonction Lambda, l'application doit être évaluée pour déterminer si Lambda risque de s'exécuter pendant plus de 15 minutes. Si le code peut fonctionner au-delà de cette limite de quota de service, il faut envisager d'autres technologies ou conceptions. Si cette limite est atteinte après le déploiement de la production, l'application subira une dégradation et des perturbations jusqu'à ce qu'il soit possible d'y remédier. Contrairement aux quotas souples, il n'existe aucune méthode permettant de passer à ces limites, même en cas d'événements d'urgence de gravité 1.
Une fois que l'application a été déployée dans un environnement de test, il convient d'utiliser des stratégies pour déterminer si des limites strictes peuvent être atteintes. Les tests de résistance, les tests de charge et les tests de chaos doivent faire partie du plan de test d'introduction.
**Étapes d'implémentation**
+ Examinez la liste complète des services AWS qui pourraient être utilisés dans la phase de conception de l'application.
+ Examinez les limites de quota logiciel et de quota matériel pour tous ces services. Toutes les limites ne sont pas affichées dans la console Service Quotas. Certains services [détaillent ces limites à d'autres endroits](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html).
+ Lors de la conception de votre application, examinez les facteurs opérationnels et technologiques de votre charge de travail, tels que les résultats opérationnels, le cas d'utilisation, les systèmes dépendants, les objectifs de disponibilité et les objets de reprise après sinistre. Laissez vos facteurs commerciaux et technologiques guider le processus d'identification du système distribué qui convient à votre charge de travail.
+ Analysez la charge de service dans les régions et les comptes. De nombreuses limites strictes se basent sur la région pour les services. Cependant, certaines limites sont basées sur le compte.
+ Analysez les architectures de résilience pour l'utilisation des ressources lors d'une panne de zone et d'une panne régionale. Dans la progression des conceptions multirégionales utilisant des approches actives/actives, actives/passives – à chaud, actives/passives – à froid, et actives/passives – environnement de veille, ces cas de panne entraîneront une utilisation plus importante. Cela crée un cas d'utilisation potentiel pour atteindre des limites strictes.
## Ressources
**Bonnes pratiques associées :**
+ [REL01-BP01 Connaissance des quotas de service et des contraintes](rel_manage_service_limits_aware_quotas_and_constraints.md)
+ [REL01-BP02 Gérer les quotas de service entre les comptes et les régions](rel_manage_service_limits_limits_considered.md)
+ [REL01-BP04 Surveiller et gérer les quotas](rel_manage_service_limits_monitor_manage_limits.md)
+ [REL01-BP05 Automatiser la gestion des quotas](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL01-BP06 Garantir un écart suffisant entre les quotas actuels et l'utilisation maximale pour permettre le basculement](rel_manage_service_limits_suff_buffer_limits.md)
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
+ [REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos](rel_testing_resiliency_failure_injection_resiliency.md)
**Documents connexes :**
+ [Pilier Fiabilité du cadre AWS Well-Architected : Disponibilité ](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/availability.html)
+ [AWS Service Quotas (anciennement appelés limites de service)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Vérifications des bonnes pratiques AWS Trusted Advisor (voir la section Limites de service)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS limit monitor on AWS answers](https://aws.amazon.com/answers/account-management/limit-monitor/) (Surveillance de limites AWS sur les réponses AWS)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) (Limites de service EC2)
+ [Qu'est-ce qu'Service Quotas ?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [How to Request quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Comment demander une augmentation du quota)
+ [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) (Points de terminaison et quotas de service)
+ [Guide de l'utilisateur Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Quota Monitor for AWS](https://aws.amazon.com/solutions/implementations/quota-monitor/) (Surveillance de quotas pour AWS)
+ [AWS Fault Isolation Boundaries](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html) (Limites d'isolement des pannes AWS)
+ [Availability with redundancy](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/availability-with-redundancy.html) (Disponibilité avec redondance)
+ [AWS pour les données](https://aws.amazon.com/data/)
+ [Qu'est-ce que l'intégration continue ?](https://aws.amazon.com/devops/continuous-integration/)
+ [Qu'est-ce que la livraison continue ?](https://aws.amazon.com/devops/continuous-delivery/)
+ [Partenaire APN : partenaires facilitant la gestion de la configuration](https://partners.amazonaws.com/search/partners?keyword=Configuration+Management&ref=wellarchitected)
+ [Managing the account lifecycle in account-per-tenant SaaS environments on AWS](https://aws.amazon.com/blogs/mt/managing-the-account-lifecycle-in-account-per-tenant-saas-environments-on-aws/) (Gestion du cycle de vie des comptes dans les environnements SaaS de type compte par locataire sur AWS)
+ [Gestion et surveillance de la limitation des API dans vos charges de travail](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)
+ [View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/) (Examiner les recommandations AWS Trusted Advisor à grande échelle avec AWS Organizations)
+ [Automating Service Limit Increases and Enterprise Support with AWS Control Tower](https://aws.amazon.com/blogs/mt/automating-service-limit-increases-enterprise-support-aws-control-tower/) (Automatisation de l'augmentation des limites de service et Enterprise Support avec AWS Control Tower)
+ [ Actions, ressources et clés de condition pour les Service Quotas ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
**Vidéos connexes :**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
+ [View and Manage Quotas for AWS Services Using Service Quotas](https://www.youtube.com/watch?v=ZTwfIIf35Wc) (Examiner et gérer les quotas pour les services AWS avec les quotas de service)
+ [AWS IAM Quotas Demo](https://www.youtube.com/watch?v=srJ4jr6M9YQ) (Démonstration sur les quotas IAM d'AWS)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ](https://www.youtube.com/watch?v=O8xLxNje30M)
**Outils associés :**
+ [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge](https://aws.amazon.com/eventbridge/)
+ [Amazon DevOps Guru](https://aws.amazon.com/devops-guru/)
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ [AWS CDK](https://aws.amazon.com/cdk/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Marketplace](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
# REL01-BP04 Surveiller et gérer les quotas
Évaluez votre utilisation potentielle et augmentez vos quotas de manière appropriée afin d'assurer une croissance planifiée de l'utilisation.
**Résultat souhaité :** des systèmes actifs et automatisés de gestion et de suivi ont été déployés. Ces solutions opérationnelles permettent de s'assurer que les seuils d'utilisation des quotas sont sur le point d'être atteints. Les changements de quotas demandés permettraient de remédier à ces problèmes de manière proactive.
**Anti-modèles courants :**
+ Ne pas configurer la surveillance pour vérifier les seuils de quota de service
+ Ne pas configurer la surveillance pour les limites strictes, même si ces valeurs ne peuvent pas être modifiées.
+ En supposant que le délai nécessaire pour demander et obtenir un changement de quota souple soit immédiat ou de courte durée.
+ Configuration d'alarmes d'approche des quotas de service, mais sans processus sur la façon de répondre à une alerte.
+ Configuration d'alarmes uniquement pour les services pris en charge par les AWS Service Quotas, sans surveiller les autres services AWS.
+ Ne pas prendre en compte la gestion des quotas pour les conceptions de résilience à régions multiples, comme les approches actives/actives, actives/passives – à chaud, actives/passives – à froid, et actives/passives – environnement de veille.
+ Ne pas évaluer les différences de quotas entre les régions.
+ Ne pas évaluer les besoins de chaque région pour une demande spécifique d'augmentation de quota.
+ Ne pas utiliser [les modèles pour la gestion des quotas multirégionaux](https://docs.aws.amazon.com/servicequotas/latest/userguide/organization-templates.html).
**Avantages liés au respect de cette bonne pratique :** le suivi automatique des Service Quotas AWS et la surveillance de votre utilisation par rapport à ces quotas vous permettront de voir quand vous approchez de la limite du quota. Vous pouvez également utiliser ces données de surveillance pour limiter les dégradations dues à l'épuisement des quotas.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Pour les services pris en charge, vous pouvez surveiller vos quotas en configurant différents services qui peuvent évaluer et ensuite envoyer des alertes ou des alarmes. Cela peut aider à surveiller l'utilisation et vous alerter sur l'approche des quotas. Ces alarmes peuvent être déclenchées à partir de AWS Config, de fonctions Lambda, de Amazon CloudWatch, ou de AWS Trusted Advisor. Vous pouvez également utiliser des filtres de métriques sur les journaux CloudWatch pour rechercher et extraire des modèles dans les journaux afin de déterminer si l'utilisation approche des seuils de quota.
**Étapes d'implémentation**
Pour la surveillance :
+ Enregistrez la consommation des ressources actuelles (par exemple, les compartiments, ou les instances). Utilisez les opérations de l'API de service, telles que l'API Amazon EC2, `DescribeInstances` pour recueillir la consommation actuelle des ressources.
+ Saisissez vos quotas actuels qui sont essentiels et applicables aux services utilisés :
+ AWS Service Quotas
+ AWS Trusted Advisor
+ documentation AWS
+ Pages spécifiques aux services AWS
+ AWS Command Line Interface (AWS CLI)
+ AWS Cloud Development Kit (AWS CDK)
+ Utilisez AWS Service Quotas, un service AWS qui vous aide à gérer vos quotas pour plus de 250 services AWS à partir d'un seul emplacement.
+ Utilisez les limites de service Trusted Advisor pour surveiller vos limites de service actuelles à différents seuils.
+ Utilisez l'historique des quotas de service (console ou AWS CLI) pour vérifier les augmentations régionales.
+ Comparez les changements de quotas de service dans chaque région et chaque compte pour créer une équivalence, si nécessaire.
Pour la gestion :
+ Automatisé : configurez une règle AWS Config personnalisée pour analyser les quotas de service dans les régions et comparer les différences.
+ Automatisé : configurez une fonction programmée Lambda pour analyser les quotas de service dans les régions et comparer les différences.
+ Manuel : analysez les quotas de services par le biais de la AWS CLI, d'API ou de la console AWS pour analyser les quotas de services dans les régions et comparer les différences. Signalez les différences.
+ Si des différences de quotas sont identifiées entre les régions, demandez un changement de quota, si nécessaire.
+ Passez en revue le résultat de toutes les demandes.
## Ressources
**Bonnes pratiques associées :**
+ [REL01-BP01 Connaissance des quotas de service et des contraintes](rel_manage_service_limits_aware_quotas_and_constraints.md)
+ [REL01-BP02 Gérer les quotas de service entre les comptes et les régions](rel_manage_service_limits_limits_considered.md)
+ [REL01-BP03 Tenir compte des quotas et des contraintes de service fixes dans l'architecture](rel_manage_service_limits_aware_fixed_limits.md)
+ [REL01-BP05 Automatiser la gestion des quotas](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL01-BP06 Garantir un écart suffisant entre les quotas actuels et l'utilisation maximale pour permettre le basculement](rel_manage_service_limits_suff_buffer_limits.md)
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
+ [REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos](rel_testing_resiliency_failure_injection_resiliency.md)
**Documents connexes :**
+ [Pilier Fiabilité du cadre AWS Well-Architected : Disponibilité ](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/availability.html)
+ [AWS Service Quotas (anciennement appelés limites de service)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Vérifications des bonnes pratiques AWS Trusted Advisor (voir la section Limites de service)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS limit monitor on AWS answers](https://aws.amazon.com/answers/account-management/limit-monitor/) (Surveillance de limites AWS sur les réponses AWS)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) (Limites de service EC2)
+ [Qu'est-ce qu'Service Quotas ?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [How to Request quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Comment demander une augmentation du quota)
+ [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) (Points de terminaison et quotas de service)
+ [Guide de l'utilisateur Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Quota Monitor for AWS](https://aws.amazon.com/solutions/implementations/quota-monitor/) (Surveillance de quotas pour AWS)
+ [AWS Fault Isolation Boundaries](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html) (Limites d'isolement des pannes AWS)
+ [Availability with redundancy](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/availability-with-redundancy.html) (Disponibilité avec redondance)
+ [AWS pour les données](https://aws.amazon.com/data/)
+ [Qu'est-ce que l'intégration continue ?](https://aws.amazon.com/devops/continuous-integration/)
+ [Qu'est-ce que la livraison continue ?](https://aws.amazon.com/devops/continuous-delivery/)
+ [Partenaire APN : partenaires facilitant la gestion de la configuration](https://partners.amazonaws.com/search/partners?keyword=Configuration+Management&ref=wellarchitected)
+ [Managing the account lifecycle in account-per-tenant SaaS environments on AWS](https://aws.amazon.com/blogs/mt/managing-the-account-lifecycle-in-account-per-tenant-saas-environments-on-aws/) (Gestion du cycle de vie des comptes dans les environnements SaaS de type compte par locataire sur AWS)
+ [Gestion et surveillance de la limitation des API dans vos charges de travail](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)
+ [View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/) (Examiner les recommandations AWS Trusted Advisor à grande échelle avec AWS Organizations)
+ [Automating Service Limit Increases and Enterprise Support with AWS Control Tower](https://aws.amazon.com/blogs/mt/automating-service-limit-increases-enterprise-support-aws-control-tower/) (Automatisation de l'augmentation des limites de service et Enterprise Support avec AWS Control Tower)
+ [ Actions, ressources et clés de condition pour les Service Quotas ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
**Vidéos connexes :**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
+ [View and Manage Quotas for AWS Services Using Service Quotas](https://www.youtube.com/watch?v=ZTwfIIf35Wc) (Examiner et gérer les quotas pour les services AWS avec les quotas de service)
+ [AWS IAM Quotas Demo](https://www.youtube.com/watch?v=srJ4jr6M9YQ) (Démonstration sur les quotas IAM d'AWS)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ](https://www.youtube.com/watch?v=O8xLxNje30M)
**Outils associés :**
+ [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge](https://aws.amazon.com/eventbridge/)
+ [Amazon DevOps Guru](https://aws.amazon.com/devops-guru/)
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ [AWS CDK](https://aws.amazon.com/cdk/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Marketplace](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
# REL01-BP05 Automatiser la gestion des quotas
Mettez en place des outils pour être informé à lorsque l'atteinte des seuils est proche. Vous pouvez automatiser les demandes d'augmentation de quota à l'aide des API AWS Service Quotas.
Si vous intégrez votre base de données de gestion de configuration (CMDB) ou votre système de tickets avec Service Quotas, vous pouvez automatiser le suivi des requêtes d'augmentation de quotas et des quotas actuels. En plus du kit SDK AWS, Service Quotas propose une automatisation avec AWS Command Line Interface (AWS CLI).
**Anti-modèles courants :**
+ Suivi des quotas et de l'utilisation dans les feuilles de calcul.
+ Exécution de rapports sur l'utilisation quotidienne, hebdomadaire ou mensuelle, puis comparaison de l'utilisation aux quotas.
**Avantages liés au respect de cette bonne pratique :** Le suivi automatisé des quotas de service AWS et la surveillance de votre utilisation par rapport à ce quota vous permettent de voir quand vous vous rapprochez d'un quota. Vous pouvez configurer l'automatisation pour vous aider à demander une augmentation de quota si nécessaire. Vous pouvez envisager de réduire certains quotas lorsque votre utilisation évolue dans le sens inverse pour profiter des avantages d'une réduction des risques (en cas d'informations d'identification corrompues) et des économies de coûts.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Configurer la surveillance automatisée : mettez en place des outils à l'aide de kits SDK pour être informé lorsque des seuils sont sur le point d'être atteints.
+ Utilisez les Service Quotas et complétez le service avec une solution automatisée de surveillance des quotas, tels qu'AWS Limit Monitor ou une offre sur AWS Marketplace.
+ [Qu'est-ce que Service Quotas ?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Surveillance des quotas sur AWS - Solution AWS](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ Configurez des réponses déclenchées en fonction des seuils de quota, à l'aide des API Amazon SNS et AWS Service Quotas .
+ Testez l'automatisation.
+ Configurez les seuils de limites.
+ Intégrez les événements de modification provenant d'AWS Config, des pipelines de déploiement, d'Amazon EventBridge ou de tiers.
+ Définissez des seuils de limites artificiellement bas pour tester les réponses.
+ Configurez des déclencheurs pour prendre les mesures appropriées en cas de notifications et contactez AWS Support, le cas échéant
+ Déclenchez manuellement les événements de modifications.
+ Organisez un jeu de rôle pour tester le processus d'augmentation des quotas.
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires facilitant la gestion de la configuration](https://aws.amazon.com/partners/find/results/?keyword=Configuration+Management)
+ [AWS Marketplace : produits CMDB facilitant le suivi des limites](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
+ [AWS Service Quotas (anciennement appelés Service Limits)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Vérifications des bonnes pratiques AWS Trusted Advisor (voir la section Service Limits)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [Surveillance des quotas sur AWS - Solution AWS](https://aws.amazon.com/answers/account-management/limit-monitor/)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
+ [Qu'est-ce que Service Quotas ?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
**Vidéos connexes :**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
# REL01-BP06 Garantir un écart suffisant entre les quotas actuels et l'utilisation maximale pour permettre le basculement
En cas de panne ou d'inaccessibilité d'une ressource, celle-ci peut être comptabilisée dans un quota jusqu'à ce qu'elle soit correctement terminée. Vérifiez que vos quotas couvrent le chevauchement des ressources défaillantes ou inaccessibles et de leurs remplacements. Vous devez prendre en compte les cas d'utilisation tels que les pannes de réseau, la panne de la zone de disponibilité ou les pannes régionales lorsque vous calculez cet écart.
**Résultat souhaité :** les défaillances, petites ou grandes, des ressources ou de leur accessibilité peuvent être gérées par les seuils de service actuels. Les pannes de zone, les pannes de réseau, voire les pannes régionales ont été prises en compte dans la planification des ressources.
**Anti-modèles courants :**
+ Définition de quotas de service en fonction des quotas actuels sans tenir compte des scénarios de basculement.
+ Ne pas tenir compte des principes de stabilité statique lors du calcul du quota de pointe pour un service.
+ Ne pas tenir compte du potentiel des ressources inaccessibles dans le calcul du quota total nécessaire pour chaque région.
+ Ne pas prendre en compte les limites d'isolement des pannes de service AWS pour certains services et leurs potentiels schémas d'utilisation anormaux.
**Avantages liés au respect de cette bonne pratique :** lorsqu'une interruption de service a un impact sur la disponibilité des applications, le cloud vous permet de mettre en œuvre des stratégies pour atténuer ou récupérer ces événements. Ces stratégies incluent souvent la création de ressources supplémentaires pour remplacer celles qui ont échoué ou celles qui sont inaccessibles. Votre stratégie de quotas devrait tenir compte de ces conditions de basculement et ne pas ajouter de dégradations supplémentaires dues à l'épuisement des limites de service.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Lors de l'évaluation des limites de quotas, il faut tenir compte des cas de basculement qui pourraient survenir en raison d'une certaine dégradation. Les types de basculement suivants doivent être pris en compte :
+ Un VPC perturbé ou inaccessible.
+ Un sous-réseau inaccessible.
+ Une zone de disponibilité suffisamment dégradée pour avoir un impact sur l'accessibilité de nombreuses ressources.
+ Divers itinéraires de mise en réseau ou points d'entrée et de sortie sont bloqués ou modifiés.
+ Une région a été suffisamment dégradée pour avoir un impact sur l'accessibilité de nombreuses ressources.
+ Il existe plusieurs ressources, mais toutes ne sont pas affectées par une panne dans une région ou une zone de disponibilité.
Des pannes comme celles énumérées ci-dessus peuvent être le déclencheur d'un événement de basculement. La décision de basculement est unique selon la situation et le client, car l'impact sur l'entreprise peut varier considérablement. Toutefois, lorsque l'on décide, sur le plan opérationnel, de basculer une application ou des services, la planification de la capacité des ressources dans l'emplacement de basculement et les quotas correspondants doivent être définis avant l'événement.
Passez en revue les quotas de service pour chaque service en tenant compte des pics supérieurs à la normale qui pourraient se produire. Ces pics peuvent être liés à des ressources qui ne peuvent être atteintes en raison de la mise en réseau ou des autorisations, mais qui sont toujours actives. Les ressources actives non résiliées seront toujours comptabilisées dans la limite du quota de service.
**Étapes d'implémentation**
+ Vérifiez que l'écart entre votre quota de service et votre utilisation maximale est suffisant pour faire face à un basculement ou à une perte d'accessibilité.
+ Identifiez les quotas de service en tenant compte de vos modèles de déploiement, de vos exigences en matière de disponibilité et de la croissance de votre consommation.
+ Demandez des augmentations de quota si nécessaire Prévoyez le temps nécessaire pour l'approbation des demandes d'augmentation des quotas.
+ Déterminez vos exigences de fiabilité (également connues sous le nom de « nombre de neuf »).
+ Définissez vos scénarios de défaillance (par exemple, perte d'un composant, d'une zone de disponibilité ou d'une région).
+ Définissez votre méthodologie de déploiement (par exemple, canary, bleu/vert, rouge/noir ou par propagation).
+ Ajoutez une mémoire tampon appropriée (par exemple, 15 %) à la limite actuelle.
+ Ajoutez les calculs de stabilité statique (zonale et régionale), le cas échéant.
+ Anticipez la croissance de la consommation (par exemple, surveillance de vos tendances de consommation).
+ Songez à l'impact de la stabilité statique pour vos charges de travail les plus critiques. Évaluez les ressources conformes à un système statiquement stable dans toutes les régions et zones de disponibilité.
+ Envisagez l'utilisation de réservations de capacité à la demande pour programmer la capacité avant tout basculement. Cette stratégie peut s'avérer utile lors des calendriers d'activité les plus critiques afin de réduire les risques potentiels liés à l'obtention de la bonne quantité et du bon type de ressources lors du basculement.
## Ressources
**Bonnes pratiques associées :**
+ [REL01-BP01 Connaissance des quotas de service et des contraintes](rel_manage_service_limits_aware_quotas_and_constraints.md)
+ [REL01-BP02 Gérer les quotas de service entre les comptes et les régions](rel_manage_service_limits_limits_considered.md)
+ [REL01-BP03 Tenir compte des quotas et des contraintes de service fixes dans l'architecture](rel_manage_service_limits_aware_fixed_limits.md)
+ [REL01-BP04 Surveiller et gérer les quotas](rel_manage_service_limits_monitor_manage_limits.md)
+ [REL01-BP05 Automatiser la gestion des quotas](rel_manage_service_limits_automated_monitor_limits.md)
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
+ [REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos](rel_testing_resiliency_failure_injection_resiliency.md)
**Documents connexes :**
+ [Pilier Fiabilité du cadre AWS Well-Architected : Disponibilité ](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/availability.html)
+ [AWS Service Quotas (anciennement appelés limites de service)](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)
+ [Vérifications des bonnes pratiques AWS Trusted Advisor (voir la section Limites de service)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/best-practice-checklist/)
+ [AWS limit monitor on AWS answers](https://aws.amazon.com/answers/account-management/limit-monitor/) (Surveillance de limites AWS sur les réponses AWS)
+ [Amazon EC2 Service Limits](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) (Limites de service EC2)
+ [Qu'est-ce qu'Service Quotas ?](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [How to Request quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Comment demander une augmentation du quota)
+ [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) (Points de terminaison et quotas de service)
+ [Guide de l'utilisateur Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html)
+ [Quota Monitor for AWS](https://aws.amazon.com/solutions/implementations/quota-monitor/) (Surveillance de quotas pour AWS)
+ [AWS Fault Isolation Boundaries](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html) (Limites d'isolement des pannes AWS)
+ [Availability with redundancy](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/availability-with-redundancy.html) (Disponibilité avec redondance)
+ [AWS pour les données](https://aws.amazon.com/data/)
+ [Qu'est-ce que l'intégration continue ?](https://aws.amazon.com/devops/continuous-integration/)
+ [Qu'est-ce que la livraison continue ?](https://aws.amazon.com/devops/continuous-delivery/)
+ [Partenaire APN : partenaires facilitant la gestion de la configuration](https://partners.amazonaws.com/search/partners?keyword=Configuration+Management&ref=wellarchitected)
+ [Managing the account lifecycle in account-per-tenant SaaS environments on AWS](https://aws.amazon.com/blogs/mt/managing-the-account-lifecycle-in-account-per-tenant-saas-environments-on-aws/) (Gestion du cycle de vie des comptes dans les environnements SaaS de type compte par locataire sur AWS)
+ [Gestion et surveillance de la limitation des API dans vos charges de travail](https://aws.amazon.com/blogs/mt/managing-monitoring-api-throttling-in-workloads/)
+ [View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/) (Examiner les recommandations AWS Trusted Advisor à grande échelle avec AWS Organizations)
+ [Automating Service Limit Increases and Enterprise Support with AWS Control Tower](https://aws.amazon.com/blogs/mt/automating-service-limit-increases-enterprise-support-aws-control-tower/) (Automatisation de l'augmentation des limites de service et Enterprise Support avec AWS Control Tower)
+ [ Actions, ressources et clés de condition pour les Service Quotas ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
**Vidéos connexes :**
+ [AWS Live re:Inforce 2019 - Service Quotas](https://youtu.be/O9R5dWgtrVo)
+ [View and Manage Quotas for AWS Services Using Service Quotas](https://www.youtube.com/watch?v=ZTwfIIf35Wc) (Examiner et gérer les quotas pour les services AWS avec les quotas de service)
+ [AWS IAM Quotas Demo](https://www.youtube.com/watch?v=srJ4jr6M9YQ) (Démonstration sur les quotas IAM d'AWS)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ](https://www.youtube.com/watch?v=O8xLxNje30M)
**Outils associés :**
+ [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge](https://aws.amazon.com/eventbridge/)
+ [Amazon DevOps Guru](https://aws.amazon.com/devops-guru/)
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ [AWS CDK](https://aws.amazon.com/cdk/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Marketplace](https://aws.amazon.com/marketplace/search/results?searchTerms=CMDB)
# REL 2 Comment planifier la topologie de votre réseau ?
Les charges de travail existent souvent dans plusieurs environnements. Il s'agit notamment de plusieurs environnements cloud (accessibles publiquement et privés) et éventuellement de votre infrastructure de centre de données existante. Les plans doivent inclure des considérations réseau telles que la connectivité intrasystème et intersystème, la gestion des adresses IP publiques, la gestion des adresses IP privées et la résolution des noms de domaine.
**Topics**
+ [REL02-BP01 Utiliser une connectivité réseau hautement disponible pour vos points de terminaison publics de charge de travail](rel_planning_network_topology_ha_conn_users.md)
+ [REL02-BP02 Mettre en service une connectivité redondante entre les réseaux privés dans le cloud et les environnements sur site](rel_planning_network_topology_ha_conn_private_networks.md)
+ [REL02-BP03 S'assurer que l'allocation des sous-réseaux IP tient compte de l'expansion et de la disponibilité](rel_planning_network_topology_ip_subnet_allocation.md)
+ [REL02-BP04 Préférer les topologies en étoile au maillage « many-to-many »](rel_planning_network_topology_prefer_hub_and_spoke.md)
+ [REL02-BP05 Appliquer des plages d'adresses IP privées sans chevauchement dans tous les espaces d'adressage privés où ils sont connectés](rel_planning_network_topology_non_overlap_ip.md)
# REL02-BP01 Utiliser une connectivité réseau hautement disponible pour vos points de terminaison publics de charge de travail
La mise en place d'une connectivité réseau hautement disponible aux points de terminaison publics de vos charges de travail peut vous aider à réduire les temps d'arrêt dus à la perte de connectivité et à améliorer la disponibilité et le SLA de votre charge de travail. Pour ce faire, utilisez le DNS hautement disponible, les réseaux de diffusion de contenu (CDN), des passerelles API, l'équilibrage de charge ou les proxys inverses.
**Résultat souhaité :** il est essentiel de planifier, de construire et de rendre opérationnelle une connectivité réseau hautement disponible pour vos points de terminaison publics. Si votre charge de travail devient inaccessible en raison d'une perte de connectivité, même si elle est en cours d'exécution et disponible, vos clients verront votre système comme étant en panne. En combinant une connectivité réseau hautement disponible et résiliente pour les points de terminaison publics de votre charge de travail, ainsi qu'une architecture résiliente pour votre charge de travail elle-même, vous pouvez offrir la meilleure disponibilité et le meilleur niveau de service possible à vos clients.
Les services AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway, les URL de fonction AWS Lambda, les API AWS AppSync et Elastic Load Balancing (ELB) fournissent tous des points de terminaison publics hautement disponibles. Amazon Route 53 fournit un service DNS hautement disponible pour la résolution des noms de domaine afin de vérifier que les adresses de vos points de terminaison publics peuvent être résolues.
Vous pouvez également évaluer des appliances logicielles AWS Marketplace pour l'équilibrage de charge et les proxys.
**Anti-modèles courants :**
+ Concevoir une charge de travail hautement disponible sans planifier le DNS et la connectivité réseau pour la haute disponibilité.
+ Utilisation d'adresses Internet publiques sur des instances ou des conteneurs individuels et gestion de la connectivité à ces adresses avec le DNS.
+ Utilisation des adresses IP au lieu des noms de domaine pour localiser les services.
+ Ne pas tester des scénarios où la connectivité à vos points de terminaison publics est perdue.
+ Ne pas analyser les besoins en débit du réseau et les modèles de distribution.
+ Ne pas tester et planifier des scénarios dans lesquels la connectivité du réseau Internet à vos points de terminaison publics de votre charge de travail pourrait être interrompue.
+ Fourniture du contenu (comme les pages web, les ressources statiques ou les fichiers multimédias) à une grande zone géographique sans utilisation d'un réseau de diffusion de contenu.
+ Ne pas se préparer aux attaques par déni de service distribué (DDoS). Les attaques DDoS risquent d'interrompre le trafic légitime et de réduire la disponibilité pour vos utilisateurs.
**Avantages liés au respect de cette bonne pratique :** la conception d'une connectivité réseau hautement disponible et résiliente garantit que votre charge de travail est accessible et disponible pour vos utilisateurs.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Le routage du trafic est au cœur de la mise en place d'une connectivité réseau hautement disponible pour vos points de terminaison publics. Pour vérifier que votre trafic est en mesure d'atteindre les points de terminaison, le DNS doit être capable de résoudre les noms de domaine à leurs adresses IP correspondantes. Utilisez un système de [nom de domaine (DNS)](https://aws.amazon.com/route53/what-is-dns/) hautement disponible et évolutif tel que Amazon Route 53 pour gérer les enregistrements DNS de votre domaine. Vous pouvez également utiliser les surveillances de l'état fournies par Amazon Route 53. Les surveillances de l'état permettent de s'assurer que votre application est accessible, disponible et fonctionnelle. Elles peuvent être configurées de manière à imiter le comportement de l'utilisateur, comme la demande d'une page web ou d'une URL spécifique. En cas de panne, Amazon Route 53 répond aux demandes de résolution DNS et dirige uniquement le trafic vers les points de terminaison en bonne santé. Vous pouvez également envisager d'utiliser les fonctionnalités de Geo DNS et de routage basé sur la latence offertes par Amazon Route 53.
Pour vérifier que votre charge de travail elle-même est hautement disponible, utilisez Elastic Load Balancing (ELB).Amazon Route 53 peut cibler le trafic vers ELB, qui distribue le trafic vers les instances de calcul cibles. Vous pouvez également utiliser Amazon API Gateway avec AWS Lambda pour une solution sans serveur. Les clients peuvent également exécuter des charges de travail dans plusieurs Régions AWS. Avec [le modèle multisite actif/actif](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/), la charge de travail peut servir le trafic de plusieurs régions. Avec un modèle multisite actif/passif, la charge de travail sert le trafic de la région active tandis que les données sont répliquées dans la région secondaire et deviennent actives en cas de panne de la région principale. Les surveillances de l'état Route 53 peuvent alors contrôler le basculement DNS de n'importe quel point de terminaison dans une région principale vers un point de terminaison dans une région secondaire, vérifiant que votre charge de travail est accessible et disponible pour vos utilisateurs.
Amazon CloudFront fournit une API simple pour distribuer du contenu avec une faible latence et des taux de transfert de données élevés en répondant aux demandes à l'aide d'un réseau d'emplacements périphériques dans le monde entier. Les réseaux de diffusion de contenu (CDN) servent les clients en proposant un contenu situé ou mis en cache à un endroit proche de l'utilisateur. La disponibilité de votre application s'en trouve également améliorée, car la charge de contenu est déplacée de vos serveurs vers les[emplacements périphériques](https://aws.amazon.com/products/networking/edge-networking/) de CloudFront. Les emplacements périphériques et les caches périphériques régionaux conservent des copies en cache de votre contenu à proximité de vos utilisateurs, ce qui permet une récupération rapide et augmente l'accessibilité et la disponibilité de votre charge de travail.
Pour les charges de travail avec des utilisateurs dispersés géographiquement, AWS Global Accelerator améliore la disponibilité et les performances des applications. AWS Global Accelerator fournit des adresses IP statiques Anycast qui servent de point d'entrée fixe à votre application hébergée dans une ou plusieurs Régions AWS. Cela permet au trafic d'entrer sur le réseau mondial AWS aussi près que possible de vos utilisateurs, améliorant ainsi l'accessibilité et la disponibilité de votre charge de travail. AWS Global Accelerator surveille également l'état de santé des points de terminaison de vos applications en utilisant la surveillance de l'état TCP, HTTP et HTTPS. Toute modification de l'état ou de la configuration de vos points de terminaison déclenche la redirection du trafic utilisateur vers des points de terminaison sains qui offrent les meilleures performances et la meilleure disponibilité à vos utilisateurs. De plus, AWS Global Accelerator est conçu pour être isolé des pannes et utilise deux adresses IPv4 statiques qui sont desservies par des zones réseau indépendantes, ce qui augmente la disponibilité de vos applications.
Pour aider à protéger les clients contre les attaques DDoS, AWS propose AWS Shield Standard. Shield Standard est automatiquement activé et protège contre les attaques d'infrastructure courantes (couches 3 et 4) telles que les inondations SYN/UDP et les attaques par réflexion pour assurer la haute disponibilité de vos applications sur AWS. Pour bénéficier de protections supplémentaires contre des attaques plus sophistiquées et plus importantes (comme les inondations UDP), les attaques par épuisement d'état (comme les inondations TCP SYN), et pour aider à protéger vos applications fonctionnant sur Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, et Route 53, envisagez d'utiliser AWS Shield Advanced. Pour se protéger contre les attaques au niveau de la couche application, comme les inondations HTTP POST ou GET, utilisez AWS WAF. AWS WAF peut utiliser les adresses IP, les en-têtes HTTP, le corps HTTP, les chaînes URI, l'injection SQL et les conditions de script intersite pour déterminer si une requête doit être bloquée ou autorisée.
**Étapes d'implémentation**
1. Configurez un DNS hautement disponible : Amazon Route 53 est un service web de [système de nom de domaine (DNS)](https://aws.amazon.com/route53/what-is-dns/) hautement disponible et évolutif. Route 53 connecte les demandes des utilisateurs aux applications Internet fonctionnant sur AWS ou sur site. Pour obtenir plus d'informations, consultez [Configuration d'Amazon Route 53 en tant que service DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html).
1. Configurez la surveillance de l'état : lorsque vous utilisez Route 53, vérifiez que seules les cibles saines sont résolubles. Commencez par [créer des surveillances de l'état Route 53 et par configurer le basculement DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html). Il est important de tenir compte des aspects suivants lors de la mise en place des surveillances de l'état :
1. [ Comment Amazon Route 53 détermine si une vérification de l'état est saine ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html)
1. [ Création, mise à jour et suppression de vérifications de l'état ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)
1. [Statut de la surveillance de l'état et réception de notifications](https://docs.aws.amazon.com/)
1. [ Bonnes pratiques relatives à Amazon Route 53 DNS ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html)
1. [ Connectez votre service DNS à vos points de terminaison. ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html)
1. Lorsque vous utilisez Elastic Load Balancing comme cible pour votre trafic, créez un [enregistrement d'alias](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-choosing-alias-non-alias.html) utilisant Amazon Route 53 qui pointe vers le point de terminaison régional de votre équilibreur de charge. Pendant la création de l'enregistrement de l'alias, réglez l'option « Évaluer l'état de la cible » sur « Oui ».
1. Pour les charges de travail sans serveur ou les API privées, lorsque vous utilisez API Gateway, utilisez [Route 53 pour router le trafic vers API Gateway](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-api-gateway.html).
1. Choisissez un réseau de diffusion de contenu.
1. Pour diffuser du contenu en utilisant des emplacements périphériques plus proches de l'utilisateur, il faut commencer par comprendre [comment CloudFront diffuse le contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowCloudFrontWorks.html).
1. Commencez par une [simple distribution CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GettingStarted.SimpleDistribution.html). CloudFront comprend alors l'endroit d'où vous souhaitez que le contenu soit diffusé, ainsi que les détails concernant le suivi et la gestion de la diffusion du contenu. Il est important de comprendre et de prendre en compte les aspects suivants lors de la mise en place de la distribution CloudFront :
1. [ Fonctionnement de la mise en cache avec les emplacements périphériques CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio-explained.html)
1. [Augmentation de la proportion de demandes servies directement à partir des caches CloudFront (taux d'accès au cache)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html)
1. [ Utilisation Amazon CloudFront Origin Shield ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html)
1. [ Optimisation de la haute disponibilité avec le basculement d'origine CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html)
1. Configurez la protection de la couche d'application : AWS WAF vous aide à vous protéger contre les exploits et les bots web courants qui peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives. Pour mieux comprendre, examinez [comment AWS WAF fonctionne](https://docs.aws.amazon.com/waf/latest/developerguide/how-aws-waf-works.html) et quand vous êtes prêt à mettre en œuvre les protections de la couche application HTTP POST ET GET, consultez [Getting started with AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) (Démarrer avec AWS WAF). Vous pouvez également utiliser AWS WAF avec CloudFront. Consultez la documentation pour comprendre [comment AWS WAF fonctionne avec les fonctionnalités Amazon CloudFront](https://docs.aws.amazon.com/waf/latest/developerguide/cloudfront-features.html).
1. Configurez une protection DDoS supplémentaire : par défaut, tous les clients AWS bénéficient d'une protection contre les attaques DDoS les plus fréquentes au niveau de la couche réseau et de la couche transport qui ciblent votre site web ou votre application avec AWS Shield Standard, et ce sans frais supplémentaires. Pour bénéficier d'une protection supplémentaire des applications accessibles sur Internet et fonctionnant sur Amazon EC2, Elastic Load Balancing, Amazon CloudFront, AWS Global Accelerator, et Amazon Route 53, vous pouvez envisager [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) et passer en revue des [exemples d'architectures résistantes aux attaques DDoS](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-resiliency.html). Pour protéger votre charge de travail et vos points de terminaison publics contre les attaques DDoS, consultez [Getting started with AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html) (Démarrer avec AWS Shield Advanced).
## Ressources
**Bonnes pratiques associées :**
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL10-BP02 Sélectionner les emplacements appropriés pour votre déploiement multisite](rel_fault_isolation_select_location.md)
+ [REL11-BP04 S'appuyer sur le plan de données et non sur le plan de contrôle pendant la récupération](rel_withstand_component_failures_avoid_control_plane.md)
+ [REL11-BP06 Envoyer des notifications lorsque des événements affectent la disponibilité](rel_withstand_component_failures_notifications_sent_system.md)
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à planifier votre mise en réseau](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Marketplace pour l'infrastructure réseau](https://aws.amazon.com/marketplace/b/2649366011)
+ [Qu'est-ce que AWS Global Accelerator ?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [Qu'est-ce qu'Amazon CloudFront ?](https://docs.aws.amazon.com/Amazon/latest/DeveloperGuide/Introduction.html)
+ [Qu'est-ce qu'Amazon Route 53 ?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Qu'est-ce qu'Elastic Load Balancing ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [ Capacité de connectivité du réseau : établir les fondements de votre cloud ](https://docs.aws.amazon.com/whitepapers/latest/establishing-your-cloud-foundation-on-aws/network-connectivity-capability.html)
+ [ Qu'est-ce que Amazon API Gateway ? ](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html)
+ [ Que sont AWS WAF, AWS Shield, et AWS Firewall Manager ? ](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)
+ [ What is Amazon Route 53 Application Recovery Controller? ](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html) (Qu'est-ce que le contrôleur de récupération d'application d'Amazon Route 53 ?)
+ [ Configurer des surveillances de l'état personnalisées pour le basculement DNS ](https://docs.aws.amazon.com/apigateway/latest/developerguide/dns-failover.html)
**Vidéos connexes :**
+ [AWS re:Invent 2022 - Improve performance and availability with AWS Global Accelerator](https://www.youtube.com/watch?v=s5sjsdDC0Lg)
+ [AWS re:Invent 2020: Global traffic management with Amazon Route 53 ](https://www.youtube.com/watch?v=E33dA6n9O7I)
+ [AWS re:Invent 2022 - Operating highly available Multi-AZ applications ](https://www.youtube.com/watch?v=mwUV5skJJ0s)
+ [AWS re:Invent 2022 - Dive deep on AWS networking infrastructure ](https://www.youtube.com/watch?v=HJNR_dX8g8c)
+ [AWS re:Invent 2022 - Building resilient networks ](https://www.youtube.com/watch?v=u-qamiNgH7Q)
**Exemples connexes :**
+ [ Disaster Recovery with Amazon Route 53 Application Recovery Controller (ARC) ](https://catalog.us-east-1.prod.workshops.aws/workshops/4d9ab448-5083-4db7-bee8-85b58cd53158/en-US/) [Reprise après sinistre avec le contrôleur de récupération d'application (ARC) d'Amazon Route 53]
+ [ Ateliers sur la fiabilité ](https://wellarchitectedlabs.com/reliability/)
+ [ Atelier AWS Global Accelerator](https://catalog.us-east-1.prod.workshops.aws/workshops/effb1517-b193-4c59-8da5-ce2abdb0b656/en-US)
# REL02-BP02 Mettre en service une connectivité redondante entre les réseaux privés dans le cloud et les environnements sur site
Utilisez plusieurs connexions AWS Direct Connect ou tunnels VPN entre des réseaux privés déployés séparément. Utilisez plusieurs emplacements Direct Connect pour une plus haute disponibilité. Si vous utilisez plusieurs Régions AWS, assurez la redondance dans au moins deux d'entre elles. Il serait souhaitable d'évaluer les appliances AWS Marketplace qui mettent fin aux VPN. Si vous utilisez des appliances AWS Marketplace, déployez des instances redondantes pour une plus haute disponibilité dans différentes zones de disponibilité.
AWS Direct Connect est un service cloud qui permet d'établir facilement une connexion réseau dédiée depuis votre environnement sur site vers AWS. Grâce à la passerelle Direct Connect, votre centre de données sur site peut être connecté à plusieurs VPC AWS répartis sur plusieurs Régions AWS.
Cette redondance permet de faire face aux pannes possibles ayant un impact sur la résilience de la connectivité :
+ Comment allez-vous résister aux pannes dans votre topologie ?
+ Que se passe-t-il si un composant est mal configuré et perd sa connectivité ?
+ Pourrez-vous gérer une augmentation inattendue du trafic ou de l'utilisation de vos services ?
+ Serez-vous en mesure d'absorber une tentative d'attaque par déni de service distribué ?
Lors de la connexion de votre VPC à votre centre de données sur site via un VPN, tenez compte des exigences en matière de résilience et de bande passante lorsque vous sélectionnez le fournisseur et la taille d'instance dont vous avez besoin pour exécuter l'appliance. Si vous utilisez une appliance VPN qui n'est pas résiliente dans son implémentation, vous devez avoir une connexion redondante via une seconde appliance. Pour tous ces scénarios, vous devez définir les temps de récupération acceptables et faire des tests pour vous assurer que vous pouvez satisfaire ces exigences.
Si vous choisissez de connecter votre VPC à votre centre de données à l'aide d'une connexion Direct Connect et que vous avez besoin que cette connexion soit hautement disponible, vous devez disposer de connexions Direct Connect redondantes à partir de chaque centre de données. La connexion redondante doit utiliser une deuxième connexion Direct Connect à partir d'un emplacement différent de la première. Si vous avez plusieurs centres de données, assurez-vous que les connexions se terminent à différents emplacements. Utilisez la boîte à outils [Direct Connect Resiliency Toolkit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) pour faciliter la mise en œuvre de cette configuration.
Si vous choisissez de basculer sur un VPN via Internet à l'aide d'un Site-to-Site VPN, il est important de comprendre qu'il prend en charge jusqu'à 1,25 Gbit/s de débit par tunnel VPN, mais pas le protocole ECMP (Equal Cost Multi Path) pour le trafic sortant dans le cas de plusieurs tunnels VPN gérés par AWS aboutissant à la même passerelle virtuelle. Nous vous déconseillons d'utiliser un VPN géré par AWS comme système de secours pour les connexions Direct Connect, sauf si vous pouvez tolérer des vitesses inférieures à 1 Gbit/s lors du basculement.
Vous pouvez également utiliser les points de terminaison d'un VPC pour connecter de manière privée votre VPC aux services AWS pris en charge et aux services de point de terminaison d'un VPC à technologie AWS PrivateLink sans traverser l'Internet public. Les points de terminaison sont des dispositifs virtuels. Il s'agit de composants VPC mis à l’échelle horizontalement, redondants et hautement disponibles. Ils permettent la communication entre les instances de votre VPC et les services sans imposer de risques de disponibilité ou de contraintes de bande passante sur votre trafic réseau.
**Anti-modèles courants :**
+ Un seul fournisseur de connectivité entre votre réseau sur site et AWS.
+ Utilisation des capacités de connectivité de votre connexion AWS Direct Connect, mais en ayant qu'une seule connexion.
+ Un seul chemin pour votre connectivité VPN.
**Avantages liés au respect de cette bonne pratique :** En implémentant une connectivité redondante entre votre environnement cloud et votre environnement d'entreprise/sur site, vous pouvez vous assurer que les services dépendants entre les deux environnements peuvent communiquer de manière fiable.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
+ Assurez-vous que vous disposez d’une connectivité hautement disponible entre AWS et l'environnement sur site. Utilisez plusieurs connexions AWS Direct Connect ou tunnels VPN entre des réseaux privés déployés séparément. Utilisez plusieurs emplacements Direct Connect pour une plus haute disponibilité. Si vous utilisez plusieurs Régions AWS, assurez la redondance dans au moins deux d'entre elles. Il serait souhaitable d'évaluer les appliances AWS Marketplace qui mettent fin aux VPN. Si vous utilisez des appliances AWS Marketplace, déployez des instances redondantes pour une plus haute disponibilité dans différentes zones de disponibilité.
+ Assurez-vous que vous avez une connexion redondante à votre environnement sur site. Vous pouvez avoir besoin de connexions redondantes à plusieurs Régions AWS pour répondre à vos besoins de disponibilité.
+ [Recommandations de résilience AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [Utilisation de connexions VPN de site à site redondantes pour assurer le basculement](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html)
+ Utilisez des opérations d'API de service pour confirmer la bonne utilisation des circuits Direct Connect.
+ [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html)
+ [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html)
+ [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html)
+ [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll)
+ [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html)
+ [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html)
+ [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html)
+ S'il existe une seule connexion Direct Connect ou si vous n'en avez aucune, configurez des tunnels VPN redondants vers vos passerelles réseau privées virtuelles.
+ [Qu'est-ce qu'AWS Site-to-Site VPN ?](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html)
+ Capturez votre connectivité actuelle (par exemple, Direct Connect, passerelles réseau privées virtuelles, appliances AWS Marketplace).
+ Utilisez des opérations d'API de service pour interroger la configuration des connexions Direct Connect.
+ [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html)
+ [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html)
+ [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html)
+ [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll)
+ [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html)
+ [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html)
+ [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html)
+ Utilisez des opérations d'API de service pour collecter les passerelles réseau privées virtuelles là où les tables de routage les utilisent.
+ [DescribeVpnGateways](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnGateways.html)
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
+ Utilisez des opérations d'API de service pour collecter les applications AWS Marketplace là où les tables de routage les utilisent.
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à planifier votre mise en réseau](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [Recommandations de résilience AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [AWS Marketplace pour l'infrastructure réseau](https://aws.amazon.com/marketplace/b/2649366011)
+ [Livre blanc sur les options de connectivité Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [Connectivité réseau haute disponibilité de plusieurs centres de données](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Utilisation de connexions VPN de site à site redondantes pour assurer le basculement](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html)
+ [Utilisation de la boîte à outils Direct Connect Resiliency Toolkit pour démarrer](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resilency_toolkit.html)
+ [Points de terminaison d'un VPC et services de point de terminaison de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [Qu'est-ce que Transit Gateway ?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [Qu'est-ce qu'AWS Site-to-Site VPN ?](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html)
+ [Utilisation des passerelles Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP03 S'assurer que l'allocation des sous-réseaux IP tient compte de l'expansion et de la disponibilité
Les plages d'adresses IP de Amazon VPC doivent être assez grandes pour répondre aux exigences de charges de travail, y compris en prévision d'une expansion et de l'allocation d'adresses IP aux sous-réseaux sur les zones de disponibilité. Cela inclut les équilibreurs de charge, les instances EC2 et les applications basées sur conteneur.
Lorsque vous planifiez votre topologie de réseau, la première étape consiste à définir l'espace d'adressage IP lui-même. Des plages d'adresses IP privées (conformément aux directives RFC 1918) doivent être allouées pour chaque VPC. Vous devez remplir les exigences suivantes dans le cadre de ce processus :
+ Autorisez un espace d'adressage IP pour plus d'un VPC par région.
+ Au sein d'un VPC, prévoyez de l'espace supplémentaire pour plusieurs sous-réseaux couvrant plusieurs zones de disponibilité.
+ Laissez toujours de l'espace de bloc CIDR non utilisé au sein d'un VPC pour une future expansion.
+ Assurez-vous qu'il existe un espace d'adressage IP pour répondre aux besoins de tout parc transitoire d'instances EC2 que vous pourriez utiliser, comme les parcs d'instances Spot pour Machine Learning, les clusters Amazon EMR ou Amazon Redshift.
+ Remarque : les quatre premières adresses IP et la dernière adresse IP dans le bloc CIDR de chaque sous-réseau sont réservées et ne peuvent pas être utilisées.
+ Vous devez planifier le déploiement de grands blocs CIDR pour votre VPC. Notez que le bloc CIDR initial du VPC alloué à votre VPC ne peut pas être modifié ou supprimé, mais vous pouvez ajouter des blocs CIDR non superposés au VPC. Les CIDR IPv4 de sous-réseau ne sont pas modifiables, mais les CIDR IPv6 le sont. Gardez à l'esprit que le déploiement du plus grand VPC possible (/16) représente plus de 65 000 adresses IP. Dans l'espace d'adressage IP 10.x.x.x de base uniquement, vous pouvez mettre en service 255 VPC de ce type. Par conséquent, il est préférable d’avoir un système surdimensionné que sous-dimensionné pour faciliter la gestion de vos VPC.
**Anti-modèles courants :**
+ Création de petits VPC.
+ Création de petits sous-réseaux, puis ajout de sous-réseaux aux configurations au fur et à mesure que vous développez.
+ Estimation incorrecte du nombre d'adresses IP qu'un Elastic Load Balancer peut utiliser.
+ Déploiement de nombreux équilibreurs de charge à trafic élevé dans les mêmes sous-réseaux.
**Avantages liés au respect de cette bonne pratique :** Ces tailles sont la garantie que vous pouvez prendre en charge la croissance de vos charges de travail et continuer à fournir une disponibilité au fur et à mesure de votre mise à l'échelle.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Planifiez votre réseau en prévision de votre croissance, de la conformité réglementaire et de son intégration avec d'autres composants. La croissance peut être sous-estimée, la conformité réglementaire peut changer, et les acquisitions ou les connexions à des réseaux privés peuvent être difficiles à implémenter sans une planification appropriée.
+ Sélectionnez les régions et Comptes AWS pertinents en fonction de vos exigences de services, de la latence, des exigences réglementaires et de reprise après sinistre (DR).
+ Identifiez vos besoins pour les déploiements VPC régionaux.
+ Identifiez la taille des VPC.
+ Déterminez si vous allez déployer une connectivité multi-VPC.
+ [Qu'est-ce que Transit Gateway ?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [Connectivité multi-VPC dans un seule région](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/)
+ Déterminez si vous avez besoin d'une mise en réseau séparée pour les exigences réglementaires.
+ Rendez vos VPC aussi larges que possible. Le bloc d'adresse CIDR du VPC initial alloué à votre VPC ne peut pas être modifié ou supprimé, mais vous pouvez ajouter des blocs d'adresse CIDR non superposés au VPC. Cela peut toutefois fragmenter vos plages d'adresses.
+ Rendez vos VPC aussi larges que possible. Le bloc d'adresse CIDR du VPC initial alloué à votre VPC ne peut pas être modifié ou supprimé, mais vous pouvez ajouter des blocs d'adresse CIDR non superposés au VPC. Cela peut toutefois fragmenter vos plages d'adresses.
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à planifier votre mise en réseau](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Marketplace pour l'infrastructure réseau](https://aws.amazon.com/marketplace/b/2649366011)
+ [Livre blanc sur les options de connectivité Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [Connectivité réseau haute disponibilité de plusieurs centres de données](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Connectivité multi-VPC dans un seule région](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/)
+ [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP04 Préférer les topologies en étoile au maillage « many-to-many »
Si plus de deux espaces d'adresses réseau (par exemple, des VPC et des réseaux sur site) sont connectés via l'appairage de VPC, AWS Direct Connect ou un VPN, utilisez un modèle en étoile, comme celui fourni par AWS Transit Gateway.
Si vous n'avez que deux réseaux de ce type, vous pouvez simplement les connecter l'un à l'autre, mais à mesure que le nombre de réseaux augmente, la complexité de ces connexions maillées devient intenable. AWS Transit Gateway fournit un modèle en étoile facile à gérer, permettant d'acheminer le trafic sur vos différents réseaux.
![\[Diagramme montrant la non-utilisation d'AWS Transit Gateway\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/without-transit-gateway.png)
![\[Diagramme montrant l'utilisation d'AWS Transit Gateway\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/with-transit-gateway.png)
**Anti-modèles courants :**
+ Utilisation de l'appairage de VPC pour connecter plus de deux VPC.
+ Établissement de plusieurs séances BGP pour chaque VPC afin d'établir une connectivité couvrant les Virtual Private Cloud (VPC) répartis sur plusieurs Régions AWS.
**Avantages liés au respect de cette bonne pratique :** La complexité de ces connexions maillées devient intenable au fur et à mesure que le nombre de réseaux augmente. AWSTransit Gateway fournit un modèle en étoile facile à gérer, permettant d'acheminer le trafic entre vos différents réseaux.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Préférez les topologies en étoile au maillage « many-to-many ». Si plus de deux espaces d'adresses réseau (par exemple, des VPC et des réseaux sur site) sont connectés via l'appairage de VPC, AWS Direct Connect ou un VPN, utilisez un modèle en étoile, comme celui fourni par AWS Transit Gateway.
+ Quand il s’agit de seulement deux de ces réseaux, vous pouvez simplement les connecter l'un à l'autre, mais à mesure que le nombre de réseaux augmente, la complexité de ces connexions maillées devient intenable. AWS Transit Gateway fournit un modèle en étoile facile à gérer, permettant d'acheminer le trafic sur vos différents réseaux.
+ [Qu'est-ce que Transit Gateway ?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à planifier votre mise en réseau](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Marketplace pour l'infrastructure réseau](https://aws.amazon.com/marketplace/b/2649366011)
+ [Connectivité réseau haute disponibilité de plusieurs centres de données](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Points de terminaison d'un VPC et services de point de terminaison de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [Qu'est-ce que Transit Gateway ?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP05 Appliquer des plages d'adresses IP privées sans chevauchement dans tous les espaces d'adressage privés où ils sont connectés
Les plages d'adresses IP de chacun de vos VPC ne doivent pas se chevaucher lorsqu'elles sont appairées ou connectées via VPN. De même, vous devez éviter les conflits d'adresses IP entre un VPC et des environnements sur site, ou avec d'autres fournisseurs de cloud que vous utilisez. Vous devez également disposer d'un moyen d'allouer des plages d'adresses IP privées lorsque cela est nécessaire.
Un système de gestion des adresses IP (IPAM) peut vous y aider. Plusieurs IPAM sont disponibles sur AWS Marketplace.
**Anti-modèles courants :**
+ Utilisation de la même plage d'adresses IP dans votre VPC que sur site ou dans votre réseau d'entreprise.
+ Non suivi des plages d'adresses IP des VPC utilisés pour déployer vos charges de travail.
**Avantages liés au respect de cette bonne pratique :** La planification active de votre réseau garantit que vous n'avez pas plusieurs occurrences de la même adresse IP dans les réseaux interconnectés. Cela empêche les problèmes de routage de se produire dans certaines parties de la charge de travail qui utilisent les différentes applications.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Surveillez et gérez votre utilisation CIDR. Évaluez votre utilisation potentielle sur AWS, ajoutez des plages CIDR à des VPC existants et créez des VPC pour autoriser une croissance d'utilisation planifiée.
+ Capturez votre consommation CIDR actuelle (par exemple, les VPC et les sous-réseaux).
+ Utilisez des opérations d'API de service pour collecter la consommation CIDR actuelle.
+ Capturez l'utilisation actuelle de votre sous-réseau.
+ Utilisez des opérations d'API de service pour collecter les sous-réseaux par VPC dans chaque région.
+ [DescribeSubnets](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSubnets.html)
+ Enregistrez l'utilisation actuelle.
+ Déterminez si vous avez créé des plages d'adresses IP se chevauchant.
+ Calculez la capacité inutilisée.
+ Identifiez les plages d'adresses IP qui se chevauchent. Vous pouvez soit migrer vers une nouvelle plage d'adresses, soit utiliser les appliances de traduction de port et de réseau (NAT) d'AWS Marketplace si vous avez besoin de connecter les plages qui se chevauchent.
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à planifier votre mise en réseau](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Marketplace pour l'infrastructure réseau](https://aws.amazon.com/marketplace/b/2649366011)
+ [Livre blanc sur les options de connectivité Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [Connectivité réseau haute disponibilité de plusieurs centres de données](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [Qu'est-ce qu'IPAM ?](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# Architecture de charge de travail
**Topics**
+ [REL 3 Comment concevoir l'architecture de service de votre charge de travail ?](rel-03.md)
+ [REL 4 Comment concevoir des interactions dans un système distribué pour éviter les défaillances ?](rel-04.md)
+ [REL 5 Comment concevoir des interactions dans un système distribué pour atténuer ou résister aux défaillances ?](rel-05.md)
# REL 3 Comment concevoir l'architecture de service de votre charge de travail ?
Créez des charges de travail hautement évolutives et fiables à l'aide d'une architecture orientée service (SOA) ou d'une architecture de microservices. La SOA consiste à rendre les composants logiciels réutilisables via les interfaces de service. L'architecture des microservices va plus loin, en particulier en rendant les composants plus petits et plus simples.
**Topics**
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL03-BP02 Créer des services axés sur des domaines d'activité et la fonctionnalité](rel_service_architecture_business_domains.md)
+ [REL03-BP03 Fournir des contrats de service par API](rel_service_architecture_api_contracts.md)
# REL03-BP01 Choisir comment segmenter votre charge de travail
La segmentation de la charge de travail est importante lorsqu'il s'agit de déterminer les exigences de résilience de votre application. L'architecture monolithique doit être évitée dans la mesure du possible. À la place, réfléchissez bien aux composants de l'application capables d'être divisés en microservices. Selon les exigences de votre application, il peut s'agir d'une combinaison d'une architecture orientée services et de microservices dans la mesure du possible. Les charges de travail capables d'absence d'état sont davantage en mesure d'être déployées en tant que microservices.
**Résultat souhaité :** Les charges de travail doivent être supportables, évolutives et aussi faiblement couplées que possible.
Lorsque vous choisissez comment segmenter votre charge de travail, comparez les avantages aux complexités. Ce qui convient pour un nouveau produit en course pour un premier lancement est différent de ce dont a besoin une charge de travail conçue pour augmenter d'échelle. Lors de la refactorisation d'une architecture monolithique existante, vous devez évaluer comment l'application prendra en charge une décomposition vers l'absence d'état. La division de services en microservices permet aux petites équipes bien définies de les développer et les gérer. Toutefois, les services plus petits peuvent créer des complexités dont une latence supérieure, un débogage plus complexe et une charge opérationnelle accrue.
**Anti-modèles courants :**
+ La version [microservice *Death Star*](https://mrtortoise.github.io/architecture/lean/design/patterns/ddd/2018/03/18/deathstar-architecture.html) est une situation dans laquelle les composants atomiques deviennent si interdépendants que l'échec de l'un d'entre eux résulte en un échec encore plus important, ce qui rend les composants aussi rigides et fragiles qu'une architecture monolithique.
**Avantages liés au respect de cette pratique :**
+ L'utilisation de segments plus petits permet une plus grande agilité, une plus grande flexibilité organisationnelle et une évolutivité.
+ L'impact réduit des interruptions de service.
+ Les composants de l'application peuvent avoir différentes exigences de disponibilité, pouvant être pris en charge par une segmentation plus atomique.
+ Des responsabilités bien définies pour les équipes prenant en charge la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Choisissez votre type d'architecture en fonction de la façon dont vous segmenterez votre charge de travail. Choisissez une architecture orientée service (SOA) ou une architecture de microservices (ou, dans de rares cas, une architecture monolithique). Même si vous choisissez de commencer avec une architecture monolithe, vous devez vous assurer qu'elle est modulaire et peut évoluer vers une SOA ou vers des microservices à mesure que votre produit se développe avec son adoption par les utilisateurs. Une SOA et une architecture de microservices offrent une segmentation plus petite. Si elle est préférable en tant qu'architecture moderne évolutive et fiable, il faut prendre en compte des compromis, notamment lors du déploiement d'une architecture de microservices.
Le principal compromis est que vous avez maintenant une architecture pour le calcul distribué qui peut compliquer le respect des exigences en matière de latence des utilisateurs et qui complexifie le suivi et le débogage des interactions des utilisateurs. AWS X-Ray peut vous aider à résoudre ce problème. Un autre effet à prendre en compte est la hausse de la complexité opérationnelle à mesure que vous augmentez le nombre d'applications que vous gérez, ce qui nécessite le déploiement de plusieurs composants indépendants.
![\[Schéma comparant les architectures monolithique, orientée services et de microservices\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/monolith-soa-microservices-comparison.png)
## Étapes d'implémentation
+ Déterminer l'architecture adaptée pour refactoriser ou créer votre application. SOA et les microservices offrent respectivement une segmentation plus petite, ce qui est préférable pour une architecture moderne évolutive et fiable. SOA peut constituer un bon compromis pour parvenir à une segmentation plus réduite tout en évitant certaines des complexités des microservices. Pour en savoir plus, voir [Compromis des microservices](https://martinfowler.com/articles/microservice-trade-offs.html).
+ Si votre charge de travail est appropriée et que votre organisation peut la prendre en charge, vous devez utiliser une architecture de microservices pour obtenir la meilleure agilité et la meilleure fiabilité. Pour en savoir plus, voir [Implémentation des microservices sur AWS.](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/introduction.html)
+ Tenir compte du modèle [*Figuier étrangleur* pour](https://martinfowler.com/bliki/StranglerFigApplication.html) refactoriser une architecture monolithique en composants plus petits. Cela implique de remplacer petit à petit des composants d'une application spécifique par de nouveaux services et applications. [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/migrationhub-refactor-spaces/latest/userguide/what-is-mhub-refactor-spaces.html) agit comme le point de départ de la refactorisation incrémentielle. Pour en savoir plus, voir [Migrer sans interruption vers des charges de travail existantes sur site à l'aide d'un modèle Figuier étrangleur](https://aws.amazon.com/blogs/architecture/seamlessly-migrate-on-premises-legacy-workloads-using-a-strangler-pattern/).
+ L'implémentation d'une architecture de microservices peut exiger un mécanisme de découverte de service pour permettre à ces services distribués de communiquer entre eux. [AWS App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/what-is-app-mesh.html) peut être utilisé avec des architectures orientées service afin de fournir une découverte et un accès fiables aux services. [AWS Cloud Map](https://aws.amazon.com/cloud-map/) peut également être utilisé pour la découverte dynamique de service basée sur un DNS.
+ Si vous migrez d'une architecture monolithique vers une architecture orientée service, [Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html) peut combler le fossé en tant que bus de services lors de la reconception des applications existantes dans le cloud.
+ Pour les architectures monolithiques existantes avec une base de données partagée unique, choisissez comment réorganiser les données en segments plus petits. Vous pouvez les réorganiser par unité commerciale, modèle d'accès ou structure de données. À ce stade du processus de refactorisation, vous devez choisir d'utiliser un type de base de données relationnelle ou non relationnelle. Pour en savoir plus, voir [De SQL à NoSQL](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/SQLtoNoSQL.html).
**Niveau d'effort du plan d'implémentation :** Élevé
## Ressources
**Bonnes pratiques associées :**
+ [REL03-BP02 Créer des services axés sur des domaines d'activité et la fonctionnalité](rel_service_architecture_business_domains.md)
**Documents connexes :**
+ [Amazon API Gateway : configuration d'une API REST à l'aide d'OpenAPI](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-import-api.html)
+ [Qu'est-ce que l'architecture orientée service ?](https://aws.amazon.com/what-is/service-oriented-architecture/)
+ [Contexte délimité (modèle central dans la conception pilotée par domaine)](https://martinfowler.com/bliki/BoundedContext.html)
+ [Implémentation des microservices sur AWS](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/introduction.html)
+ [Compromis des microservices](https://martinfowler.com/articles/microservice-trade-offs.html)
+ [Microservices : une définition de ce nouveau terme architectural](https://www.martinfowler.com/articles/microservices.html)
+ [Microservices sur AWS](https://aws.amazon.com/microservices/)
+ [Qu'est-ce qu'AWS App Mesh ?](https://docs.aws.amazon.com/app-mesh/latest/userguide/what-is-app-mesh.html)
**Exemples connexes :**
+ [Atelier sur la modernisation itérative des applications](https://catalog.us-east-1.prod.workshops.aws/workshops/f2c0706c-7192-495f-853c-fd3341db265a/en-US/intro)
**Vidéos connexes :**
+ [Offrir l'excellence avec l'architecture de microservices sur AWS](https://www.youtube.com/watch?v=otADkIyugzY)
# REL03-BP02 Créer des services axés sur des domaines d'activité et la fonctionnalité
Une architecture orientée services (SOA) définit des services avec des fonctions bien déterminées dictées par les besoins métier. Les microservices utilisent des modèles de domaine et un contexte limité pour définir les limites des services en fonction des limites du contexte métier. En se concentrant sur les domaines d'activité et les fonctionnalités, les équipes peuvent définir des exigences de fiabilité indépendantes pour leurs services. Les contextes limités isolent et encapsulent la logique métier, ce qui permet aux équipes de mieux raisonner sur la manière de gérer les défaillances.
**Résultat souhaité :** les ingénieurs et les parties prenantes de l'entreprise définissent conjointement des contextes délimités et les utilisent pour concevoir des systèmes en tant que services remplissant des fonctions commerciales spécifiques. Ces équipes utilisent des pratiques établies telles que l'event storming pour définir les exigences. Les nouvelles applications sont conçues comme des services dont les limites sont bien définies et qui possèdent un couplage faible. Les monolithes existants sont décomposés en [contextes limités](https://martinfowler.com/bliki/BoundedContext.html) et la conception des systèmes évolue vers des architectures SOA ou de microservices. Lorsque les monolithes sont refactorisés, des approches établies telles que les contextes de bulles et les modèles de décomposition des monolithes sont appliquées.
Les services orientés domaine sont exécutés sous la forme d'un ou de plusieurs processus qui ne partagent pas d'état. Ils répondent de manière indépendante aux fluctuations de la demande et gèrent les scénarios de panne à la lumière des exigences spécifiques du domaine.
**Anti-modèles courants :**
+ Les équipes sont constituées autour de domaines techniques spécifiques tels que l'interface utilisateur et l'expérience utilisateur, les intergiciels ou les bases de données plutôt que de domaines commerciaux spécifiques.
+ Les applications couvrent des responsabilités de domaine. Les services qui couvrent des contextes limités peuvent être plus difficiles à gérer, nécessiter des efforts de test plus importants et nécessiter la participation de plusieurs équipes de domaine aux mises à jour logicielles.
+ Les dépendances de domaine, telles que les bibliothèques d'entités de domaine, sont partagées entre les services de telle sorte que les modifications apportées à un domaine de service nécessitent des modifications apportées à d'autres domaines de service.
+ Les contrats de service et la logique métier n'expriment pas les entités dans un langage de domaine commun et cohérent, ce qui crée des couches de traduction qui compliquent les systèmes et augmentent les efforts de débogage.
**Avantages liés au respect de cette bonne pratique :** Les applications sont conçues comme des services indépendants délimités par domaines d'activité et utilisent un langage métier commun. Les services peuvent être testés et déployés indépendamment. Les services répondent aux exigences de résilience spécifiques au domaine mis en œuvre.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
La décision pilotée par domaine (DDD) est l'approche fondamentale de la conception et de la création de logiciels autour de domaines métier. Il est utile de travailler avec un cadre existant lorsque vous créez des services axés sur des domaines métier. Lorsque vous travaillez avec des applications monolithiques existantes, vous pouvez tirer parti des modèles de décomposition qui fournissent des techniques éprouvées pour moderniser les applications en services.
![\[Organigramme illustrant l'approche de la décision pilotée par domaine.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/domain-driven-decision.png)
## Étapes d'implémentation
+ Les équipes peuvent organiser des ateliers [d'event storming](https://serverlessland.com/event-driven-architecture/visuals/event-storming) pour identifier rapidement les événements, les commandes, les agrégats et les domaines dans un format léger de notes autocollantes.
+ Une fois que les entités et les fonctions de domaine ont été créées dans un contexte de domaine, vous pouvez diviser votre domaine en services en utilisant [un contexte limité](https://martinfowler.com/bliki/BoundedContext.html)dans lequel les entités qui partagent des fonctions et des attributs similaires sont regroupées. La division en contextes permet de faire émerger un modèle de délimitation des microservices.
+ Par exemple, les entités du site Amazon.com peuvent inclure le colis, la livraison, le calendrier, le prix, la remise et la devise.
+ Le colis, la livraison et le calendrier sont regroupés dans le contexte d'expédition, tandis que le prix, la remise et la devise sont regroupés dans le contexte de tarification.
+ [La décomposition des monolithes en microservices](https://docs.aws.amazon.com/prescriptive-guidance/latest/modernization-decomposing-monoliths/welcome.html) décrit les modèles de refactorisation des microservices. L'utilisation de modèles de décomposition par capacité métier, sous-domaine ou transaction s'inscrit parfaitement dans les approches axées sur le domaine.
+ Des techniques tactiques telles que [le contexte de bulles](https://www.domainlanguage.com/wp-content/uploads/2016/04/GettingStartedWithDDDWhenSurroundedByLegacySystemsV1.pdf) vous permettent d'introduire le DDD dans des applications existantes ou héritées sans devoir procéder à des réécritures préalables et sans engagement total envers le DDD. Dans une approche de contexte à bulles, un petit contexte limité est établi à l'aide d'un mappage et d'une coordination des services, ou [d'une couche anticorruption](https://serverlessland.com/event-driven-architecture/visuals/messages-between-bounded-context), qui protège le modèle de domaine nouvellement défini des influences extérieures.
Une fois que les équipes ont effectué une analyse du domaine et défini des entités et des contrats de service, elles peuvent tirer parti des services AWS pour mettre en œuvre leur conception axée sur le domaine sous forme de services basés sur le cloud.
+ Commencez votre développement en définissant des tests qui appliquent les règles métier de votre domaine. Le développement piloté par les tests (TDD) et le développement piloté par le comportement (BDD) aident les équipes à concentrer leurs services sur la résolution des problèmes commerciaux.
+ Sélectionnez [les services AWS](https://aws.amazon.com/microservices/) qui répondent le mieux aux exigences de votre domaine d'activité et [à l'architecture de microservices](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/microservices-on-aws.html) :
+ [AWS sans serveur](https://aws.amazon.com/serverless/) permet à votre équipe de se concentrer sur une logique de domaine spécifique au lieu de gérer les serveurs et l'infrastructure.
+ [Les conteneurs AWS](https://aws.amazon.com/containers/) simplifient la gestion de votre infrastructure afin que vous puissiez vous concentrer sur les exigences de votre domaine.
+ [Les bases de données sur mesure](https://aws.amazon.com/products/databases/) vous permettent d'adapter les exigences de votre domaine au type de base de données le mieux adapté.
+ [Création d'architectures hexagonales sur AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/hexagonal-architectures/welcome.html) décrit un cadre permettant d'intégrer une logique métier à des services en procédant de manière rétroactive à partir d'un domaine métier afin de répondre à des exigences fonctionnelles, puis d'associer des adaptateurs d'intégration. Les modèles qui séparent les détails de l'interface de la logique métier avec les services AWS aident les équipes à se concentrer sur les fonctionnalités du domaine et à améliorer la qualité des logiciels.
## Ressources
**Bonnes pratiques associées :**
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL03-BP03 Fournir des contrats de service par API](rel_service_architecture_api_contracts.md)
**Documents connexes :**
+ [Microservices AWS](https://aws.amazon.com/microservices/)
+ [Implémentation des microservices sur AWS](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/introduction.html)
+ [Comment convertir un monolithe en microservices](https://martinfowler.com/articles/break-monolith-into-microservices.html)
+ [Premiers pas avec DDD en présence de systèmes hérités](https://domainlanguage.com/wp-content/uploads/2016/04/GettingStartedWithDDDWhenSurroundedByLegacySystemsV1.pdf)
+ [ Conception axée sur le domaine : aborder la complexité au cœur du logiciel ](https://www.amazon.com/gp/product/0321125215)
+ [ Création d'architectures hexagonales sur AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/hexagonal-architectures/welcome.html)
+ [ Décomposition des monolithes en microservices ](https://docs.aws.amazon.com/prescriptive-guidance/latest/modernization-decomposing-monoliths/welcome.html)
+ [ Event Storming ](https://serverlessland.com/event-driven-architecture/visuals/event-storming)
+ [ Messages entre contextes limités ](https://serverlessland.com/event-driven-architecture/visuals/messages-between-bounded-context)
+ [ Microservices ](https://www.martinfowler.com/articles/microservices.html)
+ [ Développement piloté par les tests ](https://en.wikipedia.org/wiki/Test-driven_development)
+ [ Développement axé sur le comportement ](https://en.wikipedia.org/wiki/Behavior-driven_development)
**Exemples connexes :**
+ [ Atelier natif cloud en entreprise ](https://catalog.us-east-1.prod.workshops.aws/workshops/0466c70e-4216-4352-98d9-5a8af59c86b2/en-US)
+ [ Conception de microservices natifs cloud sur AWS (extrait de DDD/EventStormingWorkshop) ](https://github.com/aws-samples/designing-cloud-native-microservices-on-aws/tree/main)
**Outils associés :**
+ [ Bases de données AWS Cloud](https://aws.amazon.com/products/databases/)
+ [ Sans serveur sur AWS](https://aws.amazon.com/serverless/)
+ [ Conteneurs AWS](https://aws.amazon.com/containers/)
# REL03-BP03 Fournir des contrats de service par API
Les contrats de service sont des accords documentés entre les producteurs d'API et les consommateurs définis dans une définition d'API lisible par machine. Une stratégie de gestion des versions permet aux consommateurs de continuer à utiliser l'API existante et de procéder à la migration de leurs applications vers la nouvelle API lorsqu'ils sont prêts. Le déploiement du producteur peut avoir lieu à tout moment tant que le contrat est respecté. Les équipes de service peuvent utiliser la pile technologique de leur choix pour satisfaire aux clauses du contrat d'API.
**Résultat souhaité :**
**Anti-modèles courants :** Les applications créées à l'aide d'architectures orientées services ou microservices peuvent fonctionner de manière indépendante tout en bénéficiant d'une dépendance intégrée à l'exécution. Les modifications apportées à un consommateur ou à un producteur d'API n'interrompent pas la stabilité de l'ensemble du système lorsque les deux parties respectent un contrat d'API commun. Les composants qui communiquent via des API de service peuvent exécuter des versions fonctionnelles indépendantes, effectuer des mises à niveau vers des dépendances d'exécution ou effectuer un basculement vers un site de reprise après sinistre (DR) avec peu ou pas d'impact mutuel. En outre, les services discrets sont capables d'évoluer de manière indépendante en absorbant la demande de ressources sans que les autres services évoluent à l'unisson.
+ Création d'API de service sans schémas fortement typés. Cela se traduit par des API qui ne peuvent pas être utilisées pour générer des liaisons d'API et des charges utiles qui ne peuvent pas être validées par programmation.
+ Absence d'adoption d'une stratégie de gestion des versions, qui oblige les utilisateurs d'API à les mettre à jour et à les publier, sous peine de défaillance lorsque les contrats de service évoluent.
+ Messages d'erreur qui divulguent les détails de l'implémentation du service sous-jacent au lieu de décrire les échecs d'intégration dans le contexte et le langage du domaine.
+ Absence d'utilisation des contrats d'API pour développer des scénarios de test et simuler des implémentations d'API afin de permettre des tests indépendants des composants du service.
**Avantages liés au respect de cette bonne pratique :** les systèmes distribués constitués de composants qui communiquent via des contrats de service d'API peuvent améliorer la fiabilité. Les développeurs peuvent détecter les problèmes potentiels au début du processus de développement en vérifiant les types lors de la compilation afin de s'assurer que les demandes et les réponses respectent le contrat d'API et que les champs obligatoires sont présents. Les contrats d'API fournissent une interface d'autodocumentation claire pour les API et assurent une meilleure interopérabilité entre les différents systèmes et langages de programmation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Une fois que vous avez identifié les domaines d'activité et déterminé la segmentation de votre charge de travail, vous pouvez développer vos API de service. Définissez d'abord des contrats de service lisibles par machine pour les API, puis mettez en œuvre une stratégie de gestion des versions des API. Lorsque vous êtes prêt à intégrer des services via des protocoles courants tels que REST, GraphQL ou des événements asynchrones, vous pouvez intégrer des services AWS à votre architecture pour intégrer vos composants à l'aide de contrats d'API clairement typés.
**Services AWS pour les contrats d'API de service**
Intégrez des services AWS, notamment [Amazon API Gateway](https://aws.amazon.com/api-gateway/), [AWS AppSync](https://aws.amazon.com/appsync/)et [Amazon EventBridge](https://aws.amazon.com/eventbridge/) dans votre architecture pour utiliser les contrats de service d'API dans votre application. Amazon API Gateway vous aide à intégrer directement des services AWS natifs et d'autres services Web. API Gateway prend en charge la [spécification](https://github.com/OAI/OpenAPI-Specification) et la gestion des versions OpenAPI. AWS AppSyncest un point de terminaison [GraphQL](https://graphql.org/) géré que vous configurez en définissant un schéma GraphQL pour définir une interface de service pour les requêtes, les mutations et les abonnements. Amazon EventBridge utilise des schémas d'événements pour définir des événements et générer des liaisons de code pour vos événements.
## Étapes d'implémentation
+ Tout d'abord, définissez un contrat pour votre API. Un contrat exprimera les fonctionnalités d'une API et définira des objets de données et des champs fortement typés pour l'entrée et la sortie de l'API.
+ Lorsque vous configurez des API dans API Gateway, vous pouvez importer et exporter les spécifications OpenAPI pour vos points de terminaison.
+ [L'importation d'une définition OpenAPI](https://docs.aws.amazon.com/apigateway/latest/developerguide/import-edge-optimized-api.html) simplifie la création de votre API et peut être intégrée à l'infrastructure AWS sous forme d'outils de code tels qu' [AWS Serverless Application Model](https://aws.amazon.com/serverless/sam/) et [AWS Cloud Development Kit (AWS CDK)](https://aws.amazon.com/cdk/).
+ [L'exportation d'une définition d'API](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-export-api.html) simplifie l'intégration aux outils de test d'API et fournit aux consommateurs de services une spécification d'intégration.
+ Vous pouvez définir et gérer les API GraphQL avec AWS AppSync en [définissant un fichier de schéma GraphQL](https://docs.aws.amazon.com/appsync/latest/devguide/designing-your-schema.html) afin de générer votre interface de contrat et de simplifier l'interaction avec des modèles REST complexes, plusieurs tables de base de données ou des services existants.
+ [Les projets AWS Amplify](https://aws.amazon.com/amplify/) intégrés à AWS AppSync génèrent des fichiers de requête JavaScript fortement typés à utiliser dans votre application ainsi qu'une bibliothèque cliente AWS AppSync GraphQL pour les tables [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) .
+ Lorsque vous consommez des événements de service provenant d'Amazon EventBridge, les événements adhèrent à des schémas qui existent déjà dans le registre des schémas ou que vous définissez à l'aide de la spécification OpenAPI. Avec un schéma défini dans le registre, vous pouvez également générer des liaisons client à partir du contrat de schéma afin d'intégrer votre code aux événements.
+ Extension ou gestion des versions de votre API. L'extension d'une API est une option plus simple lorsque vous ajoutez des champs qui peuvent être configurés avec des champs facultatifs ou des valeurs par défaut pour les champs obligatoires.
+ Les contrats basés sur JSON pour des protocoles tels que REST et GraphQL peuvent être une bonne solution pour l'extension de contrat.
+ Les contrats basés sur XML pour des protocoles tels que SOAP doivent être testés auprès des consommateurs de services afin de déterminer la faisabilité d'une extension du contrat.
+ Lors de la gestion des versions d'une API, pensez à implémenter la gestion des versions par proxy lorsqu'une façade est utilisée pour prendre en charge les versions afin que la logique puisse être maintenue dans une base de code unique.
+ Avec API Gateway vous pouvez utiliser [les mappages de demandes et de réponses](https://docs.aws.amazon.com/apigateway/latest/developerguide/request-response-data-mappings.html#transforming-request-response-body) afin de simplifier l'absorption des modifications du contrat en établissant une façade permettant de fournir des valeurs par défaut pour les nouveaux champs ou de supprimer les champs retirés d'une demande ou d'une réponse. Avec cette approche, le service sous-jacent peut gérer une base de code unique.
## Ressources
**Bonnes pratiques associées :**
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL03-BP02 Créer des services axés sur des domaines d'activité et la fonctionnalité](rel_service_architecture_business_domains.md)
+ [REL04-BP02 Implémenter des dépendances couplées faiblement](rel_prevent_interaction_failure_loosely_coupled_system.md)
+ [REL05-BP03 Contrôler et limiter les appels de nouvelle tentative](rel_mitigate_interaction_failure_limit_retries.md)
+ [REL05-BP05 Définir les délais d'attente du client](rel_mitigate_interaction_failure_client_timeouts.md)
**Documents connexes :**
+ [ Qu'est-ce qu'une API (interface de programmation d'applications) ? ](https://aws.amazon.com/what-is/api/)
+ [ Implémentation des microservices sur AWS](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/microservices-on-aws.html)
+ [ Compromis des microservices ](https://martinfowler.com/articles/microservice-trade-offs.html)
+ [ Microservices : une définition de ce nouveau terme architectural ](https://www.martinfowler.com/articles/microservices.html)
+ [ Microservices sur AWS](https://aws.amazon.com/microservices/)
+ [ Utilisation des extensions API Gateway pour OpenAPI ](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-swagger-extensions.html)
+ [ Spécification OpenAPI ](https://github.com/OAI/OpenAPI-Specification)
+ [ GraphQL : schémas et types ](https:/graphql.org/learn/schema)
+ [ Liaisons de code Amazon EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-schema-code-bindings.html)
**Exemples connexes :**
+ [ Amazon API Gateway : configuration d'une API REST à l'aide d'OpenAPI ](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-import-api.html)
+ [ Amazon API Gateway vers une application Amazon DynamoDB CRUD à l'aide d'OpenAPI ](https://serverlessland.com/patterns/apigw-ddb-openapi-crud?ref=search)
+ [ Modèles modernes d'intégration des applications à l'ère de l'informatique sans serveur : intégration des services API Gateway ](https://catalog.us-east-1.prod.workshops.aws/workshops/be7e1ee7-b91f-493d-93b0-8f7c5b002479/en-US/labs/asynchronous-request-response-poll/api-gateway-service-integration)
+ [ Implémentation de la gestion des versions API Gateway basée sur les en-têtes avec Amazon CloudFront ](https://aws.amazon.com/blogs/compute/implementing-header-based-api-gateway-versioning-with-amazon-cloudfront/)
+ [AWS AppSync : création d'une application client ](https://docs.aws.amazon.com/appsync/latest/devguide/building-a-client-app.html#aws-appsync-building-a-client-app)
**Vidéos connexes :**
+ [ Using OpenAPI in AWS SAM to manage API Gateway ](https://www.youtube.com/watch?v=fet3bh0QA80)
**Outils associés :**
+ [ Amazon API Gateway ](https://aws.amazon.com/api-gateway/)
+ [AWS AppSync](https://aws.amazon.com/appsync/)
+ [ Amazon EventBridge ](https://aws.amazon.com/eventbridge/)
# REL 4 Comment concevoir des interactions dans un système distribué pour éviter les défaillances ?
Les systèmes distribués s'appuient sur des réseaux de communication pour interconnecter des composants comme des serveurs ou des services. Votre charge de travail doit fonctionner de manière fiable malgré la perte de données ou la latence dans ces réseaux. Les composants du système distribué doivent fonctionner d'une manière qui n'a pas d'impact négatif sur les autres composants ou la charge de travail. Ces bonnes pratiques empêchent les défaillances et améliorent le temps moyen entre les défaillances (MTBF).
**Topics**
+ [REL04-BP01 Identifier le type de système distribué requis](rel_prevent_interaction_failure_identify.md)
+ [REL04-BP02 Implémenter des dépendances couplées faiblement](rel_prevent_interaction_failure_loosely_coupled_system.md)
+ [REL04-BP03 Effectuer un travail constant](rel_prevent_interaction_failure_constant_work.md)
+ [REL04-BP04 Rendre toutes les réponses idempotentes](rel_prevent_interaction_failure_idempotent.md)
# REL04-BP01 Identifier le type de système distribué requis
Les systèmes matériels distribués en temps réel exigent la fourniture des réponses de manière synchrone et rapide, alors que les systèmes en temps réel souples disposent d'une fenêtre de temps plus importante (en minutes ou plus). Les systèmes hors connexion gèrent les réponses via un traitement par lots ou asynchrone. Les systèmes matériels distribués en temps réel ont les exigences de fiabilité les plus strictes.
Les [problèmes les plus complexes inhérents aux systèmes distribués](https://aws.amazon.com/builders-library/challenges-with-distributed-systems/) concernent les systèmes distribués en temps réel stricts, également appelés services de requête/réponse. Ce qui les rend difficiles, c'est que les requêtes arrivent de façon imprévisible et que les réponses doivent être données rapidement (par exemple, le client attend activement la réponse). Les serveurs web front-end, le pipeline de commandes, les transactions par carte de crédit, chaque API AWS et la téléphonie en sont des exemples.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Identifiez le type de système distribué requis. Les défis posés par les systèmes distribués sont la latence, la mise à l'échelle, la compréhension des API de réseau, le regroupement et le dégroupement des données et la complexité des algorithmes tels que Paxos. Des cas jadis marginaux et théoriques deviennent monnaie courante au fur et à mesure que les systèmes deviennent de plus en plus grands et distribués.
+ [L'Amazon Builders' Library : défis liés aux systèmes distribués](https://aws.amazon.com/builders-library/challenges-with-distributed-systems/)
+ Des réponses données de manière synchrone et rapide sont nécessaires pour les systèmes matériels distribués en temps.
+ Les systèmes logiciels en temps réel ont un créneau de temps plus généreux de plusieurs minutes ou plus pour la réponse.
+ Les systèmes hors connexion gèrent les réponses via un traitement par lots ou asynchrone.
+ Les systèmes matériels distribués en temps réel ont les exigences de fiabilité les plus strictes.
## Ressources
**Documents connexes :**
+ [Amazon EC2 : garantir l'idempotence](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Run_Instance_Idempotency.html)
+ [L'Amazon Builders' Library : défis liés aux systèmes distribués](https://aws.amazon.com/builders-library/challenges-with-distributed-systems/)
+ [L'Amazon Builders' Library : fiabilité, travail constant et une bonne tasse de café](https://aws.amazon.com/builders-library/reliability-and-constant-work/)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Qu'est-ce que Amazon Simple Queue Service ?](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html)
**Vidéos connexes :**
+ [AWS New York Summit 2019: Intro to Event-driven Architectures and Amazon EventBridge (MAD205)](https://youtu.be/tvELVa9D9qU)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ARC337 (inclut un couplage faible, un travail constant et une stabilité statique)](https://youtu.be/O8xLxNje30M)
+ [AWS re:Invent 2019: Moving to event-driven architectures (SVS308)](https://youtu.be/h46IquqjF3E)
# REL04-BP02 Implémenter des dépendances couplées faiblement
Des dépendances telles que des systèmes de file d'attente, des systèmes de streaming, des flux de travail et des équilibreurs de charge sont couplées faiblement. Le couplage faible permet d'isoler le comportement d'un composant des autres composants qui en dépendent, ce qui augmente la résilience et l'agilité.
Si les modifications apportées à un composant forcent également d'autres composants qui s'appuient sur lui à changer *couplés* lâchement. *Le couplage lâche* rompt cette dépendance de sorte que les composants dépendants n'ont besoin que de connaître l'interface publiée et sa version. La mise en œuvre d'un couplage lâche entre les dépendances permet d'isoler une défaillance dans l'une afin de ne pas en impacter une autre.
Le couplage lâche permet également d'ajouter du code ou des fonctions supplémentaires à un composant tout en minimisant les risques pour les composants qui en dépendent. La capacité de mise à l'échelle est également améliorée, car vous pouvez augmenter ou même modifier l'implémentation sous-jacente de la dépendance.
Pour améliorer encore la résilience par un couplage lâche, dans la mesure du possible, rendez asynchrones les interactions des composants. Ce modèle convient à toute interaction qui ne nécessite pas besoin une réponse immédiate et pour laquelle une confirmation de l’enregistrement d'une requête suffira. Il implique un composant qui génère des événements et un autre qui les consomme. Les deux composants ne s'intègrent pas via une interaction directe point à point, mais généralement via une couche de stockage durable intermédiaire, telle qu'une file d'attente SQS ou une plateforme de données de streaming comme Amazon Kinesis ou AWS Step Functions.
![\[Diagramme affichant les dépendances telles que des systèmes de file d'attente et des équilibreurs de charge couplés faiblement\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/loosely-coupled-dependencies.png)
Les files d'attente Amazon SQS et les programmes Elastic Load Balancer ne sont que deux façons d'ajouter une couche intermédiaire pour un couplage lâche. Les architectures guidées par les événements peuvent également être conçues dans le AWS Cloud à l'aide d'Amazon EventBridge, qui peut extraire des clients (producteurs d'événements) des services sur lesquels ils s'appuient (clients d'événements). Amazon Simple Notification Service (Amazon SNS) est une solution efficace lorsque vous avez besoin d'une messagerie de type « many-to-many », à haut débit et en mode push. Grâce aux rubriques Amazon SNS, vos systèmes d'édition peuvent diffuser des messages vers un grand nombre de points de terminaison abonnés pour un traitement parallèle.
Bien que les files d'attente offrent plusieurs avantages, dans la plupart des systèmes en temps réel stricts, les requêtes antérieures à un seuil (souvent en secondes) sont considérées comme obsolètes (le client a abandonné et n'attend plus de réponse). En conséquence, elles ne sont pas traitées. De cette façon, les requêtes plus récentes (et probablement toujours valides) peuvent être traitées à la place.
**Anti-modèles courants :**
+ Déploiement d'un singleton dans le cadre d'une charge de travail.
+ Appel direct d'API entre les niveaux de charge de travail sans possibilité de basculement ou de traitement asynchrone de la demande.
**Avantages liés au respect de cette bonne pratique :** Le couplage faible permet d'isoler le comportement d'un composant des autres composants qui en dépendent, ce qui augmente la résilience et l'agilité. La défaillance d'un composant est isolée des autres.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Implémentez des dépendances couplées faiblement. Des dépendances telles que des systèmes de file d'attente, des systèmes de streaming, des flux de travail et des équilibreurs de charge sont couplées faiblement. Le couplage faible permet d'isoler le comportement d'un composant des autres composants qui en dépendent, ce qui augmente la résilience et l'agilité.
+ [AWS re:Invent 2019: Moving to event-driven architectures (SVS308)](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Qu'est-ce que Amazon Simple Queue Service ?](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html)
+ Amazon EventBridge vous permet de créer des architectures pilotées par les événements, qui sont faiblement couplées et distribuées.
+ [AWS New York Summit 2019: Intro to Event-driven Architectures and Amazon EventBridge (MAD205)](https://youtu.be/tvELVa9D9qU)
+ Si les changements apportés à un composant obligent les autres composants qui en dépendent à changer également, c'est qu'ils sont étroitement liés. Le couplage faible rompt cette dépendance de sorte que les composants de dépendance n'ont besoin que de connaître l'interface publiée et déclinée en version.
+ Rendez les interactions des composants aussi asynchrones que possible. Ce modèle convient à toute interaction qui n'a pas besoin d'une réponse immédiate et pour laquelle un accusé de réception indiquant qu'une demande a été enregistrée suffira.
+ [AWS re:Invent 2019: Scalable serverless event-driven applications using Amazon SQS and Lambda (API304)](https://youtu.be/2rikdPIFc_Q)
## Ressources
**Documents connexes :**
+ [AWS re:Invent 2019: Moving to event-driven architectures (SVS308)](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Amazon EC2 : garantir l'idempotence](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Run_Instance_Idempotency.html)
+ [L'Amazon Builders' Library : défis liés aux systèmes distribués](https://aws.amazon.com/builders-library/challenges-with-distributed-systems/)
+ [L'Amazon Builders' Library : fiabilité, travail constant et une bonne tasse de café](https://aws.amazon.com/builders-library/reliability-and-constant-work/)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Qu'est-ce que Amazon Simple Queue Service ?](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html)
**Vidéos connexes :**
+ [AWS New York Summit 2019: Intro to Event-driven Architectures and Amazon EventBridge (MAD205)](https://youtu.be/tvELVa9D9qU)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ARC337 (inclut un couplage faible, un travail constant et une stabilité statique)](https://youtu.be/O8xLxNje30M)
+ [AWS re:Invent 2019: Moving to event-driven architectures (SVS308)](https://youtu.be/h46IquqjF3E)
+ [AWS re:Invent 2019: Scalable serverless event-driven applications using Amazon SQS and Lambda (API304)](https://youtu.be/2rikdPIFc_Q)
# REL04-BP03 Effectuer un travail constant
Les systèmes peuvent échouer en cas de modifications importantes et rapides de la charge. Par exemple, si votre charge de travail effectue une surveillance de l'état de milliers de serveurs, elle doit envoyer chaque fois une charge utile de la même taille (un instantané complet de l'état actuel). Qu'aucun des serveurs ne présente de problème ou qu’ils en connaissent tous, le système de surveillance de l'état effectue un travail constant sans modifications importantes ni rapides.
Par exemple, si le système de vérification de l'état surveille 100 000 serveurs, la charge sur celui-ci est nominale sous le taux de défaillance normalement faible du serveur. En revanche, si un événement majeur rendait la moitié de ces serveurs défectueux, le système de vérification de l'état serait submergé en tentant de mettre à jour les systèmes de notification et de communiquer l'état à ses clients. Le système de vérification de l'état doit donc plutôt envoyer à chaque fois l'instantané complet de l'état actuel. 100 000 états d'intégrité du serveur, chacun représenté par un bit, ne seraient qu'une charge utile de 12,5 Ko. Qu'aucun des serveurs ne présente de problème ou qu'ils en connaissent tous, le système de vérification de l'état effectue un travail constant, et les modifications importantes et rapides ne menacent pas la stabilité du système. C'est ainsi qu'Amazon Route 53 gère les vérifications de l'état des points de terminaison (tels que les adresses IP) pour déterminer comment les utilisateurs finaux sont acheminés vers eux.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Effectuer un travail constant : les systèmes peuvent échouer lorsque la charge connaît des changements rapides et importants.
+ Implémentez des dépendances couplées faiblement. Des dépendances telles que des systèmes de file d'attente, des systèmes de streaming, des flux de travail et des équilibreurs de charge sont couplées faiblement. Le couplage faible permet d'isoler le comportement d'un composant des autres composants qui en dépendent, ce qui augmente la résilience et l'agilité.
+ [L'Amazon Builders' Library : fiabilité, travail constant et une bonne tasse de café](https://aws.amazon.com/builders-library/reliability-and-constant-work/)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ARC337 (includes constant work)](https://youtu.be/O8xLxNje30M?t=2482)
+ Pour l'exemple d'un système de vérification de l'état surveillant 100 000 serveurs, concevez les charges de travail de manière à ce que les tailles de charge utile restent constantes, quel que soit le nombre de réussites ou d'échecs.
## Ressources
**Documents connexes :**
+ [Amazon EC2 : garantir l'idempotence](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Run_Instance_Idempotency.html)
+ [L'Amazon Builders' Library : défis liés aux systèmes distribués](https://aws.amazon.com/builders-library/challenges-with-distributed-systems/)
+ [L'Amazon Builders' Library : fiabilité, travail constant et une bonne tasse de café](https://aws.amazon.com/builders-library/reliability-and-constant-work/)
**Vidéos connexes :**
+ [AWS New York Summit 2019: Intro to Event-driven Architectures and Amazon EventBridge (MAD205)](https://youtu.be/tvELVa9D9qU)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ARC337 (includes constant work)](https://youtu.be/O8xLxNje30M?t=2482)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ARC337 (inclut un couplage faible, un travail constant et une stabilité statique)](https://youtu.be/O8xLxNje30M)
+ [AWS re:Invent 2019: Moving to event-driven architectures (SVS308)](https://youtu.be/h46IquqjF3E)
# REL04-BP04 Rendre toutes les réponses idempotentes
Un service idempotent promet que chaque demande est traitée une seule fois et exactement de la même façon, de sorte que l'exécution de plusieurs demandes identiques ait le même effet qu'une seule demande. Un service idempotent permet à un client d'implémenter plus facilement les nouvelles tentatives sans craindre qu'une demande soit traitée plusieurs fois par erreur. Pour ce faire, les clients peuvent émettre des demandes d'API avec un jeton d'idempotence. Le même jeton est utilisé chaque fois que la demande est répétée. Une API de service idempotente utilise le jeton pour renvoyer une réponse identique à la réponse qui a été renvoyée la première fois que la demande a été traitée.
Dans un système distribué, il est facile d'effectuer une action au maximum une fois (le client n'effectue qu'une seule demande) ou au moins une fois (continuer à demander jusqu'à ce que le client reçoive la confirmation de la réussite). En revanche, il est difficile de garantir qu'une action est idempotente, c'est-à-dire exécutée une *seule* fois, de sorte que l'exécution de plusieurs demandes identiques a le même effet qu'une seule demande. En utilisant des jetons d'idempotence dans les API, les services peuvent recevoir une demande de mutation une ou plusieurs fois sans créer d'enregistrements dupliqués ou induire des effets secondaires.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Rendez toutes les réponses idempotentes. Un service idempotent promet que chaque demande est traitée une seule fois et exactement de la même façon, de sorte que l'exécution de plusieurs demandes identiques ait le même effet qu'une seule demande.
+ Les clients peuvent émettre des demandes d'API avec un jeton d'idempotence. Le même jeton est utilisé chaque fois que la demande est répétée. Une API de service idempotente utilise le jeton pour renvoyer une réponse identique à la réponse qui a été renvoyée la première fois que la demande a été traitée.
+ [Garantir l'idempotence Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Run_Instance_Idempotency.html)
## Ressources
**Documents connexes :**
+ [Garantir l'idempotence Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Run_Instance_Idempotency.html)
+ [L'Amazon Builders' Library : défis liés aux systèmes distribués](https://aws.amazon.com/builders-library/challenges-with-distributed-systems/)
+ [L'Amazon Builders' Library : fiabilité, travail constant et une bonne tasse de café](https://aws.amazon.com/builders-library/reliability-and-constant-work/)
**Vidéos connexes :**
+ [AWS New York Summit 2019: Intro to Event-driven Architectures and Amazon EventBridge (MAD205)](https://youtu.be/tvELVa9D9qU)
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ARC337 (inclut un couplage faible, un travail constant et une stabilité statique)](https://youtu.be/O8xLxNje30M)
+ [AWS re:Invent 2019: Moving to event-driven architectures (SVS308)](https://youtu.be/h46IquqjF3E)
# REL 5 Comment concevoir des interactions dans un système distribué pour atténuer ou résister aux défaillances ?
Les systèmes distribués s'appuient sur des réseaux de communication pour interconnecter des composants (tels que des serveurs ou des services). Votre charge de travail doit fonctionner de manière fiable malgré la perte de données ou la latence sur ces réseaux. Les composants du système distribué doivent fonctionner d'une manière qui n'a pas d'impact négatif sur les autres composants ou la charge de travail. Ces bonnes pratiques permettent aux charges de travail de résister aux contraintes ou aux défaillances, de s'en remettre plus rapidement et d'atténuer l'impact de ces déficiences. Il en résulte une amélioration du temps moyen de récupération (MTTR).
**Topics**
+ [REL05-BP01 Implémenter une dégradation appropriée pour transformer les dépendances matérielles applicables en dépendances logicielles](rel_mitigate_interaction_failure_graceful_degradation.md)
+ [REL05-BP02 Limiter les demandes](rel_mitigate_interaction_failure_throttle_requests.md)
+ [REL05-BP03 Contrôler et limiter les appels de nouvelle tentative](rel_mitigate_interaction_failure_limit_retries.md)
+ [REL05-BP04 Procéder à une interruption immédiate et limiter les files d'attente](rel_mitigate_interaction_failure_fail_fast.md)
+ [REL05-BP05 Définir les délais d'attente du client](rel_mitigate_interaction_failure_client_timeouts.md)
+ [REL05-BP06 Rendre les services sans état dans la mesure du possible](rel_mitigate_interaction_failure_stateless.md)
+ [REL05-BP07 Mettre en place des leviers d'urgence](rel_mitigate_interaction_failure_emergency_levers.md)
# REL05-BP01 Implémenter une dégradation appropriée pour transformer les dépendances matérielles applicables en dépendances logicielles
Les composants de l'application doivent continuer à exécuter leur fonction principale même si les dépendances deviennent indisponibles. Ils peuvent fournir des données légèrement obsolètes, des données alternatives ou même aucune donnée. Cela garantit que le fonctionnement global du système n'est que très peu entravé par des défaillances localisées tout en fournissant une valeur commerciale centrale.
**Résultat souhaité :** Lorsque les dépendances d'un composant ne sont pas saines, le composant lui-même peut continuer de fonctionner, bien que de manière dégradée. Les modes de défaillance des composants doivent être considérés comme un fonctionnement normal. Les flux de travail doivent être conçus de manière à ce que ces défaillances n'aboutissent pas à une défaillance complète ou qu'elles aboutissent au moins à des états prévisibles et récupérables.
**Anti-modèles courants :**
+ Ne pas identifier les fonctionnalités métier essentielles nécessaires. Ne pas tester le fonctionnement des composants, même en cas de défaillance des dépendances.
+ Aucune donnée n'est diffusée en cas d'erreur ou lorsqu'une seule dépendance parmi plusieurs n'est pas disponible et que des résultats partiels peuvent toujours être renvoyés.
+ Création d'un état incohérent lorsqu'une transaction échoue partiellement.
+ Ne pas disposer d'un autre moyen d'accéder à un magasin de paramètres central.
+ Invalider ou vider l'état local à la suite d'un échec d'actualisation sans prendre en compte les conséquences d'une telle opération.
**Avantages liés au respect de cette bonne pratique :** une dégradation progressive améliore la disponibilité du système dans son ensemble et maintient la fonctionnalité des fonctions les plus importantes même en cas de panne.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
La mise en œuvre d'une dégradation progressive permet de minimiser l'impact des défaillances de dépendance sur le fonctionnement des composants. Idéalement, un composant détecte les défaillances liées aux dépendances et les contourne de manière à avoir un impact minimal sur les autres composants ou les clients.
L'architecture permettant une dégradation progressive implique de prendre en compte les modes de défaillance potentiels lors de la conception des dépendances. Pour chaque mode de défaillance, déterminez un moyen de fournir la plupart des fonctionnalités, ou les plus critiques d'entre elles, du composant aux appelants ou aux clients. Ces considérations peuvent devenir des exigences supplémentaires qui peuvent être testées et vérifiées. Idéalement, un composant est capable d'exécuter sa fonction principale de manière acceptable, même en cas de défaillance d'une ou de plusieurs dépendances.
Il s'agit tout autant d'une discussion commerciale que technique. Toutes les exigences commerciales sont importantes et doivent être satisfaites dans la mesure du possible. Cependant, il est tout de même logique de se demander ce qui doit se passer lorsque toutes les exigences ne peuvent pas être satisfaites. Un système peut être conçu pour être disponible et cohérent, mais lorsqu'une exigence doit être supprimée, laquelle est la plus importante ? Pour le traitement des paiements, il peut s'agir de la cohérence. Pour une application en temps réel, il peut s'agir de la disponibilité. Pour un site Web orienté client, la réponse peut dépendre des attentes du client.
Ce que cela signifie dépend des exigences du composant et de ce qui doit être considéré comme sa fonction principale. Par exemple :
+ un site Web d'e-commerce peut afficher des données provenant de plusieurs systèmes différents, par exemple des recommandations personnalisées, les produits les mieux classés et l'état des commandes des clients sur la page de destination. Lorsqu'un système en amont est défaillant, il est tout de même judicieux d'afficher tout le reste au lieu d'afficher une page d'erreur à un client.
+ Un composant effectuant des écritures par lots peut toujours continuer à traiter un lot si l'une des opérations individuelles échoue. La mise en œuvre d'un mécanisme de nouvelle tentative doit être simple. Cela peut être fait en renvoyant à l'appelant des informations indiquant quelles opérations ont réussi, lesquelles ont échoué et pourquoi elles ont échoué, ou en plaçant les demandes ayant échoué dans une file d'attente de lettres mortes pour implémenter des tentatives asynchrones. Les informations relatives aux opérations ayant échoué doivent également être consignées.
+ Un système qui traite les transactions doit vérifier que toutes les mises à jour individuelles sont exécutées ou qu'aucune d'entre elles ne l'est. Pour les transactions distribuées, le modèle Saga peut être utilisé pour annuler les opérations précédentes en cas d'échec d'une opération ultérieure de la même transaction. Ici, la fonction principale est de maintenir la cohérence.
+ Les systèmes soumis à des contraintes de temps doivent être en mesure de gérer les dépendances qui ne répondent pas en temps voulu. Dans ces cas de figure, le modèle du disjoncteur peut être utilisé. Lorsque les réponses d'une dépendance commencent à expirer, le système peut passer à un état fermé où aucun appel supplémentaire n'est effectué.
+ Une application peut lire des paramètres à partir d'un magasin de paramètres. Il peut être utile de créer des images de conteneur avec un ensemble de paramètres par défaut et de les utiliser si le magasin de paramètres n'est pas disponible.
Notez que les chemins empruntés en cas de défaillance d'un composant doivent être testés et doivent être nettement plus simples que le chemin principal. D'une manière générale, [les stratégies de repli doivent être évitées](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems/).
## Étapes d'implémentation
Identifiez les dépendances externes et internes. Déterminez quels types de défaillances peuvent y survenir. Réfléchissez à des moyens de minimiser l'impact négatif sur les systèmes en amont et en aval, ainsi que sur les clients lors de ces défaillances.
Vous trouverez ci-dessous une liste des dépendances et la manière de les dégrader de façon appropriée en cas d'échec :
1. **Défaillance partielle des dépendances :** un composant peut adresser plusieurs demandes à des systèmes en aval, soit sous la forme de demandes multiples adressées à un système, soit sous celle d'une demande adressée à plusieurs systèmes. Selon le contexte métier, différentes méthodes de gestion peuvent être appropriées (pour plus de détails, voir les exemples précédents dans le guide de mise en œuvre).
1. **Un système en aval est incapable de traiter les demandes en raison d'une charge élevée :** si les demandes adressées à un système en aval échouent régulièrement, il n'est pas logique de continuer à réessayer. Cela peut créer une charge supplémentaire sur un système déjà surchargé et rendre la récupération plus difficile. Le modèle du disjoncteur peut être utilisé ici afin de surveiller les appels en échec vers un système en aval. Si un grand nombre d'appels échouent, il cessera d'envoyer d'autres demandes au système en aval et n'autorisera les appels qu'occasionnellement pour vérifier si le système en aval est à nouveau disponible.
1. **Un magasin de paramètres n'est pas disponible :** pour transformer un magasin de paramètres, vous pouvez utiliser la mise en cache des dépendances souples ou des valeurs par défaut saines incluses dans les images de conteneur ou de machine. Notez que ces valeurs par défaut doivent être tenues à jour et incluses dans les suites de tests.
1. **Aucun service de surveillance ou aucune autre dépendance non fonctionnelle n'est disponible :** si un composant ne peut pas envoyer par intermittence des journaux, des métriques ou des traces à un service de surveillance central, il est souvent préférable de continuer à exécuter les fonctions métier comme d'habitude. Il est souvent inacceptable de ne pas enregistrer ni de pousser des métriques pendant une longue période. En outre, certains cas d'utilisation peuvent nécessiter des entrées d'audit complètes pour répondre aux exigences de conformité.
1. **Une instance principale d'une base de données relationnelle n'est peut-être pas disponible :** Amazon Relational Database Service, comme presque toutes les bases de données relationnelles, ne peut comporter qu'une seule instance d'écriture principale. Cela crée un point de défaillance unique pour les charges de travail d'écriture et complique la mise à l'échelle. Ce problème peut être partiellement atténué en utilisant une configuration multi-AZ pour une haute disponibilité ou Amazon Aurora sans serveur pour une meilleure évolutivité. Pour des exigences de très haute disponibilité, il peut être judicieux de ne pas se fier du tout au rédacteur principal. Pour les requêtes qui se limitent à la lecture, des répliques de lecture peuvent être utilisées, ce qui assure la redondance et la possibilité d'une mise à l'échelle, et pas seulement d'une augmentation. Les écritures peuvent être mises en mémoire tampon, par exemple dans une file d'attente Amazon Simple Queue Service, afin que les demandes d'écriture des clients puissent toujours être acceptées même si le serveur principal est temporairement indisponible.
## Ressources
**Documents connexes :**
+ [Amazon API Gateway : limiter les demandes d'API pour un meilleur débit](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-request-throttling.html)
+ [Coupe-circuit (présentation du coupe-circuit, ouvrage « Release It\$1 »)](https://martinfowler.com/bliki/CircuitBreaker.html)
+ [Nouvelles tentatives après erreur et interruptions exponentielles dans AWS](https://docs.aws.amazon.com/general/latest/gr/api-retries.html)
+ [Michael Nygard « Release It\$1 Design and Deploy Production-Ready Software »](https://pragprog.com/titles/mnee2/release-it-second-edition/)
+ [L'Amazon Builders' Library : éviter le basculement dans les systèmes distribués](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems)
+ [L'Amazon Builders' Library : éviter les retards de file d'attente insurmontables](https://aws.amazon.com/builders-library/avoiding-insurmountable-queue-backlogs)
+ [L'Amazon Builders' Library : défis et stratégies de mise en cache](https://aws.amazon.com/builders-library/caching-challenges-and-strategies/)
+ [L'Amazon Builders' Library : délais d'attente, nouvelles tentatives et backoff avec instabilité](https://aws.amazon.com/builders-library/timeouts-retries-and-backoff-with-jitter/)
**Vidéos connexes :**
+ [Retry, backoff, and jitter: AWS re:Invent 2019: Introducing The Amazon Builders' Library (DOP328)](https://youtu.be/sKRdemSirDM?t=1884)
**Exemples connexes :**
+ [Atelier Well-Architected : niveau 300 : implémentation de la surveillance de l'état et gestion des dépendances pour améliorer la fiabilité](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL05-BP02 Limiter les demandes
Limitez les demandes pour atténuer l'épuisement des ressources en cas d'augmentation imprévue de la demande. Les demandes inférieures à la limite sont traitées tandis que celles dépassant la limite définie sont rejetées et présentent un message de retour indiquant que la demande a dépassé la limite.
**Résultat souhaité :** les pics de volume importants, qu'ils soient dus à une augmentation soudaine du trafic client, à des inondations ou à des tempêtes de nouvelles tentatives, sont atténués par la limitation des demandes, ce qui permet aux charges de travail de poursuivre le traitement normal du volume de demandes pris en charge.
**Anti-modèles courants :**
+ Les limitations des points de terminaison de l'API ne sont pas implémentées ou leurs valeurs par défaut sont conservées sans tenir compte des volumes attendus.
+ Les points de terminaison de l'API ne sont pas testés en termes de charge ou les limites de régulation ne sont pas testées.
+ Limiter les taux de demandes sans tenir compte de la taille ou de la complexité des demandes.
+ Tester les taux de demande maximaux ou la taille maximale des demandes, mais pas les deux simultanément.
+ Les ressources ne sont pas provisionnées selon les mêmes limites établies lors des tests.
+ Aucun plan d'utilisation n'a été configuré ni envisagé pour les utilisateurs d'API d'application à application (A2A).
+ Les utilisateurs de files d'attente qui redimensionnent horizontalement ne disposent pas de paramètres de simultanéité maximaux configurés.
+ La limitation du débit par adresse IP n'a pas été mise en œuvre.
**Avantages liés au respect de cette bonne pratique :** Les charges de travail qui fixent des limites peuvent fonctionner normalement et traiter correctement le chargement des demandes acceptées en cas de pics de volume inattendus. Les pics soudains ou soutenus de demandes adressées aux API et aux files d'attente sont limités et n'épuisent pas les ressources de traitement des demandes. Les limites de débit limitent les requêtes individuelles afin que les volumes élevés de trafic provenant d'une seule adresse IP ou d'un seul utilisateur d'API n'épuisent pas les ressources et n'aient pas d'impact sur les autres consommateurs.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Les services doivent être conçus pour traiter une capacité connue de demandes ; cette capacité peut être établie par des tests de charge. Si les taux d'arrivée des demandes dépassent les limites, la réponse appropriée indique qu'une demande a été limitée. Cela permet au consommateur de gérer l'erreur et de réessayer ultérieurement.
Lorsque votre service nécessite une implémentation de limitation, pensez à implémenter l'algorithme du compartiment à jetons, dans lequel un jeton compte pour une demande. Les jetons sont rechargés à une vitesse limitée par seconde et vidés de manière asynchrone à raison d'un jeton par demande.
![\[Schéma décrivant l'algorithme du compartiment à jetons.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/token-bucket-algorithm.png)
[Amazon API Gateway](https://aws.amazon.com/api-gateway/) implémente l'algorithme du compartiment à jetons en fonction des limites du compte et de la région et il peut être configuré par client avec des plans d'utilisation. En outre, [Amazon Simple Queue Service (Amazon SQS)](https://aws.amazon.com/sqs/) et [Amazon Kinesis](https://aws.amazon.com/kinesis/) peuvent mettre en mémoire tampon les demandes afin de lisser le taux de demandes et de permettre des taux de limitation plus élevés pour les demandes pouvant être traitées. Enfin, vous pouvez implémenter la limitation du débit avec [AWS WAF](https://aws.amazon.com/waf/) afin de limiter les utilisateurs d'API spécifiques qui génèrent une charge anormalement élevée.
## Étapes d'implémentation
Vous pouvez configurer API Gateway avec des limites de régulation pour vos API et retourner `des erreurs 429 Demandes trop nombreuses` lorsque les limites sont dépassées. Vous pouvez utiliser AWS WAF avec vos points de terminaison API Gateway et AWS AppSync pour activer la limitation du débit par adresse IP. En outre, lorsque votre système peut tolérer un traitement asynchrone, vous pouvez placer les messages dans une file d'attente ou un flux pour accélérer les réponses aux clients du service, ce qui vous permet d'atteindre des taux d'accélération plus élevés.
Avec le traitement asynchrone, lorsque vous avez configuré Amazon SQS en tant que source d'événements pourAWS Lambda, vous pouvez [configurer la simultanéité maximale](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-max-concurrency) afin d'éviter que des taux d'événements élevés n'épuisent le quota d'exécution simultanée disponible du compte requis pour d'autres services de votre charge de travail ou de votre compte.
Bien qu'API Gateway propose une implémentation gérée du compartiment à jetons, lorsque vous ne pouvez pas utiliserAPI Gateway, vous pouvez tirer parti des implémentations open source spécifiques à la langue (voir les exemples associés dans Ressources) du compartiment à jetons pour vos services.
+ Comprenez et configurez [les limitations API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-request-throttling.html) au niveau du compte par région, de l'API par étape et de la clé d'API par niveau de plan d'utilisation.
+ Appliquez [les règles de limitation de débit AWS WAF](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/) vers les points de terminaison API Gateway et AWS AppSync pour vous protéger contre les inondations et bloquer les adresses IP malveillantes. Les règles de limitation de débit peuvent également être configurées sur les clés d'API AWS AppSync pour les consommateurs A2A.
+ Déterminez si vous avez besoin d'un contrôle plus limitant qu'une limitation du débit pour les API AWS AppSync et, si c'est le cas, configurez un API Gateway devant votre point de terminaison AWS AppSync.
+ Lorsque des files d'attente Amazon SQS sont configurées comme déclencheurs pour les utilisateurs de files d'attente Lambda, définissez [la simultanéité maximale](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-max-concurrency) sur une valeur capable d'effectuer un traitement suffisant pour vous permettre d'atteindre vos objectifs de niveau de service sans pour autant dépasser les limites de simultanéité affectant les autres fonctions Lambda. Envisagez de définir une concurrence réservée pour d'autres fonctions Lambda du même compte et de la même région lorsque vous utilisez des files d'attente avec Lambda.
+ Utilisez API Gateway avec des intégrations de services natives vers Amazon SQS ou Kinesis pour mettre des demandes en mémoire tampon.
+ Si vous ne pouvez pas utiliser API Gateway, examinez les bibliothèques spécifiques à la langue pour implémenter l'algorithme de compartiment à jetons adapté à votre charge de travail. Consultez la section des exemples et faites vos propres recherches pour trouver une bibliothèque appropriée.
+ Testez les limites que vous envisagez de définir ou d'autoriser à augmenter, et documentez les limites testées.
+ N'augmentez pas les limites au-delà de ce que vous avez établi lors des tests. Lorsque vous augmentez une limite, vérifiez que les ressources provisionnées sont déjà équivalentes ou supérieures à celles des scénarios de test avant d'appliquer l'augmentation.
## Ressources
**Bonnes pratiques associées :**
+ [REL04-BP03 Effectuer un travail constant](rel_prevent_interaction_failure_constant_work.md)
+ [REL05-BP03 Contrôler et limiter les appels de nouvelle tentative](rel_mitigate_interaction_failure_limit_retries.md)
**Documents connexes :**
+ [Amazon API Gateway : limiter les demandes d'API pour un meilleur débit](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-request-throttling.html)
+ [AWS WAF : déclaration de règle basée sur le débit ](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html)
+ [ Introduction d'une simultanéité maximale de AWS Lambda en utilisant Amazon SQS comme source d'événements ](https://aws.amazon.com/blogs/compute/introducing-maximum-concurrency-of-aws-lambda-functions-when-using-amazon-sqs-as-an-event-source/)
+ [AWS Lambda : simultanéité maximale ](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-max-concurrency)
**Exemples connexes :**
+ [ Les trois principales règles AWS WAF basées sur le débit ](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/)
+ [ Bucket4j Java ](https://github.com/bucket4j/bucket4j)
+ [ Jeton-compartiment Python ](https://pypi.org/project/token-bucket/)
+ [ Nœud jeton-compartiment ](https://www.npmjs.com/package/tokenbucket)
+ [ Limitation du débit de threading du système .NET ](https://www.nuget.org/packages/System.Threading.RateLimiting)
**Vidéos connexes :**
+ [ Implementing GraphQL API security best practices with AWS AppSync](https://www.youtube.com/watch?v=1ASMLeJ_15U)
**Outils associés :**
+ [ Amazon API Gateway ](https://aws.amazon.com/api-gateway/)
+ [AWS AppSync](https://aws.amazon.com/appsync/)
+ [ Amazon SQS ](https://aws.amazon.com/sqs/)
+ [ Amazon Kinesis ](https://aws.amazon.com/kinesis/)
+ [AWS WAF](https://aws.amazon.com/waf/)
# REL05-BP03 Contrôler et limiter les appels de nouvelle tentative
Utilisez le backoff exponentiel pour relancer les demandes à des intervalles de plus en plus longs entre chaque nouvelle tentative. Introduisez un décalage entre les tentatives afin de randomiser les intervalles entre les tentatives. Limitez le nombre maximal de tentatives.
**Résultat souhaité :** les composants types d'un système logiciel distribué incluent les serveurs, les équilibreurs de charge, les bases de données et les serveurs DNS. Pendant le fonctionnement normal, ces composants peuvent répondre aux demandes par des erreurs temporaires ou limitées, ainsi que par des erreurs qui persisteraient indépendamment des nouvelles tentatives. Lorsque des clients adressent des demandes à des services, celles-ci consomment des ressources, notamment de la mémoire, des threads, des connexions, des ports ou toute autre ressource limitée. Le contrôle et la limitation des nouvelles tentatives constituent une stratégie visant à libérer et à minimiser la consommation de ressources afin que les composants du système soumis à des contraintes ne soient pas surchargés.
Lorsque le client demande une expiration du délai ou reçoit des réponses d'erreur, il doit décider de réessayer ou non. S'il recommence, il le fait avec un backoff exponentiel avec une instabilité et une valeur de nouvelle tentative maximale. Par conséquent, les services et processus back-end sont moins sollicités et le temps nécessaire pour s'autoréparer est réduit, ce qui se traduit par une récupération plus rapide et un traitement efficace des demandes.
**Anti-modèles courants :**
+ Implémentation de nouvelles tentatives sans ajouter de valeurs de backoff exponentiel, d'instabilité et de nouvelles tentatives maximales. Le backoff et l'instabilité permettent d'éviter les pics de trafic artificiels dus à des tentatives involontaires coordonnées à intervalles réguliers.
+ Implémentation de nouvelles tentatives sans tester leurs effets ou en supposant que les nouvelles tentatives sont déjà intégrées dans un kit SDK sans tester de scénarios de nouvelles tentatives.
+ Incapacité à comprendre les codes d'erreur publiés à partir des dépendances, ce qui entraîne une nouvelle tentative pour toutes les erreurs, y compris celles dont la cause claire indique un manque d'autorisation, une erreur de configuration ou toute autre condition qui, comme on pouvait s'y attendre, ne sera pas résolue sans intervention manuelle.
+ Ne pas aborder les pratiques d'observabilité, notamment la surveillance et l'envoi d'alertes en cas de pannes de service répétées afin que les problèmes sous-jacents soient connus et puissent être résolus.
+ Développement de mécanismes de nouvelle tentative personnalisés lorsque des fonctionnalités de nouvelle tentative intégrées ou tierces suffisent.
+ Réessayer à plusieurs couches de votre pile d'applications d'une manière qui complique les nouvelles tentatives et augmente la consommation de ressources lors d'une tempête de nouvelles tentatives. Assurez-vous de comprendre comment ces erreurs affectent votre application et les dépendances sur lesquelles vous vous appuyez, puis implémentez les nouvelles tentatives à un seul niveau.
+ Réessayer les appels de service qui ne sont pas idempotents, ce qui peut entraîner des effets secondaires inattendus tels que des résultats dupliqués.
**Avantages liés au respect de cette bonne pratique :** les nouvelles tentatives aident les clients à obtenir les résultats souhaités lorsque les requêtes échouent, mais elles font également perdre plus de temps au serveur pour obtenir les réponses souhaitées. Lorsque les défaillances sont rares ou transitoires, les nouvelles tentatives fonctionnent bien. Lorsque les défaillances sont causées par une surcharge de ressources, les nouvelles tentatives peuvent aggraver la situation. L'ajout d'un backoff exponentiel avec instabilité aux nouvelles tentatives des clients permet aux serveurs de se rétablir en cas de défaillance provoquée par une surcharge de ressources. L'instabilité permet d'éviter l'alignement des demandes en pics, tandis que le backoff réduit l'escalade de charge provoquée par l'ajout de nouvelles tentatives au chargement normal des demandes. Enfin, il est important de configurer un nombre maximal de nouvelles tentatives ou un temps écoulé afin d'éviter de créer des backlogs susceptibles d'entraîner des échecs métastables.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Contrôler et limiter les appels de nouvelle tentative. Utilisez le backoff exponentiel pour réessayer après des intervalles progressivement plus longs. Introduisez l'instabilité pour randomiser les intervalles de nouvelle tentative et limiter le nombre maximal de nouvelles tentatives.
Les kits AWS SDK implémentent les nouvelles tentatives et le backoff exponentiel par défaut. Utilisez ces implémentations AWS intégrées là où cela s'avère nécessaire dans votre charge de travail. Implémentez une logique similaire dans votre charge de travail lorsque vous appelez des services qui sont idempotents et où les nouvelles tentatives améliorent la disponibilité de vos clients. Déterminez quels sont les délais d'expiration et quand les nouvelles tentatives doivent s'arrêter en fonction de votre cas d'utilisation. Créez et mettez en pratique des scénarios de test pour ces cas d'utilisation impliquant de nouvelles tentatives.
## Étapes d'implémentation
+ Déterminez la couche optimale de votre pile d'applications pour implémenter de nouvelles tentatives pour les services sur lesquels repose votre application.
+ Soyez conscient des SDK existants qui mettent en œuvre des stratégies de nouvelle tentative éprouvées avec un backoff exponentiel et une instabilité pour la langue de votre choix, et privilégiez-les par rapport à l'écriture de vos propres implémentations de nouvelles tentatives.
+ Vérifiez que [les services sont idempotents](https://aws.amazon.com/builders-library/making-retries-safe-with-idempotent-APIs/) avant de mettre en œuvre de nouvelles tentatives. Une fois les nouvelles tentatives mises en œuvre, assurez-vous qu'elles sont à la fois testées et régulièrement mises en œuvre en production.
+ Lorsque vous appelez des API de service AWS, utilisez les [kits AWS SDK](https://docs.aws.amazon.com/sdkref/latest/guide/feature-retry-behavior.html) et [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-retries.html) et comprenez les options de configuration d'une nouvelle tentative. Déterminez si les valeurs par défaut conviennent à votre cas d'utilisation, testez-les et ajustez-les si nécessaire.
## Ressources
**Bonnes pratiques associées :**
+
+ [REL05-BP02 Limiter les demandes](rel_mitigate_interaction_failure_throttle_requests.md)
+ [REL05-BP04 Procéder à une interruption immédiate et limiter les files d'attente](rel_mitigate_interaction_failure_fail_fast.md)
+ [REL05-BP05 Définir les délais d'attente du client](rel_mitigate_interaction_failure_client_timeouts.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
**Documents connexes :**
+ [Nouvelles tentatives après erreur et backoff exponentiel dans AWS](https://docs.aws.amazon.com/general/latest/gr/api-retries.html)
+ [Amazon Builders' Library : délais d'attente, nouvelles tentatives et backoff avec instabilité](https://aws.amazon.com/builders-library/timeouts-retries-and-backoff-with-jitter/)
+ [ Backoff exponentiel et instabilité ](https://aws.amazon.com/blogs/architecture/exponential-backoff-and-jitter/)
+ [ Sécuriser les nouvelles tentatives avec des API idempotentes ](https://aws.amazon.com/builders-library/making-retries-safe-with-idempotent-APIs/)
**Exemples connexes :**
+ [ Nouvelle tentative Spring ](https://github.com/spring-projects/spring-retry)
+ [ Nouvelle tentative Resilience4j ](https://resilience4j.readme.io/docs/retry)
**Vidéos connexes :**
+ [Retry, backoff, and jitter: AWS re:Invent 2019: Introducing The Amazon Builders' Library (DOP328)](https://youtu.be/sKRdemSirDM?t=1884)
**Outils associés :**
+ [ Kits AWS SDK et outils : comportement en cas de nouvelle tentative ](https://docs.aws.amazon.com/sdkref/latest/guide/feature-retry-behavior.html)
+ [AWS Command Line Interface : nouvelles tentatives AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-retries.html)
# REL05-BP04 Procéder à une interruption immédiate et limiter les files d'attente
Lorsqu'un service n'est pas en mesure de répondre correctement à une demande, procédez à son interruption immédiate. Cela permet la libération des ressources associées à une demande et donne la possibilité au service de récupérer s'il lui manque des ressources. L'interruption immédiate est un modèle de conception logicielle bien établi qui peut être exploité pour créer des charges de travail hautement fiables dans le cloud. La mise en file d'attente est également un modèle d'intégration d'entreprise bien établi qui permet de faciliter le chargement et de permettre aux clients de libérer des ressources lorsque le traitement asynchrone peut être toléré. Lorsqu'un service est capable de répondre correctement dans des conditions normales, mais échoue lorsque le taux de demandes est trop élevé, utilisez une file d'attente pour mettre les demandes en mémoire tampon. Toutefois, ne permettez pas l'accumulation de longs backlogs de files d'attente susceptibles d'entraîner le traitement de demandes obsolètes auxquelles un client a déjà renoncé.
**Résultat souhaité :** lorsque les systèmes sont confrontés à des problèmes de ressources, à des dépassements de délai, à des exceptions ou à des pannes grises qui rendent les objectifs de niveau de service irréalisables, les stratégies d'interruption immédiate permettent d'accélérer la récupération du système. Les systèmes qui doivent absorber les pics de trafic et peuvent prendre en charge le traitement asynchrone peuvent améliorer la fiabilité en permettant aux clients de lancer rapidement des demandes grâce à l'utilisation des files d'attente pour mettre en mémoire tampon les demandes envoyées aux services back-end. Lors de la mise en mémoire tampon des demandes dans des files d'attente, des stratégies de gestion des files d'attente sont mises en œuvre pour éviter des backlogs insurmontables.
**Anti-modèles courants :**
+ Mise en œuvre de files de messages sans configurer de files d'attente de lettres mortes (DLQ) ni d'alarmes sur les volumes DLQ pour détecter les défaillances d'un système.
+ Il ne s'agit pas de mesurer l'ancienneté des messages dans une file d'attente, mais de mesurer la latence pour comprendre quand les utilisateurs prennent du retard ou si des erreurs entraînent de nouvelles tentatives.
+ Conservation des messages en attente dans une file d'attente, alors qu'il n'est plus utile de traiter ces messages si l'entreprise n'en a plus besoin.
+ La configuration de files d'attente du premier entré, premier sorti (FIFO) au moment du dernier entré, premier sorti (LIFO) permettrait de mieux répondre aux besoins des clients, par exemple lorsqu'un ordre strict n'est pas requis et que le traitement du backlog retarde toutes les nouvelles demandes urgentes, ce qui entraîne une violation des niveaux de service pour tous les clients.
+ Exposition des files d'attente internes aux clients au lieu d'exposer les API qui gèrent la prise de travail et placent les demandes dans les files d'attente internes.
+ La combinaison d'un trop grand nombre de types de demandes de travail dans une seule file d'attente peut aggraver les problèmes de backlog en répartissant la demande de ressources entre les types de demandes.
+ Traitement de demandes complexes et simples dans la même file d'attente, malgré la nécessité d'une surveillance, de délais d'expiration et d'allocations de ressources différents.
+ Absence de validation des entrées ou utilisation des assertions pour implémenter des mécanismes rapides dans les logiciels qui génèrent des exceptions vers des composants de niveau supérieur capables de gérer les erreurs de façon appropriée.
+ Absence de suppression des ressources défectueuses du routage des requêtes, en particulier lorsque les défaillances sont grises, ce qui indique à la fois des réussites et des échecs en raison d'un plantage et d'un redémarrage, d'une panne de dépendance intermittente, d'une capacité réduite ou d'une perte de paquets réseau.
**Avantages liés au respect de cette bonne pratique :** les systèmes qui tombent rapidement en panne sont plus faciles à déboguer et à corriger, et présentent souvent des problèmes de codage et de configuration avant la publication des versions en production. Les systèmes qui intègrent des stratégies de mise en file d'attente efficaces offrent une résilience et une fiabilité accrues face aux pics de trafic et aux pannes intermittentes du système.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Les stratégies infaillibles peuvent être codées dans des solutions logicielles ou configurées dans l'infrastructure. En plus de leur capacité d'interruption immédiate, les files d'attente constituent une technique architecturale simple mais puissante qui permet de découpler les composants du système en douceur. [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) fournit des fonctionnalités de surveillance et d'alerte en cas de défaillance. Une fois que l'on sait qu'un système est défaillant, des stratégies d'atténuation peuvent être invoquées, notamment en cas de défaillance de ressources altérées. Lorsque les systèmes implémentent des files d'attente avec [Amazon SQS](https://aws.amazon.com/sqs/) et d'autres technologies de file d'attente pour faciliter le chargement, ils doivent tenir compte de la gestion des backlogs de files d'attente, ainsi que des défaillances de consommation de messages.
## Étapes d'implémentation
+ Implémentez des assertions par programmation ou des métriques spécifiques dans votre logiciel et utilisez-les pour émettre des alertes explicites en cas de problèmes système. Amazon CloudWatch vous permet de créer des métriques et des alarmes en fonction du modèle de journal des applications et de l'instrumentation du kit SDK.
+ Utilisez les métriques et les alarmes CloudWatch pour éviter les problèmes liés à l'altération des ressources qui ajoutent de la latence au traitement ou qui échouent à plusieurs reprises à traiter les demandes.
+ Utilisez le traitement asynchrone en concevant des API pour accepter les demandes et les ajouter aux files d'attente internes en utilisant Amazon SQS, puis en répondant au client émetteur du message par un message de réussite afin que le client puisse libérer des ressources et passer à autre chose pendant que les utilisateurs de la file d'attente back-end traitent les demandes.
+ Mesurez et surveillez la latence de traitement des files d'attente en produisant une métrique CloudWatch chaque fois que vous retirez un message d'une file d'attente en comparant l'heure actuelle à l'horodatage du message.
+ Lorsque des défaillances empêchent le bon traitement des messages ou que des pics de trafic concernent des volumes qui ne peuvent pas être traités conformément aux contrats de niveau de service, mettez de côté le trafic ancien ou excédentaire vers une file d'attente de débordement. Cela permet de traiter en priorité les nouvelles tâches et les tâches plus anciennes lorsque la capacité est disponible. Cette technique est une approximation du traitement LIFO et permet un traitement normal du système pour toutes les nouvelles tâches.
+ Utilisez des lettres mortes ou réadaptez des files d'attente afin de déplacer les messages qui ne peuvent pas être traités hors du backlog vers un emplacement pouvant faire l'objet de recherches et de résolutions ultérieures.
+ Réessayez ou, si cela est acceptable, supprimez les anciens messages en comparant l'heure actuelle à l'horodatage du message et en supprimant les messages qui ne sont plus pertinents pour le client demandeur.
## Ressources
**Bonnes pratiques associées :**
+ [REL04-BP02 Implémenter des dépendances couplées faiblement](rel_prevent_interaction_failure_loosely_coupled_system.md)
+ [REL05-BP02 Limiter les demandes](rel_mitigate_interaction_failure_throttle_requests.md)
+ [REL05-BP03 Contrôler et limiter les appels de nouvelle tentative](rel_mitigate_interaction_failure_limit_retries.md)
+ [REL06-BP02 Définir et calculer des métriques (agrégation)](rel_monitor_aws_resources_notification_aggregation.md)
+ [REL06-BP07 Surveiller la traçabilité complète des demandes via votre système](rel_monitor_aws_resources_end_to_end.md)
**Documents connexes :**
+ [ Éviter les backlogs insurmontables dans les files d'attente ](https://aws.amazon.com/builders-library/avoiding-insurmountable-queue-backlogs/)
+ [Interruption immédiate](https://www.martinfowler.com/ieeeSoftware/failFast.pdf)
+ [ Comment puis-je empêcher la croissance d'un backlog de messages dans ma file d'attente Amazon SQS ? ](https://repost.aws/knowledge-center/sqs-message-backlog)
+ [ Elastic Load Balancing : changement de zone ](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/zonal-shift.html)
+ [ Amazon Route 53Application Recovery Controller : contrôle du routage pour le basculement du trafic ](https://docs.aws.amazon.com/r53recovery/latest/dg/getting-started-routing-controls.html)
**Exemples connexes :**
+ [ Modèles d'intégration d'entreprise : canal des lettres mortes ](https://www.enterpriseintegrationpatterns.com/patterns/messaging/DeadLetterChannel.html)
**Vidéos connexes :**
+ [AWS re:Invent 2022 - Operating highly available Multi-AZ applications](https://www.youtube.com/watch?v=mwUV5skJJ0s)
**Outils associés :**
+ [ Amazon SQS ](https://aws.amazon.com/sqs/)
+ [ Amazon MQ ](https://aws.amazon.com/amazon-mq/)
+ [AWS IoT Core](https://aws.amazon.com/iot-core/)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
# REL05-BP05 Définir les délais d'attente du client
Définissez les délais d'expiration de manière appropriée pour les connexions et les demandes, vérifiez-les systématiquement et ne vous fiez pas aux valeurs par défaut, car elles ne tiennent pas compte des spécificités de la charge de travail.
**Résultat souhaité :** les délais d'expiration du client doivent prendre en compte le coût pour le client, le serveur et la charge de travail associés à l'attente des demandes dont le traitement prend un temps anormal. Dans la mesure où il est impossible de connaître la cause exacte d'un délai d'attente, les clients doivent utiliser leur connaissance des services pour établir des attentes relatives aux causes probables et aux délais d'expiration appropriés.
Le délai d'expiration des connexions client dépend des valeurs configurées. Après avoir dépassé le délai imparti, les clients décident de revenir en arrière et de réessayer ou d'ouvrir un [disjoncteur](https://martinfowler.com/bliki/CircuitBreaker.html). Ces modèles évitent d'émettre des demandes susceptibles d'exacerber un problème d'erreur sous-jacent.
**Anti-modèles courants :**
+ Ne pas connaître les délais d'expiration du système ou les délais d'expiration par défaut.
+ Ne pas connaître le délai normal d'exécution des demandes.
+ Ne pas connaître les raisons pour lesquelles les demandes peuvent prendre un temps anormalement long à traiter, ni les coûts pour le client, le service ou les performances de la charge de travail associés à l'attente de ces traitements.
+ Ne pas connaître la probabilité qu'un réseau défaillant entraîne l'échec d'une requête uniquement lorsque le délai d'expiration est atteint, ainsi que les coûts pour les performances du client et de la charge de travail si l'on n'adopte pas un délai d'expiration plus court.
+ Ne pas tester les scénarios de délai d'expiration à la fois pour les connexions et les demandes.
+ Définir des délais d'expiration trop élevés, ce qui peut entraîner de longs temps d'attente et augmenter l'utilisation des ressources.
+ Définir des délais d'attente trop bas, ce qui entraîne des défaillances artificielles.
+ Oublier les modèles pour gérer les erreurs de temporisation des appels distants, par exemple les disjoncteurs et les nouvelles tentatives.
+ Ne pas envisager de surveiller les taux d'erreur des appels de service, les objectifs de niveau de service en matière de latence et les valeurs aberrantes en matière de latence. Ces métriques peuvent fournir des informations sur les délais d'attente agressifs ou permissifs.
**Avantages liés au respect de cette bonne pratique :** les délais d'expiration des appels distants sont configurés et les systèmes sont conçus pour gérer les délais d'expiration de façon appropriée afin de préserver les ressources lorsque les appels distants répondent de manière anormalement lente et que les erreurs de délai d'expiration sont gérées de façon appropriée par les clients du service.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Définissez un délai d'expiration de la connexion et un délai d'expiration de la demande pour tout appel de dépendance de service et, plus généralement, pour tout appel entre processus. De nombreux cadres proposent des capacités de délai d'expiration intégrées, mais soyez prudent, car certains ont des valeurs par défaut infinies ou supérieures à ce qui est acceptable pour vos objectifs de service. Une valeur trop élevée réduit l'utilité du délai d'attente, car les ressources continuent d'être consommées pendant que le client attend l'expiration du délai. Une valeur trop faible peut générer un trafic accru sur le back-end et une latence accrue en raison du nombre excessif de demandes réessayées. Dans certains cas, cela peut entraîner des interruptions complètes, car toutes les demandes font l'objet d'une nouvelle tentative.
Tenez compte des points suivants lorsque vous déterminez des stratégies de délai d'expiration :
+ Le traitement des demandes peut prendre plus de temps que d'habitude en raison de leur contenu, de défaillances d'un service cible ou d'une panne de partition réseau.
+ Les demandes dont le contenu est anormalement coûteux peuvent consommer des ressources inutiles du serveur et du client. Dans ce cas, le fait d'avoir un délai d'expiration pour ces demandes et de ne pas réessayer peut préserver les ressources. Les services doivent également se protéger contre les contenus anormalement coûteux avec des limites et des délais d'expiration côté serveur.
+ Les demandes qui prennent anormalement longtemps en raison d'une défaillance du service peuvent être interrompues et réessayées. Il convient de tenir compte des coûts de service liés à la demande et à la nouvelle tentative, mais si la cause est une déficience localisée, une nouvelle tentative ne sera probablement pas coûteuse et réduira la consommation de ressources du client. Le délai d'expiration peut également libérer des ressources du serveur en fonction de la nature de la déficience.
+ Les demandes dont l'exécution prend beaucoup de temps parce que la demande ou la réponse n'a pas été envoyée par le réseau peuvent être interrompues et réessayées. La demande ou la réponse n'ayant pas été envoyée, il en aurait résulté un échec indépendamment de la durée du délai imparti. Dans ce cas, l'expiration du délai ne libérera pas les ressources du serveur, mais des ressources client et cela améliorera les performances de la charge de travail.
Tirez parti de modèles de conception bien établis, tels que les nouvelles tentatives et les disjoncteurs, pour gérer les délais d'expiration de façon appropriée et adopter des approches d'interruption immédiate. [Les kits AWS SDK](https://docs.aws.amazon.com/index.html#sdks) et [AWS CLI](https://aws.amazon.com/cli/) permettent de configurer les délais d'expiration de la connexion et des demandes, ainsi que d'effectuer de nouvelles tentatives avec des backoffs exponentiels et des instabilités. [Les fonctions AWS Lambda](https://aws.amazon.com/lambda/) prennent en charge la configuration des délais d'expiration et, avec [AWS Step Functions](https://aws.amazon.com/step-functions/), vous pouvez créer des disjoncteurs low-code qui tirent parti des intégrations prédéfinies avec des services AWS et des kits de développement logiciel (SDK). [AWS App Mesh](https://aws.amazon.com/app-mesh/) Envoy fournit des fonctionnalités de délai d'expiration et de disjoncteur.
## Étapes d'implémentation
+ Configurez les délais d'expiration pour les appels de service à distance et profitez des fonctionnalités de délai d'expiration spécifique à la langue intégrées ou des bibliothèques de délai d'expiration open source.
+ Lorsque votre charge de travail passe des appels avec un kit AWS SDK, consultez la documentation pour la configuration du délai d'expiration spécifique à la langue.
+ [ Python ](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/configuration.html)
+ [ PHP ](https://docs.aws.amazon.com/aws-sdk-php/v3/api/class-Aws.DefaultsMode.Configuration.html)
+ [ .NET ](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/retries-timeouts.html)
+ [ Ruby ](https://docs.aws.amazon.com/sdk-for-ruby/v3/developer-guide/timeout-duration.html)
+ [ Java ](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/best-practices.html#bestpractice5)
+ [ Go ](https://aws.github.io/aws-sdk-go-v2/docs/configuring-sdk/retries-timeouts/#timeouts)
+ [ Node.js ](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/Config.html)
+ [ C\$1\$1 ](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)
+ Lorsque vous utilisez des kits AWS SDK ou des commandes AWS CLI dans votre charge de travail, configurez les valeurs de délai d'expiration par défaut en définissant les valeurs de configuration AWS [par défaut](https://docs.aws.amazon.com/sdkref/latest/guide/feature-smart-config-defaults.html) pour `connectTimeoutInMillis` et `tlsNegotiationTimeoutInMillis`.
+ Appliquez [les options de ligne de commande](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-options.html) `cli-connect-timeout` et `cli-read-timeout` pour contrôler les commandes AWS CLI ponctuelles destinées à des services AWS.
+ Surveillez les appels de service à distance pour détecter les délais d'expiration et définissez des alarmes en cas d'erreurs persistantes afin de pouvoir gérer de manière proactive les scénarios d'erreur.
+ Implémentez [les métriques CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) et [la détection des anomalies CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) sur les taux d'erreur d'appel, les objectifs de niveau de service en matière de latence et les valeurs aberrantes pour la latence afin de fournir des informations sur la gestion des délais d'attente trop agressifs ou permissifs.
+ Configurez les délais d'expiration sur [les fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html#configuration-timeout-console).
+ Les clients API Gateway doivent implémenter leurs propres tentatives lors de la gestion des délais d'expiration. API Gateway prend en charge un [délai d'expiration de l'intégration de 50 millisecondes à 29 secondes](https://docs.aws.amazon.com/apigateway/latest/developerguide/limits.html#api-gateway-execution-service-limits-table) pour les intégrations en aval et ne réessaie pas lorsque l'intégration demande un délai d'expiration.
+ Implémentez le [modèle de disjoncteur](https://martinfowler.com/bliki/CircuitBreaker.html) pour éviter de passer des appels à distance lorsque le délai d'expiration est écoulé. Ouvrez le circuit pour éviter les échecs d'appels et fermez-le lorsque les appels répondent normalement.
+ Pour les charges de travail basées sur des conteneurs, consultez [les fonctionnalités App Mesh Envoy](https://docs.aws.amazon.com/app-mesh/latest/userguide/envoy.html) permettant de tirer parti des délais d'expiration et des disjoncteurs intégrés.
+ Utilisez AWS Step Functions pour créer des disjoncteurs low-code pour les appels de service à distance, en particulier lorsque vous appelez des kits AWS SDK natifs et des intégrations Step Functions compatibles afin de simplifier votre charge de travail.
## Ressources
**Bonnes pratiques associées :**
+ [REL05-BP03 Contrôler et limiter les appels de nouvelle tentative](rel_mitigate_interaction_failure_limit_retries.md)
+ [REL05-BP04 Procéder à une interruption immédiate et limiter les files d'attente](rel_mitigate_interaction_failure_fail_fast.md)
+ [REL06-BP07 Surveiller la traçabilité complète des demandes via votre système](rel_monitor_aws_resources_end_to_end.md)
**Documents connexes :**
+ [Kits SDK AWS : nouvelles tentatives et délais d'attente](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/retries-timeouts.html)
+ [Amazon Builders' Library : délais d'attente, nouvelles tentatives et backoff avec instabilité](https://aws.amazon.com/builders-library/timeouts-retries-and-backoff-with-jitter/)
+ [ Quotas Amazon API Gateway et notes importantes ](https://docs.aws.amazon.com/apigateway/latest/developerguide/limits.html)
+ [AWS Command Line Interface : options de ligne de commande ](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-options.html)
+ [AWS SDK for Java 2.x : configuration des délais d'expiration de l'API ](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/best-practices.html#bestpractice5)
+ [AWSBotocore utilisant l'objet de configuration et la référence de configuration ](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/configuration.html#using-the-config-object)
+ [AWS SDK pour .NET : nouvelles tentatives et délais d'expiration ](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/retries-timeouts.html)
+ [AWS Lambda : configuration des options de fonction Lambda ](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html)
**Exemples connexes :**
+ [ Utilisation du modèle de disjoncteur avec AWS Step Functions et Amazon DynamoDB ](https://aws.amazon.com/blogs/compute/using-the-circuit-breaker-pattern-with-aws-step-functions-and-amazon-dynamodb/)
+ [ Martin Fowler : disjoncteur ](https://martinfowler.com/bliki/CircuitBreaker.html?ref=wellarchitected)
**Outils associés :**
+ [ Les kits AWS SDK ](https://docs.aws.amazon.com/index.html#sdks)
+ [ Les fonctions AWS Lambda](https://aws.amazon.com/lambda/)
+ [ Amazon SQS ](https://aws.amazon.com/sqs/)
+ [AWS Step Functions](https://aws.amazon.com/step-functions/)
+ [AWS Command Line Interface](https://aws.amazon.com/cli/)
# REL05-BP06 Rendre les services sans état dans la mesure du possible
Les services ne doivent pas exiger d'état ou doivent décharger un état de telle sorte qu'entre les différentes demandes client, il n'y ait pas de dépendance vis-à-vis des données stockées localement sur disque et en mémoire. Cela permet aux serveurs d'être remplacés à volonté sans avoir d'impact sur la disponibilité. Amazon ElastiCache ou Amazon DynamoDB sont de bonnes destinations pour l'état déchargé.
![\[Dans cette application Web sans état, l'état de la session est déchargé vers Amazon ElastiCache.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/stateless-webapp.png)
Lorsque des utilisateurs ou des services interagissent avec une application, ils exécutent souvent une série d'interactions qui forment une session. Une session correspond aux données uniques des utilisateurs qui persistent entre les requêtes pendant l’utilisation de l'application. Une application sans état n'a pas besoin de connaître les interactions précédentes et ne stocke pas d'informations de session.
Lorsqu'une application est conçue pour être sans état, vous pouvez utiliser des services de calcul sans serveur, comme AWS Lambda ou AWS Fargate.
Outre le remplacement du serveur, les applications sans état ont également pour avantage de pouvoir être mises à l'échelle horizontalement, car toutes les ressources de calcul disponibles (telles que les instances EC2 et les fonctions AWS Lambda) peuvent répondre à n'importe quelle requête.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Rendre vos applications sans état. Les applications sans état permettent une mise à l'échelle horizontale et tolèrent la défaillance d'un nœud individuel.
+ Supprimez les états qui peuvent être stockés dans les paramètres de demande.
+ Après avoir vérifié si l'état est requis, déplacez n'importe quel suivi d'état vers un cache ou un magasin de données multizone résistant comme Amazon ElastiCache, Amazon RDS, Amazon DynamoDB ou une autre solution de données distribuée. Enregistrez un état qui n'a pas pu être déplacés vers des magasins de données résilient.
+ Certaines données (comme les cookies) peuvent être transmises dans les en-têtes ou les paramètres de requête
+ Réfactorisez afin de supprimer l'état qui peut rapidement être transmis dans les requêtes
+ Certaines données ne sont pas forcément nécessaires pour certaines requêtes et peuvent être récupérées à la demande.
+ Supprimez les données qui peuvent être récupérées de manière asynchrone.
+ Choisissez un magasin de donnée qui répond aux exigences relatives à l'état requis.
+ Pensez à avoir une base de données NoSQL pour les données non relationnelles.
## Ressources
**Documents connexes :**
+ [L'Amazon Builders' Library : éviter le basculement dans les systèmes distribués](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems)
+ [L'Amazon Builders' Library : éviter les retards de file d'attente insurmontables](https://aws.amazon.com/builders-library/avoiding-insurmountable-queue-backlogs)
+ [L'Amazon Builders' Library : défis et stratégies de mise en cache](https://aws.amazon.com/builders-library/caching-challenges-and-strategies/)
# REL05-BP07 Mettre en place des leviers d'urgence
Les leviers d'urgence sont des processus rapides qui peuvent réduire l'impact sur la disponibilité de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Mettre en place des leviers d'urgence. Il s'agit de processus rapides qui peuvent atténuer l'impact sur la disponibilité de votre charge de travail. Ils peuvent être exploités en l'absence d'une cause racine. Un levier d'urgence idéal réduit à zéro la charge cognitive sur les résolveurs en fournissant des critères d'activation et de désactivation entièrement déterministes. Les leviers sont souvent manuels, mais ils peuvent également être automatisés.
+ Voici quelques exemples de leviers :
+ Bloquer tout le trafic des robots
+ Diffuser des pages statiques au lieu de dynamiques
+ Réduire la fréquence des appels vers une dépendance
+ Limiter les appels à partir des dépendances
+ Conseils pour implémenter et utiliser des leviers d'urgence
+ Lorsque les leviers sont activés, faites MOINS, pas plus.
+ Gardez la tâche simple, évitez les comportements bimodaux.
+ Testez régulièrement vos leviers.
+ Tels sont des exemples d'actions qui NE sont PAS des leviers d'urgence.
+ Ajouter de la capacité
+ Appelez les propriétaires de services des clients qui dépendent de votre service et demandez-leur de réduire les appels.
+ Apporter une modification au code et le diffuser
# Gestion des modifications
**Topics**
+ [REL 6 Comment surveiller les ressources de charges de travail ?](rel-06.md)
+ [REL 7 Comment concevoir votre charge de travail pour qu'elle s'adapte aux évolutions de la demande ?](rel-07.md)
+ [REL 8 Comment implémenter les modifications ?](rel-08.md)
# REL 6 Comment surveiller les ressources de charges de travail ?
Les journaux et les métriques sont de puissants outils pour obtenir informations sur l'état de votre charge de travail. Vous pouvez configurer votre charge de travail de sorte à surveiller les journaux et les métriques et envoyer des notifications lorsque les seuils sont franchis ou que des événements significatifs se produisent. La surveillance permet à votre charge de travail de reconnaître quand des seuils de faible performance sont franchis ou quand des défaillances se produisent, en vue de sa reprise automatique.
**Topics**
+ [REL06-BP01 Surveiller tous les composants de la charge de travail (génération)](rel_monitor_aws_resources_monitor_resources.md)
+ [REL06-BP02 Définir et calculer des métriques (agrégation)](rel_monitor_aws_resources_notification_aggregation.md)
+ [REL06-BP03 Envoyer des notifications (traitement et alarmes en temps réel)](rel_monitor_aws_resources_notification_monitor.md)
+ [REL06-BP04 Automatiser les réponses (traitement et alarmes en temps réel)](rel_monitor_aws_resources_automate_response_monitor.md)
+ [REL06-BP05 Analytique](rel_monitor_aws_resources_storage_analytics.md)
+ [REL06-BP06 Procéder à des examens réguliers](rel_monitor_aws_resources_review_monitoring.md)
+ [REL06-BP07 Surveiller la traçabilité complète des demandes via votre système](rel_monitor_aws_resources_end_to_end.md)
# REL06-BP01 Surveiller tous les composants de la charge de travail (génération)
Surveillez les composants de la charge de travail avec Amazon CloudWatch ou des outils tiers. Surveillez les services AWS avec le tableau de bord AWS Health.
Tous les composants de votre charge de travail doivent être surveillés, y compris le côté utilisateur, la logique métier et les niveaux de stockage. Au besoin, définissez des métriques clés, décrivez leur procédure d'extraction des journaux, puis spécifiez des seuils de déclenchement pour les événements d'alarme correspondants Assurez-vous que les métriques sont pertinentes pour les indicateurs clés de performance (KPI) de votre charge de travail, et utilisez des métriques et des journaux pour identifier les signes avant-coureurs de la dégradation du service. Par exemple, une métrique liée aux résultats commerciaux, telle que le nombre de commandes traitées avec succès par minute, peut indiquer des problèmes de charge de travail plus rapidement qu'une métrique technique, telle que l'utilisation du processeur. Utilisez le tableau de bord AWS Health pour obtenir une vue personnalisée des performances et de la disponibilité des services AWS sous-jacents à vos ressources AWS.
La surveillance dans le cloud offre de nouvelles opportunités. La plupart des fournisseurs de cloud ont développé des hooks personnalisables et peuvent fournir des informations pour vous aider à surveiller plusieurs couches de votre charge de travail. Des services AWS comme Amazon CloudWatch appliquent des algorithmes statistiques et de machine learning pour analyser en continu les métriques des systèmes et des applications, déterminer les points de référence normaux et détecter les anomalies avec une intervention minimale de l'utilisateur. Les algorithmes de détection d'anomalies tiennent compte de la saisonnalité et des changements de tendance des métriques.
AWS met à disposition une multitude d'informations de surveillance et de journalisation qui peuvent être utilisées pour définir des métriques spécifiques à la charge de travail et des processus de changement de la demande, et pour adopter des techniques de machine learning, quelle que soit l'expertise en ML.
En outre, surveillez l'ensemble de vos points de terminaison externes afin de vous assurer qu'ils sont indépendants de votre implémentation de base. Cette surveillance active peut être effectuée avec des transactions synthétiques (parfois appelées *tests canary utilisateur*, mais à ne pas confondre avec les déploiements canary), qui exécutent périodiquement plusieurs tâches communes correspondant aux actions effectuées par les clients de la charge de travail. Maintenez ces tâches de courte durée et veillez à ne pas surcharger votre charge de travail pendant les tests. Amazon CloudWatch Synthetics vous permet de [créer des tests canary synthétiques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) pour surveiller vos points de terminaison et vos API. Vous pouvez également combiner les nœuds de clients synthétiques Canari avec la console AWS X-Ray pour identifier les scripts Canari synthétiques qui rencontrent des erreurs, des pannes ou des taux de limitation au cours de la période sélectionnée.
**Résultat souhaité :**
Collectez et utilisez des métriques critiques de tous les composants de la charge de travail pour garantir la fiabilité de la charge de travail et une expérience utilisateur optimale. Détecter qu'une charge de travail n'atteint pas les résultats vous permet de déclarer rapidement un sinistre et de vous remettre d'un incident.
**Anti-modèles courants :**
+ Surveillance limitée aux interfaces externes de votre charge de travail.
+ Ne pas générer de métriques spécifiques à la charge de travail et s'appuyer uniquement sur les métriques qui vous sont fournies par les services AWS utilisés par votre charge de travail.
+ Utiliser uniquement des métriques techniques dans votre charge de travail et ne surveiller aucune métrique liée aux KPI non techniques auxquels la charge de travail contribue.
+ S'appuyer sur le trafic de production et de simples vérifications de l'état pour surveiller et évaluer l'état de la charge de travail.
**Avantages liés au respect de cette bonne pratique :** La surveillance à tous les niveaux de votre charge de travail vous permet d'anticiper et de résoudre plus rapidement les problèmes dans les composants qui constituent la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
1. **Activer la journalisation si disponible.** Les données de surveillance doivent être obtenues à partir de tous les composants des charges de travail. Activez la journalisation supplémentaire, telle que les journaux d'accès S3, et autorisez votre charge de travail à consigner des données qui lui sont spécifiques. Collectez des métriques pour les moyennes d'UC, d'E/S réseau et d'E/S disque à partir de services comme Amazon ECS, Amazon EKS, Amazon EC2, Elastic Load Balancing, AWS Auto Scaling et Amazon EMR. Consulter [Services AWS publiant des métriques CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html) pour obtenir une liste des services AWS qui publient des métriques CloudWatch.
1. **Passez en revue toutes les métriques par défaut et explorez toutes les lacunes de collecte de données.** Chaque service génère des métriques par défaut. La collecte des métriques par défaut vous permet de mieux comprendre les dépendances entre les composants de charge de travail et sur la manière dont la fiabilité et les performances des composants affectent la charge de travail. Vous pouvez également créer et [publier vos propres métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html) vers CloudWatch à l'aide d'AWS CLI ou d'une API. Évaluez
1. **toutes les métriques pour décider celles pour lesquelles envoyer des alertes pour chaque service AWS de votre charge de travail.** Vous pouvez choisir de sélectionner un sous-ensemble de métriques qui ont un impact majeur sur la fiabilité de la charge de travail. Se concentrer sur les métriques critiques et le seuil vous permet d'affiner le nombre [d'information](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) et peut aider à minimiser les faux positifs.
1. **Définissez des alertes et le processus de récupération de votre charge de travail après le déclenchement de l'alerte.** La définition d'alertes vous permet de notifier, de faire remonter et de suivre rapidement les étapes nécessaires pour vous remettre d'un incident et atteindre votre objectif de temps de récupération (RTO) prescrit. Vous pouvez utiliser [https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) pour appeler des flux de travail automatisés et lancer des procédures de récupération en fonction de seuils définis.
1. **Explorez l'utilisation de transactions synthétiques pour collecter des données pertinentes sur l'état des charges de travail.** La surveillance synthétique suit les mêmes routes et effectue les mêmes actions qu'un client, ce qui vous permet de vérifier en permanence l'expérience client même lorsque vous n'avez aucun trafic client sur vos charges de travail. En utilisant [les transactions synthétiques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html), vous pouvez découvrir les problèmes avant vos clients.
## Ressources
**Bonnes pratiques associées :**
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
**Documents connexes :**
+ [Premiers pas avec le tableau de bord AWS Health : état de votre compte](https://docs.aws.amazon.com/health/latest/ug/getting-started-health-dashboard.html)
+ [Services AWS publiant des métriques CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html)
+ [Journaux d'accès pour votre Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html)
+ [Journaux d'accès pour votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)
+ [Accès à Amazon CloudWatch Logs pour AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-functions-logs.html)
+ [Journalisation de l'accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html)
+ [Activer les journaux d'accès pour votre Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-access-logs.html)
+ [Exportation de données de journal vers Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)
+ [Installer l'agent CloudWatch sur une instance Amazon EC2](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html)
+ [Publication des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Utilisation de scripts Canary (Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Que sont les Amazon CloudWatch Logs ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
**Guides de l'utilisateur :**
+ [Création d'un journal d'activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)
+ [Surveillance des métriques de mémoire et de disque pour les instances Linux Amazon Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html)
+ [Utiliser CloudWatch Logs avec des instances de conteneur](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_cloudwatch_logs.html)
+ [Journaux de flux VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html)
+ [Qu'est-ce qu'Amazon DevOps Guru ?](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)
+ [Qu'est-ce que AWS X-Ray ?](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**Blogs connexes :**
+ [Débogage avec Amazon CloudWatch Synthetics et AWS X-Ray](https://aws.amazon.com/blogs/devops/debugging-with-amazon-cloudwatch-synthetics-and-aws-x-ray/)
**Exemples et ateliers connexes :**
+ [Ateliers AWS Well-Architected : Excellence opérationnelle - Surveillance des dépendances](https://wellarchitectedlabs.com/operational-excellence/100_labs/100_dependency_monitoring/)
+ [L'Amazon Builders' Library : Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
+ [Atelier sur l'observabilité](https://catalog.workshops.aws/observability/en-US)
# REL06-BP02 Définir et calculer des métriques (agrégation)
Stockez les données des journaux et appliquez des filtres si nécessaire pour calculer les métriques, en particulier le décompte d'un événement de journal spécifique ou la latence calculée à partir des horodatages des événements de journaux.
Amazon CloudWatch et Amazon S3 servent de couches principales pour l'agrégation et le stockage. Pour certains services, comme AWS Auto Scaling et Elastic Load Balancing, les métriques par défaut sont fournies par défaut pour la charge du processeur ou la latence moyenne des demandes au sein d'un cluster ou d'une instance. Pour les services de streaming, comme les journaux de flux VPC et AWS CloudTrail, les données d'événement sont transmises à CloudWatch Logs et vous devez définir et appliquer des filtres de métrique pour extraire des métriques à partir des données d'événement. Cela vous donne des données de séries chronologiques, qui peuvent servir d'entrées aux alarmes CloudWatch que vous définissez pour déclencher les alertes.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Définir et calculer des métriques (agrégation). Stockez les données des journaux et appliquez des filtres si nécessaire pour calculer les métriques, en particulier le décompte d'un événement de journal spécifique ou la latence calculée à partir des horodatages des événements de journaux
+ Les filtres de métrique définissent les termes et les modèles à rechercher dans les données de journal lorsqu'elles sont envoyées à CloudWatch Logs. CloudWatch Logs utilise ces filtres de métriques pour transformer les données de journal en métriques numériques CloudWatch que vous pouvez représenter graphiquement ou au niveau desquelles vous pouvez définir une alarme.
+ [Recherche et filtrage des données de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)
+ Utiliser un agent tiers de confiance pour agréger les journaux
+ Suivez les instructions de l'agent tiers. La plupart des produits tiers s'intègrent à CloudWatch et Amazon S3.
+ Certains services AWS peuvent publier des journaux directement dans Amazon S3. Ainsi, si votre principale exigence pour les journaux est le stockage dans Amazon S3, vous pouvez facilement faire en sorte que le service produisant les journaux les envoie directement à Amazon S3 sans configurer d'infrastructure supplémentaire.
+ [Envoi des journaux directement à Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Sending-Logs-Directly-To-S3.html)
## Ressources
**Documents connexes :**
+ [Exemples de requêtes Amazon CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html)
+ [Débogage avec Amazon CloudWatch Synthetics et AWS X-Ray](https://aws.amazon.com/blogs/devops/debugging-with-amazon-cloudwatch-synthetics-and-aws-x-ray/)
+ [Un atelier sur l'observabilité](https://observability.workshop.aws/)
+ [Recherche et filtrage des données de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)
+ [Envoi des journaux directement à Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Sending-Logs-Directly-To-S3.html)
+ [L'Amazon Builders' Library : Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
# REL06-BP03 Envoyer des notifications (traitement et alarmes en temps réel)
Les organisations qui désirent être informées des événements significatifs reçoivent des notifications lorsque ceux-ci se produisent.
Des alertes également être envoyées à Amazon Simple Notification Service (Amazon SNS), puis être transmises à un certain nombre d'abonnés. Par exemple, Amazon SNS peut transmettre des alertes à un alias d'e-mail afin que les techniciens puissent répondre.
**Anti-modèles courants :**
+ Configuration d'alarmes à un seuil trop bas, ce qui entraîne l'envoi d'un trop grand nombre de notifications.
+ Non-archivage d'alarmes pour une exploration future.
**Avantages liés au respect de cette bonne pratique :** Les notifications (même pour les événements qui peuvent être traités et résolus automatiquement) vous permettent d'enregistrer les événements et de les traiter d'une manière différente à l'avenir.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Effectuer le traitement et l'envoi d'alarme en temps réel. Les organisations qui désirent être informées des événements significatifs reçoivent des notifications lorsque ceux-ci se produisent.
+ Les tableaux de bord Amazon CloudWatch sont des pages d'accueil personnalisables de la console CloudWatch que vous pouvez utiliser pour surveiller vos ressources dans une seule fenêtre, y compris les ressources réparties sur différentes régions.
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ Créer une alarme lorsque la métrique dépasse une limite.
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Ressources
**Documents connexes :**
+ [Un atelier sur l'observabilité](https://observability.workshop.aws/)
+ [L'Amazon Builders' Library : Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
# REL06-BP04 Automatiser les réponses (traitement et alarmes en temps réel)
utilisez l'automatisation pour agir en cas de détection d'événement, par exemple, pour remplacer les composants défectueux.
Les alertes peuvent déclencher des événements AWS Auto Scaling, de sorte que les clusters réagissent aux évolutions de la demande. Les alertes peuvent être envoyées vers Amazon Simple Queue Service (Amazon SQS), qui peut servir de point d'intégration pour les systèmes de tickets tiers. AWS Lambda peut également s'abonner aux alertes et faire profiter les utilisateurs d'un modèle sans serveur asynchrone qui réagit au changement de façon dynamique. AWS Config surveille et enregistre en permanence vos configurations de ressources AWS. Il peut déclencher [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) pour résoudre les problèmes.
Amazon DevOps Guru peut surveiller automatiquement les ressources d'applications pour détecter les comportements anormaux et fournir des recommandations ciblées afin d'accélérer l'identification des problèmes et de réduire les temps de remédiation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utilisez Amazon DevOps Guru pour effectuer des actions automatisées. Amazon DevOps Guru peut surveiller automatiquement les ressources d'applications pour détecter les comportements anormaux et fournir des recommandations ciblées afin d'accélérer l'identification des problèmes et de réduire les temps de remédiation.
+ [Qu'est-ce qu'Amazon DevOps Guru ?](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)
+ Utilisez AWS Systems Manager pour effectuer des actions automatisées. AWS Config surveille et enregistre en permanence vos configurations de ressources AWS. Il peut déclencher AWS Systems Manager Automation pour résoudre les problèmes.
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ Créez et utilisez des documents Systems Manager Automation. Ces documents définissent les actions exécutées par Systems Manager sur vos instances gérées et d'autres ressources AWS lorsqu'une action d'automatisation s'exécute.
+ [Utilisation des documents d'automatisation (playbooks)](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)
+ Amazon CloudWatch envoie les événements de changement d'état de l'alarme à Amazon EventBridge. Créer des règles EventBridge pour automatiser les réponses
+ [Création d'une règle EventBridge qui se déclenche en cas d'événement provenant d'une ressource AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-rule.html)
+ Créer et exécuter un plan pour automatiser les réponses
+ Faire l'inventaire de toutes vos procédures de réponse aux alertes Vous devez planifier vos réponses d'alerte avant de classer les tâches.
+ Effectuez un inventaire de toutes les tâches avec les actions spécifiques devant être effectuées La plupart de ces actions sont documentées dans les runbooks. Vous devez également disposer de playbooks pour les alertes d'événements inattendus.
+ Examinez les runbooks et les playbooks à la recherche de toutes les actions pouvant être automatisées. En règle générale, toute action qui peut être définie a de grandes chances de pouvoir être automatisée.
+ Classez d'abord les activités sources d'erreurs ou chronophages. La suppression des sources d'erreurs et la réduction du temps de résolution sont plus avantageuses.
+ Établissez un plan pour effectuer l'automatisation. Disposez d'un plan actif pour automatiser les processus et mettre à jour l'automatisation.
+ Examinez les exigences manuelles liées aux possibilités d'automatisation. Remettez en question votre processus manuel et recherchez des possibilités d'automatisation.
## Ressources
**Documents connexes :**
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [Création d'une règle EventBridge qui se déclenche en cas d'événement provenant d'une ressource AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-rule.html)
+ [Un atelier sur l'observabilité](https://observability.workshop.aws/)
+ [L'Amazon Builders' Library : Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
+ [Qu'est-ce qu'Amazon DevOps Guru ?](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)
+ [Utilisation des documents d'automatisation (playbooks)](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)
# REL06-BP05 Analytique
collectez les fichiers journaux et les historiques de métriques, puis analysez-les pour obtenir des informations plus générales sur les tendances et la charge de travail.
Amazon CloudWatch Logs Insights prend en charge un [langage de requête simple et puissant](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax.html) que vous pouvez utiliser pour analyser les données des journaux. Amazon CloudWatch Logs prend également en charge les abonnements qui permettent aux données de circuler en toute transparence vers Amazon S3, où vous pouvez utiliser Amazon Athena pour interroger les données. Il prend également en charge les requêtes dans une grande variétés de formats. Consulter [Formats de données et SerDes pris en charge](https://docs.aws.amazon.com/athena/latest/ug/supported-format.html) dans le guide de l'utilisateur Amazon Athena pour plus d'informations. Pour analyser des ensembles de fichiers journaux volumineux, vous pouvez exécuter un cluster Amazon EMR pour exécuter des analyses à l'échelle du pétaoctet.
Il existe divers outils fournis par les partenaires AWS et les tiers qui permettent l'agrégation, le traitement, le stockage et l'analyse. Parmi ces outils figurent New Relic, Splunk, Loggly, Logstash, CloudHealth et Nagios. Cependant, la génération en dehors du système et des journaux d'applications est propre à chaque fournisseur de cloud, et généralement, spécifique à chaque service.
Un partie souvent négligée de la surveillance des processus concerne la gestion des données. Vous devez déterminer les exigences de rétention des données de surveillance, puis appliquer des stratégies de cycle de vie en conséquence. Amazon S3 prend en charge la gestion du cycle de vie au niveau du compartiment S3. Cette gestion du cycle de vie peut être appliquée différemment à d'autres chemins dans le compartiment. Vers la fin du cycle de vie, vous pouvez transférer des données dans Amazon Glacier pour un stockage à long terme, puis les laisser expirer une fois la fin de la période de rétention terminée. La classe de stockage S3 Intelligent-Tiering est conçue pour optimiser les coûts en transférant automatiquement les données vers le niveau d'accès le plus économique, sans impact sur les performances ni surcharge opérationnelle.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ CloudWatch Logs vous permet de rechercher et d'analyser de manière interactive vos données de journaux dans Amazon CloudWatch Logs.
+ [Analyse des données des journaux avec CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_cloudwatch_logs.html)
+ [Exemples de requêtes Amazon CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)
+ Utiliser Amazon CloudWatch Logs pour envoyer des journaux vers Amazon S3 où vous pouvez les exploiter ou utiliser Amazon Athena pour interroger les données
+ [Comment analyser mes journaux d'accès au serveur Amazon S3 à l'aide d'Athena ?](https://aws.amazon.com/premiumsupport/knowledge-center/analyze-logs-athena/)
+ Créez une stratégie de cycle de vie S3 pour votre compartiment de journaux d'accès au serveur. Configurez la stratégie de cycle de vie de sorte à supprimer régulièrement les fichiers journaux. Cette suppression permet de réduire la quantité de données analysées par Athena pour chaque requête.
+ [Comment créer une stratégie de cycle de vie pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-lifecycle.html)
## Ressources
**Documents connexes :**
+ [Exemples de requêtes Amazon CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html)
+ [Analyse des données des journaux avec CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_cloudwatch_logs.html)
+ [Débogage avec Amazon CloudWatch Synthetics et AWS X-Ray](https://aws.amazon.com/blogs/devops/debugging-with-amazon-cloudwatch-synthetics-and-aws-x-ray/)
+ [Comment créer une stratégie de cycle de vie pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-lifecycle.html)
+ [Comment analyser mes journaux d'accès au serveur Amazon S3 à l'aide d'Athena ?](https://aws.amazon.com/premiumsupport/knowledge-center/analyze-logs-athena/)
+ [Un atelier sur l'observabilité](https://observability.workshop.aws/)
+ [L'Amazon Builders' Library : Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
# REL06-BP06 Procéder à des examens réguliers
Examinez fréquemment comment la surveillance de la charge de travail est mise en œuvre et mettez-la à jour en fonction des événements et des modifications majeurs.
Une surveillance efficace repose sur des métriques commerciales clés. Assurez-vous que ces métriques sont prises en compte dans votre charge de travail au fur et à mesure que les priorités de l’entreprise évoluent.
Auditer votre surveillance vous permet de savoir avec certitude quand une application est conforme à ses objectifs de disponibilité. Pour pouvoir analyser les causes premières, il faut pouvoir découvrir ce qui se passe lorsque des défaillances se produisent. AWS fournit des services qui vous permettent de suivre l'état de vos services lors d'un incident :
+ **Amazon CloudWatch Logs :** vous pouvez stocker vos journaux dans ce service et inspecter leur contenu.
+ **Amazon CloudWatch Logs Insights** : service entièrement géré qui vous permet d'analyser des journaux volumineux en quelques secondes. Il permet des requêtes et des visualisations rapides et interactives.
+ **AWS Config :** permet de voir quelle infrastructure AWS a été utilisée à différents moments.
+ **AWS CloudTrail :** permet de voir quelles API AWS ont été appelées à quel moment et par quel mandataire.
Chez AWS, nous organisons des réunions hebdomadaires pour [examiner les performances opérationnelles](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/wa-operational-readiness-reviews.html) et partager les enseignements entre les équipes. Compte tenu du nombre conséquent d'équipes AWS, nous avons créé [The Wheel](https://aws.amazon.com/blogs/opensource/the-wheel/) pour choisir de façon aléatoire une charge de travail à examiner. Le respect d’un rythme régulier pour l’examen des performances opérationnelles et le partager des connaissances améliore la capacité de vos équipes opérationnelles à atteindre des performances supérieures.
**Anti-modèles courants :**
+ Collecte limitée aux métriques par défaut.
+ Définition d'une stratégie de surveillance et sans examen.
+ Absence de discussion relative à la surveillance lorsque des modifications majeures sont déployées.
**Avantages liés au respect de cette bonne pratique :** La vérification régulière de votre surveillance permet d'anticiper les problèmes potentiels, au lieu de réagir aux notifications lorsqu'un problème anticipé se produit réellement.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Créer plusieurs tableaux de bord pour la charge de travail. Vous devez disposer d'un tableau de bord de niveau supérieur qui contient les principales métriques commerciales, ainsi que les métriques techniques que vous avez identifiées comme étant les plus pertinentes pour l'état projeté de la charge de travail au fil de la variation de l'utilisation. Vous devez également avoir des tableaux de bord pour différents niveaux et dépendances d'application qui peuvent être inspectés.
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
+ Planifier et effectuer des vérifications régulières des tableaux de bord de charge de travail. Effectuez une inspection régulière des tableaux de bord. Vous pouvez avoir des cadences différentes selon la profondeur à laquelle vous inspectez.
+ Inspecter les tendances dans les métriques. Comparez les valeurs des métriques aux valeurs historiques pour voir s'il existe des tendances qui peuvent indiquer que quelque chose doit faire l'objet d'une enquête. Voici quelques exemples : augmentation de la latence, diminution de la fonction principale de l'entreprise et augmentation des réponses aux échecs.
+ Inspecter les valeurs atypiques ou les anomalies dans vos métriques. Les moyennes ou les médianes peuvent masquer des valeurs atypiques et des anomalies. Observez les valeurs les plus élevées et les plus faibles pendant la période et examinez les causes des scores extrêmes. L'abaissement de votre définition de l'extrême vous permet de continuer à améliorer l'homogénéité des performances de votre charge de travail au fur et à mesure que vous continuez à éliminer ces causes.
+ Rechercher des changements importants de comportement. Un changement immédiat de quantité ou de direction d'une métrique peut indiquer qu'il y a eu un changement dans l'application ou la présence de facteurs externes pour le suivi desquels vous devez ajouter des métriques supplémentaires.
## Ressources
**Documents connexes :**
+ [Exemples de requêtes Amazon CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html)
+ [Débogage avec Amazon CloudWatch Synthetics et AWS X-Ray](https://aws.amazon.com/blogs/devops/debugging-with-amazon-cloudwatch-synthetics-and-aws-x-ray/)
+ [Un atelier sur l'observabilité](https://observability.workshop.aws/)
+ [L'Amazon Builders' Library : Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
# REL06-BP07 Surveiller la traçabilité complète des demandes via votre système
Suivez les demandes au fur et à mesure qu'elles sont traitées dans les composants du service afin que les équipes produits puissent plus facilement analyser et résoudre les problèmes et améliorer les performances.
**Résultat souhaité :** les charges de travail dotées d'un suivi complet de tous les composants sont faciles à déboguer, ce qui permet d'améliorer [le temps moyen de résolution](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/reducing-mttr.html) (MTTR) des erreurs et la latence en simplifiant la découverte de la cause première. Le traçage de bout en bout réduit le temps nécessaire à la découverte des composants concernés et à l'analyse détaillée des causes profondes des erreurs ou de la latence.
**Anti-modèles courants :**
+ Le traçage est utilisé pour certains composants, mais pas pour tous. Par exemple, sans traçage pour AWS Lambda, les équipes risquent de ne pas comprendre clairement la latence provoquée par les démarrages à froid dans le cadre d'une charge de travail irrégulière.
+ Les canaris synthétiques ou la surveillance des utilisateurs réels (RUM) ne sont pas configurés avec le traçage. Sans canaris ni RUM, la télémétrie des interactions avec le client est omise de l'analyse des traces, ce qui donne un profil de performance incomplet.
+ Les charges de travail hybrides incluent à la fois des outils de suivi natifs du cloud et des outils tiers, mais aucune mesure n'a été prise pour intégrer pleinement une solution de traçage unique. En fonction de la solution de traçage sélectionnée, les kits SDK de traçage natifs du cloud doivent être utilisés pour instrumenter des composants qui ne sont pas natifs du cloud ou des outils tiers doivent être configurés pour ingérer la télémétrie de suivi native du cloud.
**Avantages liés au respect de cette bonne pratique :** lorsque les équipes de développement sont alertées de problèmes, elles peuvent obtenir une image complète des interactions entre les composants du système, y compris la corrélation composant par composant avec la journalisation, les performances et les défaillances. Dans la mesure où le traçage permet d'identifier visuellement les causes profondes, vous passez moins de temps à les étudier. Les équipes qui comprennent en détail les interactions entre les composants prennent de meilleures décisions plus rapidement lors de la résolution des problèmes. L'analyse des traces des systèmes permet d'améliorer la prise de décisions, par exemple quand il convient de recourir à la reprise après sinistre (DR) ou de choisir le meilleur endroit pour mettre en œuvre des stratégies d'autoréparation, ce qui permet d'améliorer la satisfaction des clients envers vos services.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Les équipes qui exploitent des applications distribuées peuvent utiliser des outils de traçage pour établir un identifiant de corrélation, collecter des traces de demandes et créer des cartes de service pour les composants connectés. Tous les composants de l'application doivent être inclus dans les traces des demandes, notamment les clients de service, les passerelles d'intergiciels et les bus d'événements, les composants de calcul et le stockage, y compris les magasins de clés-valeurs et les bases de données. Incluez des canaris synthétiques et une surveillance des utilisateurs réels dans votre configuration de traçage de bout en bout pour mesurer les interactions avec les clients distants et la latence afin d'évaluer avec précision les performances de vos systèmes par rapport à vos contrats et objectifs de niveau de service.
Vous pouvez utiliser les services d'instrumentation [d'AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) et [de la surveillance des applications Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Application-Monitoring-Sections.html) pour fournir une vue complète des demandes au fur et à mesure qu'elles transitent par votre application. X-Ray collecte la télémétrie des applications et vous permet de la visualiser et de la filtrer en fonction des charges utiles, des fonctions, des traces, des services et des API. Il peut être activé pour les composants du système sans code ou avec peu de code. La surveillance des applications CloudWatch inclut ServiceLens pour intégrer vos traces aux métriques, aux journaux et aux alarmes. La surveillance des applications CloudWatch inclut également des outils synthétiques pour surveiller vos points de terminaison et vos API, ainsi que la surveillance des utilisateurs réels pour instrumenter vos clients d'applications Web.
## Étapes d'implémentation
+ Utilisez AWS X-Ray sur tous les services natifs pris en charge, comme [Amazon S3, AWS Lambda et Amazon API Gateway](https://docs.aws.amazon.com/xray/latest/devguide/xray-services.html). Ces services AWS permettent l'utilisation de X-Ray grâce à des options de configuration utilisant l'infrastructure sous forme de code, de kits AWS SDK ou de la AWS Management Console.
+ Applications des instruments [AWS Distro for Open Telemetry et X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-adot.html) ou des agents de collecte tiers.
+ Consultez le [Guide du développeur AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) pour plus d'informations sur l'implémentation spécifique au langage de programmation. Ces sections de la documentation expliquent comment instrumenter les requêtes HTTP, les requêtes SQL et d'autres processus spécifiques à votre langage de programmation d'application.
+ Utilisez le traçage X-Ray pour [les canaris synthétiques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) et [Amazon CloudWatch RUM ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html) afin d'analyser le chemin de requête depuis votre client utilisateur final via votre infrastructure AWS en aval.
+ Configurez les métriques et les alarmes CloudWatch en fonction de l'intégrité des ressources et de la télémétrie canari afin que les équipes soient rapidement alertées des problèmes, puis qu'elles puissent analyser en profondeur les traces et les cartographies de services avec ServiceLens.
+ Activez l'intégration de X-Ray pour les outils de traçage tiers tels que [Datadog](https://docs.datadoghq.com/tracing/guide/serverless_enable_aws_xray/), [New Relic](https://docs.newrelic.com/docs/infrastructure/amazon-integrations/aws-integrations-list/aws-x-ray-monitoring-integration/)ou [Dynatrace](https://www.dynatrace.com/support/help/setup-and-configuration/setup-on-cloud-platforms/amazon-web-services/amazon-web-services-integrations/aws-service-metrics) si vous utilisez des outils tiers pour votre solution de traçage principale.
## Ressources
**Bonnes pratiques associées :**
+ [REL06-BP01 Surveiller tous les composants de la charge de travail (génération)](rel_monitor_aws_resources_monitor_resources.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
**Documents connexes :**
+ [Qu'est-ce qu'AWS X-Ray ?](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
+ [ Amazon CloudWatch : surveillance des applications ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Application-Monitoring-Sections.html)
+ [Débogage avec Amazon CloudWatch Synthetics et AWS X-Ray](https://aws.amazon.com/blogs/devops/debugging-with-amazon-cloudwatch-synthetics-and-aws-x-ray/)
+ [Amazon Builders' Library : Instrumentation des systèmes distribués au profit de la visibilité opérationnelle](https://aws.amazon.com/builders-library/instrumenting-distributed-systems-for-operational-visibility/)
+ [ Intégration d'AWS X-Ray à d'autres services AWS](https://docs.aws.amazon.com/xray/latest/devguide/xray-services.html)
+ [AWS Distro for OpenTelemetry et AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-adot.html)
+ [ Amazon CloudWatch : utilisation de la surveillance synthétique ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [ Amazon CloudWatch : utilisation de CloudWatch RUM ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [ Configuration d'un canari synthétique Amazon CloudWatch et d'une alarme Amazon CloudWatch ](https://docs.aws.amazon.com/solutions/latest/devops-monitoring-dashboard-on-aws/set-up-amazon-cloudwatch-synthetics-canary-and-amazon-cloudwatch-alarm.html)
+ [ Disponibilité et plus encore : comprendre et améliorer la résilience des systèmes distribués sur AWS](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/reducing-mttr.html)
**Exemples connexes :**
+ [ Un atelier sur l'observabilité ](https://catalog.workshops.aws/observability/en-US)
**Vidéos connexes :**
+ [AWS re:Invent 2022 - How to monitor applications across multiple accounts ](https://www.youtube.com/watch?v=kFGOkywu-rw)
+ [ How to Monitor your AWS Applications ](https://www.youtube.com/watch?v=UxWU9mrSbmA)
**Outils associés :**
+ [ d'AWS X-Ray](https://aws.amazon.com/xray/)
+ [ Amazon CloudWatch ](https://aws.amazon.com/pm/cloudwatch/)
+ [ Amazon Route 53 ](https://aws.amazon.com/route53/)
# REL 7 Comment concevoir votre charge de travail pour qu'elle s'adapte aux évolutions de la demande ?
Une charge de travail évolutive fournit l'élasticité nécessaire pour ajouter ou supprimer automatiquement des ressources de telle sorte qu'elles correspondent étroitement à tout moment à la demande en cours.
**Topics**
+ [REL07-BP01 Utiliser l'automatisation lors de l'obtention des ressources ou de leur mise à l'échelle](rel_adapt_to_changes_autoscale_adapt.md)
+ [REL07-BP02 Obtenir des ressources après la détection d'un problème sur une charge de travail](rel_adapt_to_changes_reactive_adapt_auto.md)
+ [REL07-BP03 Obtenir des ressources après avoir réalisé qu'un plus grand nombre de ressources est nécessaire pour une charge de travail](rel_adapt_to_changes_proactive_adapt_auto.md)
+ [REL07-BP04 Effectuer un test de charge de votre charge de travail](rel_adapt_to_changes_load_tested_adapt.md)
# REL07-BP01 Utiliser l'automatisation lors de l'obtention des ressources ou de leur mise à l'échelle
Lorsque vous remplacez des ressources compromises ou que vous mettez à l'échelle votre charge de travail, automatisez le processus à l'aide de services AWS gérés comme Amazon S3 et AWS Auto Scaling. Vous pouvez également utiliser des outils tiers et les kits SDK AWS pour automatiser la mise à l'échelle.
Les services AWS gérés comprennent Amazon S3, Amazon CloudFront, AWS Auto Scaling, AWS Lambda, Amazon DynamoDB, AWS Fargate et Amazon Route 53.
AWS Auto Scaling vous permet de détecter et de remplacer les instances dégradées. Il offre également la possibilité de créer des plans de mise à l'échelle pour les ressources, notamment les instances [Amazon EC2](https://aws.amazon.com/ec2/) et les parcs Spot, les tâches [Amazon ECS](https://aws.amazon.com/ecs/) les tables et index [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) et les réplicas [Amazon Aurora](https://aws.amazon.com/aurora/) .
Lors de la mise à l'échelle d'instances EC2, veillez à utiliser plusieurs zones de disponibilité (de préférence au moins trois) et à ajouter ou supprimer de la capacité pour maintenir l'équilibre entre ces zones de disponibilité. Les tâches ECS ou les pods Kubernetes (lors de l'utilisation d'Amazon Elastic Kubernetes Service) doivent également être répartis sur plusieurs zones de disponibilité.
Lorsque vous utilisez AWS Lambda, la mise à l'échelle est automatique. Chaque fois qu'une notification d'événement est reçue pour votre fonction, AWS Lambda localise rapidement la capacité disponible dans son parc de calcul et exécute votre code jusqu'à la simultanéité allouée. Vous devez vous assurer que la simultanéité nécessaire est configurée sur la fonction Lambda spécifique et dans Service Quotas.
Amazon S3 se met automatiquement à l'échelle pour gérer les débits de requêtes élevés. Par exemple, votre application peut obtenir au moins 3 500 demandes PUT/COPY/POST/DELETE ou 5 500 requêtes GET/HEAD par seconde et par préfixe partitionné dans un compartiment. Le nombre de préfixes dans un compartiment est illimité. Vous pouvez augmenter vos performances de lecture ou d'écriture en parallélisant les lectures. Par exemple, si vous créez 10 préfixes dans un compartiment Amazon S3 pour paralléliser les lectures, vous pouvez mettre à l'échelle vos performances de lecture sur 55 000 requêtes de lecture par seconde.
Configurez et utilisez Amazon CloudFront ou un réseau de diffusion de contenus (CDN) de confiance Un CDN fournit des temps de réponse plus rapides à l'utilisateur final et répond aux demandes de contenu à partir du cache, ce qui vous évite (dans une certaine mesure) de devoir adapter votre charge de travail.
**Anti-modèles courants :**
+ Implémentation de groupes Auto Scaling pour la réparation automatique sans implémentation de l'élasticité
+ Utilisation de la mise à l'échelle automatique pour répondre aux pics importants du trafic.
+ Déploiement d'applications hautement dynamiques avec élimination de l'option d'élasticité.
**Avantages liés au respect de cette bonne pratique :** L'automatisation élimine le risque d'erreur manuelle lors du déploiement et de la mise hors service des ressources. Elle élimine aussi le risque de dépassement de coûts et de déni de service en raison d'une réponse lente aux besoins de déploiement ou de mise hors service.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Configurer et utiliser AWS Auto Scaling. AWS Auto Scaling permet de surveiller vos applications et d'ajuster automatiquement la capacité pour maintenir des performances stables et prévisibles au coût le plus bas possible. Avec AWS Auto Scaling, vous pouvez configurer la mise à l'échelle des applications pour plusieurs ressources sur plusieurs services.
+ [Qu'est-ce qu'AWS Auto Scaling ?](https://docs.aws.amazon.com/autoscaling/plans/userguide/what-is-aws-auto-scaling.html)
+ Configurez Auto Scaling sur vos instances Amazon EC2 et vos parcs d'instances Spot, vos tâches Amazon ECS, vos tables et index Amazon DynamoDB, vos réplicas Amazon Aurora et vos appliances AWS Marketplace, le cas échéant.
+ [Gestion automatique de la capacité de débit avec DynamoDB Auto Scaling.](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
+ Utiliser les opérations d'API de service pour spécifier les alarmes, les stratégies de mise à l'échelle, ainsi que les temps de montée et de baisse de charge
+ Utiliser Elastic Load Balancing. Les équilibreurs de charge peuvent répartir la charge par chemin d'accès ou par connectivité réseau.
+ [Qu'est-ce qu'Elastic Load Balancing ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ Les Application Load Balancers peuvent répartir la charge par chemin.
+ [Qu'est-ce qu'un Application Load Balancer ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ Configurer un Application Load Balancer pour répartir le trafic sur différentes charges de travail selon le chemin d'accès du nom de domaine
+ Les Application Load Balancers peuvent être utilisés pour répartir les charges d'une manière qui s'intègre à AWS Auto Scaling pour gérer la demande.
+ [Utiliser un équilibreur de charge avec un groupe Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/autoscaling-load-balancer.html)
+ Les Network Load Balancers peuvent répartir la charge de travail par connexion.
+ [Qu'est-ce qu'un Network Load Balancer ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)
+ Configurer un Network Load Balancer pour répartir le trafic sur différentes charges de travail à l'aide du TCP ou disposer constamment d'un jeu d'adresses IP pour votre charge de travail
+ Les Network Load Balancers peuvent être utilisés pour répartir les charges d'une manière qui s'intègre à AWS Auto Scaling pour gérer la demande.
+ Utiliser un fournisseur DNS à haut niveau de disponibilité. Les noms DNS permettent à vos utilisateurs de saisir des noms plutôt que des adresses IP pour accéder à vos charges de travail et distribuer ces informations sur une portée précise, en général mondiale, pour les utilisateurs de ces charges de travail.
+ Utiliser Amazon Route 53 ou un fournisseur DNS de confiance.
+ [Qu'est-ce qu'Amazon Route 53 ?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ Utilisez Route 53 pour gérer vos distributions CloudFront et vos équilibreurs de charge.
+ Déterminer les domaines et les sous-domaines que vous allez à gérer
+ Créez des jeux d'enregistrements appropriés à l'aide d'enregistrements ALIAS ou CNAME.
+ [Utilisation des enregistrements](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)
+ Utilisez le réseau mondial AWS pour optimiser le chemin de vos utilisateurs vers vos applications. AWS Global Accelerator surveille en permanence l'état des points de terminaison de votre application et redirige le trafic vers des points de terminaison sains en moins de 30 secondes.
+ AWS Global Accelerator est un service qui améliore la disponibilité et les performances de vos applications auprès d'utilisateurs locaux ou internationaux. Il fournit des adresses IP statiques qui font office de point d'entrée fixe aux points de terminaison de votre application dans une ou plusieurs Régions AWS, telles que vos Application Load Balancers, vos Network Load Balancers ou vos instances Amazon EC2.
+ [Qu'est-ce qu'AWS Global Accelerator ?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ Configurez et utilisez Amazon CloudFront ou un réseau de diffusion de contenus (CDN) de confiance Un réseau de diffusion de contenus peut fournir des temps de réponse des utilisateurs finaux plus rapides et traiter les requêtes de contenu susceptibles de causer une mise à l'échelle inutile de vos charges de travail.
+ [Qu'est-ce que Amazon CloudFront ?](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html)
+ Configurez les distributions Amazon CloudFront pour vos charges de travail ou utilisez un CDN tiers.
+ Vous pouvez limiter l'accès à vos charges de travail de sorte qu'elles ne soient accessibles qu'à partir de CloudFront. Pour ce faire, vous pouvez utiliser les plages d'adresses IP pour CloudFront dans vos groupes de sécurité ou vos politiques d'accès des points de terminaison.
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à créer des solutions de calcul automatisées](https://aws.amazon.com/partners/find/results/?facets=%27Product%20:%20Compute%27)
+ [AWS Auto Scaling : Fonctionnement des plans de mise à l'échelle](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ [AWS Marketplace : produits utilisables avec Auto Scaling](https://aws.amazon.com/marketplace/search/results?searchTerms=Auto+Scaling)
+ [Gestion automatique de la capacité de débit avec DynamoDB Auto Scaling](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
+ [Utiliser un équilibreur de charge avec un groupe Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/autoscaling-load-balancer.html)
+ [Qu'est-ce qu'AWS Global Accelerator ?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [Qu'est-ce que Amazon EC2 Auto Scaling ?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
+ [Qu'est-ce qu'AWS Auto Scaling ?](https://docs.aws.amazon.com/autoscaling/plans/userguide/what-is-aws-auto-scaling.html)
+ [Qu'est-ce que Amazon CloudFront ?](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html?ref=wellarchitected)
+ [Qu'est-ce qu'Amazon Route 53 ?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Qu'est-ce qu'Elastic Load Balancing ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [Qu'est-ce qu'un Network Load Balancer ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)
+ [Qu'est-ce qu'un Application Load Balancer ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Utilisation des enregistrements](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)
# REL07-BP02 Obtenir des ressources après la détection d'un problème sur une charge de travail
Si la disponibilité est affectée, mettez à l'échelle les ressources de manière réactive si nécessaire, afin de restaurer la disponibilité de la charge de travail.
Vous devez commencer par configurer les vérifications de l'état et les critères de ces vérifications pour indiquer quand la disponibilité est affectée par le manque de ressources. Informez ensuite le personnel approprié qu’il doit mettre à l’échelle manuellement la ressource ou déclenchez l'automatisation pour procéder à une mise à l'échelle automatique.
La mise à l'échelle peut être ajustée manuellement en fonction de votre charge de travail. Par exemple, vous pouvez modifier le nombre d'instances EC2 dans un groupe Auto Scaling ou le débit d'une table DynamoDB via AWS Management Console ou l'interface AWS CLI. Toutefois, l'automatisation doit être utilisée à chaque fois que cela est possible (voir **Utiliser l'automatisation lors de l'obtention des ressources ou de leur mise à l'échelle**).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Obtenir des ressources après la détection d'un problème sur une charge de travail. Si la disponibilité est affectée, mettez à l'échelle les ressources de manière réactive si nécessaire, afin de restaurer la disponibilité de la charge de travail.
+ Utilisez des plans de mise à l'échelle, qui sont le composant principal d'AWS Auto Scaling, pour configurer un ensemble d'instructions pour la mise à l'échelle de vos ressources. Si vous travaillez avec AWS CloudFormation ou que vous ajoutez des balises aux ressources AWS, vous pouvez configurer des plans de mise à l'échelle pour différents ensembles de ressources, par application. AWS Auto Scaling offre des recommandations de stratégies de mise à l'échelle personnalisées pour chaque ressource. Une fois que vous avez créé votre plan de mise à l'échelle, AWS Auto Scaling combine les méthodes de mise à l'échelle dynamique et prédictive pour prendre en charge votre stratégie de mise à l'échelle.
+ [AWS Auto Scaling : Fonctionnement des plans de mise à l'échelle](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ Amazon EC2 Auto Scaling vous permet de vous assurer que vous disposez du nombre adéquat d'instances Amazon EC2 disponibles pour gérer la charge de votre application. Vous créez des collections d'instances EC2 appelées groupes Auto Scaling. Vous pouvez spécifier le nombre minimal d'instances dans chaque groupe Auto Scaling. Amazon EC2 Auto Scaling garantit alors que votre groupe ne passe jamais en dessous de cette taille. Vous pouvez spécifier le nombre maximal d'instances dans chaque groupe Auto Scaling. Amazon EC2 Auto Scaling garantit alors que votre groupe ne passe jamais au-dessus de cette taille.
+ [Qu'est-ce que Amazon EC2 Auto Scaling ?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
+ La mise à l'échelle automatique d'Amazon DynamoDB utilise le service AWS Application Auto Scaling pour ajuster de manière dynamique la capacité de débit alloué en votre nom, en fonction des modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture et d'écriture allouée afin de gérer sans limitations les augmentations soudaines du trafic.
+ [Gestion automatique de la capacité de débit avec DynamoDB Auto Scaling](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à créer des solutions de calcul automatisées](https://aws.amazon.com/partners/find/results/?facets=%27Product%20:%20Compute%27)
+ [AWS Auto Scaling : Fonctionnement des plans de mise à l'échelle](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ [AWS Marketplace : produits utilisables avec Auto Scaling](https://aws.amazon.com/marketplace/search/results?searchTerms=Auto+Scaling)
+ [Gestion automatique de la capacité de débit avec DynamoDB Auto Scaling](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
+ [Qu'est-ce que Amazon EC2 Auto Scaling ?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
# REL07-BP03 Obtenir des ressources après avoir réalisé qu'un plus grand nombre de ressources est nécessaire pour une charge de travail
Mettez à l'échelle les ressources de manière proactive pour répondre à la demande et éviter l'impact sur la disponibilité.
De nombreux services AWS sont automatiquement mis à l'échelle pour répondre à la demande. Si vous utilisez des instances Amazon EC2 ou des clusters Amazon ECS, vous pouvez configurer la mise à l'échelle automatique de ces instances pour qu'elle intervienne en fonction des métriques d'utilisation qui correspondent à la demande de votre charge de travail. Pour Amazon EC2, l'utilisation moyenne du CPU, le nombre de requêtes de l'équilibreur de charge ou la bande passante du réseau peuvent être utilisés pour augmenter (ou diminuer) les instances EC2. Pour Amazon ECS, l'utilisation moyenne du CPU, le nombre de requêtes de l'équilibreur de charge et l'utilisation de la mémoire peuvent être utilisés pour augmenter (ou diminuer) les tâches ECS. En utilisant Target Auto Scaling sur AWS, l'Autoscaler agit comme un thermostat domestique, en ajoutant ou en supprimant des ressources pour maintenir la valeur cible (par exemple, 70 % d'utilisation du CPU) que vous spécifiez.
AWS Auto Scaling peut également exécuter [Predictive Auto Scaling](https://aws.amazon.com/blogs/aws/new-predictive-scaling-for-ec2-powered-by-machine-learning/), qui s'appuie sur le machine learning pour analyser la charge de travail historique de chaque ressource et anticipe régulièrement la charge future des deux prochains jours.
Little's Law permet de calculer le nombre d'instances de calcul (instances EC2, fonctions Lambda simultanées, etc.) dont vous avez besoin.
*L* = *λW*
L = nombre d'instances (ou simultanéité moyenne dans le système)
λ = vitesse moyenne à laquelle les requêtes arrivent (demande/s.)
W = temps moyen que chaque requête passe dans le système (s.)
Par exemple, à 100 rps, si le traitement de chaque requête prend 0,5 seconde, vous aurez besoin de 50 instances pour prendre en charge la requête.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Obtenir des ressources après avoir réalisé qu'un plus grand nombre de ressources est nécessaire pour une charge de travail. Mettez à l'échelle les ressources de manière proactive pour répondre à la demande et éviter l'impact sur la disponibilité.
+ Déterminez le nombre de ressources de calcul dont vous aurez besoin (simultanéité de calcul) pour gérer un débit de demandes donné.
+ [Telling Stories About Little's Law](https://brooker.co.za/blog/2018/06/20/littles-law.html)
+ Configurez la mise à l'échelle planifiée pour Amazon EC2 Auto Scaling lorsque vous disposez d'un modèle d'utilisation historique.
+ [Mise à l'échelle planifiée pour Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/schedule_time.html)
+ Utilisez la mise à l'échelle prédictive AWS.
+ [Scalabilité prédictive pour EC2 alimentée par le machine learning](https://aws.amazon.com/blogs/aws/new-predictive-scaling-for-ec2-powered-by-machine-learning/)
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling : Fonctionnement des plans de mise à l'échelle](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ [AWS Marketplace : produits utilisables avec Auto Scaling](https://aws.amazon.com/marketplace/search/results?searchTerms=Auto+Scaling)
+ [Gestion automatique de la capacité de débit avec DynamoDB Auto Scaling](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
+ [Scalabilité prédictive pour EC2 alimentée par le machine learning](https://aws.amazon.com/blogs/aws/new-predictive-scaling-for-ec2-powered-by-machine-learning/)
+ [Mise à l'échelle planifiée pour Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/schedule_time.html)
+ [Telling Stories About Little's Law](https://brooker.co.za/blog/2018/06/20/littles-law.html)
+ [Qu'est-ce que Amazon EC2 Auto Scaling ?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
# REL07-BP04 Effectuer un test de charge de votre charge de travail
Adoptez une méthodologie de test de charge pour déterminer si la mise à l'échelle répond aux exigences de la charge de travail.
Il est important d'exécuter régulièrement des tests de charge. Les tests de charge devraient découvrir le point de rupture et tester les performances de votre charge de travail. AWS facilite la configuration d'environnements de test temporaires qui modélisent l'échelle de votre charge de travail de production. Dans le Cloud, vous pouvez créer un environnement d'essai à l'échelle de la production et à la demande, exécuter les tests, puis désactiver les ressources. Puisque vous ne payez l'environnement de test que lorsqu'il s'exécute, vous pouvez simuler votre environnement réel pour une fraction du coût d'un test sur site.
Les tests de charge en production doivent également être intégrés aux tests de simulation de pannes, lors desquels le système de production est mis sous tension pendant les périodes où le client est moins utilisé et tout le personnel est disponible pour interpréter les résultats et résoudre les problèmes qui surviennent.
**Anti-modèles courants :**
+ Exécution de tests de charge sur des déploiements qui ne n'ont pas la même configuration que votre production.
+ Effectuer un test de charge uniquement sur des éléments individuels de votre charge de travail, et non sur l'ensemble de la charge de travail.
+ Exécution de tests de charge avec un sous-ensemble de demandes et non un ensemble représentatif de demandes réelles.
+ Exécution de tests de charge avec un faible facteur de sécurité au-dessus de la charge prévue.
**Avantages liés au respect de cette bonne pratique :** Vous savez quels composants de votre architecture échouent sous charge et vous pouvez identifier les métriques à surveiller qui indiquent suffisamment à temps que vous approchez de cette charge pour que vous résolviez le problème et empêchiez ainsi l'impact de cette défaillance.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Exécutez des tests de charge pour identifier l'aspect de votre charge de travail qui indique que vous devez ajouter ou supprimer de la capacité. Les tests de charge doivent avoir un trafic représentatif similaire à ce que vous recevez en production. Augmentez la charge tout en surveillant les métriques que vous avez instrumentées pour déterminer quelle métrique indique quand vous devez ajouter ou supprimer des ressources.
+ [Test de charge distribuée sur AWS : simulation de milliers d'utilisateurs connectés](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
+ Identifiez le mélange de demandes. Comme vous pouvez avoir divers mélanges de demandes, vous devez examiner les différentes périodes lors de l'identification de la combinaison de trafic.
+ Implémentez un pilote de charge. Vous pouvez utiliser un code personnalisé, un logiciel open source ou un logiciel commercial pour implémenter un pilote de charge.
+ Effectuez un test de charge initial avec une faible capacité. Vous constatez des effets immédiats en entraînant une charge moindre, éventuellement aussi petite qu'une instance ou un conteneur.
+ Effectuez un test de charge par rapport à une capacité plus importante. Étant donné que les effets seront différents sur une charge distribuée, vous devez procéder à des essais dans un environnement aussi proche que possible de celui du produit.
## Ressources
**Documents connexes :**
+ [Test de charge distribuée sur AWS : simulation de milliers d'utilisateurs connectés](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
# REL 8 Comment implémenter les modifications ?
Des modifications contrôlées sont nécessaires pour au moins deux raisons : déployer de nouvelles fonctionnalités et s'assurer que les charges de travail et l'environnement d'exploitation fonctionnent avec des logiciels connus et peuvent être corrigés ou remplacés de manière prévisible. Si les modifications ne sont pas contrôlées, il est difficile de prédire leur effet ou de résoudre les problèmes qui en découlent.
**Topics**
+ [REL08-BP01 Utiliser des runbooks pour les activités standard telles que le déploiement](rel_tracking_change_management_planned_changemgmt.md)
+ [REL08-BP02 Intégrer les tests fonctionnels dans le cadre de votre déploiement](rel_tracking_change_management_functional_testing.md)
+ [REL08-BP03 Intégrer les tests de résilience dans le cadre de votre déploiement](rel_tracking_change_management_resiliency_testing.md)
+ [REL08-BP04 Effectuer le déploiement à l'aide d'une infrastructure immuable](rel_tracking_change_management_immutable_infrastructure.md)
+ [REL08-BP05 Déployer les modifications avec l'automatisation](rel_tracking_change_management_automated_changemgmt.md)
# REL08-BP01 Utiliser des runbooks pour les activités standard telles que le déploiement
Les runbooks sont les procédures prédéfinies destinées à parvenir à un résultat spécifique. Utilisez des runbooks pour effectuer des tâches manuelles ou automatiques standard. Il peut s'agir du déploiement d'une charge de travail, de l'application de correctifs à une charge de travail ou de la modification du DNS.
Par exemple, mettez en place des processus [pour assurer la sécurité des restaurations pendant les déploiements](https://aws.amazon.com/builders-library/ensuring-rollback-safety-during-deployments). Pour garantir la fiabilité d’un service, il est essentiel de s'assurer que vous pouvez restaurer un déploiement sans interruption pour vos clients.
Concernant les procédures de runbook, commencez par un processus manuel efficace valide, mettez-le en œuvre dans le code et, le cas échéant, déclenchez son exécution automatique.
Même pour les charges de travail sophistiquées hautement automatisées, les runbooks restent utiles pour [exécuter des tests de simulation de pannes](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/test-reliability.html#GameDays) ou répondre à des exigences rigoureuses en matière de rapports et d'audit.
Notez que les playbooks sont utilisés en réponse à des incidents spécifiques et que les runbooks le sont pour obtenir des résultats spécifiques. En règle générale, les runbooks sont destinés aux activités de routine, tandis que les playbooks sont utilisés pour répondre à des événements non réguliers.
**Anti-modèles courants :**
+ Exécution de modifications imprévues de la configuration en production.
+ Ignorer les étapes de votre plan afin d'accélérer le déploiement, ce qui entraîne un échec du déploiement.
+ Effectuez des modifications sans tester l'annulation de la modification.
**Avantages liés au respect de cette bonne pratique :** Une planification efficace des modifications augmente votre capacité à exécuter correctement la modification, car vous êtes conscient de tous les systèmes concernés. Vous gagnez en confiance si vous réussissez à valider des modifications que vous apportez aux environnements de test.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Obtenez des réponses cohérentes et rapides à des événements bien compris en documentant les procédures dans des runbooks.
+ [Concepts AWS Well-Architected Framework : runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html)
+ Utilisez le principe de l'infrastructure en tant que code pour définir votre infrastructure. En ayant recours à AWS CloudFormation ou à un tiers de confiance pour définir votre infrastructure, vous pouvez utiliser le contrôle de version et suivre les modifications apportées à la version du logiciel.
+ Utilisez AWS CloudFormation ou un fournisseur tiers de confiance pour définir votre infrastructure.
+ [Qu'est-ce qu'AWS CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ Créez des modèles qui sont singuliers et découplés, en utilisant de bons principes de conception de logiciels.
+ Déterminez les autorisations, les modèles et les responsables de l'implémentation
+ [ Contrôle de l'accès avec Gestion des identités et des accès AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html)
+ Utilisez le contrôle de code source, comme AWS CodeCommit ou un outil tiers de confiance, pour le contrôle de version.
+ [Qu'est-ce qu'AWS CodeCommit ?](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à créer des solutions de déploiement automatisées](https://aws.amazon.com/partners/find/results/?keyword=devops)
+ [AWS Marketplace : produits pouvant être utilisés pour automatiser vos déploiements](https://aws.amazon.com/marketplace/search/results?searchTerms=DevOps)
+ [Concepts AWS Well-Architected Framework : runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html)
+ [Qu'est-ce qu'AWS CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [Qu'est-ce qu'AWS CodeCommit ?](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html)
**Exemples connexes :**
+ [Automatisation des opérations avec les playbooks et les runbooks](https://wellarchitectedlabs.com/operational-excellence/200_labs/200_automating_operations_with_playbooks_and_runbooks/)
# REL08-BP02 Intégrer les tests fonctionnels dans le cadre de votre déploiement
Les tests fonctionnels sont exécutés dans le cadre du déploiement automatisé. Si les critères de réussite ne sont pas respectés, le pipeline est arrêté ou annulé.
Ces tests sont exécutés dans un environnement de préproduction, qui est mis en place avant la production dans le pipeline. Idéalement, cela s'effectue dans le cadre d'un pipeline de déploiement.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Intégrez les tests fonctionnels dans le cadre de votre déploiement. Les tests fonctionnels sont exécutés dans le cadre du déploiement automatisé. Si les critères de réussite ne sont pas respectés, le pipeline est arrêté ou annulé.
+ Appelez AWS CodeBuild lors de « l'action de test » de vos pipelines de publication de logiciels modélisés dans AWS CodePipeline. Cette fonctionnalité vous permet d'exécuter facilement divers tests sur votre code, en particulier des tests unitaires, des analyses de code statique et des tests d'intégration.
+ [AWS CodePipeline ajoute la prise en charge des tests unitaires et des tests d'intégration personnalisés avec AWS CodeBuild](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ Utilisez les solutions AWS Marketplace pour exécuter des tests automatisés dans le cadre de votre pipeline de distribution de logiciels.
+ [Automatisation des tests logiciels](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
## Ressources
**Documents connexes :**
+ [AWS CodePipeline ajoute la prise en charge des tests unitaires et des tests d'intégration personnalisés avec AWS CodeBuild](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ [Automatisation des tests logiciels](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
+ [Qu'est-ce que AWS CodePipeline ?](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)
# REL08-BP03 Intégrer les tests de résilience dans le cadre de votre déploiement
Les tests de résilience (basés sur les [principes de l'ingénierie du chaos](https://principlesofchaos.org/)) sont exécutés dans le cadre du pipeline de déploiement automatisé dans un environnement de préproduction.
Ces tests sont mis en place et exécutés dans le pipeline dans un environnement de préproduction. Ils doivent également être exécutés en production, mais dans le cadre des [https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/test-reliability.html#GameDays](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/test-reliability.html#GameDays).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Intégrez les tests de résilience dans le cadre de votre déploiement. Utilisez l'ingénierie du chaos qui est la discipline d'expérimentation d'une charge de travail afin d'améliorer votre confiance en sa capacité à supporter des conditions instables en production.
+ Les tests de résilience injectent des défaillances ou une dégradation des ressources pour vérifier que votre charge de travail répond avec le niveau de résilience prévue à la conception.
+ [Atelier Well-Architected : niveau 300 : test de la résilience d’EC2 RDS et de S3](https://wellarchitectedlabs.com/Reliability/300_Testing_for_Resiliency_of_EC2_RDS_and_S3/README.html)
+ Ces tests peuvent être exécutés régulièrement dans des environnements de préproduction dans des pipelines de déploiement automatisés.
+ Ils doivent également être exécutés en production, dans le cadre des tests de simulation de panne.
+ Si vous utilisez les principes de l'ingénierie du chaos, proposez des hypothèses sur les performances de votre charge de travail dans différentes situations, puis testez vos hypothèses à l'aide de tests de résilience.
+ [Principes de l'ingénierie du chaos](https://principlesofchaos.org/)
## Ressources
**Documents connexes :**
+ [Principes de l'ingénierie du chaos](https://principlesofchaos.org/)
+ [Qu'est qu'AWS Fault Injection Simulator (AWS FIS) ?](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html)
**Exemples connexes :**
+ [Atelier Well-Architected : niveau 300 : test de la résilience d’EC2 RDS et de S3](https://wellarchitectedlabs.com/Reliability/300_Testing_for_Resiliency_of_EC2_RDS_and_S3/README.html)
# REL08-BP04 Effectuer le déploiement à l'aide d'une infrastructure immuable
Une infrastructure immuable est un modèle qui exige qu'aucune mise à jour, aucune application de correctifs de sécurité ni aucun changement de configuration ne se produise sur place sur les charges de travail de production. Lorsqu'un changement est nécessaire, l'architecture est intégrée à la nouvelle infrastructure et déployée en production.
L'implémentation la plus courante du paradigme d'infrastructure immuable est le ***serveur immuable***. Cela signifie que si un serveur a besoin d'une mise à jour ou d'un correctif, de nouveaux serveurs sont déployés au lieu de mettre à jour ceux déjà utilisés. Ainsi, au lieu de se connecter au serveur via le protocole SSH et de mettre à jour la version logicielle, chaque modification de l'application commence par une transmission logicielle au référentiel de code, par exemple, git push. Les modifications n’étant pas autorisées dans une infrastructure immuable, vous pouvez être sûr de l'état du système déployé. Les infrastructures immuables sont, par nature, plus cohérentes, plus fiables et plus prévisibles. De plus, elles simplifient de nombreux aspects du développement et du fonctionnement des logiciels.
Utilisez un déploiement Canari ou bleu/vert lors du déploiement d'applications dans des infrastructures immuables.
[https://martinfowler.com/bliki/CanaryRelease.html](https://martinfowler.com/bliki/CanaryRelease.html) consiste à diriger un petit nombre de vos clients vers la nouvelle version, généralement exécutée sur une seule instance de service (la version Canari). Examinez ensuite en profondeur les modifications de comportement ou les erreurs générées. Vous pouvez supprimer le trafic du Canary si vous rencontrez des problèmes critiques et faire basculer les utilisateurs vers la version précédente. Si le déploiement est réussi, vous pouvez le continuer à la vitesse souhaitée, tout en surveillant les modifications (pour éviter les erreurs), jusqu’à ce qu’il soit terminé. AWS CodeDeploy peut être configuré avec une configuration de déploiement qui permettra un déploiement Canari.
[https://martinfowler.com/bliki/BlueGreenDeployment.html](https://martinfowler.com/bliki/BlueGreenDeployment.html) est semblable au déploiement Canari, si ce n'est qu'un parc complet de l'application est déployé en parallèle. Vos déploiements alternent entre deux piles (bleu et vert). Une fois encore, vous pouvez faire basculer le trafic vers la nouvelle version et revenir à l'ancienne si vous rencontrez des problèmes lors du déploiement. Généralement, tout le trafic est commuté en même temps. Vous pouvez toutefois également utiliser des fractions de votre trafic vers chaque version pour modifier l'adoption de la nouvelle version à l'aide des capacités de routage DNS pondéré d'Amazon Route 53. AWS CodeDeploy et AWS Elastic Beanstalk peuvent être configurés avec une configuration de déploiement qui permet un déploiement bleu/vert.
![\[Diagramme illustrant un déploiement bleu/vert avec AWS Elastic Beanstalk et Amazon Route 53\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/blue-green-deployment.png)
Avantages d'une infrastructure immuable :
+ **Réduction des dérives de configuration :** en remplaçant fréquemment les serveurs à partir d'une configuration de base connue et contrôlée par les versions, l'infrastructure est **réinitialisée** à un état connu, ce qui évite les dérives de configuration.
+ **Déploiements simplifiés**: les déploiements sont simplifiés, car ils n'ont pas besoin de prendre en charge les mises à niveau. Les mises à niveau sont simplement de nouveaux déploiements.
+ **Déploiements atomiques fiables :** les déploiements se terminent avec succès ou aucune modification n'est apportée. Le processus de déploiement est ainsi plus fiable.
+ **Déploiements plus sûrs avec des processus de restauration et de récupération rapides :** les déploiements sont plus sûrs, car la version de travail précédente n'est pas modifiée. Vous pouvez la restaurer si des erreurs sont détectées.
+ **Environnements de test et de débogage cohérents :** étant donné que tous les serveurs utilisent la même image, il n'y a pas de différence entre les environnements. Une version est déployée dans plusieurs environnements. Cela permet d’éviter les environnements incohérents tout en simplifiant les tests et le débogage.
+ **Capacité de mise à l'échelle accrue :** la capacité de mise à l'échelle automatique est négligeable, car les serveurs utilisent une image de base tout en étant cohérents et répétables.
+ **Chaîne d'outils simplifiée**: la chaîne d'outils est simplifiée. Vous pouvez en effet supprimer les outils de gestion de la configuration qui prennent en charge les mises à niveau des logiciels de production. Aucun outil ou agent supplémentaire n'est installé sur les serveurs. Les modifications sont apportées à l'image de base, testées et déployées.
+ **Sécurité accrue :** en refusant toutes les modifications apportées aux serveurs, vous pouvez désactiver le protocole SSH sur les instances et supprimer les clés. Cela vous permet de réduire le vecteur d'attaque tout en améliorant la sécurité de votre organisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Effectuez le déploiement à l'aide d'une infrastructure immuable. Une infrastructure immuable est un modèle dans le cadre duquel aucune mise à jour, aucun correctif de sécurité ni aucune modification de configuration n'est effectué *sur place* sur les systèmes de production. Si un changement est nécessaire, une nouvelle version de l'architecture est créée et déployée en production.
+ [Présentation d'un déploiement bleu/vert](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html#welcome-deployment-overview-blue-green)
+ [Déploiement progressif d'applications sans serveur](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/automating-updates-to-serverless-apps.html)
+ [Infrastructure inaltérable : fiabilité, cohérence et confiance grâce à l'inaltérabilité](https://medium.com/@adhorn/immutable-infrastructure-21f6613e7a23)
+ [CanaryRelease](https://martinfowler.com/bliki/CanaryRelease.html)
## Ressources
**Documents connexes :**
+ [CanaryRelease](https://martinfowler.com/bliki/CanaryRelease.html)
+ [Déploiement progressif d'applications sans serveur](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/automating-updates-to-serverless-apps.html)
+ [Infrastructure inaltérable : fiabilité, cohérence et confiance grâce à l'inaltérabilité](https://medium.com/@adhorn/immutable-infrastructure-21f6613e7a23)
+ [Présentation d'un déploiement bleu/vert](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html#welcome-deployment-overview-blue-green)
+ [L'Amazon Builders' Library : Garantir la sécurité des restaurations pendant les déploiements](https://aws.amazon.com/builders-library/ensuring-rollback-safety-during-deployments)
# REL08-BP05 Déployer les modifications avec l'automatisation
Les déploiements et l'application de correctifs sont automatisés pour éliminer l'impact négatif.
Les modifications apportées aux systèmes de production sont l'un des secteurs de risque les plus importants pour de nombreuses organisations. Nous considérons les déploiements comme un problème de premie ordre à résoudre, tout comme les problèmes opérationnels que le logiciel rencontre. Aujourd'hui, il convient d'appliquer l'automatisation dès que les opérations le permettent, y compris lors des tests et du déploiement de modifications, lors de l'ajout ou de la suppression de capacités et lors de la migration des données. AWS CodePipeline vous permet de gérer les étapes nécessaires à la libération de votre charge de travail. Cela englobe un état de déploiement utilisant AWS CodeDeploy pour automatiser le déploiement du code d'application sur les instances Amazon EC2, les instances sur site, les fonctions Lambda sans serveur ou les services Amazon ECS.
**Recommandations**
Bien que les principes traditionnels suggèrent de garder les interventions humaines dans la boucle des procédures opérationnelles les plus complexes, nous vous conseillons justement d'automatiser ces mêmes procédures pour cette raison.
**Anti-modèles courants :**
+ Modifications manuelles
+ Saut des étapes de votre automatisation via les flux de travail d'urgence.
+ Non suivi de vos plans.
**Avantages liés au respect de cette bonne pratique :** L'utilisation de l'automatisation pour déployer toutes les modifications élimine le risque d'introduction d'erreurs humaines et permet de tester avant de changer la production afin de s'assurer que vos plans sont suivis.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatisez votre pipeline de déploiement. Le déploiement des pipelines vous permet d'une part d'invoquer des tests automatisés et la détection des anomalies et, d'autre part, d'arrêter le pipeline à une certaine étape avant le déploiement en production ou de restaurer automatiquement l'environnement d'avant la modification.
+ [L'Amazon Builders' Library : Garantir la sécurité des restaurations pendant les déploiements](https://aws.amazon.com/builders-library/ensuring-rollback-safety-during-deployments)
+ [L'Amazon Builders' Library : Aller plus vite avec la distribution continue](https://aws.amazon.com/builders-library/going-faster-with-continuous-delivery/)
+ Utilisez AWS CodePipeline ou un produit tiers de confiance pour définir et exécuter vos pipelines.
+ Configurez le pipeline pour démarrer lorsqu'une modification est apportée à votre référentiel de code.
+ [Qu'est-ce qu'AWS CodePipeline ?](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)
+ Utilisez Amazon Simple Notification Service (Amazon SNS) and Amazon Simple Email Service (Amazon SES) pour envoyer des notifications sur les problèmes dans le pipeline ou pour intégrer un outil de chat d'équipe, comme Amazon Chime.
+ [Qu'est-ce qu'Amazon Simple Notification Service ?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
+ [Qu'est-ce que Amazon SES ?](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/Welcome.html)
+ [Qu'est-ce qu'Amazon Chime ?](https://docs.aws.amazon.com/chime/latest/ug/what-is-chime.html)
+ [Automatisez les messages de chat avec les webhooks.](https://docs.aws.amazon.com/chime/latest/ug/webhooks.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à créer des solutions de déploiement automatisées](https://aws.amazon.com/partners/find/results/?keyword=devops)
+ [AWS Marketplace : produits pouvant être utilisés pour automatiser vos déploiements](https://aws.amazon.com/marketplace/search/results?searchTerms=DevOps)
+ [Automatisez les messages de chat avec les webhooks.](https://docs.aws.amazon.com/chime/latest/ug/webhooks.html)
+ [L'Amazon Builders' Library : Garantir la sécurité des restaurations pendant les déploiements](https://aws.amazon.com/builders-library/ensuring-rollback-safety-during-deployments)
+ [L'Amazon Builders' Library : Aller plus vite avec la distribution continue](https://aws.amazon.com/builders-library/going-faster-with-continuous-delivery/)
+ [Qu'est-ce que AWS CodePipeline ?](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)
+ [Qu'est-ce que CodeDeploy ?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
+ [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Qu'est-ce que Amazon SES ?](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/Welcome.html)
+ [Qu'est-ce qu'Amazon Simple Notification Service ?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
**Vidéos connexes :**
+ [AWS Summit 2019: CI/CD on AWS](https://youtu.be/tQcF6SqWCoY)
# Gestion des défaillances
**Topics**
+ [REL 9 Comment sauvegarder des données ?](rel-09.md)
+ [REL 10 Comment utiliser l'isolation des pannes pour protéger votre charge de travail ?](rel-10.md)
+ [REL 11 Comment concevoir votre charge de travail pour la rendre résistante aux défaillances de composants ?](rel-11.md)
+ [REL 12 Comment tester la fiabilité ?](rel-12.md)
+ [REL 13 Comment planifier la reprise après sinistre (DR) ?](rel-13.md)
# REL 9 Comment sauvegarder des données ?
Sauvegardez les données, les applications et la configuration pour répondre à vos exigences en matière d'objectifs de temps de récupération (RTO) et d'objectifs de point de récupération (RPO).
**Topics**
+ [REL09-BP01 Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources](rel_backing_up_data_identified_backups_data.md)
+ [REL09-BP02 Sécuriser et chiffrer les sauvegardes](rel_backing_up_data_secured_backups_data.md)
+ [REL09-BP03 Effectuer automatiquement la sauvegarde des données](rel_backing_up_data_automated_backups_data.md)
+ [REL09-BP04 Effectuer une récupération périodique des données pour vérifier l'intégrité et les processus de sauvegarde](rel_backing_up_data_periodic_recovery_testing_data.md)
# REL09-BP01 Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources
Identifiez et utilisez les fonctionnalités de sauvegarde des services et ressources de données utilisés par votre charge de travail. La plupart des services offrent des fonctionnalités permettant de sauvegarder vos données de charge de travail.
**Résultat souhaité :** les sources de données ont été identifiées et classées en fonction de leur ordre d'importance. Définissez ensuite une stratégie de récupération des données basée sur le RPO. Cette stratégie implique soit de sauvegarder ces sources de données, soit d'avoir la capacité de reproduire des données provenant d'autres sources. En cas de perte de données, la stratégie mise en place permet la récupération ou la reproduction des données dans les RPO et RTO définis.
**Phase de maturité du cloud :** fondamentale
**Anti-modèles courants :**
+ Ne pas connaître toutes les sources de données pour la charge de travail ni leur ordre d'importance.
+ Ne pas effectuer de sauvegardes des sources de données critiques.
+ Sauvegarder uniquement certaines sources de données sans utiliser leur ordre d'importance comme critère.
+ Aucun RPO défini, ou la fréquence de sauvegarde ne parvient pas à atteindre le RPO.
+ Ne pas évaluer si une sauvegarde est nécessaire ou si les données peuvent être reproduites à partir d'autres sources.
**Avantages liés au respect de cette bonne pratique :** identifier les emplacements où les sauvegardes sont nécessaires et mettre en place un mécanisme pour créer des sauvegardes, ou être capable de reproduire les données à partir d'une source externe améliore la capacité de restauration et de récupération des données lors d'une panne.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Tous les magasins de données AWS offrent des fonctionnalités de sauvegarde. Des services comme Amazon RDS et Amazon DynamoDB prennent également en charge la sauvegarde automatisée qui permet la récupération ponctuelle (PITR). Vous pouvez ainsi restaurer une sauvegarde remontant jusqu'à cinq minutes ou moins avant l'heure actuelle. De nombreux services AWS offrent la possibilité de copier les sauvegardes vers une autre Région AWS. AWS Backup est un outil qui vous permet de centraliser et d'automatiser la protection des données entre les services AWS. [Reprise après sinistre AWS Elastic](https://aws.amazon.com/disaster-recovery/) vous permet de copier des charges de travail complètes de serveurs et de maintenir une protection continue des données à partir d'un site, d'une zone géographique ou d'une région, avec un objectif de point de reprise (RPO) mesuré en secondes.
Amazon S3 peut être utilisé comme destination de sauvegarde pour les sources de données autogérées et gérées par AWS. Les services AWS tels qu'Amazon EBS, Amazon RDS et Amazon DynamoDB ont des fonctionnalités intégrées permettant de créer des sauvegardes. Vous pouvez aussi utiliser des logiciels de sauvegarde tiers.
Les données sur site peuvent être sauvegardées sur le AWS Cloud à l'aide de [AWS Storage Gateway](https://docs.aws.amazon.com/storagegateway/latest/vgw/WhatIsStorageGateway.html) ou de [AWS DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html). Les compartiments Amazon S3 permettent de stocker ces données sur AWS. Amazon S3 offre plusieurs niveaux de stockage tels que [Amazon Glacier ou Amazon Glacier Deep Archive](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/amazon-s3-glacier.html) pour réduire le coût du stockage des données.
Il se peut que vous puissiez répondre aux besoins de récupération de données en reproduisant les données à partir d'autres sources. Par exemple, les [nœuds de réplica Amazon ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Replication.Redis.Groups.html) ou les [réplicas en lecture Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html) peuvent reproduire des données en cas de perte de la source principale. Dans les cas où des sources de ce type peuvent être utilisées pour atteindre votre [objectif de point de reprise (RPO) et votre objectif de délai de reprise (RTO](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html)), il se peut que vous n'ayez pas besoin d'une sauvegarde. Autre exemple, si vous travaillez avec Amazon EMR, il n'est peut-être pas nécessaire de sauvegarder votre magasin de données HDFS, tant que vous pouvez [reproduire les données dans Amazon EMR à partir de Amazon S3](https://aws.amazon.com/premiumsupport/knowledge-center/copy-s3-hdfs-emr/).
Lors de la sélection d'une stratégie de sauvegarde, tenez compte du temps nécessaire pour récupérer les données. Le temps nécessaire pour récupérer les données dépend du type de sauvegarde (dans le cas d'une stratégie de sauvegarde) ou de la complexité du mécanisme de reproduction des données. Cette durée doit être conforme au RTO de la charge de travail.
**Étapes d'implémentation**
1. **Identifiez toutes les sources de données pour la charge de travail**. Les données peuvent être stockées sur un certain nombre de ressources telles que les [bases de données](https://aws.amazon.com/products/databases/), les [volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html), les [systèmes de fichiers](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html), les [systèmes de journalisation](https://docs.aws.amazon.com/Amazon/latest/logs/WhatIsLogs.html) et le [stockage d'objets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html). Reportez-vous à la section **Ressources** pour trouver des **documents connexes** sur les différents services AWS où les données sont stockées, et la capacité de sauvegarde que ces services fournissent.
1. **Classez les sources de données en fonction de leur ordre d'importance**. Différents jeux de données ont différents niveaux d'importance pour une charge de travail, et donc différentes exigences en matière de résilience. Par exemple, certaines données peuvent être critiques et nécessiter un RPO proche de zéro, tandis que d'autres données peuvent être moins critiques et peuvent tolérer un RPO plus élevé et la perte de certaines données. De même, différents jeu de données peuvent également avoir des exigences de RTO différentes.
1. **Utilisez AWS ou des services tiers pour créer des sauvegardes des données**. [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) est un service géré qui permet de créer des sauvegardes de diverses sources de données sur AWS. [Reprise après sinistre AWS Elastic](https://aws.amazon.com/disaster-recovery/) gère la réplication automatisée des données à la seconde près vers une Région AWS. La plupart des services AWS ont également des fonctionnalités natives permettant de créer des sauvegardes. AWS Marketplace inclut de nombreuses solutions qui offrent également ces fonctionnalités. Reportez-vous à la section **Ressources** ci-dessous pour découvrir comment créer des sauvegardes de données à partir de divers services AWS.
1. **Pour les données non sauvegardées, définissez un mécanisme de reproduction des données**. Vous pouvez choisir de ne pas sauvegarder les données qui peuvent être reproduites à partir d'autres sources pour diverses raisons. Il peut arriver qu'il soit moins coûteux de reproduire des données à partir de sources en cas de besoin plutôt que de créer une sauvegarde, car le stockage des sauvegardes peut impliquer un coût. Ou peut-être la restauration à partir d'une sauvegarde prend-elle plus de temps que la reproduction des données à partir des sources, ce qui entraîne une violation du RTO. Dans de telles situations, envisagez les avantages et inconvénients de chaque approche et définissez un processus clair sur la façon dont les données peuvent être reproduites à partir de ces sources lorsque la récupération des données est nécessaire. Si vous avez chargé des données depuis Amazon S3 vers un entrepôt de données (comme Amazon Redshift) ou un cluster MapReduce (comme Amazon EMR) pour les analyser, vous disposez d'un exemple de données reproductibles à partir d'autres sources. Tant que les résultats de ces analyses sont stockés quelque part ou reproductibles, vous ne perdrez pas données en cas de défaillance de l'entrepôt de données ou du cluster MapReduce. Parmi les autres exemples reproductibles à partir de sources, figurent les caches (comme Amazon ElastiCache) ou les réplicas en lecture RDS.
1. **Spécifiez un rythme de sauvegarde des données**. La création de sauvegardes de sources de données est un processus périodique, et la fréquence doit dépendre du RPO.
**Niveau d'effort du plan d'implémentation :** modéré
## Ressources
**Bonnes pratiques associées :**
[REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](rel_planning_for_recovery_objective_defined_recovery.md)
[REL13-BP02 Utiliser des stratégies de reprise définies pour répondre aux objectifs de reprise](rel_planning_for_recovery_disaster_recovery.md)
**Documents connexes :**
+ [Qu'est-ce que AWS Backup ?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [What is AWS DataSync?](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html) (Qu'est-ce qu'AWS DataSync ?)
+ [Qu'est-ce que la passerelle de volume ?](https://docs.aws.amazon.com/storagegateway/latest/vgw/WhatIsStorageGateway.html)
+ [Partenaire APN : partenaires pouvant faciliter la sauvegarde](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace : produits pouvant être utilisés pour la sauvegarde](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Instantanés Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
+ [Backing Up Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-backup-solutions.html) (Sauvegarde Amazon EFS)
+ [Sauvegarde d'Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/using-backups.html)
+ [Sauvegarde et restauration d'ElastiCache pour Redis](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)
+ [Création d'un instantané de cluster de base de données dans Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html)
+ [Création d'un instantané de base de données](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateSnapshot.html)
+ [Création d'une règle EventBridge qui se déclenche selon un calendrier](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [Réplication entre régions](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html) avec Amazon S3
+ [EFS-to-EFS AWS Backup](https://aws.amazon.com/solutions/efs-to-efs-backup-solution/)
+ [Exportation de données de journal vers Amazon S3](https://docs.aws.amazon.com/Amazon/latest/logs/S3Export.html)
+ [Gestion du cycle de vie des objets](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)
+ [Sauvegarde et restauration à la demande pour DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/backuprestore_HowItWorks.html)
+ [Restauration à un instant dans le passé pour DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)
+ [Utilisation des instantanés d'index Amazon OpenSearch Service](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains-snapshots.html)
+ [ Qu'est-ce que Reprise après sinistre AWS Elastic ? ](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
**Vidéos connexes :**
+ [AWS re:Invent 2021 - Backup, disaster recovery, and ransomware protection with AWS](https://www.youtube.com/watch?v=Ru4jxh9qazc)
+ [AWS Backup Demo: Cross-Account and Cross-Region Backup](https://www.youtube.com/watch?v=dCy7ixko3tE) (Démonstration de la sauvegarde AWS : sauvegarde intercompte et inter-régions)
+ [AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)](https://youtu.be/av8DpL0uFjc)
**Exemples connexes :**
+ [Atelier Well-Architected : implémentation de la réplication bidirectionnelle entre régions pour Amazon S3](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)
+ [Atelier Well-Architected : test de la sauvegarde et de la restauration de données](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
+ [Atelier Well-Architected : sauvegarde et restauration avec basculement automatique pour la charge de travail d'analyse](https://wellarchitectedlabs.com/reliability/200_labs/200_backup_restore_failback_analytics/)
+ [Atelier Well-Architected : reprise après sinistre - sauvegarde et restauration](https://wellarchitectedlabs.com/reliability/disaster-recovery/workshop_1/)
# REL09-BP02 Sécuriser et chiffrer les sauvegardes
Contrôlez et détectez l'accès aux sauvegardes à l'aide de l'authentification et de l'autorisation. Assurez la prévention et détectez si l'intégrité des données des sauvegardes est compromise à l'aide du chiffrement.
**Anti-modèles courants :**
+ Avoir le même accès aux sauvegardes et à l'automatisation de la restauration que vous le faites pour les données.
+ Absence de chiffrement de vos sauvegardes.
**Avantages liés au respect de cette bonne pratique :** la sécurisation de vos sauvegardes empêche la falsification des données. De même, le chiffrement des données empêche l'accès à ces données si elles sont accidentellement exposées.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Contrôlez et détectez l'accès aux sauvegardes à l'aide de l'authentification et de l'autorisation, telles qu'Gestion des identités et des accès AWS (IAM). Assurez la prévention et détectez si l'intégrité des données des sauvegardes est compromise à l'aide du chiffrement.
Amazon S3 prend en charge plusieurs méthodes de chiffrement de vos données inactives. Grâce au chiffrement côté serveur, Amazon S3 accepte vos objets sous forme de données non chiffrées, puis les chiffre lors de leur stockage. Avec le chiffrement côté client, votre application de charge de travail s'occupe du chiffrement des données avant leur transmission à Amazon S3. Ces deux méthodes vous permettent d'utiliser AWS Key Management Service (AWS KMS) pour créer et stocker la clé de données. Vous pouvez également fournir votre propre clé (vous en assumez alors la responsabilité). Avec AWS KMS, vous pouvez définir des stratégies via IAM pour déterminer qui peut ou non accéder à vos clés de données et à vos données déchiffrées.
Pour Amazon RDS, si vous avez choisi de chiffrer vos bases de données, vos sauvegardes sont également chiffrées. Les sauvegardes DynamoDB sont toujours chiffrées. En utilisant Reprise après sinistre AWS Elastic, toutes les données en transit et au repos sont chiffrées. Avec Elastic Disaster Recovery, les données au repos peuvent être chiffrées à l'aide de la clé Amazon EBS de chiffrement de volume par défaut ou d'une clé personnalisée gérée par le client.
**Étapes d'implémentation**
1. Utilisez le chiffrement sur chacun de vos magasins de données. La sauvegarde est également chiffrée si vos données sources le sont.
+ [Utilisez le chiffrement dans Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html). Vous pouvez configurer le chiffrement au repos à l'aide d'AWS Key Management Service lorsque vous créez une instance RDS.
+ [Utilisez le chiffrement sur les volumes Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html). Vous pouvez configurer le chiffrement par défaut ou spécifier une clé unique lors de la création du volume.
+ Utilisez le [chiffrement Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html) requis. DynamoDB chiffre toutes les données au repos. Vous pouvez utiliser une clé AWS KMS détenue par AWS ou une clé KMS gérée par AWS, en spécifiant une clé stockée dans votre compte.
+ [Chiffrez vos données stockées dans Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html). Configurez le chiffrement lorsque vous créez votre système de fichiers.
+ Configurez le chiffrement dans les régions source et de destination. Vous pouvez configurer le chiffrement au repos dans Amazon S3 à l'aide de clés stockées dans KMS, mais les clés sont spécifiques à la région. Vous pouvez spécifier les clés de destination lorsque vous configurez la réplication.
+ Choisissez d'utiliser le chiffrement par défaut ou le [chiffrement Amazon EBS personnalisé pour Elastic Disaster Recovery](https://docs.aws.amazon.com/drs/latest/userguide/volumes-drs.html#ebs-encryption). Cette option permet de chiffrer les données répliquées au repos sur les disques du sous-réseau de la zone de transit et sur les disques répliqués.
1. Mettez en œuvre les autorisations de moindre privilège pour accéder à vos sauvegardes. Suivez les bonnes pratiques pour limiter l'accès aux sauvegardes, instantanés et réplicas conformément aux [bonnes pratiques de sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html).
## Ressources
**Documents connexes :**
+ [AWS Marketplace : produits pouvant être utilisés pour la sauvegarde](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Chiffrement Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [Configuration supplémentaire de la réplication entre régions : réplication d'objets créés avec le chiffrement côté serveur (SSE) à l'aide de clés de chiffrement stockées dans AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr-replication-config-for-kms-objects.html)
+ [Chiffrement DynamoDB au repos](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)
+ [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Chiffrement des données et métadonnées dans Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)
+ [Chiffrement des sauvegardes dans AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [Gestion des tables chiffrées](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html)
+ [Pilier Sécurité - CadreAWS Well-Architected ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
+ [ Qu'est-ce que Reprise après sinistre AWS Elastic ? ](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
**Exemples connexes :**
+ [Atelier Well-Architected : implémentation de la réplication bidirectionnelle entre régions pour Amazon S3](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)
# REL09-BP03 Effectuer automatiquement la sauvegarde des données
Configurez les sauvegardes à effectuer automatiquement en fonction d'un calendrier périodique informé par l'objectif de point de récupération (RPO) ou par les modifications du jeu de données. Les jeux de données critiques dont le seuil de tolérance pour la perte de données est faible doivent être sauvegardés automatiquement et fréquemment, tandis que les données moins critiques où certaines données peuvent être perdues peuvent être sauvegardées moins fréquemment.
**Résultat souhaité :** un processus automatisé qui crée des sauvegardes de sources de données à une cadence établie.
**Anti-modèles courants :**
+ Exécution manuelle des sauvegardes
+ Utilisation de ressources qui ont une capacité de sauvegarde, mais sans inclure la sauvegarde dans votre automatisation.
**Avantages liés au respect de cette bonne pratique :** l'automatisation des sauvegardes permet de vérifier qu'elles sont effectuées régulièrement en fonction de votre RPO, et vous alerte si elles ne sont pas effectuées.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
AWS Backup peut être utilisé pour créer des sauvegardes de données automatisées de diverses sources de données AWS. Les instances Amazon RDS peuvent être sauvegardées presque en continu toutes les cinq minutes, et les objets Amazon S3 peuvent être sauvegardés presque en continu toutes les quinze minutes, ce qui permet une récupération ponctuelle (PITR) dans l'historique de sauvegarde. Pour les autres sources de données AWS, telles que les volumes Amazon EBS, les tables Amazon DynamoDB ou les systèmes de fichiers Amazon FSx, AWS Backup peut exécuter une sauvegarde automatique qui peut avoir lieu toutes les heures. Ces services offrent également des capacités de sauvegarde natives. Les services AWS qui offrent une sauvegarde automatisée avec une récupération ponctuelle comprennent [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery_Howitworks.html) , [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIT.html), et [Amazon Keyspaces (pour Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html) : ceux-ci peuvent être restaurés à un moment spécifique dans l'historique de sauvegarde. La plupart des autres services de stockage de données AWS offrent la possibilité de planifier des sauvegardes périodiques, à une fréquence de sauvegarde pouvant atteindre toutes les heures.
Amazon RDS et Amazon DynamoDB offrent une sauvegarde continue avec une récupération ponctuelle. La gestion des versions Amazon S3, une fois activée, est automatique.[Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html) peut automatiser la création, la copie et la suppression d'instantanés Amazon EBS. Il peut également automatiser la création, la copie, l'abandon et le désenregistrement des Amazon Machine Images (AMI) basées sur Amazon EBS et de leurs instantanés Amazon EBS sous-jacents.
Reprise après sinistre AWS Elastic fournit une réplication continue au niveau des blocs depuis l'environnement source (sur site ou sur AWS) vers la région de reprise cible. Des instantanés Amazon EBS ponctuels sont automatiquement créés et gérés par le service.
AWS Backup fournit une solution de sauvegarde entièrement gérée basée sur des stratégies afin d'offrir une vue centralisée de l'automatisation et de l'historique de vos sauvegardes. Cette solution centralise et automatise la sauvegarde des données sur plusieurs services AWS dans le cloud et sur site à l'aide d'AWS Storage Gateway.
Outre la gestion des versions, Amazon S3 intègre la réplication. L'intégralité du compartiment S3 peut être automatiquement répliquée vers un autre compartiment d'une autre Région AWS.
**Étapes d'implémentation**
1. **Identifiez les sources de données** qui sont actuellement sauvegardées manuellement. Pour en savoir plus, consultez [REL09-BP01 Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources](rel_backing_up_data_identified_backups_data.md). »
1. **Déterminez le RPO** de la charge de travail. Pour en savoir plus, consultez [REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](rel_planning_for_recovery_objective_defined_recovery.md). »
1. **Utilisez une solution de sauvegarde automatisée ou un service géré**. AWS Backup est un service entièrement géré qui permet de [centraliser et d'automatiser facilement la protection des données entre les services AWS, dans le cloud et sur site](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup.html#creating-automatic-backups). En utilisant les plans de sauvegarde dans AWS Backup, créez des règles qui définissent les ressources à sauvegarder, et la fréquence à laquelle ces sauvegardes doivent être créées. Cette fréquence doit être informée par le RPO établi à l'étape 2. Pour obtenir des conseils pratiques sur la création de sauvegardes automatisées à l'aide de AWS Backup, consultez [Test de la sauvegarde et de la restauration de données](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/). Les fonctionnalités de sauvegarde natives sont offertes par la plupart des services AWS qui stockent des données. Par exemple, RDS peut être exploité pour les sauvegardes automatisées avec une récupération ponctuelle (PITR).
1. **Pour les sources de données non prises en charge** par une solution de sauvegarde automatisée ou un service géré tel que des sources de données sur site ou des files d'attente de messages, envisagez d'utiliser une solution tierce de confiance pour créer des sauvegardes automatisées. Vous pouvez également créer une automatisation pour ce faire avec AWS CLI ou les kits SDK. Vous pouvez utiliser les fonctions AWS Lambda ou AWS Step Functions pour définir la logique impliquée dans la création d'une sauvegarde de données, et exploiter Amazon EventBridge pour l'exécuter à une fréquence basée sur votre RPO.
**Niveau d'effort du plan d'implémentation :** faible
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant faciliter la sauvegarde](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace : produits pouvant être utilisés pour la sauvegarde](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Création d'une règle EventBridge qui se déclenche selon un calendrier](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [Qu'est-ce que AWS Backup ?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [Qu'est-ce que AWS Step Functions ?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [ Qu'est-ce que Reprise après sinistre AWS Elastic ? ](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
**Vidéos connexes :**
+ [AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)](https://youtu.be/av8DpL0uFjc)
**Exemples connexes :**
+ [Atelier Well-Architected : test de la sauvegarde et de la restauration de données](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
# REL09-BP04 Effectuer une récupération périodique des données pour vérifier l'intégrité et les processus de sauvegarde
Confirmez que l'implémentation de votre processus de sauvegarde répond à vos objectifs de délai de reprise (RTO) et à vos objectifs de point de reprise (RPO) en effectuant un test de reprise.
**Résultat souhaité :** les données des sauvegardes sont périodiquement récupérées à l'aide de mécanismes bien définis pour vérifier que la récupération est conforme à l'objectif de temps de récupération (RTO) établi pour la charge de travail. Vérifiez que la restauration à partir d'une sauvegarde aboutit à une ressource qui contient les données d'origine sans qu'aucune d'entre elles ne soit corrompue ou inaccessible, et avec une perte de données conforme à l'objectif de point de récupération (RPO).
**Anti-modèles courants :**
+ Restauration d'une sauvegarde, mais sans interroger ou récupérer des données pour vérifier l'utilisation de la restauration
+ Supposer qu'une sauvegarde existe.
+ Supposer que la sauvegarde d'un système est pleinement opérationnelle et que les données peuvent être récupérées à partir de celle-ci.
+ Supposer que le temps de restauration ou de récupération des données à partir d'une sauvegarde est conforme au RTO de la charge de travail.
+ Supposer que les données contenues dans la sauvegarde sont conformes au RPO de la charge de travail.
+ Effectuez une restauration si nécessaire, sans utiliser de runbook ou en dehors d'une procédure automatisée établie.
**Avantages liés au respect de cette bonne pratique :** le test de la récupération des sauvegardes vérifie que les données peuvent être restaurées en cas de besoin sans craindre qu'elles soient manquantes ou corrompues, que la restauration et la récupération sont possibles conformément au RTO de la charge de travail et que toute perte de données est conforme au RPO de la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Tester la fonctionnalité de sauvegarde et de restauration permet de garantir que ces actions peuvent être effectuées pendant une panne. Restaurez périodiquement les sauvegardes vers un nouvel emplacement et exécutez des tests pour vérifier l'intégrité des données. Certains tests courants doivent être effectués pour vérifier que toutes les données sont disponibles, qu'elles ne sont pas corrompues, qu'elles sont accessibles et que toute perte de données ne dépasse pas le RPO de la charge de travail. Ces tests peuvent également contribuer à déterminer si les mécanismes de récupération sont suffisamment rapides pour s'adapter au RTO de la charge de travail.
Avec AWS, vous pouvez mettre en place un environnement de test et restaurer vos sauvegardes afin d'évaluer le RTO et le RPO, et exécuter des tests sur le contenu et l'intégrité des données.
De plus, Amazon RDS et Amazon DynamoDB permettent une restauration à un instant donné dans le passé (PITR). Grâce à la sauvegarde continue, vous pouvez restaurer votre jeu de données à l'état dans lequel il était à une date et une heure spécifiées.
si toutes les données sont disponibles, si elles ne sont pas corrompues, si elles sont accessibles et si toute perte de données est conforme au RPO de la charge de travail. Ces tests peuvent également contribuer à déterminer si les mécanismes de récupération sont suffisamment rapides pour s'adapter au RTO de la charge de travail.
Reprise après sinistre AWS Elastic offre des instantanés de récupération ponctuelle et continue des volumes Amazon EBS. Au fur et à mesure que les serveurs sources sont répliqués, les états ponctuels sont consignés dans le temps en fonction de la stratégie configurée. Elastic Disaster Recovery vous aide à vérifier l'intégrité de ces instantanés en lançant des instances à des fins de test et d'exercice sans rediriger le trafic.
**Étapes d'implémentation**
1. **Identifiez les sources de données** qui sont actuellement sauvegardées et où ces sauvegardes sont stockées. Pour obtenir des conseils de mise en œuvre, consultez [REL09-BP01 Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources](rel_backing_up_data_identified_backups_data.md). »
1. **Établissez des critères de validation** des données pour chaque source de données. Différents types de données ont des propriétés différentes qui pourraient nécessiter des mécanismes de validation distincts. Réfléchissez à la manière dont ces données pourraient être validées avant de vous assurer que vous pouvez les utiliser en production. Certaines méthodes courantes de validation des données consistent à utiliser des propriétés de données et de sauvegarde telles que le type de données, le format, la somme de contrôle, la taille ou une combinaison de ces propriétés avec une logique de validation personnalisée. Par exemple, il peut s'agir d'une comparaison des valeurs de somme de contrôle entre la ressource restaurée et la source de données au moment de la création de la sauvegarde.
1. **Établissez le RTO et le RPO** pour la restauration des données en fonction de leur criticité. Pour obtenir des conseils de mise en œuvre, consultez [REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](rel_planning_for_recovery_objective_defined_recovery.md). »
1. **Évaluez votre capacité de récupération**. Passez en revue votre stratégie de sauvegarde et de restauration pour déterminer si elle peut répondre au RTO et au RPO, et ajustez la stratégie si nécessaire. En utilisant [AWS Resilience Hub](https://docs.aws.amazon.com/resilience-hub/latest/userguide/create-policy.html), vous pouvez effectuer une évaluation de votre charge de travail. Celle-ci se concentre sur la configuration de votre application par rapport à la stratégie de résilience et signale si vos objectifs RTO et RPO peuvent être atteints.
1. **Effectuez un test de restauration** avec les processus établis utilisés en production pour la restauration des données. Ces processus dépendent de la façon dont la source de données d'origine a été sauvegardée, du format et de l'emplacement de stockage de la sauvegarde elle-même, ou ils varient selon que les données sont reproduites à partir d'autres sources. Par exemple, si vous utilisez un service géré tel que [AWS Backup, il peut suffire de restaurer la sauvegarde en tant que nouvelle ressource](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html). Si vous avez utilisé Reprise après sinistre AWS Elastic, vous pouvez [lancer une opération de récupération](https://docs.aws.amazon.com/drs/latest/userguide/failback-preparing.html).
1. **Validez la récupération des données** à partir de la ressource restaurée en fonction des critères que vous avez précédemment établis pour la validation des données. Les données restaurées et récupérées contiennent-elles l'enregistrement/l'élément le plus récent au moment de la sauvegarde ? Ces données sont-elles conformes au RPO de la charge de travail ?
1. **Mesurez le temps nécessaire** à la restauration et à la récupération et comparez-le au RTO que vous avez défini. Ce processus est-il conforme au RTO de la charge de travail ? Par exemple, comparez les horodatages du début du processus de restauration et de la fin de la validation de la récupération pour calculer la durée de ce processus. Tous les appels d'API AWS sont horodatés, et ces informations sont disponibles dans [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html). Bien que ces informations puissent fournir des détails sur le début du processus de restauration, l'horodatage indiquant la fin de la validation doit être enregistré par votre logique de validation. Si vous utilisez un processus automatisé, des services tels que [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) permettent de stocker ces informations. En outre, de nombreux services AWS fournissent un historique des événements qui contient des informations horodatées indiquant quand certaines actions se sont produites. Au sein de AWS Backup, les actions de sauvegarde et de restauration sont appelées *tâches*, et ces tâches contiennent des informations d'horodatage dans le cadre de leurs métadonnées qui peuvent mesurer le temps nécessaire à la restauration et à la récupération.
1. **Informez les parties prenantes** si la validation des données échoue ou si le temps requis pour la restauration et la récupération dépasse le RTO établi pour la charge de travail. Lors de la mise en œuvre de l'automatisation, [comme dans cet atelier](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/), des services tels que Amazon Simple Notification Service (Amazon SNS) peuvent envoyer des notifications push, par e-mail ou SMS, aux parties prenantes. [Ces messages peuvent également être publiés dans des applications de messagerie telles que Amazon Chime, Slack ou Microsoft Teams](https://aws.amazon.com/premiumsupport/knowledge-center/sns-lambda-webhooks-chime-slack-teams/) ou utilisés pour [créer des tâches en tant qu'OpsItems à l'aide d'AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-creating-OpsItems.html).
1. **Automatisez ce processus pour qu'il s'exécute périodiquement**. Par exemple, des services comme AWS Lambda ou une machine d'état dans AWS Step Functions peuvent être utilisés pour automatiser les processus de restauration et de récupération, et Amazon EventBridge peut être utilisé pour déclencher périodiquement ce flux de travail d'automatisation, comme indiqué dans le diagramme d'architecture ci-dessous. Apprenez à [automatiser la validation de la récupération des données avec AWS Backup](https://aws.amazon.com/blogs/storage/automate-data-recovery-validation-with-aws-backup/). En outre, [cet atelier Well-Architected](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/) permet d'acquérir une expérience pratique sur la façon d'automatiser plusieurs des étapes décrites ici.
![\[Diagramme illustrant un processus de sauvegarde et de restauration automatisé\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/automated-backup-restore-process.png)
**Niveau d'effort du plan d'implémentation :** modéré à élevé selon la complexité des critères de validation.
## Ressources
**Documents connexes :**
+ [Automatiser la validation de la récupération des données avec AWS Backup](https://aws.amazon.com/blogs/storage/automate-data-recovery-validation-with-aws-backup/)
+ [Partenaire APN : partenaires pouvant faciliter la sauvegarde](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace : produits pouvant être utilisés pour la sauvegarde](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Création d'une règle EventBridge qui se déclenche selon un calendrier](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [Sauvegarde et restauration à la demande pour DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BackupRestore.html)
+ [Qu'est-ce que AWS Backup ?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [Qu'est-ce que AWS Step Functions ?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [Qu'est-ce que Reprise après sinistre AWS Elastic](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [Reprise après sinistre AWS Elastic](https://aws.amazon.com/disaster-recovery/)
**Exemples connexes :**
+ [Atelier Well-Architected : test de la sauvegarde et de la restauration de données](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
# REL 10 Comment utiliser l'isolation des pannes pour protéger votre charge de travail ?
Les limites isolées pour les défaillances limitent l'effet d'une défaillance au sein d'une charge de travail à un nombre limité de composants. Les composants en dehors de la limite ne sont pas affectés par la défaillance. En utilisant plusieurs limites isolées par défaut, vous pouvez limiter l'impact sur votre charge de travail.
**Topics**
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL10-BP02 Sélectionner les emplacements appropriés pour votre déploiement multisite](rel_fault_isolation_select_location.md)
+ [REL10-BP03 Automatiser la récupération pour les composants limités à un seul emplacement](rel_fault_isolation_single_az_system.md)
+ [REL10-BP04 Utiliser des architectures cloisonnées pour limiter la portée de l'impact](rel_fault_isolation_use_bulkhead.md)
# REL10-BP01 Déployer la charge de travail sur plusieurs emplacements
Distribuez les données et les ressources de charge de travail sur plusieurs zones de disponibilité ou, si nécessaire, entre Régions AWS. Ces emplacements peuvent être aussi variés que nécessaire.
L'un des principes fondamentaux de la conception de services dans AWS est d'éviter les points de défaillance uniques dans l'infrastructure physique sous-jacente. Cela nous motive à développer des logiciels et des systèmes qui utilisent plusieurs zones de disponibilité et sont résilients à la défaillance d'une seule zone. De la même manière, les systèmes sont conçus pour être résilients à la défaillance d'un seul nœud de calcul, d'un seul volume de stockage ou d'une seule instance de base de données. Lors de la création d'un système qui s'appuie sur des composants redondants, il est important de s'assurer que les composants fonctionnent de manière indépendante et, dans le cas de Régions AWS, de façon autonome. Les avantages obtenus grâce aux calculs de disponibilité théoriques avec des composants redondants ne sont valides qu’à cette condition.
**Zones de disponibilité (AZ)**
Les Régions AWS sont composées de plusieurs zones de disponibilité, toutes conçues pour être indépendantes les unes des autres. Chaque zone de disponibilité est séparée par une distance physique logique des autres zones afin d'éviter les scénarios de défaillance corrélées liés à des risques environnementaux comme les incendies, les inondations et les tornades. Chaque zone de disponibilité comporte également une infrastructure physique indépendante : connexions dédiées à l'alimentation, sources d'énergie d'appoint indépendantes, services mécaniques indépendants et connectivité réseau indépendante dans et au-delà de la zone de disponibilité. Ce modèle limite les défaillances susceptibles de se produire dans l'un de ces systèmes à la seule zone de disponibilité affectée. Bien que géographiquement séparées, les zones de disponibilité sont situées dans la même zone régionale, ce qui permet une mise en réseau à haut débit et à faible latence. L'intégralité de la Région AWS (dans toutes les zones de disponibilité, composées de plusieurs centres de données physiquement indépendants) peut être traitée comme une cible de déploiement logique unique pour votre charge de travail, y compris pour répliquer les données de manière synchrone (par exemple, entre les bases de données). Cela vous permet d'utiliser les zones de disponibilité dans une configuration active/active ou active/veille.
Les zones de disponibilité sont indépendantes et, par conséquent, la disponibilité de la charge de travail est augmentée lorsque la charge de travail est conçue pour utiliser plusieurs zones. Certains services AWS (y compris le plan de données d'instance Amazon EC2) sont déployés en tant que services strictement locaux où leur sort dépend de la zone de disponibilité dans laquelle ils se trouvent. Cependant, les instances Amazon EC2 dans les autres AZ ne sont pas affectées et continuent à fonctionner . De même, si une défaillance dans une zone de disponibilité entraîne l'échec d'une base de données Amazon Aurora, une instance de réplica en lecture Aurora dans une AZ non affectée peut être automatiquement promue comme instance principale. D'autre part, les services régionaux AWS, comme Amazon DynamoDB, utilisent en interne plusieurs zones de disponibilité dans une configuration active/active pour atteindre les objectifs de conception de disponibilité de ce service, sans que vous ayez besoin de configurer le placement AZ.
![\[Diagramme illustrant l'architecture multiniveau déployée sur trois zones de disponibilité. Notez qu'Amazon S3 et Amazon DynamoDB comportent toujours automatiquement plusieurs zones de disponibilité. L'ELB est également déployé dans les trois zones.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/multi-tier-architecture.png)
Bien que les plans de contrôle AWSoffrent généralement la possibilité de gérer les ressources sur l'ensemble de la région (plusieurs zones de disponibilité), certains plans de contrôle (y compris Amazon EC2 et Amazon EBS) ont la capacité de filtrer les résultats en une seule zone de disponibilité. Lorsque c'est le cas, la requête est traitée uniquement dans la zone de disponibilité spécifiée, ce qui réduit l'exposition aux perturbations dans les autres zones de disponibilité. Cet exemple AWS CLI illustre l'obtention d'informations sur l'instance Amazon EC2 uniquement à partir de la zone de disponibilité us-east-2c :
```
AWS ec2 describe-instances --filters Name=availability-zone,Values=us-east-2c
```
*AWS Local Zones*
Les AWS Local Zones agissent de la même manière que les zones de disponibilité au sein de leur Région AWS respective, car elles sont sélectionnables en tant qu'emplacement de placement des ressources AWS de la zone comme les sous-réseaux et les instances EC2. Elles sont spéciales, car elles ne sont pas situées dans la Région AWS associée, mais près de grands centres de population, industriels et informatiques où aucune Région AWS n'existe actuellement. Cependant, elles conservent une connexion sécurisée et à bande passante élevée entre les charges de travail locales dans la zone locale et celles exécutées dans la Région AWS. Utilise les AWS Local Zones pour déployer des charges de travail plus près de vos utilisateurs afin de répondre aux exigences de faible latence.
**Réseau périphérique mondial d'Amazon**
Le réseau périphérique mondial d'Amazon se compose d'emplacements périphériques dans des villes du monde entier. Amazon CloudFront utilise ce réseau pour fournir du contenu aux utilisateurs finaux avec une latence plus faible. AWS Global Accelerator vous permet de créer vos points de terminaison de charge de travail dans ces emplacements périphériques pour assurer l'intégration au réseau mondial AWS à proximité de vos utilisateurs. Amazon API Gateway active les points de terminaison d'API optimisés en périphérie à l'aide d'une distribution CloudFront pour faciliter l'accès client via l'emplacement périphérique le plus proche.
*Régions AWS*
Les Régions AWS sont conçues pour être autonomes. Par conséquent, pour utiliser une approche multirégion, vous devez déployer des copies dédiées des services dans chaque région.
Une approche multirégion est courante pour que *les stratégies de reprise après sinistre* atteignent les objectifs de récupération lorsque des événements ponctuels à grande échelle se produisent. Consulter [https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html) pour en savoir plus sur ces stratégies. Ici cependant, nous nous concentrons plutôt sur la *disponibilité*, qui vise à atteindre un objectif de disponibilité moyenne dans le temps. Pour des objectifs de haute disponibilité, une architecture multirégion est généralement conçue pour être active/active, où chaque copie de service (dans ses régions respectives) est active (en répondant aux requêtes).
**Recommandations**
Les objectifs de disponibilité pour la plupart des charges de travail peuvent être satisfaits à l'aide d'une stratégie multi-AZ dans une seule Région AWS. Envisagez les architectures multirégion uniquement lorsque les charges de travail ont des exigences de disponibilité extrêmes ou en cas d'autres objectifs commerciaux nécessitant une architecture multirégion.
AWS vous offre la possibilité de gérer des services entre régions. Par exemple, AWS fournit une réplication continue et asynchrone des données via la réplication Amazon Simple Storage Service (Amazon S3), les réplicas en lecture Amazon RDS (y compris les réplicas en lecture Aurora) et les tables globales Amazon DynamoDB. Grâce à la réplication continue, des versions de vos données sont disponibles pour une utilisation quasi immédiate dans chacune de vos régions actives.
Avec AWS CloudFormation, vous pouvez définir votre infrastructure et la déployer de manière cohérente sur les Comptes AWS et dans les Régions AWS. AWS CloudFormation StackSets étend cette fonctionnalité en vous permettant de créer, mettre à jour ou supprimer des piles AWS CloudFormation sur plusieurs comptes et régions en une seule opération. Pour les déploiements d'instance Amazon EC2, une AMI (Amazon Machine Image) est utilisée pour fournir des informations telles que la configuration matérielle et les logiciels installés. Vous pouvez implémenter un pipeline Amazon EC2 Image Builder qui crée les AMI dont vous avez besoin et les copie dans vos régions actives. Cela garantit que ces *AMI approuvées* disposent de tout ce dont vous avez besoin pour déployer et faire évoluer votre charge de travail dans chaque nouvelle région.
Pour acheminer le trafic, Amazon Route 53 et AWS Global Accelerator permettent la définition de politiques qui déterminent quels utilisateurs accèdent à quel point de terminaison régional actif. Avec Global Accelerator, vous définissez une option de trafic pour contrôler le pourcentage de trafic dirigé vers chaque point de terminaison d'application. Route 53 prend en charge cette approche de pourcentage, ainsi que plusieurs autres politiques disponibles, notamment celles basées sur la géoproximité et la latence. Global Accelerator exploite automatiquement le vaste réseau de serveurs périphériques AWS pour intégrer le trafic à la dorsale du réseau AWS dès que possible, ce qui réduit la latence des demandes.
L'ensemble de ces fonctionnalités opèrent de manière à préserver l'autonomie de chaque région. Il existe quelques rares exceptions à cette approche, y compris nos services qui fonctionnent en périphérie au niveau mondial (comme Amazon CloudFront et Amazon Route 53), ainsi que le plan de contrôle pour le service Gestion des identités et des accès AWS (IAM) La plupart des services fonctionnent entièrement au sein d'une seule région.
**Centre de données sur site**
Pour les charges de travail exécutées dans un centre de données sur site, concevez une expérience hybride dans la mesure du possible. AWS Direct Connect fournit une connexion réseau dédiée entre vos locaux et AWS, ce qui vous permet d'utiliser les deux.
Une autre option consiste à exécuter l'infrastructure et les services AWS sur site à l'aide d' AWS Outposts. AWS Outposts est un service entièrement géré qui étend l'infrastructure AWS, les services AWS, les API et les outils à votre centre de données. La même infrastructure matérielle utilisée dans le AWS Cloud est installée dans votre centre de données. Les services AWS Outposts sont alors connectés à la Région AWS la plus proche. Vous pouvez ensuite utiliser les services AWS Outposts pour prendre en charge vos charges de travail à faible latence ou vos exigences en matière de traitement des données locales.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Utilisez plusieurs zones de disponibilité et Régions AWS. Distribuez les données et les ressources de charge de travail sur plusieurs zones de disponibilité ou, si nécessaire, entre Régions AWS. Ces emplacements peuvent être aussi variés que nécessaire.
+ Les services régionaux sont, par nature, déployés entre les zones de disponibilité.
+ Cela inclut Amazon S3, Amazon DynamoDB et AWS Lambda (lorsqu'ils ne sont pas connectés à un VPC).
+ Déployez votre conteneur, votre instance et vos charges de travail basées sur des fonctions dans plusieurs zones de disponibilité. Utilisez les magasins de données multi-AZ, y compris les caches. Utilisez les fonctionnalités d'EC2 Auto Scaling, le placement de tâches ECS, la configuration de fonctions AWS Lambda lors de l'exécution de votre VPC et les clusters ElastiCache.
+ Utilisez les sous-réseaux situés dans des zones de disponibilité distinctes lorsque vous déployez des groupes Auto Scaling.
+ [Exemple : Distribution d'instances dans des zones de disponibilité](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ [Stratégies de placement des tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [Configuration d'une fonction AWS Lambda pour accéder aux ressources dans un Amazon VPC](https://docs.aws.amazon.com/lambda/latest/dg/vpc.html)
+ [Choix des régions et des zones de disponibilité](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ Utilisez des sous-réseaux situés dans des zones de disponibilité distinctes lorsque vous déployez des groupes Auto Scaling.
+ [Exemple : Distribution d'instances dans des zones de disponibilité](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ Utilisez les paramètres de placement des tâches ECS, en spécifiant des groupes de sous-réseaux de base de données.
+ [Stratégies de placement des tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ Utilisez des sous-réseaux dans plusieurs zones de disponibilité lorsque vous configurez une fonction à exécuter dans votre VPC.
+ [Configuration d'une fonction AWS Lambda pour accéder aux ressources dans un Amazon VPC](https://docs.aws.amazon.com/lambda/latest/dg/vpc.html)
+ Utilisez plusieurs zones de disponibilité avec des clusters ElastiCache.
+ [Choix des régions et des zones de disponibilité](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ Choisissez une stratégie sur plusieurs régions si votre charge de travail doit être déployée dans plusieurs régions. La plupart des besoins de fiabilité peuvent être satisfaits au sein d'une même Région AWS à l'aide d'une stratégie à plusieurs zones de disponibilité. Utilisez une stratégie sur plusieurs régions si nécessaire pour répondre aux besoins de votre entreprise.
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ La sauvegarde dans une autre Région AWS peut donner des garanties supplémentaires que les données seront disponibles en cas de besoin.
+ Il existe, pour certaines charges de travail, des exigences réglementaires qui imposent l'utilisation d'une stratégie sur plusieurs régions.
+ Évaluez AWS Outposts pour votre charge de travail. Si votre charge de travail nécessite une faible latence de connexion à votre centre de données sur site ou si elle a des exigences locales en matière de traitement des données, Exécutez ensuite l'infrastructure et les services AWS sur site à l'aide d'AWS Outposts.
+ [Qu'est-ce qu'AWS Outposts ?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)
+ Déterminez si AWS Local Zones vous permet de fournir un service à vos utilisateurs. Si vous avez des exigences de faible latence, vérifiez si AWS Local Zones est situé près de vos utilisateurs. Si oui, utilisez-le pour déployer des charges de travail plus près de ces utilisateurs.
+ [FAQ sur AWS Local Zones](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
## Ressources
**Documents connexes :**
+ [Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure)
+ [FAQ sur AWS Local Zones](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
+ [Stratégies de placement des tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [Choix des régions et des zones de disponibilité](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ [Exemple : Distribution d'instances dans des zones de disponibilité](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ [Tables globales : réplication multirégions avec DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/GlobalTables.html)
+ [Utilisation des bases de données mondiales Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database.html)
+ [Série de blog sur la création d'une application multirégion avec les services AWS](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
+ [Qu'est-ce qu'AWS Outposts ?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS re:Invent 2019: Innovation and operation of the AWS global network infrastructure (NET339)](https://youtu.be/UObQZ3R9_4c)
# REL10-BP02 Sélectionner les emplacements appropriés pour votre déploiement multisite
## Résultat souhaité
Pour une haute disponibilité, déployez toujours (si possible) vos composants de charge de travail sur plusieurs zones de disponibilité (AZ), comme illustré à la figure 10. Pour les charges de travail avec des exigences de résilience extrêmes, évaluez soigneusement les options pour une architecture multirégion.
![\[Diagramme illustrant un déploiement de base de données multi-AZ résilient avec sauvegarde vers une autre région AWS\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/multi-az-architecture.png)
## Anti-modèles courants
+ Choisir de concevoir une architecture multirégion alors qu'une architecture multi-AZ répond aux exigences.
+ Ne pas tenir compte des dépendances entre les composants de l'application si les exigences en matière de résilience et d'emplacements multiples diffèrent entre ces composants.
## Avantages liés au respect de cette bonne pratique :
Pour la résilience, vous devez adopter une approche qui repose sur des couches de défense. Une couche protège contre les perturbations de petite envergure et courantes en créant une architecture hautement disponible à l'aide de plusieurs AZ. Une autre couche de défense est destinée à protéger contre les événements rares tels que les catastrophes naturelles généralisées et les perturbations au niveau régional. Cette deuxième couche implique de concevoir l'architecture de votre application pour qu'elle s'étende sur plusieurs Régions AWS.
+ La différence entre une disponibilité de 99,5 % et une disponibilité de 99,99 % est de plus de 3,5 heures par mois. La disponibilité attendue d'une charge de travail ne peut atteindre les « quatre neuf » que si elle se trouve dans plusieurs zones de disponibilité.
+ En exécutant votre charge de travail dans plusieurs AZ, vous pouvez isoler les pannes d'alimentation, de refroidissement et de mise en réseau, ainsi que la plupart des catastrophes naturelles telles que les incendies et les inondations.
+ La mise en œuvre d'une stratégie multirégion pour votre charge de travail permet de la protéger contre les catastrophes naturelles généralisées qui affectent une grande région géographique d'un pays, ou les défaillances techniques à l'échelle régionale. Sachez que la mise en œuvre d'une architecture multirégion peut être très complexe et n'est généralement pas requise pour la plupart des charges de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Dans le cas d'une catastrophe basée sur l'interruption ou la perte partielle d'une zone de disponibilité, la mise en œuvre d'une charge de travail hautement disponible dans plusieurs zones de disponibilité au sein d'une seule Région AWS permet d'atténuer les effets des catastrophes naturelles et techniques. Chaque Région AWS est composé de plusieurs zones de disponibilité, chacune isolée des défaillances des autres zones et séparée par une distance significative. Cependant, dans le cas d'une catastrophe incluant le risque de perdre plusieurs composants de la zone de disponibilité (composants qui sont à une distance importante les uns des autres), vous devez implémenter des options de reprise après sinistre pour vous prémunir contre les défaillances à l'échelle de la région. Pour les charges de travail nécessitant une résilience extrême (infrastructure critique, applications liées à la santé, infrastructure du système financier, etc.), une stratégie multirégion peut être nécessaire.
## Étapes d'implémentation
1. Évaluez votre charge de travail et déterminez si les besoins de résilience peuvent être satisfaits par une approche multi-AZ (Région AWS unique) ou s'ils nécessitent une approche multirégion. La mise en œuvre d'une architecture multirégion pour répondre à ces exigences ajoute de la complexité. Par conséquent, examinez attentivement votre cas d'utilisation et ses exigences. Les exigences de résilience peuvent presque toujours être satisfaites avec une seule Région AWS. Tenez compte des exigences possibles suivantes lorsque vous déterminez si vous devez utiliser plusieurs régions :
1. **Reprise après sinistre** : dans le cas d'une catastrophe basée sur l'interruption ou la perte partielle d'une zone de disponibilité, la mise en œuvre d'une charge de travail hautement disponible dans plusieurs zones de disponibilité au sein d'une seule Région AWS permet d'atténuer les effets des catastrophes naturelles et techniques. Dans le cas d'une catastrophe incluant le risque de perdre plusieurs composants de la zone de disponibilité (composants qui sont à une distance importante les uns des autres), vous devez implémenter des options de reprise après sinistre entre plusieurs régions pour vous prémunir contre les catastrophes naturelles et les incidents techniques à l'échelle de la région.
1. **Haute disponibilité** : une architecture multirégion (utilisant plusieurs AZ dans chaque région) peut être utilisée pour atteindre une disponibilité supérieure à quatre 9 (> 99,99 %).
1. **Localisation des piles** : lors du déploiement d'une charge de travail auprès d'une audience mondiale, vous pouvez déployer des piles localisées dans différentes Régions AWS pour répondre aux besoins des audiences dans ces régions. La localisation peut inclure la langue, la devise et les types de données stockées.
1. **Proximité avec les utilisateurs :** lors du déploiement d'une charge de travail auprès d'une audience mondiale, vous pouvez réduire la latence en déployant des piles dans les Régions AWS à proximité de l'endroit où se trouvent les utilisateurs finaux.
1. **Résidence des données** : certaines charges de travail sont soumises à des exigences en matière de situation géographique des données, où les données de certains utilisateurs doivent rester à l'intérieur des frontières d'un pays spécifique. En fonction de la réglementation en question, vous pouvez choisir de déployer une pile entière, ou uniquement les données, dans la Région AWS au sein de ces frontières.
1. Voici quelques exemples de fonctionnalités multi-AZ fournies par les services AWS :
1. Pour protéger les charges de travail à l'aide d'EC2 ou d'ECS, déployez un Elastic Load Balancer devant les ressources de calcul. Elastic Load Balancing fournira ensuite la solution pour détecter les instances dans les zones non saines et acheminer le trafic vers les zones qui le sont.
1. [Démarrer avec Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancer-getting-started.html)
1. [Démarrer avec les Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html)
1. Dans le cas d'instances EC2 exécutant des logiciels commerciaux prêts à l'emploi qui ne prennent pas en charge l'équilibrage de charge, vous pouvez bénéficier d'une forme de tolérance aux pannes via la mise en œuvre d'une méthodologie de reprise après sinistre multi-AZ.
1. [REL13-BP02 Utiliser des stratégies de reprise définies pour répondre aux objectifs de reprise](rel_planning_for_recovery_disaster_recovery.md)
1. Pour les tâches Amazon ECS, déployez votre service uniformément sur trois AZ pour atteindre un juste équilibre entre disponibilité et coût.
1. [Bonnes pratiques de disponibilité Amazon ECS \$1 Conteneurs](https://aws.amazon.com/blogs/containers/amazon-ecs-availability-best-practices/)
1. Pour les tâches qui n'entrent pas dans le cadre d'Aurora Amazon RDS, vous pouvez choisir Multi-AZ comme option de configuration. En cas de défaillance de l'instance de base de données principale, Amazon RDS promeut automatiquement une base de données de secours pour recevoir le trafic dans une autre zone de disponibilité. Des réplicas en lecture multirégion peuvent également être créés pour améliorer la résilience.
1. [Déploiements multi-AZ Amazon RDS](https://aws.amazon.com/rds/features/multi-az/)
1. [Création d'un réplica en lecture dans une autre Région AWS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.XRgn.html)
1. Voici quelques exemples de fonctionnalités multirégions fournies par les services AWS :
1. Pour les charges de travail Amazon S3, où la disponibilité multi-AZ est fournie automatiquement par le service, envisagez des points d'accès multirégions si un déploiement multirégion est nécessaire.
1. [Points d'accès multirégions dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPoints.html)
1. Pour les tables DynamoDB, où la disponibilité multi-AZ est fournie automatiquement par le service, vous pouvez facilement convertir les tables existantes en tables globales pour tirer parti de plusieurs régions.
1. [Convertir vos tables Amazon DynamoDB à région unique en tables globales](https://aws.amazon.com/blogs/aws/new-convert-your-single-region-amazon-dynamodb-tables-to-global-tables/)
1. Si votre charge de travail repose sur des Application Load Balancers ou des Network Load Balancers, utilisez AWS Global Accelerator pour améliorer la disponibilité de votre application en dirigeant le trafic vers plusieurs régions qui contiennent des points de terminaison sains.
1. [Points de terminaison pour les accélérateurs standards dans AWS Global Accelerator - AWS Global Accelerator (amazon.com)](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.html)
1. Pour les applications qui tirent parti d'AWS EventBridge, envisagez des bus interrégionaux pour transférer les événements vers d'autres régions que vous sélectionnez.
1. [Envoi et réception d'événements Amazon EventBridge entre les Régions AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-region.html)
1. Pour les bases de données Amazon Aurora, considérez les bases de données globales Aurora, qui couvrent plusieurs régions AWS. Les clusters existants peuvent également être modifiés pour ajouter de nouvelles régions.
1. [Premiers pas avec les avec les bases de données globales Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-getting-started.html)
1. Si votre charge de travail comprend des clés de chiffrement AWS Key Management Service (AWS KMS), déterminez si les clés multirégions sont appropriées pour votre application.
1. [Clés multirégions dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)
1. Pour d'autres fonctionnalités de service AWS, consultez cette série de blog sur la [création d'une application multirégion avec les services AWS](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
**Niveau d'effort du plan d'implémentation : **De Modéré à Élevé
## Ressources
**Documents connexes :**
+ [Création d'une application multirégion avec les services AWS](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
+ [Architecture de reprise après sinistre sur AWS, partie 4 : multisite actif/actif](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iv-multi-site-active-active/)
+ [Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure)
+ [FAQ sur AWS Local Zones](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
+ [Architecture de reprise après sinistre (DR) sur AWS, première partie : stratégies de reprise dans le cloud](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/)
+ [La reprise après sinistre est différente dans le cloud](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-is-different-in-the-cloud.html)
+ [Tables globales : réplication multirégions avec DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/GlobalTables.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [Auth0 : architecture à haute disponibilité sur plusieurs régions pouvant atteindre plus de 1,5 milliard de connexions par mois avec basculement automatique](https://www.youtube.com/watch?v=vGywoYc_sA8)
**Exemples connexes :**
+ [Architecture de reprise après sinistre (DR) sur AWS, première partie : stratégies de reprise dans le cloud](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/)
+ [DTCC atteint une résilience bien supérieure à ce qu'elle peut obtenir sur site](https://aws.amazon.com/solutions/case-studies/DTCC/)
+ [Expedia Group utilise une architecture reposant sur plusieurs zones de disponibilité et plusieurs régions avec un service DNS propriétaire pour renforcer la résilience des applications](https://aws.amazon.com/solutions/case-studies/expedia/)
+ [Uber : reprise après sinistre pour une plateforme Kafka sur plusieurs régions](https://eng.uber.com/kafka/)
+ [Netflix : stratégie active-active pour une résilience sur plusieurs régions](https://netflixtechblog.com/active-active-for-multi-regional-resiliency-c47719f6685b)
+ [Comment nous créons la résidence des données pour le cloud Atlassian](https://www.atlassian.com/engineering/how-we-build-data-residency-for-atlassian-cloud)
+ [Intuit TurboTax fonctionne sur deux régions](https://www.youtube.com/watch?v=286XyWx5xdQ)
# REL10-BP03 Automatiser la récupération pour les composants limités à un seul emplacement
Si les composants de la charge de travail ne peuvent s'exécuter que dans une seule zone de disponibilité ou un centre de données sur site, implémentez la capacité permettant d'effectuer une reconstruction complète de la charge de travail dans le cadre de vos objectifs de reprise définis.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Si la bonne pratique de déploiement de la charge de travail sur plusieurs emplacements n'est pas possible en raison de contraintes technologiques, vous devez implémenter une autre solution de résilience. Vous devez automatiser la possibilité de recréer l'infrastructure nécessaire, de redéployer les applications et de recréer les données nécessaires pour ces situations.
Par exemple, Amazon EMR lance tous les nœuds d'un cluster donné dans la même zone de disponibilité, car l'exécution d'un cluster dans la même zone améliore les performances des flux de travail en fournissant un taux d'accès aux données plus élevé. Si ce composant est requis pour la résilience de la charge de travail, vous devez pouvoir redéployer le cluster et ses données. De même, pour Amazon EMR, vous devez assurer la redondance autrement qu'en utilisant plusieurs zones de disponibilité. Vous pouvez provisionner [plusieurs nœuds](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-ha-launch.html). Avec le [système de fichiers EMR (EMRFS)](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-fs.html), les données EMR peuvent être conservées dans Amazon S3, et ainsi être répliquées sur plusieurs zones de disponibilité ou Régions AWS.
De même, Amazon Redshift met en service, par défaut, votre cluster dans une zone de disponibilité sélectionnée de façon aléatoire au sein de la Région AWS que vous sélectionnez. Tous les nœuds de cluster sont mis en service dans la même zone.
Pour les charges de travail basées sur des serveurs avec état déployés dans un centre de données sur site, vous pouvez utiliser Reprise après sinistre AWS Elastic pour protéger vos charges de travail dans AWS. Si votre charge de travail est déjà hébergée dans AWS, vous pouvez utiliser Elastic Disaster Recovery pour la protéger dans une autre zone ou région de disponibilité. Elastic Disaster Recovery utilise une réplication continue au niveau des blocs vers une zone de transit légère pour fournir une restauration rapide et fiable des applications sur site et dans le cloud.
**Étapes d'implémentation**
1. Implémentation de l'autorégénération Dans la mesure du possible, déployez vos instances ou vos conteneurs en utilisant la scalabilité automatique. Si vous ne pouvez pas utiliser la scalabilité automatique, utilisez la récupération automatique pour les instances EC2 ou mettez en place un mécanisme d'autoréparation basé sur Amazon EC2 ou des événements de cycle de vie de conteneur ECS.
+ Utilisez les [groupes Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html) pour les instances et les charges de travail de conteneur qui n'ont aucune exigence en matière d'adresse IP d'instance, d'adresse IP privée, d'adresse IP élastique et de métadonnées d'instance.
+ Les données utilisateur du modèle de lancement peuvent être utilisées pour mettre en place un mécanisme permettant la récupération automatique de la plupart des charges de travail.
+ Utilisez la [récupération automatique des instances Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html) pour les charges de travail nécessitant une seule adresse d'ID d'instance, une seule adresse IP privée, une seule adresse IP élastique, et des métadonnées d'instance.
+ La récupération automatique envoie des alertes de statut de récupération à une rubrique SNS lorsque la défaillance de l'instance est détectée.
+ Utilisez les [événements du cycle de vie de l'instance Amazon EC2](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html) ou les [événements Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs_cwe_events.html) pour automatiser l'autoréparation lorsque la scalabilité automatique ou la récupération de votre instance EC2 ne peuvent pas être utilisées.
+ Utilisez les événements pour appeler le mécanisme vous permettant de réparer votre composant selon la logique de processus dont vous avez besoin.
+ Protégez les charges de travail avec état qui sont limitées à un seul emplacement en utilisant [Reprise après sinistre AWS Elastic](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html).
## Ressources
**Documents connexes :**
+ [Événements Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs_cwe_events.html)
+ [Hooks de cycle de vie Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
+ [Récupérer votre instance.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [Scalabilité automatique des services](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html)
+ [Qu'est-ce que Amazon EC2 Auto Scaling ?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
+ [Reprise après sinistre AWS Elastic](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
# REL10-BP04 Utiliser des architectures cloisonnées pour limiter la portée de l'impact
Mettez en œuvre des architectures de cloisonnement (également connues sous le nom d'architectures cellulaires) pour restreindre l'effet d'une panne au sein d'une charge de travail à un nombre limité de composants.
**Résultat souhaité :** une architecture cellulaire utilise plusieurs instances isolées d'une charge de travail, où chaque instance est appelée cellule. Chaque cellule est indépendante, ne partage pas d'état avec les autres cellules et traite un sous-ensemble des demandes de la charge de travail globale. Cela réduit l'impact potentiel d'une panne, telle qu'une mauvaise mise à jour logicielle, sur une cellule individuelle et les demandes qu'elle traite. Si une charge de travail utilise 10 cellules pour traiter 100 demandes, lorsqu'une panne survient, 90 % des demandes globales ne sont pas affectées par la panne.
**Anti-modèles courants :**
+ Permettre aux cellules de se développer sans limites.
+ Appliquer des mises à jour ou des déploiements de code à toutes les cellules en même temps.
+ Partage de l'état ou des composants entre les cellules (à l'exception de la couche routeur).
+ Ajout d'une logique métier ou de routage complexe à la couche routeur.
+ Ne pas minimiser les interactions entre les cellules.
**Avantages liés au respect de cette bonne pratique :** avec les architectures cellulaires, de nombreux types de pannes courants sont contenus dans la cellule elle-même, ce qui permet un isolement supplémentaire des pannes. Ces limites de défaillance peuvent fournir une résilience contre des types de panne qui seraient autrement difficiles à contenir, tels que des déploiements de code infructueux ou des requêtes corrompues ou déclenchant un mode de défaillance spécifique (également connues sous le nom de *requêtes empoisonnées*).
## Directives d'implémentation
Sur un navire, les cloisons permettent de contenir une brèche dans la coque dans une seule section de la coque. Dans les systèmes complexes, ce modèle est souvent répliqué pour permettre d'isoler des pannes. Les limites isolées pour les défaillances restreignent l'effet d'une panne au sein d'une charge de travail à un nombre limité de composants. Les composants en dehors de la limite ne sont pas affectés par la défaillance. En utilisant plusieurs limites isolées par défaut, vous pouvez limiter l'impact sur votre charge de travail. Sur AWS, les clients peuvent utiliser plusieurs zones de disponibilité et régions pour isoler des pannes, mais le concept d'isolement des pannes peut également être étendu à l'architecture de votre charge de travail.
La charge de travail globale est divisée en cellules par une clé de partition. Cette clé doit s'aligner sur la *base de granularité* du service, ou sur la manière naturelle dont la charge de travail d'un service peut être subdivisée avec un minimum d'interactions entre les cellules. Des exemples de clés de partition sont l'ID du client, l'ID de la ressource ou tout autre paramètre facilement accessible dans la plupart des appels d'API. Une couche de routage des cellules distribue les requêtes aux cellules individuelles en fonction de la clé de partition et présente un point de terminaison unique aux clients.
![\[Diagramme illustrant une architecture cellulaire\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/cell-based-architecture.png)
**Étapes d'implémentation**
Lors de la conception d'une architecture cellulaire, vous devez tenir compte de plusieurs éléments :
1. **Clé de partition** : il convient d'accorder une attention particulière au choix de la clé de partition.
+ Celle-ci doit s'aligner sur la base de granularité du service, ou sur la manière naturelle dont la charge de travail d'un service peut être subdivisée avec un minimum d'interactions entre les cellules. Voici quelques exemples : `ID du client` ou `ID de la ressource`. »
+ La clé de partition doit être disponible dans toutes les requêtes, soit directement, soit d'une manière qui pourrait être facilement déduite de façon déterministe par d'autres paramètres.
1. **Mappage persistant des cellules** : les services en amont ne doivent interagir qu'avec une seule cellule pendant le cycle de vie de leurs ressources.
+ En fonction de la charge de travail, vous devrez peut-être concevoir une stratégie de migration de cellules pour faire migrer les données d'une cellule à l'autre. La migration d'une cellule peut s'avérer nécessaire si un utilisateur ou une ressource particulière de votre charge de travail devient trop importante et nécessite une cellule dédiée.
+ Les cellules ne doivent pas partager d'état ou de composants entre elles.
+ Par conséquent, les interactions entre cellules doivent être évitées ou réduites au minimum, car elles créent des dépendances entre les cellules et diminuent donc les bénéfices de l'isolement des défaillances.
1. **Couche routeur** : la couche routeur est un composant partagé entre les cellules, et ne peut donc pas suivre la stratégie de compartimentage des cellules.
+ Nous recommandons de paramétrer la couche routeur pour distribuer les requêtes à des cellules individuelles à l'aide d'un algorithme de mappage de partition d'une manière efficace sur le plan des calculs. Par exemple, en combinant des fonctions de hachage cryptographiques et de l'arithmétique modulaire pour mapper les clés de partition aux cellules.
+ Pour éviter les impacts sur plusieurs cellules, la couche de routage doit rester aussi simple et évolutive horizontalement que possible, ce qui nécessite d'éviter toute logique métier complexe au sein de cette couche. Cela présente l'avantage supplémentaire de faciliter la compréhension de son comportement attendu à tout moment, favorisant ainsi une testabilité approfondie. Comme l'explique Colm MacCárthaigh dans son article [Reliability, constant work, and a good cup of coffee](https://aws.amazon.com/builders-library/reliability-and-constant-work/) (Fiabilité, travail constant, et une bonne tasse de café), les conceptions simples et les modèles de travail constants produisent des systèmes fiables et réduisent le phénomène d'antifragilité.
1. **Taille des cellules** : les cellules doivent comporter une taille maximale définie et ne doivent pas être autorisées à se développer au-delà.
+ La taille maximale doit être identifiée en effectuant des tests approfondis, jusqu'à ce que les points de rupture soient atteints et que des marges de fonctionnement sûres soient établies. Pour obtenir plus de détails sur la mise en œuvre des pratiques de test, consultez [REL07-BP04 Effectuer un test de charge de votre charge de travail](rel_adapt_to_changes_load_tested_adapt.md)
+ La charge de travail globale doit se développer en ajoutant des cellules supplémentaires, ce qui lui permet de s'adapter à l'augmentation de la demande.
1. **Stratégies multi-AZ ou multirégion** : il convient de tirer parti de plusieurs couches de résilience pour se protéger contre différents domaines de panne.
+ Pour la résilience, vous devez adopter une approche qui repose sur des couches de défense. Une couche protège contre les perturbations de petite envergure et courantes en créant une architecture hautement disponible à l'aide de plusieurs AZ. Une autre couche de défense est destinée à protéger contre les événements rares tels que les catastrophes naturelles généralisées et les perturbations au niveau régional. Cette deuxième couche implique de concevoir l'architecture de votre application pour qu'elle s'étende sur plusieurs Régions AWS. La mise en œuvre d'une stratégie multirégion pour votre charge de travail permet de la protéger contre les catastrophes naturelles généralisées qui affectent une grande région géographique d'un pays, ou les défaillances techniques à l'échelle régionale. Sachez que la mise en œuvre d'une architecture multirégion peut être très complexe et n'est généralement pas requise pour la plupart des charges de travail. Pour en savoir plus, consultez [REL10-BP02 Sélectionner les emplacements appropriés pour votre déploiement multisite](rel_fault_isolation_select_location.md). »
1. **Déploiement du code** : il faut privilégier une stratégie de déploiement de code échelonnée plutôt que de déployer les modifications de code dans toutes les cellules en même temps.
+ Cela permettra de minimiser les risques de panne de plusieurs cellules en raison d'un mauvais déploiement ou d'une erreur humaine. Pour obtenir plus de détails, consultez [Automatisation de déploiements sécurisés sans intervention](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Ressources
**Bonnes pratiques associées :**
+ [REL07-BP04 Effectuer un test de charge de votre charge de travail](rel_adapt_to_changes_load_tested_adapt.md)
+ [REL10-BP02 Sélectionner les emplacements appropriés pour votre déploiement multisite](rel_fault_isolation_select_location.md)
**Documents connexes :**
+ [Reliability, constant work, and a good cup of coffee](https://aws.amazon.com/builders-library/reliability-and-constant-work/) (Fiabilité, travail constant, et une bonne tasse de café)
+ [AWS and Compartmentalization ](https://aws.amazon.com/blogs/architecture/aws-and-compartmentalization/) (AWS et le cloisonnement)
+ [Isolation de la charge de travail à l'aide du partitionnement aléatoire](https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/)
+ [Automatisation de déploiements sécurisés sans intervention](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Close Loops and Opening Minds: How to Take Control of Systems, Big and Small ](https://www.youtube.com/watch?v=O8xLxNje30M)
+ [AWS re:Invent 2018: How AWS Minimizes the Blast Radius of Failures (ARC338)](https://youtu.be/swQbA4zub20)
+ [Shuffle-sharding: AWS re:Invent 2019: Introducing The Amazon Builders’ Library (DOP328)](https://youtu.be/sKRdemSirDM?t=1373)
+ [AWS Summit ANZ 2021 - Everything fails, all the time: Designing for resilience ](https://www.youtube.com/watch?v=wUzSeSfu1XA) (Sommet AWS ANZ 2021 - tout échoue, tout le temps : concevoir pour la résilience)
**Exemples connexes :**
+ [Atelier Well-Architected : isolement des pannes avec le partitionnement aléatoire](https://wellarchitectedlabs.com/reliability/300_labs/300_fault_isolation_with_shuffle_sharding/)
# REL 11 Comment concevoir votre charge de travail pour la rendre résistante aux défaillances de composants ?
Les charges de travail exigeant une haute disponibilité et un faible temps moyen de récupération (MTTR) doivent être conçues pour être résilientes.
**Topics**
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP02 Basculer vers des ressources saines](rel_withstand_component_failures_failover2good.md)
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
+ [REL11-BP04 S'appuyer sur le plan de données et non sur le plan de contrôle pendant la récupération](rel_withstand_component_failures_avoid_control_plane.md)
+ [REL11-BP05 Utiliser la stabilité statique pour éviter les comportements bimodaux](rel_withstand_component_failures_static_stability.md)
+ [REL11-BP06 Envoyer des notifications lorsque des événements affectent la disponibilité](rel_withstand_component_failures_notifications_sent_system.md)
+ [REL11-BP07 Concevoir votre produit pour atteindre les objectifs de disponibilité et les accords de niveau de service (SLA)](rel_withstand_component_failures_service_level_agreements.md)
# REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances
Surveillez en continu l'état de votre charge de travail afin que vous et vos systèmes automatisés ayez connaissance de la dégradation ou de la défaillance dès qu'elle se produit. Surveillez les indicateurs de performance clés (KPI) en fonction de la valeur commerciale.
Tous les mécanismes de récupération et de réparation doivent commencer par la capacité à détecter rapidement les problèmes. Les défaillances techniques doivent être détectées au préalable pour être résolues. Cependant, la disponibilité repose sur la capacité de votre charge de travail à fournir une valeur commerciale. Il doit donc s'agir d'indicateurs clés de performance (KPI) de votre stratégie de détection et de correction.
**Anti-modèles courants :**
+ Aucune alarme n'a été configurée. Il n'y a donc pas de notification lorsque des interruptions se produisent.
+ Des alarmes existent, mais les seuils ne laissent pas assez de temps pour réagir.
+ Les métriques ne sont pas collectées à une fréquence suffisante pour atteindre l'objectif de délai de reprise (RTO).
+ Seul le niveau client de la charge de travail est surveillé activement.
+ Collecte uniquement des métriques techniques et non des métriques de fonction commerciale.
+ Aucune métrique ne mesure l'expérience utilisateur de la charge de travail.
**Avantages liés au respect de cette bonne pratique :** La surveillance appropriée à toutes les couches vous permet de réduire le temps de récupération en réduisant le temps de détection.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Déterminez l'intervalle de collecte de vos composants en fonction de vos objectifs de récupération.
+ Votre intervalle de surveillance dépend de la vitesse à laquelle vous devez effectuer la récupération. Votre délai de reprise dépend du temps nécessaire à la récupération. Vous devez donc déterminer la fréquence de collecte en tenant compte de cette durée et de votre objectif de délai de reprise (RTO).
+ Configurez la surveillance détaillée des composants.
+ Déterminez la nécessité d'une surveillance détaillée pour les instances EC2 et Auto Scaling La surveillance détaillée fournit des métriques à intervalle d'une minute, et la surveillance par défaut fournit des métriques à intervalle de 5 minutes.
+ [Activer ou désactiver la surveillance détaillée pour votre instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-cloudwatch-new.html)
+ [Surveillance de vos groupes et instances Auto Scaling à l'aide d'Amazon CloudWatch](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)
+ Déterminez la nécessité de la surveillance améliorée pour RDS. La surveillance améliorée utilise un agent sur les instances RDS pour obtenir des informations utiles sur différents processus ou threads sur une instance RDS.
+ [Enhanced Monitoring (Surveillance améliorée)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
+ Créez des métriques personnalisées pour mesurer les indicateurs clés de performance (KPI) métier. Les charges de travail implémentent des fonctions métier clés. Ces fonctions doivent être utilisées comme des KPI permettant d'identifier la survenue d'un problème indirect.
+ [Publication des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ Surveillez l'expérience utilisateur pour détecter les défaillances à l'aide de tests canary utilisateur. Les tests de transaction synthétiques (également appelés « tests canary », à ne pas confondre avec les déploiements canary) qui peuvent exécuter et simuler le comportement des clients font partie des processus de test les plus importants. Exécutez ces tests en permanence sur vos points de terminaison de charge de travail à partir de divers emplacements distants.
+ [Amazon CloudWatch Synthetics vous permet de créer des tests canary utilisateur](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ Créez des métriques personnalisées qui suivent l'expérience utilisateur. Si vous pouvez analyser l'expérience du client, vous pouvez savoir à quel moment l'expérience du consommateur se dégrade.
+ [Publication des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ Définissez des alarmes pour détecter quand une partie de votre charge de travail ne fonctionne pas correctement et pour indiquer quand mettre à l'échelle automatiquement les ressources. Les alarmes peuvent être des signaux visuels sur les tableaux de bord ou des alertes via Amazon SNS ou e-mail et utiliser la mise à l'échelle automatique pour augmenter ou diminuer les ressources pour une charge de travail.
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ Créez des tableaux de bord pour la visualisation de vos métriques. Les tableaux de bord peuvent être utilisés pour afficher visuellement des tendances, des valeurs aberrantes et d'autres indicateurs de problèmes potentiels, ou pour fournir une indication des problèmes que vous pourriez vouloir examiner.
+ [Fonctionnement des tableaux de bord CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
## Ressources
**Documents connexes :**
+ [Amazon CloudWatch Synthetics vous permet de créer des tests canary utilisateur](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Activer ou désactiver la surveillance détaillée pour votre instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-cloudwatch-new.html)
+ [Enhanced Monitoring (Surveillance améliorée)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
+ [Surveillance de vos groupes et instances Auto Scaling à l'aide d'Amazon CloudWatch](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)
+ [Publication des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Fonctionnement des tableaux de bord CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
**Exemples connexes :**
+ [Atelier Well-Architected : niveau 300 : implémentation de la surveillance de l'état et gestion des dépendances pour améliorer la fiabilité](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP02 Basculer vers des ressources saines
Vérifiez que les ressources saines peuvent continuer à traiter les demandes en cas de défaillance d’une ressource. Pour les défaillances liées à l'emplacement (par exemple, zone de disponibilité ou Région AWS), vérifiez que vous disposez de systèmes en place pour basculer vers des ressources saines dans des emplacements intacts.
Les services AWS tels qu'Elastic Load Balancing et AWS Auto Scaling contribuent à répartir la charge entre les ressources et les zones de disponibilité. Par conséquent, la défaillance d'une ressource individuelle (telle qu'une instance EC2) ou la dégradation d'une zone de disponibilité peut être atténuée en déplaçant le trafic vers les ressources saines restantes. La situation est beaucoup plus compliquée quand il s'agit de charges de travail distribuées sur plusieurs régions. À titre d'exemple, les réplicas en lecture entre régions vous permettent de déployer vos données dans plusieurs Régions AWS. Cependant, vous devez toujours promouvoir le réplica en lecture en tant que réplica principal et orienter votre trafic vers celui-ci en cas de défaillance de basculement. Amazon Route 53 et AWS Global Accelerator contribuent à acheminer le trafic entre les Régions AWS.
Si votre charge de travail utilise des services AWS, comme Amazon S3 ou Amazon DynamoDB, ils sont automatiquement déployés sur plusieurs zones de disponibilité. En cas de défaillance, le plan de contrôle AWS s'occupe de l'acheminement automatique du trafic vers des emplacements sains. Les données sont stockées de manière redondante dans plusieurs zones de disponibilité et restent disponibles. Pour Amazon RDS, vous devez choisir Multi-AZ comme option de configuration, puis en cas de panne, AWS dirige automatiquement le trafic vers l'instance saine. Pour les instances Amazon EC2, les tâches Amazon ECS ou les pods Amazon EKS, vous choisissez les zones de disponibilité du déploiement. Elastic Load Balancing fournit ensuite la solution pour détecter les instances dans les zones non saines et acheminer le trafic vers les zones saines. Elastic Load Balancing peut même acheminer le trafic vers les composants de votre centre de données sur site.
Pour les approches multirégions (qui peuvent également inclure des centres de données sur site), Amazon Route 53 permet de définir des domaines Internet et d'attribuer des stratégies de routage qui peuvent inclure des vérifications de l'état afin de s'assurer que le trafic est acheminé vers des régions saines. AWS Global Accelerator fournit également des adresses IP statiques qui font office de points d'entrée fixe dans votre application avant un acheminement vers les points de terminaison des Régions AWS de votre choix via le réseau mondial AWS au lieu d'Internet pour optimiser les performances et la fiabilité.
AWS aborde la conception de nos services en ayant à l'esprit la récupération en cas de panne. Nous concevons les services afin de minimiser le temps de restauration en cas de défaillance et l'impact sur les données. Nos services utilisent principalement des magasins de données qui valident les requêtes uniquement lorsque les données sont stockées durablement sur plusieurs réplicas au sein d'une région. Ces services et ressources incluent Amazon Aurora, Amazon Relational Database Service (Amazon RDS), les instances de base de données multi-AZ, Amazon S3, Amazon DynamoDB, Amazon Simple Queue Service (Amazon SQS) et Amazon Elastic File System (Amazon EFS). Ils sont élaborés de manière à utiliser l'isolation basée sur les cellules et à faire appel à l'isolement des pannes fourni par des zones de disponibilité. Nous utilisons largement l'automatisation dans nos procédures opérationnelles. Nous optimisons également notre fonction de remplacement et redémarrage afin de récupérer rapidement en cas d'interruptions.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Basculez vers des ressources saines. Vérifiez que les ressources saines peuvent continuer à traiter les demandes en cas de défaillance d’une ressource. Pour les défaillances liées à l'emplacement (par exemple, zone de disponibilité ou Région AWS), vérifiez que vous disposez de systèmes en place pour basculer vers des ressources saines dans des emplacements intacts.
+ Si votre charge de travail utilise des services AWS, comme Amazon S3 ou Amazon DynamoDB, ils sont automatiquement déployés sur plusieurs zones de disponibilité. En cas de défaillance, le plan de contrôle AWS s'occupe de l'acheminement automatique du trafic vers des emplacements sains.
+ Pour Amazon RDS, vous devez choisir Multi-AZ comme option de configuration, puis en cas de panne, AWS dirige automatiquement le trafic vers l'instance saine.
+ [Haute disponibilité (Multi-AZ) pour Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)
+ Pour les instances Amazon EC2 ou les tâches Amazon ECS, vous choisissez les zones de disponibilité du déploiement. Elastic Load Balancing fournit ensuite la solution pour détecter les instances dans les zones défectueuses et acheminer le trafic vers les zones saines. Elastic Load Balancing peut même acheminer le trafic vers les composants de votre centre de données sur site.
+ Pour les approches multi-régions (qui peuvent également inclure des centres de données sur site), assurez-vous que les données et les ressources provenant d'emplacements sains peuvent continuer à traiter les demandes.
+ À titre d'exemple, les réplicas en lecture entre régions vous permettent de déployer vos données dans plusieurs Régions AWS. Cependant, vous devez toujours faire du réplica en lecture le réplica principal et orienter votre trafic vers celui-ci en cas de défaillance de l'emplacement principal.
+ [Présentation des réplicas en lecture Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html)
+ Amazon Route 53 permet de définir des domaines Internet et d'attribuer des politiques de routage, pouvant inclure des surveillances de l'état, afin de s'assurer que le trafic est acheminé vers des régions saines. AWS Global Accelerator fournit également des adresses IP statiques qui font office de points d'entrée fixe dans votre application avant un acheminement vers les points de terminaison des Régions AWS de votre choix via le réseau mondial AWS au lieu de l'Internet public pour optimiser les performances et la fiabilité.
+ [Amazon Route 53 : choix d'une stratégie de routage](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)
+ [Qu'est-ce qu'AWS Global Accelerator ?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à automatiser votre tolérance aux pannes](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace : produits pouvant être utilisés pour la tolérance aux pannes](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [AWS OpsWorks : utilisation de la réparation automatique pour remplacer des instances défectueuses](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ [Amazon Route 53 : choix d'une stratégie de routage](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)
+ [Haute disponibilité (Multi-AZ) pour Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)
+ [Présentation des réplicas en lecture Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html)
+ [Stratégies de placement des tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [Création de groupes Kubernetes Auto Scaling pour plusieurs zones de disponibilité](https://aws.amazon.com/blogs/containers/amazon-eks-cluster-multi-zone-auto-scaling-groups/)
+ [Qu'est-ce qu'AWS Global Accelerator ?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
**Exemples connexes :**
+ [Atelier Well-Architected : niveau 300 : implémentation de la surveillance de l'état et gestion des dépendances pour améliorer la fiabilité](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP03 Automatiser la réparation sur toutes les couches
Utilisez des capacités automatisées pour effectuer des actions correctives en cas de détection d'une défaillance.
*La possibilité d'exécuter un redémarrage* est un outil important pour corriger les pannes. Comme indiqué précédemment pour les systèmes distribués, une bonne pratique consiste à supprimer, dans la mesure du possible, l’état des services. Cela évite la perte de données ou de disponibilité au redémarrage. Dans le cloud, vous pouvez (et devriez généralement) remplacer la totalité de la ressource (par exemple, une instance EC2 ou une fonction Lambda) dans le cadre du redémarrage. Le redémarrage proprement dit est un moyen simple et fiable de récupération après une défaillance. De nombreux types de défaillances différents se produisent dans les charges de travail. Les défaillances peuvent se produire au niveau du matériel, des logiciels, des communications et des opérations. Plutôt que de créer de nouveaux mécanismes pour piéger, identifier et corriger chacun des différents types de défaillances, mappez de nombreuses catégories de défaillances différentes à la même stratégie de récupération. Une instance peut cesser de fonctionner suite à une panne matérielle, à un bogue du système d'exploitation ou à une fuite de mémoire. D’autres causes sont néanmoins possibles. Plutôt que de créer une correction personnalisée pour chaque situation, traitez l'une d'entre elles comme une défaillance d'instance. Résiliez l'instance et autorisez AWS Auto Scaling à la remplacer. Effectuez ensuite une analyse de cette ressource défaillante hors bande.
Un autre exemple est la possibilité de redémarrer une requête réseau. Appliquez la même approche de récupération à la fois pour un délai d'expiration réseau et une défaillance de la dépendance, si la dépendance renvoie une erreur. Comme ces deux événements ont un effet semblable sur le système, plutôt que d'essayer de traiter l'un ou l'autre événement comme un « cas particulier », appliquez une stratégie semblable de nouvelle tentative limitée avec une temporisation exponentielle et une instabilité.
*La possibilité d'exécuter un redémarrage* est un mécanisme de récupération présenté dans les architectures de cluster haute disponibilité et d'informatique orientée récupération.
Amazon EventBridge peut être utilisé pour surveiller et filtrer les événements tels que les alarmes CloudWatch ou les changements d'état dans d'autres services AWS. En fonction des informations d'événement, il peut ensuite déclencher AWS Lambda, AWS Systems Manager Automation (ou d'autres cibles) pour exécuter une logique de correction personnalisée sur votre charge de travail.
Amazon EC2 Auto Scaling peut être configuré pour vérifier l'état de l'instance EC2. Si l'instance est dans un état autre que celui en cours d'exécution, ou si le statut du système est dégradé, Amazon EC2 Auto Scaling considère l'instance comme défectueuse et lance une instance de remplacement. Si vous utilisez AWS OpsWorks, vous pouvez configurer la réparation automatique des instances EC2 au niveau de la couche OpsWorks.
Pour les remplacements à grande échelle (comme la perte d'une zone de disponibilité complète), il est préférable d'opter pour la stabilité statique pour une haute disponibilité plutôt que d'essayer d'obtenir plusieurs nouvelles ressources simultanément.
**Anti-modèles courants :**
+ Déploiement d'applications une par une dans des instances ou des conteneurs.
+ Déploiement d'applications qui ne peuvent pas être déployées dans plusieurs emplacements sans utiliser la récupération automatique.
+ Réparation manuelle des applications impossible à réparer par la scalabilité et la récupération automatiques.
**Avantages liés au respect de cette bonne pratique :** La réparation automatique réduit le temps moyen de récupération et garantit la disponibilité de la charge de travail même si la charge de travail ne peut être déployée qu'à un seul emplacement à la fois.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Utilisez des groupes Auto Scaling pour déployer des niveaux dans une charge de travail. La scalabilité automatique peut effectuer une autoréparation sur les applications sans état et ajouter ou supprimer de la capacité.
+ [Fonctionnement d'AWS Auto Scaling](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ Implémentez la récupération automatique sur les instances EC2 dont les applications déployées ne peuvent pas être déployées dans plusieurs emplacements et qui peuvent tolérer le redémarrage en cas de défaillance. La récupération automatique peut être utilisée pour remplacer du matériel défaillant et redémarrer l'instance lorsque l'application ne peut pas être déployée sur plusieurs emplacements. Les métadonnées de l'instance et les adresses IP associées sont conservées, tout comme le sont les volumes Amazon EBS et les points de montage sur Elastic File Systems ou sur File Systems for Lustre et Windows.
+ [Récupération automatique Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEFS.html)
+ [Qu'est-ce qu'Amazon FSx for Lustre ?](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html)
+ [Qu'est-ce qu'Amazon FSx for Windows File Server ?](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html)
+ Avec AWS OpsWorks, vous pouvez configurer la réparation automatique des instances EC2 au niveau de la couche.
+ [AWS OpsWorks : utilisation de la réparation automatique pour remplacer des instances défectueuses](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ Implémentez la récupération automatique à l'aide d'AWS Step Functions et d'AWS Lambda lorsque vous ne pouvez pas utiliser la mise à l'échelle automatique ou la récupération automatique, ou lorsque la récupération automatique échoue. Lorsque vous ne pouvez pas utiliser la scalabilité automatique, que vous ne pouvez pas utiliser la récupération automatique ou que la récupération automatique échoue, vous pouvez automatiser la réparation à l'aide d'AWS Step Functions et d'AWS Lambda.
+ [Qu'est-ce qu'AWS Step Functions ?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [Qu'est-ce qu'AWS Lambda ?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ Amazon EventBridge peut être utilisé pour surveiller et filtrer les événements tels que les alarmes CloudWatch ou les changements d'état dans d'autres services AWS. En fonction des informations d'événement, il peut ensuite déclencher AWS Lambda (ou d'autres cibles) pour exécuter une logique de correction personnalisée sur votre charge de travail.
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à automatiser votre tolérance aux pannes](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace : produits pouvant être utilisés pour la tolérance aux pannes](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [AWS OpsWorks : utilisation de la réparation automatique pour remplacer des instances défectueuses](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ [Récupération automatique Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEFS.html)
+ [Fonctionnement d'AWS Auto Scaling](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Qu'est-ce qu'AWS Lambda ?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [Qu'est-ce qu'AWS Step Functions ?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [Qu'est-ce qu'Amazon FSx for Lustre ?](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html)
+ [Qu'est-ce qu'Amazon FSx for Windows File Server ?](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html)
**Vidéos connexes :**
+ [Static stability in AWS: AWS re:Invent 2019: Introducing The Amazon Builders' Library (DOP328)](https://youtu.be/sKRdemSirDM?t=704)
**Exemples connexes :**
+ [Atelier Well-Architected : niveau 300 : implémentation de la surveillance de l'état et gestion des dépendances pour améliorer la fiabilité](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP04 S'appuyer sur le plan de données et non sur le plan de contrôle pendant la récupération
Le plan de contrôle est utilisé pour configurer les ressources et le plan de données fournit les services. Les plans de données ont généralement des objectifs de conception de disponibilité plus élevés que les plans de contrôle et sont généralement moins complexes. Lors de la mise en œuvre de réponses de récupération ou d'atténuation à des événements susceptibles d'avoir un impact sur la résilience, l'utilisation des opérations du plan de contrôle peut réduire la résilience globale de votre architecture. Par exemple, vous pouvez compter sur le plan de données Amazon Route 53 pour acheminer de manière fiable les requêtes DNS en fonction des contrôles de l'état, mais la mise à jour des politiques de routage Route 53 utilise le plan de contrôle. Ne comptez donc pas sur lui pour la récupération.
Les plans de données Route 53 répondent aux requêtes DNS et effectuent et évaluent les vérifications de l'état. Ils sont distribués dans le monde entier et conçus pour un [accord de niveau de service (SLA) de 100 % de disponibilité.](https://aws.amazon.com/route53/sla/) Les API et consoles de gestion Route 53 dans lesquelles vous créez, mettez à jour et supprimez des ressources Route 53 s'exécutent sur des plans de contrôle conçus pour donner la priorité à la cohérence forte et à la durabilité dont vous avez besoin lors de la gestion du DNS. Pour ce faire, les plans de contrôle sont situés dans une seule région, US East (N. Virginia). Bien que les deux systèmes soient conçus pour être très fiables, les plans de contrôle ne sont pas inclus dans le SLA. Dans de rares cas, la conception résiliente du plan de données permet de maintenir la disponibilité alors que les plans de contrôle ne le font pas. Pour les mécanismes de reprise après sinistre et de basculement, utilisez les fonctions du plan de données pour assurer la meilleure fiabilité possible.
Pour plus d'informations sur les plans de données, les plans de contrôle et la manière dont AWS crée des services pour atteindre les objectifs de haute disponibilité, consultez le livre blanc sur la [stabilité statique avec les zones de disponibilité](https://aws.amazon.com/builders-library/static-stability-using-availability-zones) et la bibliothèque [Amazon Builders' Library.](https://aws.amazon.com/builders-library/)
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Appuyez-vous sur le plan de données et non sur le plan de contrôle lors de l'utilisation d'Amazon Route 53 pour la reprise après sinistre. Route 53 Application Recovery Controller vous aide à gérer et à coordonner le basculement à l'aide de vérifications de l'état de préparation et de contrôles de routage. Ces fonctionnalités surveillent en permanence la capacité de votre application à se rétablir après une défaillance et vous permettent de contrôler la reprise de votre application dans plusieurs Régions AWS, zones de disponibilité et sur site.
+ [Qu'est-ce que Route 53 Application Recovery Controller ?](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
+ [Création de mécanismes de reprise après sinistre à l'aide d'Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)
+ [Création d'applications hautement résilientes à l'aide d'Amazon Route 53 Application Recovery Controller, partie 1 : pile dans une seule région](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)
+ [Création d'applications hautement résilientes à l'aide d'Amazon Route 53 Application Recovery Controller, partie 2 : pile multirégion](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/)
+ Comprendre quelles opérations relèvent du plan de données et quelles opérations relèvent du plan de contrôle
+ [L'Amazon Builders' Library : éviter la surcharge des systèmes distribués en plaçant sous contrôle le plus petit service](https://aws.amazon.com/builders-library/avoiding-overload-in-distributed-systems-by-putting-the-smaller-service-in-control/)
+ [API Amazon DynamoDB (plan de contrôle et plan de données)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.API.html)
+ [Exécutions AWS Lambda](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (réparties entre le plan de contrôle et le plan de données)
+ [Exécutions AWS Lambda](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (réparties entre le plan de contrôle et le plan de données)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant vous aider à automatiser votre tolérance aux pannes](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace : produits pouvant être utilisés pour la tolérance aux pannes](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [L'Amazon Builders' Library : éviter la surcharge des systèmes distribués en plaçant sous contrôle le plus petit service](https://aws.amazon.com/builders-library/avoiding-overload-in-distributed-systems-by-putting-the-smaller-service-in-control/)
+ [API Amazon DynamoDB (plan de contrôle et plan de données)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.API.html)
+ [Exécutions AWS Lambda](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (réparties entre le plan de contrôle et le plan de données)
+ [Plan de données AWS Elemental MediaStore](https://docs.aws.amazon.com/mediastore/latest/apireference/API_Operations_AWS_Elemental_MediaStore_Data_Plane.html)
+ [Création d'applications hautement résilientes à l'aide d'Amazon Route 53 Application Recovery Controller, partie 1 : pile dans une seule région](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)
+ [Création d'applications hautement résilientes à l'aide d'Amazon Route 53 Application Recovery Controller, partie 2 : pile multirégion](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/)
+ [Création de mécanismes de reprise après sinistre à l'aide d'Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)
+ [Qu'est-ce que Route 53 Application Recovery Controller ?](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
**Exemples connexes :**
+ [Qu'est-ce qu'Amazon Route 53 Application Recovery Controller ?](https://aws.amazon.com/blogs/aws/amazon-route-53-application-recovery-controller/)
# REL11-BP05 Utiliser la stabilité statique pour éviter les comportements bimodaux
Un comportement bimodal survient lorsque votre charge de travail adopte un comportement différent en mode normal et en mode de défaillance, par exemple, en s'appuyant sur le lancement de nouvelles instances en cas de défaillance d'une zone de disponibilité. Pour éviter ce type de comportement, vous devez créer des charges de travail stables statiquement et qui fonctionnent dans un seul mode. : dans ce cas, mettez en service suffisamment d'instances dans chaque zone de disponibilité pour gérer la charge de travail si une zone de disponibilité venait à être supprimée, puis utilisez les vérifications de l'état d'Elastic Load Balancing ou d'Amazon Route 53 pour déplacer la charge à distance des instances compromises.
La stabilité statique du déploiement de calcul (par exemple, des conteneurs ou des instances EC2) garantit une fiabilité optimale. Celle-ci doit être pondérée par rapport aux problèmes de coût. Il est moins coûteux d'allouer une capacité de calcul inférieure et de compter sur le lancement de nouvelles instances en cas de défaillance. Toutefois, pour les défaillances à grande échelle (par exemple, une défaillance de zone de disponibilité), cette approche est moins efficace, car elle repose sur la réaction aux défaillances à mesure qu'elles se produisent, plutôt que sur la préparation à contrer ces défaillances avant leur occurrence. Votre solution doit évaluer la fiabilité par rapport aux besoins en termes de coûts de votre charge de travail. En augmentant le nombre de zones de disponibilité utilisées, vous réduisez la quantité de calcul supplémentaire dont vous avez besoin pour la stabilité statique.
![\[Diagramme illustrant la stabilité statique des instances EC2 dans les zones de disponibilité\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/static-stability.png)
Une fois le trafic déplacé, utilisez AWS Auto Scaling pour remplacer de manière asynchrone les instances de la zone défaillante et les lancer dans les zones saines.
Autre exemple de comportement bimodal : un délai d'expiration du réseau peut amener un système à tenter d'actualiser l'état de configuration de l'ensemble du système. Cette tentative ajoute une charge inattendue à un autre composant, ce qui peut entraîner un échec et déclencher d'autres conséquences imprévues. Cette boucle de rétroaction négative a un impact sur la disponibilité de votre charge de travail. Vous devriez donc créer des systèmes stables statiquement et fonctionnant dans un seul mode. Une conception statiquement stable consisterait à effectuer un travail constant et à toujours actualiser l'état de la configuration selon une cadence fixe. Lorsqu'un appel échoue, la charge de travail utilise la valeur précédemment mise en cache et déclenche une alarme.
Un autre exemple de comportement bimodal consiste à autoriser les clients à contourner votre cache de charge de travail lorsque des défaillances se produisent. Cette solution peut répondre aux besoins des clients, mais ne doit pas être autorisée, car elle modifie considérablement les demandes sur votre charge de travail et risque d'entraîner des défaillances.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utilisez la stabilité statique pour éviter les comportements bimodaux. Un comportement bimodal survient lorsque votre charge de travail adopte un comportement différent en mode normal et en mode de défaillance, par exemple, en s'appuyant sur le lancement de nouvelles instances en cas de défaillance d'une zone de disponibilité.
+ [Minimiser les dépendances dans un plan de reprise après sinistre](https://aws.amazon.com/blogs/architecture/minimizing-dependencies-in-a-disaster-recovery-plan/)
+ [L'Amazon Builders' Library : stabilité statique avec les zones de disponibilité](https://aws.amazon.com/builders-library/static-stability-using-availability-zones)
+ [Static stability in AWS: AWS re:Invent 2019: Introducing The Amazon Builders' Library (DOP328)](https://youtu.be/sKRdemSirDM?t=704)
+ Pour éviter ce type de comportement, vous devez créer des systèmes stables statiquement et qui fonctionnent dans un seul mode. Dans ce cas, allouez suffisamment d'instances dans chaque zone pour gérer la charge de travail en cas de suppression d'une AZ, puis utilisez les vérifications de l'état d'Elastic Load Balancing ou d'Amazon Route 53 pour déplacer la charge des instances dégradées.
+ Un autre exemple de comportement bimodal consiste à autoriser les clients à contourner votre cache de charge de travail lorsque des défaillances se produisent. Quoiqu'elle semble répondre aux besoins des clients, cette solution ne devrait pas être autorisée, car elle modifie considérablement les exigences de votre charge de travail et peut être à l'origine de défaillances.
## Ressources
**Documents connexes :**
+ [Minimiser les dépendances dans un plan de reprise après sinistre](https://aws.amazon.com/blogs/architecture/minimizing-dependencies-in-a-disaster-recovery-plan/)
+ [L'Amazon Builders' Library : stabilité statique avec les zones de disponibilité](https://aws.amazon.com/builders-library/static-stability-using-availability-zones)
**Vidéos connexes :**
+ [Static stability in AWS: AWS re:Invent 2019: Introducing The Amazon Builders' Library (DOP328)](https://youtu.be/sKRdemSirDM?t=704)
# REL11-BP06 Envoyer des notifications lorsque des événements affectent la disponibilité
Des notifications sont envoyées lors de la détection d'événements importants, même si le problème provoqué par l'événement a été automatiquement résolu.
La réparation automatique garantit la fiabilité de votre charge de travail. Cependant, elle peut également masquer les problèmes sous-jacents à résoudre. Implémentez une surveillance et des événements appropriés afin de pouvoir détecter les schémas de problèmes, y compris ceux résolus par la réparation automatique, afin de pouvoir résoudre les problèmes de cause racine. Des alarmes Amazon CloudWatch peuvent être déclenchées en fonction des pannes qui se produisent. Elles peuvent également être déclenchées lors de l’exécution d’actions de réparation automatisées. Les alarmes CloudWatch peuvent être configurées pour envoyer des e-mails afin de consigner des incidents dans des systèmes tiers de suivi des incidents à l'aide de l'intégration d'Amazon SNS.
**Anti-modèles courants :**
+ Envoi d'alarmes sur lesquelles personne n'agit.
+ Automatisation de la réparation automatique sans notification indiquant que la réparation était nécessaire.
**Avantages liés au respect de cette bonne pratique :** Les notifications d'événements de récupération vous permettront de ne pas ignorer les problèmes qui se produisent peu fréquemment.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Alarmes au niveau des KPI lorsqu'ils dépassent un seuil bas : avoir une alarme de seuil bas au niveau des KPI de votre entreprise vous aide à déterminer quand votre charge de travail est indisponible ou non fonctionnelle.
+ [Création d’une alarme CloudWatch basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)
+ Alarme au niveau des événements qui appellent l'automatisation de la réparation : vous pouvez appeler directement une API SNS pour envoyer des notifications avec n'importe quelle automatisation que vous créez.
+ [Qu'est-ce qu'Amazon Simple Notification Service ?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
## Ressources
**Documents connexes :**
+ [Création d’une alarme CloudWatch basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Qu'est-ce qu'Amazon Simple Notification Service ?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
# REL11-BP07 Concevoir votre produit pour atteindre les objectifs de disponibilité et les accords de niveau de service (SLA)
Concevez votre produit de manière à atteindre les objectifs de disponibilité et les accords de niveau de service (SLA). Si vous publiez ou convenez en privé d'objectifs de disponibilité ou d'accords de niveau de service, vérifiez que votre architecture et vos processus opérationnels sont conçus pour les prendre en charge.
**Résultat souhaité :** chaque application a un objectif défini pour la disponibilité et un accord de niveau de service pour les métriques de performance. Ces éléments peuvent être surveillés et maintenus afin d'atteindre les résultats opérationnels.
**Anti-modèles courants :**
+ Concevoir et déployer des charges de travail sans fixer d'accords de niveau de service.
+ Les métriques des SLA sont fixées à un niveau élevé sans justification ni exigences commerciales.
+ Fixer des accords de niveau de service sans tenir compte des dépendances et des accords de niveau de service sous-jacents.
+ Les conceptions d'applications sont créées sans tenir compte du modèle de responsabilité partagée pour la résilience.
**Avantages liés au respect de cette bonne pratique** : la conception d'applications basées sur des objectifs clés de résilience vous aide à atteindre les objectifs commerciaux et à répondre aux attentes des clients. Ces objectifs contribuent à orienter le processus de conception de l'application qui évalue les différentes technologies et envisage divers compromis.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
La conception des applications doit tenir compte d'un ensemble diversifié d'exigences découlant d'objectifs commerciaux, opérationnels et financiers. Dans le cadre des exigences opérationnelles, les charges de travail doivent avoir des objectifs spécifiques en matière de métriques de résilience afin qu'elles puissent être correctement surveillées et prises en charge. Les métriques de résilience ne doivent pas être définies ou déduites après le déploiement de la charge de travail. Elles doivent être définies pendant la phase de conception et aider à guider les diverses décisions et compromis.
+ Chaque charge de travail doit disposer de son propre ensemble de métriques de résilience. Ces métriques peuvent être différentes de celles d'autres applications commerciales.
+ La réduction des dépendances peut avoir un impact positif sur la disponibilité. Chaque charge de travail doit tenir compte de ses dépendances et de leurs accords de niveau de service. En général, sélectionnez les dépendances dont les objectifs de disponibilité sont égaux ou supérieurs à ceux de votre charge de travail.
+ Envisagez des conceptions faiblement couplées afin que votre charge de travail puisse fonctionner correctement malgré l'altération des dépendances, lorsque cela est possible.
+ Réduisez les dépendances du plan de contrôle, notamment lors de la reprise ou d'une dégradation. Évaluez les conceptions statiques stables pour les charges de travail critiques. Utilisez le partage des ressources pour augmenter la disponibilité de ces dépendances dans une charge de travail.
+ L'observabilité et l'instrumentation sont essentielles pour respecter les accords de niveau de service en réduisant le temps moyen de détection (MTTD) et le temps moyen de réparation (MTTR).
+ Des défaillances moins fréquentes (MTBF plus long), des temps de détection des défaillances plus courts (MTTD plus court) et des temps de réparation plus courts (MTTR plus court) sont les trois facteurs utilisés pour améliorer la disponibilité des systèmes distribués.
+ L'établissement et le respect des métriques de résilience pour une charge de travail sont à la base de toute conception efficace. Ces conceptions doivent tenir compte des compromis entre la complexité de la conception, les dépendances des services, les performances, la mise à l'échelle et les coûts.
**Étapes d'implémentation**
+ Examinez et documentez la conception de la charge de travail en tenant compte des questions suivantes :
+ Où les plans de contrôle sont-ils utilisés dans la charge de travail ?
+ Comment la charge de travail met-elle en œuvre la tolérance aux pannes ?
+ Quels sont les modèles de conception pour la mise à l'échelle, la scalabilité automatique, la redondance et les composants hautement disponibles ?
+ Quelles sont les exigences en matière de cohérence et de disponibilité des données ?
+ Y a-t-il des considérations relatives à l'économie des ressources ou à la stabilité statique des ressources ?
+ Quelles sont les dépendances des services ?
+ Définissez les métriques SLA en fonction de l'architecture de la charge de travail tout en travaillant avec les parties prenantes. Tenez compte des SLA de toutes les dépendances utilisées par la charge de travail.
+ Une fois l'objectif du SLA fixé, optimisez l'architecture pour le respecter.
+ Une fois que la conception a été définie de manière à respecter l'accord de niveau de service, il faut mettre en œuvre les changements opérationnels, l'automatisation des processus et les runbooks qui visent également à réduire les délais d'attente et les temps de réponse.
+ Une fois le déploiement effectué, surveillez et rendez compte de l'accord de niveau de service.
## Ressources
**Bonnes pratiques associées :**
+ [REL03-BP01 Choisir comment segmenter votre charge de travail](rel_service_architecture_monolith_soa_microservice.md)
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](rel_fault_isolation_multiaz_region_system.md)
+ [REL11-BP01 Surveiller tous les composants de la charge de travail pour détecter les défaillances](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP03 Automatiser la réparation sur toutes les couches](rel_withstand_component_failures_auto_healing_system.md)
+ [REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos](rel_testing_resiliency_failure_injection_resiliency.md)
+ [REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](rel_planning_for_recovery_objective_defined_recovery.md)
+ [Comprendre l'état de la charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/understanding-workload-health.html)
**Documents connexes :**
+ [Availability with redundancy](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/availability-with-redundancy.html) (Disponibilité avec redondance)
+ [ Pilier Fiabilité : disponibilité ](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/availability.html)
+ [ Measuring availability ](https://docs.aws.amazon.com/whitepapers/latest/availability-and-beyond-improving-resilience/measuring-availability.html) (Mesurer la disponibilité)
+ [AWS Fault Isolation Boundaries](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html) (Limites d'isolement des pannes AWS)
+ [ Modèle de responsabilité partagée pour la résilience ](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/shared-responsibility-model-for-resiliency.html)
+ [stabilité statique avec les zones de disponibilité](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)
+ [Accords de niveau de service (SLA) AWS](https://aws.amazon.com/legal/service-level-agreements/)
+ [ Guidance for Cell-based Architecture on AWS](https://aws.amazon.com/solutions/guidance/cell-based-architecture-on-aws/) (Guide de l'architecture cellulaire sur AWS)
+ [ Infrastructure AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/aws-infrastructure.html)
+ [ Advanced Multi-AZ Resiliance Patterns whitepaper ](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/advanced-multi-az-resilience-patterns.html) (Livre blanc sur les modèles de résilience multi-AZ avancés)
**Services associés :**
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
# REL 12 Comment tester la fiabilité ?
Une fois que vous avez conçu votre charge de travail pour qu'elle soit résiliente aux sollicitations de la production, les tests sont le seul moyen de s'assurer qu'elle fonctionne comme prévu et d'obtenir la résilience voulue.
**Topics**
+ [REL12-BP01 Utiliser des playbooks pour enquêter sur les causes des défaillances](rel_testing_resiliency_playbook_resiliency.md)
+ [REL12-BP02 Effectuer une analyse post-incident](rel_testing_resiliency_rca_resiliency.md)
+ [REL12-BP03 Tester les exigences fonctionnelles](rel_testing_resiliency_test_functional.md)
+ [REL12-BP04 Tester les exigences de mise à l'échelle et de performance](rel_testing_resiliency_test_non_functional.md)
+ [REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos](rel_testing_resiliency_failure_injection_resiliency.md)
+ [REL12-BP06 Organiser régulièrement des tests de simulation de panne](rel_testing_resiliency_game_days_resiliency.md)
# REL12-BP01 Utiliser des playbooks pour enquêter sur les causes des défaillances
Consignez le processus d'enquête dans des playbooks afin de faciliter l'application de réponses cohérentes et rapides face aux scénarios de défaillance qui ne sont pas bien compris. Les playbooks sont les étapes prédéfinies suivies pour identifier les facteurs adjuvants à un scénario défaillance. Les résultats des étapes du processus sont utilisés pour déterminer les prochaines mesures à prendre jusqu'à ce que la question soit identifiée ou remontée.
Le playbook est une planification proactive que vous devez appliquer afin de pouvoir prendre efficacement des mesures réactives. Lorsque des scénarios de défaillance ne figurant pas dans le playbook sont rencontrés en production, commencez par résoudre le problème (éteindre l’incendie). Procédez ensuite à une rétrospective en examinant les étapes suivies pour résoudre le problème et utilisez-les pour ajouter une nouvelle entrée dans le playbook.
Notez que les playbooks sont utilisés en réponse à des incidents spécifiques, tandis que les runbooks le sont pour obtenir des résultats spécifiques. En règle générale, les runbooks sont employés pour les activités de routine et les playbooks pour répondre à des événements non réguliers.
**Anti-modèles courants :**
+ Planification du déploiement d'une charge de travail sans connaître les processus permettant de diagnostiquer les problèmes ou de répondre aux incidents.
+ Décisions imprévues sur les systèmes à partir desquels peut se faire la collecte des journaux et métriques lors de l'examen d'un événement.
+ Non-conservation des métriques et événements pendant suffisamment longtemps pour pouvoir récupérer les données.
**Avantages liés au respect de cette bonne pratique :** La capture des playbooks garantit que les processus peuvent être suivis de manière cohérente. La codification de vos playbooks limite l'introduction d'erreurs à partir de l'activité manuelle. L'automatisation des playbooks accélère le temps de réponse à un événement en évitant aux membres de l'équipe d’intervenir ou en leur fournissant des informations supplémentaires lorsque leur intervention commence.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Utilisez des playbooks pour identifier les problèmes. Les playbooks sont des processus documentés pour enquêter sur les problèmes. Mettez en œuvre des réponses cohérentes et rapides aux échecs en documentant les processus dans des playbooks. Les playbooks doivent contenir les informations et les instructions nécessaires pour permettre à une personne compétente de recueillir les informations pertinentes, identifier les causes potentielles de défaillance, isoler les pannes et déterminer les facteurs adjuvants (c'est-à-dire effectuer une analyse post-incident).
+ Mettez en œuvre les playbooks en tant que code Effectuez vos opérations en tant que code scriptant vos playbooks afin d'en assurer la cohérence et de limiter les erreurs causées par les processus manuels. Les playbooks peuvent être composés de plusieurs scripts représentant les différentes étapes qui pourraient être nécessaires pour identifier les facteurs contribuant à un problème. Les activités Runbook peuvent être déclenchées ou effectuées dans le cadre d'activités playbook, ou peuvent demander l'exécution d'un playbook en réponse à des événements identifiés.
+ [Automatisez vos playbooks opérationnels avec AWS Systems Manager](https://aws.amazon.com/about-aws/whats-new/2019/11/automate-your-operational-playbooks-with-aws-systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [Qu'est-ce qu'AWS Lambda ?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Ressources
**Documents connexes :**
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Automatisez vos playbooks opérationnels avec AWS Systems Manager](https://aws.amazon.com/about-aws/whats-new/2019/11/automate-your-operational-playbooks-with-aws-systems-manager/)
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [Utilisation de scripts Canary (Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [Qu'est-ce qu'AWS Lambda ?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
**Exemples connexes :**
+ [Automatisation des opérations avec les playbooks et les runbooks](https://wellarchitectedlabs.com/operational-excellence/200_labs/200_automating_operations_with_playbooks_and_runbooks/)
# REL12-BP02 Effectuer une analyse post-incident
Passez en revue les événements ayant un impact sur le client et identifiez les facteurs adjuvants et les mesures préventives. Utilisez ces informations pour prendre des mesures d'atténuation afin de limiter ou de remédier aux problèmes. Développez des procédures pour fournir des réponses rapides et efficaces. Publiez, le cas échéant, les facteurs adjuvants et les mesures correctives adaptées au public ciblé. Vous devez disposer d'une méthode pour communiquer ces causes à d'autres si nécessaire.
Évaluez pourquoi les tests existants n'ont pas permis de résoudre le problème. Ajoutez des tests pour ce cas si aucun test correspondant n’existe.
**Anti-modèles courants :**
+ Trouver des facteurs adjuvants sans pour autant continuer à chercher plus en profondeur d'autres problèmes et approches potentiels pour atténuer les risques.
+ Identification limitée aux causes d'erreur humaine et sans formation ou automatisation pouvant empêcher les erreurs humaines.
**Avantages liés au respect de cette bonne pratique :** Une analyse post-incident et le partage des résultats permettent à d'autres charges de travail d'atténuer les risques si elles ont mis en œuvre les mêmes facteurs adjuvants. Elle permet aussi de mettre en œuvre l'atténuation des risques ou la récupération automatisée avant qu'un incident ne se produise.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Définissez une norme pour votre analyse post-incident. Une bonne analyse post-incident permet de proposer des solutions courantes pour les problèmes avec des modèles d'architecture utilisés dans d'autres compartiments de vos systèmes.
+ Assurez-vous que les facteurs adjuvants sont honnêtes et irréprochables.
+ Vous ne pouvez pas corriger vos problèmes si vous ne les documentez pas.
+ Veillez à ce que l'analyse post-incident soit irréprochable afin que vous puissiez proposer des mesures correctives objectives et promouvoir une auto-évaluation et une collaboration honnête au sein de vos équipes d'application.
+ Utilisez un processus pour déterminer les facteurs adjuvants. Disposez d'un processus pour identifier et documenter les facteurs adjuvants d'un événement, développez des mesures d'atténuation pour limiter ou empêcher sa récurrence, et développez des procédures de réponses rapides et efficaces. Communiquez, le cas échéant, les facteurs adjuvants sur mesure en fonction du public ciblé.
+ [Qu'est-ce que l'analytique des journaux ?](https://aws.amazon.com/log-analytics/)
## Ressources
**Documents connexes :**
+ [Qu'est-ce que l'analytique des journaux ?](https://aws.amazon.com/log-analytics/)
+ [Pourquoi mettre en place la correction des erreurs (COE)](https://aws.amazon.com/blogs/mt/why-you-should-develop-a-correction-of-error-coe/)
# REL12-BP03 Tester les exigences fonctionnelles
Utilisez des techniques telles que les tests unitaires et les tests d'intégration qui valident les fonctionnalités requises.
Vous obtenez les meilleurs résultats lorsque ces tests sont exécutés automatiquement dans le cadre d'actions de génération et de déploiement. Par exemple, grâce à AWS CodePipeline, les développeurs valident les modifications apportées à un référentiel source dans lequel CodePipeline détecte automatiquement les modifications. Ces modifications sont générées et des tests sont exécutés. Une fois les tests terminés, le code généré est déployé sur des serveurs intermédiaires à des fins de test. Depuis le serveur intermédiaire, CodePipeline exécute d'autres tests, tels que des tests d'intégration ou de chargement. Une fois ces tests terminés avec succès, CodePipeline déploie le code testé et approuvé sur les instances de production.
De plus, l'expérience montre que les tests de transactions synthétiques (également appelés *tests canary*à ne pas confondre avec les déploiements canary) qui peuvent exécuter et simuler le comportement des clients font partie des processus de test les plus importants. Exécutez ces tests en permanence sur vos points de terminaison de charge de travail à partir de divers emplacements distants. Amazon CloudWatch Synthetics vous permet de [créer des scripts Canari](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) pour surveiller vos points de terminaison et vos API.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Testez les exigences fonctionnelles. Il s'agit, entre autres, des tests unitaires et des tests d'intégration qui valident les fonctionnalités requises.
+ [Utilisez CodePipeline avec AWS CodeBuild pour tester le code et exécuter des générations](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-create-pipeline.html)
+ [AWS CodePipeline ajoute la prise en charge des tests unitaires et des tests d'intégration personnalisés avec AWS CodeBuild](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ [Livraison et intégration continues (CI/CD)](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)
+ [Utilisation de scripts Canary (Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Automatisation des tests logiciels](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant faciliter l'implémentation d'un pipeline d'intégration continue](https://aws.amazon.com/partners/find/results/?keyword=Continuous+Integration)
+ [AWS CodePipeline ajoute la prise en charge des tests unitaires et des tests d'intégration personnalisés avec AWS CodeBuild](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ [AWS Marketplace : produits pouvant être utilisés pour une intégration continue](https://aws.amazon.com/marketplace/search/results?searchTerms=Continuous+integration)
+ [Livraison et intégration continues (CI/CD)](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)
+ [Automatisation des tests logiciels](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
+ [Utilisez CodePipeline avec AWS CodeBuild pour tester le code et exécuter des générations](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-create-pipeline.html)
+ [Utilisation de scripts Canary (Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
# REL12-BP04 Tester les exigences de mise à l'échelle et de performance
Utilisez des techniques telles que les tests de charge pour valider que la charge de travail répond aux exigences de mise à l'échelle et de performances.
Dans le cloud, vous pouvez créer un environnement de test à la demande à l'échelle de la production pour votre charge de travail. Si vous exécutez ces tests sur une infrastructure réduite, vous devez mettre vos résultats observés à l'échelle en fonction de ce que vous pensez qu'il se produira en production. Les tests de charge et de performances peuvent également être réalisés en production si vous veillez à ne pas affecter les utilisateurs réels et à baliser vos données de test afin qu'elles ne correspondent pas aux données utilisateur réelles et ne corrompent pas les statistiques d'utilisation ni les rapports de production.
Utilisez les tests pour vous assurer que vos ressources de base, vos paramètres de mise à l'échelle, vos quotas de service et votre conception de la résilience fonctionnent comme prévu sous charge.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Testez les exigences de mise à l'échelle et de performance. Effectuez un test de charge pour vérifier que la charge de travail répond aux exigences de mise à l'échelle et de performance.
+ [Test de charge distribuée sur AWS : simulation de milliers d'utilisateurs connectés](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
+ [Apache JMeter](https://github.com/apache/jmeter?ref=wellarchitected)
+ Déployez votre application dans un environnement identique à votre environnement de production et effectuez un test de charge.
+ Utilisez les concepts d'Infrastructure as Code pour créer un environnement aussi similaire que possible à votre environnement de production.
## Ressources
**Documents connexes :**
+ [Test de charge distribuée sur AWS : simulation de milliers d'utilisateurs connectés](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
+ [Apache JMeter](https://github.com/apache/jmeter?ref=wellarchitected)
# REL12-BP05 Tester la résilience à l'aide de l'ingénierie du chaos
Exécutez des expériences de chaos dans des environnements dont les conditions se rapprochent autant que possible de la production pour comprendre comment nos systèmes réagissent à des conditions défavorables.
** Résultat souhaité : **
La résilience de la charge de travail est régulièrement vérifiée en appliquant l'ingénierie du chaos sous la forme d'expériences d'injection de défaillances ou de charge inattendue, en plus des tests de résilience qui confirment le comportement attendu connu de votre charge de travail lors d'un événement. Associez l'ingénierie du chaos aux tests de résilience pour avoir l'assurance que votre charge de travail peut résister en cas de défaillance des composants et récupérer suite à des perturbations inattendues avec peu ou pas d'impact.
** Anti-modèles courants : **
+ Conception à des fins de résilience, mais pas de vérification du fonctionnement de la charge de travail dans son ensemble en cas de défaillances.
+ Pas d'expériences dans des conditions concrètes et pour la charge prévue.
+ Pas de traitement de vos expériences en tant que code ou de maintenance de vos expériences tout au long du cycle de développement.
+ Pas d'exécution d'expériences de chaos dans le cadre de votre pipeline CI/CD, ainsi qu'en dehors des déploiements.
+ Pas d'utilisation des analyses passées post-incident pour déterminer les défaillances à tester.
** Avantages liés au respect de cette bonne pratique :** L'injection de défaillances pour vérifier la résilience de votre charge de travail vous permet d'avoir l'assurance que les procédures de récupération de votre conception résiliente fonctionneront en cas de défaillances réelles.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
L'ingénierie du chaos offre la possibilité à vos équipes d'injecter en continu des perturbations concrètes (simulations) de manière contrôlée au niveau du fournisseur de services, de l'infrastructure, de la charge de travail et des composants, avec peu ou pas d'impact pour vos clients. Ainsi, vos équipes tirent les leçons de ces défaillances et observent, mesurent et améliorent la résilience de vos charges de travail, tout en confirmant que les alertes se déclenchent et que les équipes sont informées en cas d'événement.
Une pratique de l'ingénierie du chaos en continu peut mettre en évidence des défaillances dans vos charges de travail qui, si elles ne sont pas résolues, peuvent impacter de manière négative la disponibilité et le fonctionnement.
**Note**
L'ingénierie du chaos est la discipline d'expérimentation d'un système. Elle permet de s'assurer de la capacité du système à résister à des conditions de production difficiles. – [Principes de l'ingénierie du chaos](https://principlesofchaos.org/)
Si un système est capable de résister à ces perturbations, l'expérience de chaos doit être maintenue en tant que test de régression automatisé. De cette façon, les expériences de chaos doivent être réalisées dans le cadre de votre cycle de développement des systèmes et de votre pipeline CI/CD.
Pour veiller à ce que votre charge de travail résiste en cas de défaillance des composants, injectez des événements concrets dans le cadre de vos expériences. Par exemple, expérimentez une perte des instances Amazon EC2 ou un basculement de l'instance de base de données Amazon RDS principale, puis vérifiez que votre charge de travail n'est pas impactée (ou très peu). Utilisez plusieurs défaillances des composants pour simuler des événements capables de causer une perturbation dans une zone de disponibilité.
Pour les défaillances de niveau application (telles que les plantages), commencez par des tests de stress comme l'épuisement de la mémoire et du processeur.
Afin de valider les [solutions de secours ou les mécanismes de basculement](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems/) pour les dépendances externes dues aux pannes réseau intermittentes, vos composants doivent simuler un tel événement en bloquant l'accès aux fournisseurs tiers pendant une durée spécifiée pouvant aller de quelques secondes à plusieurs heures.
D'autres modes de dégradation peuvent entraîner des fonctionnalités limitées et ralentir les réponses, ce qui se traduit par une perturbation de vos services. Généralement, cette dégradation résulte d'une latence accrue sur les services critiques et d'une communication réseau peu fiable (perte de paquets). Les expériences avec ces défaillances, dont les effets de mise en réseau tels que la latence, les messages supprimés et les défaillances DNS, peuvent inclure l'incapacité de résoudre un nom, d'atteindre un service DNS ou de se connecter aux services dépendants.
**Outils de l'ingénierie du chaos :**
AWS Fault Injection Service (AWS FIS) est un service entièrement géré permettant l'exécution d'expériences d'injection de défaillances qui peuvent être utilisées dans le cadre de votre pipeline CD, ou en dehors du pipeline. AWS FIS s'impose donc comme un choix judicieux lors des tests de simulation de pannes. Il prend en charge de manière simultanée l'injection de défaillances sur différents types de ressources dont Amazon EC2, Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) et Amazon RDS. Ces défaillances incluent l'arrêt des ressources, les basculements forcés, le stress du processeur ou de la mémoire, la limitation, la latence et la perte de paquets. Comme il est intégré aux alarmes Amazon CloudWatch, vous pouvez définir des conditions d'arrêt comme barrières de protection pour annuler une expérience si elle provoque un impact inattendu.
![\[Schéma montrant qu'AWS Fault Injection Service s'intègre aux ressources AWS pour vous permettre d'exécuter des expériences d'injection de défaillances pour vos charges de travail.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/fault-injection-simulator.png)
Il existe également plusieurs options tierces pour les expériences d'injection de défaillances. Il existe notamment des outils open source tels que [Chaos Toolkit](https://chaostoolkit.org/), [Chaos Mesh](https://chaos-mesh.org/)et [Litmus Chaos](https://litmuschaos.io/), ainsi que des options commerciales comme Gremlin. Pour élargir le champ des défaillances pouvant être injectées sur AWS, AWS FIS [prend désormais en charge Chaos Mesh et Litmus Chaos](https://aws.amazon.com/about-aws/whats-new/2022/07/aws-fault-injection-simulator-supports-chaosmesh-litmus-experiments/), ce qui vous permet de coordonner les flux de travail d'injection des défaillances entre plusieurs outils. Par exemple, vous pouvez exécuter un test de stress sur un processeur de pod à l'aide des défaillances Chaos Mesh ou Litmus, tout en arrêtant un pourcentage de nœuds de cluster sélectionné de façon aléatoire grâce aux actions des défaillances AWS FIS.
## Étapes d'implémentation
+ Déterminer les défaillances à utiliser pour les expériences.
Évaluez la conception de votre charge de travail à des fins de résilience. De telles conceptions (créées à l'aide des bonnes pratiques de [Le cadre AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)) tiennent compte des risques en se basant sur des dépendances critiques, des événements passés, des erreurs connues et des exigences de conformité. Répertoriez chaque élément de la conception destiné à maintenir la résilience et les défaillances qu'il entend réduire. Pour plus d'informations sur la création de telles listes, consultez le [livre blanc Examens de disponibilité opérationnelle](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/wa-operational-readiness-reviews.html) qui vous guidera dans la création d'un processus capable de prévenir la répétition des incidents précédents. Le processus de Failure Modes and Effects Analysis (FMEA) ou d'analyse des modes de défaillance et de leurs effets vous propose un framework pour réaliser une analyse de niveau composant des défaillances et de leur impact sur votre charge de travail. Le processus FMEA est décrit plus en détail par Adrian Cockcroft dans l'article [Failure Modes and Continuous Resilience (modes de défaillance et résilience continue)](https://adrianco.medium.com/failure-modes-and-continuous-resilience-6553078caad5).
+ Attribuer une priorité à chaque défaillance.
Commencez par définir une classification grossière telle que élevée, moyenne et basse. Pour évaluer les priorités, tenez compte de la fréquence de la défaillance et de son impact sur la charge de travail dans son ensemble.
Lors de la prise en compte de la fréquence d'une défaillance donnée, analysez les données passées de cette charge de travail, le cas échéant. Si aucune donnée passée n'est disponible, utilisez les données des autres charges de travail s'exécutant dans un environnement semblable.
Lors de la prise en compte de l'impact d'une défaillance donnée, souvenez-vous qu'en général plus le champ de la défaillance est large, plus grand est l'impact. Tenez compte également de la conception de la charge de travail et de son objectif. Par exemple, la capacité à accéder aux magasins de données sources est essentielle pour une charge de travail effectuant des transformations et de l'analyse de données. Dans ce cas, vous donnerez la priorité aux expériences liées aux défaillances d'accès ainsi qu'aux accès limités et à l'insertion de la latence.
Les analyses post-incident constituent une excellente source de données pour comprendre à la fois la fréquence et l'impact des modes de défaillance.
Utilisez la priorité attribuée pour déterminer les défaillances à expérimenter en premier lieu, puis l'ordre dans lequel développer de nouvelles expériences d'injection de défaillances.
+ Suivre le volant d'inertie de l'ingénierie du chaos et de la résilience continue pour chaque expérience réalisée.
![\[Schéma du volant d'inertie de l'ingénierie du chaos et de la résilience continue montrant les phases Améliorer, État stable, Hypothèse, Exécuter de l'expérience et Vérifier.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/chaos-engineering-flywheel.png)
+ Définir l'état stable comme le résultat mesurable d'une charge de travail qui indique un comportement normal.
Votre charge de travail présente un état stable si elle fonctionne de manière fiable et comme prévu. Par conséquent, confirmez que charge de travail est saine avant de définir un état stable. L'état stable ne signifie pas forcément sans impact pour la charge de travail en cas de défaillance, car un certain pourcentage des défaillances n'excède pas des limites supportables. L'état stable constitue le repère que vous observerez pendant l'expérience, qui mettra en évidence des anomalies si votre hypothèse formulée dans l'étape suivante ne donne pas les résultats escomptés.
Par exemple, un état stable d'un système de paiements peut être défini comme le traitement de 300 TPS avec un taux de réussite de 99 % et un temps de transmission aller-retour de 500 ms.
+ Formuler une hypothèse sur la façon dont la charge de travail réagira à la défaillance.
Une bonne hypothèse repose sur la façon dont la charge de travail est destinée à réduire la défaillance pour maintenir l'état stable. L'hypothèse indique que vu qu'il s'agit d'une défaillance d'un type particulier, le système ou la charge de travail maintiendra un état stable, car la charge de travail a été conçue avec une atténuation des risques spécifique. Le type particulier de défaillance et d'atténuation des risques doit être spécifié dans l'hypothèse.
Le modèle suivant peut être utilisé pour l'hypothèse (mais une autre formulation est aussi acceptable) :
**Note**
Si *défaillance spécifique* se produit, la charge de travail *nom de la charge de travail* va *décrire les contrôles pour atténuer les risques* afin de limiter *impact métier ou technique*.
Par exemple :
+ Si 20 % des nœuds du node-group Amazon EKS sont supprimés, l'API Transaction Create API continue de répondre au 99e centile des demandes en moins de 100 ms (état stable). Les nœuds Amazon EKS seront opérationnels dans les cinq minutes, et les pods seront planifiés et traiteront le trafic huit minutes après le début de l'expérience. Les alertes se déclencheront sous trois minutes.
+ En cas de défaillance d'une seule instance Amazon EC2, la surveillance de l'état Elastic Load Balancing du système de commandes permet à Elastic Load Balancing d'envoyer uniquement des demandes aux instances saines restantes, tandis qu'Amazon EC2 Auto Scaling remplace l'instance en échec, tout en maintenant une augmentation des erreurs (5xx) côté serveur (état stable) inférieure à 0,01 %.
+ Si l'instance de base de données Amazon RDS principale échoue, la charge de travail de collecte des données Chaîne d'approvisionnement basculera et se connectera à l'instance de base de données Amazon RDS de secours pour maintenir les erreurs de lecture ou d'écriture de base de données (état stable) inférieures à 1 minute.
+ Exécuter l'expérience en injectant la défaillance.
Une expérience doit par défaut être sécurisée et tolérée par la charge de travail. Si vous savez que la charge de travail va échouer, n'exécutez pas l'expérience. L'ingénierie du chaos doit être utilisée pour rechercher les risques connus ou inconnus. *Les risques connus* sont les choses dont vous êtes conscient mais que vous ne comprenez pas bien, et les *risques inconnus* sont les choses dont vous n'êtes pas conscient ou que vous ne comprenez pas bien. Exécuter une expérience sur une charge de travail que vous savez défaillante ne vous apportera rien de plus. Votre expérience doit être soigneusement préparée, disposer d'un champ d'impact défini et fournir un mécanisme de protection pouvant être appliqué en cas de perturbations inattendues. Si votre vérification préalable indique que votre charge de travail doit résister à l'expérience, exécutez cette dernière. Il existe plusieurs moyens d'injecter les défaillances. Pour les charges de travail sur AWS, [AWS FIS](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html) propose de nombreuses simulations de défaillances prédéfinies appelées [des mesures](https://docs.aws.amazon.com/fis/latest/userguide/actions.html). Vous pouvez également définir des actions personnalisées qui s'exécutent dans AWS FIS à l'aide des [documents AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html).
Nous déconseillons l'utilisation de scripts personnalisés pour les expériences de chaos, sauf si ces derniers sont capables de comprendre l'état actuel de la charge de travail, d'émettre des journaux, de fournir des mécanismes de protection pour annuler une expérience et des conditions d'arrêt dans la mesure du possible.
Un framework ou des outils efficaces capables de prendre en charge l'ingénierie du chaos doivent suivre l'état actuel d'une expérience, émettre des journaux et fournir des mécanismes de protection pour prendre en charge l'exécution contrôlée d'une expérience. Commencez par un service établi comme AWS FIS qui vous permet d'exécuter des expériences avec un champ clairement défini et des mécanismes de sécurité capables de protéger l'expérience en cas de perturbations inattendues. Pour découvrir plusieurs expériences utilisant AWS FIS, consultez également l' [atelier Applications résilientes et Well-Architected avec l'ingénierie du chaos](https://catalog.us-east-1.prod.workshops.aws/workshops/44e29d0c-6c38-4ef3-8ff3-6d95a51ce5ac/en-US). Par ailleurs, [AWS Resilience Hub](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html) analysera votre charge de travail et créera des expériences que vous pourrez choisir d'implémenter et d'exécuter dans AWS FIS.
**Note**
Pour chaque expérience, vous devez bien comprendre le champ et son impact. Nous recommandons que les défaillances soient d'abord simulées sur un environnement hors production avant d'être exécutées en production.
Les expériences doivent s'exécuter en production sous une charge concrète à l'aide des [déploiements canary](https://medium.com/the-cloud-architect/chaos-engineering-q-a-how-to-safely-inject-failure-ced26e11b3db) qui mettent en place des déploiements de système de contrôles et d'expériences, sous réserve de faisabilité. L'exécution d'expériences pendant les heures creuses est une bonne pratique pour réduire l'impact potentiel de la première expérience en production. De plus, si l'utilisation du trafic client réel s'avère trop risquée, vous pouvez exécuter des expériences à l'aide du trafic synthétique sur l'infrastructure de production pour des déploiements de système de contrôles et d'expériences. Lorsqu'une exécution en production n'est pas possible, exécutez les expériences dans des environnements de pré-production aussi proches que possible de la production.
Vous devez définir des barrières de protection pour veiller à ce que l'expérience n'impacte pas le trafic de la production ou d'autres systèmes au-delà des limites acceptables. Définissez des conditions d'arrêt pour stopper une expérience si elle atteint le seuil d'une métrique de barrière protection défini par vos soins. Ces conditions doivent inclure les métriques de l'état stable de la charge de travail, ainsi que celles sur les composants dans lesquels vous injectez la défaillance. A [surveillance synthétique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) (également appelée un utilisateur canary) est une métrique que vous devez généralement inclure en tant que proxy utilisateur. [Les conditions d'arrêt pour AWS FIS](https://docs.aws.amazon.com/fis/latest/userguide/stop-conditions.html) sont prises en charge dans le cadre d'un modèle de test, autorisant jusqu'à cinq conditions d'arrêt par modèle.
L'un des principes de l'ingénierie du chaos est de minimiser le champ de l'expérience et son impact :
Bien qu'un impact négatif à court terme soit autorisé, l'ingénieur du chaos a la responsabilité et l'obligation de minimiser et de maîtriser les conséquences des expériences.
Pour vérifier le champ et l'impact potentiel, vous pouvez dans un premier temps exécuter l'expérience dans un environnement hors production, en vérifiant que les seuils des conditions d'arrêt s'activent comme prévu pendant l'expérience et que l'observabilité est en place pour détecter une exception, plutôt que d'exécuter l'expérience directement en production.
Lorsque vous exécutez des expériences d'injection de défaillances, vérifiez que toutes les parties responsables sont bien informées. Communiquez avec les équipes appropriées, telles que les équipes en charge des opérations, les équipes chargées de la fiabilité du service et le service client pour leur indiquer quand les expériences seront exécutées et à quoi ils doivent s'attendre. Donnez à ces équipes les outils de communication nécessaires pour informer les personnes en charge de l'exécution de l'expérience si elles constatent des effets négatifs.
Vous devez restaurer la charge de travail et ses systèmes sous-jacents dans leur état fonctionnel et connu d'origine. En général, la conception résiliente de la charge de travail lui permet de s'auto-réparer. Cependant, certaines conceptions défaillantes ou échecs d'expériences peuvent laisser votre charge de travail dans un état d'échec inattendu. À la fin de l'expérience, vous devez en être conscient et restaurer la charge de travail et les systèmes. Avec AWS FIS, vous pouvez définir une configuration de barrière de protection (également appelée post action) dans les paramètres d'action. Une post action restaure la cible dans l'état dans lequel elle se trouvait avant l'exécution de l'action. Qu'elles soient automatisées (comme lorsque vous utilisez AWS FIS) ou manuelles, ces post actions doivent faire partie d'un playbook décrivant la façon de détecter et de gérer les échecs.
+ Vérifier l'hypothèse.
[Principes de l'ingénierie du chaos](https://principlesofchaos.org/) donne des conseils sur la façon de vérifier l'état stable de votre charge de travail :
Concentrez-vous sur le résultat mesurable d'un système, plutôt que sur les attributs internes du système. Les mesures de ce résultat sur une courte période de temps constituent un proxy pour l'état stable du système. Le débit général du système, les taux d'erreur et les centiles de latence peuvent tous être des métriques d'intérêt représentant un comportement d'état stable. En se focalisant sur les modèles de comportement systémique pendant les expériences, l'ingénierie du chaos vérifie que le système fonctionne, au lieu d'essayer de confirmer qu'il fonctionne.
Dans nos deux exemples précédents, nous incluons la métrique de l'état stable inférieure à 0,01 % d'augmentation des erreurs (5xx) côté serveur et la métrique inférieure à 1 minute d'erreurs de lecture ou d'écriture de base de données.
Les erreurs 5xx constituent une bonne métrique, car elles sont une conséquence du mode de défaillance dont le client de la charge de travail fera l'expérience directement. La mesure des erreurs de base de données est correcte en tant que conséquence directe de la défaillance, mais doit être également complétée par une mesure d'impact, telle que les échecs de demandes client ou les erreurs remontées. Par ailleurs, incluez une surveillance synthétique (également appelée utilisateur canary) sur n'importe quelle API ou URI directement accessible par le client de votre charge de travail.
+ Améliorer la conception de la charge de travail à des fins de résilience.
Si l'état stable n'a pas été maintenu, enquêtez sur les moyens d'améliorer la conception de la charge de travail afin de réduire la défaillance, tout en appliquant les bonnes pratiques du [pilier Fiabilité du cadre AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html). Des conseils et ressources supplémentaires sont disponibles dans la [bibliothèque des créateurs AWS](https://aws.amazon.com/builders-library/), qui héberge des articles sur la façon d' [améliorer vos surveillances de l'état](https://aws.amazon.com/builders-library/implementing-health-checks/) ou [utiliser de nouvelles tentatives avec interruption dans votre code d'application](https://aws.amazon.com/builders-library/timeouts-retries-and-backoff-with-jitter/), entre autres.
Une fois ces changements implémentés, exécutez de nouveau l'expérience (illustrée par la ligne pointillée dans le volant d'inertie de l'ingénierie du chaos) pour déterminer son efficacité. Si l'étape de vérification indique que l'hypothèse est vraie, alors la charge de travail sera en état stable et le cycle continuera.
+ Exécuter régulièrement des expériences.
Une expérience de chaos est un cycle, et les expériences doivent être exécutées régulièrement dans le cadre de l'ingénierie du chaos. Lorsqu'une charge de travail correspond à l'hypothèse d'une expérience, cette dernière doit être automatisée pour s'exécuter en continu en tant que test de régression de votre pipeline CI/CD. Pour savoir comment faire, consultez ce blog sur [l'exécution d'expériences AWS FIS en utilisant AWS CodePipeline](https://aws.amazon.com/blogs/architecture/chaos-testing-with-aws-fault-injection-simulator-and-aws-codepipeline/). Cet atelier sur les expériences [AWS FIS récurrentes dans un pipeline CI/CD](https://chaos-engineering.workshop.aws/en/030_basic_content/080_cicd.html) vous permet de mettre la main à la pâte.
Les expériences d'injection de défaillance font également partie des tests de simulation de pannes (consultez [REL12-BP06 Organiser régulièrement des tests de simulation de panne](rel_testing_resiliency_game_days_resiliency.md)). Les tests de simulation de pannes simulent une défaillance ou un événement pour vérifier les systèmes, les processus et la réponse de l'équipe. L'objectif est d'effectuer les actions que l'équipe effectuerait si un événement exceptionnel se produisait.
+ Enregistrer et stocker les résultats des expériences.
Les résultats des expériences d'injection de défaillance doivent être enregistrés et conservés. Incluez toutes les données nécessaires (telles que l'heure, la charge de travail et les conditions) afin de pouvoir analyser ultérieurement les résultats de l'expérience et les tendances. Les exemples de résultats peuvent inclure des captures d'écran des tableaux de bord, des fichiers CSV de la base de données de votre/vos métriques ou un registre manuscrit des événements et observations pendant l'expérience. [La journalisation des expériences avec AWS FIS](https://docs.aws.amazon.com/fis/latest/userguide/monitoring-logging.html) peut faire partie de la collecte des données.
## Ressources
**Bonnes pratiques associées :**
+ [REL08-BP03 Intégrer les tests de résilience dans le cadre de votre déploiement](rel_tracking_change_management_resiliency_testing.md)
+ [REL13-BP03 Effectuer un test de validation de la mise en œuvre de la reprise après sinistre](rel_planning_for_recovery_dr_tested.md)
**Documents connexes :**
+ [Qu'est-ce qu'AWS Fault Injection Service ?](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html)
+ [Qu'est-ce qu'AWS Resilience Hub ?](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html)
+ [Principes de l'ingénierie du chaos](https://principlesofchaos.org/)
+ [Ingénierie du chaos : préparation de votre première expérience](https://medium.com/the-cloud-architect/chaos-engineering-part-2-b9c78a9f3dde)
+ [Ingénierie de résilience : apprendre à intégrer les pannes](https://queue.acm.org/detail.cfm?id=2371297)
+ [Témoignages d'utilisation de l'ingénierie du chaos](https://github.com/ldomb/ChaosEngineeringPublicStories)
+ [Éviter les solutions de secours dans les systèmes distribués](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems/)
+ [Déploiement canary pour des expériences de chaos](https://medium.com/the-cloud-architect/chaos-engineering-q-a-how-to-safely-inject-failure-ced26e11b3db)
**Vidéos connexes :**
+ [AWS re:Invent 2020: Testing resiliency using chaos engineering (ARC316)](https://www.youtube.com/watch?v=OlobVYPkxgg)
+ [AWS re:Invent 2019: Improving resiliency with chaos engineering (DOP309-R1)](https://youtu.be/ztiPjey2rfY)
+ [AWS re:Invent 2019: Performing chaos engineering in a serverless world (CMY301)](https://www.youtube.com/watch?v=vbyjpMeYitA)
**Exemples connexes :**
+ [Atelier Well-Architected : niveau 300 : test de la résilience d'Amazon EC2, Amazon RDS et Amazon S3](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
+ [Atelier L'ingénierie du chaos dans AWS](https://chaos-engineering.workshop.aws/en/)
+ [atelier Applications résilientes et Well-Architected avec l'ingénierie du chaos](https://catalog.us-east-1.prod.workshops.aws/workshops/44e29d0c-6c38-4ef3-8ff3-6d95a51ce5ac/en-US)
+ [Atelier Chaos sans serveur](https://catalog.us-east-1.prod.workshops.aws/workshops/3015a19d-0e07-4493-9781-6c02a7626c65/en-US/serverless)
+ [Atelier Mesurer et améliorer la résilience de votre application avec AWS Resilience Hub](https://catalog.us-east-1.prod.workshops.aws/workshops/2a54eaaf-51ee-4373-a3da-2bf4e8bb6dd3/en-US/200-labs/1wordpressapplab)
** Outils associés : **
+ [AWS Fault Injection Service](https://aws.amazon.com/fis/)
+ AWS Marketplace : [Gremlin Chaos Engineering Platform](https://aws.amazon.com/marketplace/pp/prodview-tosyg6v5cyney)
+ [Chaos Toolkit](https://chaostoolkit.org/)
+ [Chaos Mesh](https://chaos-mesh.org/)
+ [Litmus](https://litmuschaos.io/)
# REL12-BP06 Organiser régulièrement des tests de simulation de panne
Utilisez des tests de simulation de panne pour exercer régulièrement vos procédures de réponse aux événements et aux défaillances aussi près que possible de la production (y compris dans les environnements de production) avec les personnes qui seront impliquées dans les scénarios de défaillance réels. Les tests de simulation de panne appliquent des mesures pour s'assurer que les événements de production n'affectent pas les utilisateurs.
Ils simulent une défaillance ou un événement pour tester les systèmes, les processus et la réponse de l'équipe. L'objectif est d'effectuer les actions que l'équipe effectuerait si un événement exceptionnel se produisait. Cela vous aidera à comprendre où apporter des améliorations et à développer une expérience de gestion des événements au sein de votre organisation. Des tests de simulation de panne doivent être effectués régulièrement afin que votre équipe se forge une *« mémoire musculaire »* quant à la façon de réagir.
Une fois votre conception de résilience en place et testée dans des environnements non liés à la production, un test de simulation de panne permet de s'assurer que tout fonctionne comme prévu en production. Un test de simulation de pannes, particulièrement le premier, est une activité « exploitant toutes les ressources ». L’intégralité des ingénieurs et des opérations est informée de ce qui se passera et quand. Les playbooks sont en place. Des événements simulés sont exécutés, y compris des événements de défaillance possibles, dans les systèmes de production de la manière prescrite, et l'impact est évalué. Si tous les systèmes fonctionnent comme prévu, la détection et l'auto-réparation se produiront avec peu, voire aucun impact. En revanche, si un impact négatif est observé, le test est annulé et les problèmes de charge de travail sont résolus, manuellement au besoin (à l'aide du runbook). Étant donné que les tests de simulation de pannes se déroulent souvent en production, toutes les précautions doivent être prises pour s'assurer de l'absence d’impact sur la disponibilité pour vos clients.
**Anti-modèles courants :**
+ Documenter vos procédures sans jamais les exercer.
+ Non-inclusion des décideurs commerciaux dans les exercices de test.
**Avantages liés au respect de cette bonne pratique :** L'organisation régulière de tests de simulation de panne a un double avantage. D'une part, elle permet de s'assurer que tout le personnel suit les stratégies et les procédures lorsqu'un incident réel se produit. D'autre part, elle facilite la validation de l'adéquation de ces stratégies et procédures.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Planifiez des tests de simulation de panne pour tester régulièrement vos runbooks et vos playbooks. Les tests de simulation de panne doivent impliquer tous ceux qui seraient affectés par une interruption de production : le propriétaire de l'entreprise, les développeurs, le personnel d'exploitation et les équipes d'interventions.
+ Effectuez vos tests de charge ou de performances et mettez en œuvre l'injection de défaillances.
+ Recherchez des anomalies dans vos runbooks et des possibilités de test de vos playbooks.
+ Si vous vous écartez de vos runbooks, affinez-les ou corrigez le comportement. Lors des tests de votre playbook,, identifiez les runbooks qui auraient dû être utilisés ou créez-en de nouveaux.
## Ressources
**Documents connexes :**
+ [Qu'est-ce qu'AWS GameDay ?](https://aws.amazon.com/gameday/)
**Vidéos connexes :**
+ [AWS re:Invent 2019: Improving resiliency with chaos engineering (DOP309-R1)](https://youtu.be/ztiPjey2rfY)
**Exemples connexes :**
+ [AWS Well-Architected Labs - Testing Resiliency](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
# REL 13 Comment planifier la reprise après sinistre (DR) ?
La mise en place de sauvegardes et de composants de charge de travail redondants constitue le début de votre stratégie de DR. [L'objectif de délai de reprise (RTO) et l'objectif de point de reprise (RPO) sont vos objectifs](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html) pour la restauration de votre charge de travail. Définissez-les en fonction des besoins de l'entreprise. Mettez en œuvre une stratégie pour atteindre ces objectifs, en particulier en tenant compte de l'emplacement et de la fonction des données et des ressources de charge de travail. La probabilité d'une perturbation et le coût de la reprise sont également des facteurs clés qui permettent de déterminer la valeur opérationnelle de la reprise après sinistre d'une charge de travail.
**Topics**
+ [REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](rel_planning_for_recovery_objective_defined_recovery.md)
+ [REL13-BP02 Utiliser des stratégies de reprise définies pour répondre aux objectifs de reprise](rel_planning_for_recovery_disaster_recovery.md)
+ [REL13-BP03 Effectuer un test de validation de la mise en œuvre de la reprise après sinistre](rel_planning_for_recovery_dr_tested.md)
+ [REL13-BP04 Gérer l'écart de configuration au niveau du site ou de la région de reprise après sinistre](rel_planning_for_recovery_config_drift.md)
+ [REL13-BP05 Automatiser la reprise](rel_planning_for_recovery_auto_recovery.md)
# REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données
La charge de travail est associée à un objectif de délai de reprise (RTO) et à un objectif de point de reprise (RPO).
*La durée maximale d'interruption admissible (RTO)* correspond au délai maximum acceptable entre l'interruption du service et la restauration du service. Elle détermine ce qui est considéré comme étant un créneau de temps acceptable d'indisponibilité du service.
*L'objectif de point de reprise (RPO)* correspond au temps maximal acceptable depuis le dernier point de reprise des données. Il détermine ce qui est considéré comme étant une perte de données acceptable entre le dernier point de reprise et l'interruption du service.
Les valeurs RTO et RPO sont des considérations importantes lors de la sélection d'une stratégie de reprise après sinistre adaptée à votre charge de travail. Ces objectifs sont déterminés par l'entreprise, puis utilisés par les équipes techniques pour sélectionner et mettre en œuvre une stratégie de reprise après sinistre.
**Résultat souhaité :**
Un RTO et un RPO, définis en fonction de l'impact sur l'entreprise, sont attribués à chaque charge de travail. Un niveau prédéfini, définissant la disponibilité du service et une perte de données acceptable, avec un RTO et un RPO associés est assigné à la charge de travail. Si cette hiérarchisation n'est pas possible, elle peut être attribuée sur mesure pour chaque charge de travail, dans l'intention de créer des niveaux ultérieurement. Le RTO et le RPO font partie des principaux éléments pris en compte pour la sélection de la mise en œuvre d'une stratégie de reprise après sinistre pour la charge de travail. D'autres considérations dans le choix d'une stratégie de reprise après sinistre sont les contraintes de coût, les dépendances de la charge de travail et les exigences opérationnelles.
Pour le RTO, identifiez l'impact en fonction de la durée d'une panne. Est-il linéaire ou non (par exemple, après quatre heures, vous arrêtez une ligne de fabrication jusqu'au début du prochain quart de travail) ?
Une matrice de reprise après sinistre, comme la suivante, peut vous aider à comprendre dans quelle mesure l'ordre d'importance de la charge de travail est lié aux objectifs de reprise. Notez que les valeurs réelles des axes X et Y doivent être personnalisées en fonction des besoins de votre organisation.
![\[Graphique illustrant la matrice de reprise après sinistre\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/disaster-recovery-matrix.png)
**Anti-modèles courants :**
+ Aucun objectif de reprise défini.
+ Sélection d'objectifs arbitraires de reprise.
+ Sélection d'objectifs de reprise trop lents et qui ne répondent pas aux objectifs de l'entreprise.
+ Ne pas comprendre l'impact des temps d'arrêt et de la perte de données.
+ Sélection d'objectifs de reprise irréalistes, tels que zéro temps de reprise et zéro perte de données, qui peuvent ne pas être réalisables pour la configuration de votre charge de travail.
+ Sélection d'objectifs de reprise plus rigoureux que les objectifs commerciaux réels. Cela impose des implémentations de reprise après sinistre qui sont plus coûteuses et plus compliquées que ce dont a besoin la charge de travail.
+ Sélection d'objectifs de reprise incompatibles avec ceux d'une charge de travail dépendante.
+ Vos objectifs de reprise ne tiennent pas compte des exigences de conformité réglementaire.
+ Définition de RTO et RPO jamais testés pour une charge de travail.
**Avantages liés au respect de cette bonne pratique :** Vos objectifs de reprise en cas de perte de temps et de données sont nécessaires pour guider votre implémentation de DR.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Pour la charge de travail donnée, vous devez comprendre l'impact des temps d'arrêt et de la perte de données sur votre entreprise. L'impact augmente généralement avec les temps d'arrêt ou les pertes de données plus importants, mais son ampleur peut varier en fonction du type de charge de travail. Par exemple, vous pouvez tolérer des temps d'arrêt pouvant atteindre une heure avec peu d'impact, mais au-delà de ce délai, l'impact augmente rapidement. L'impact sur l'entreprise se manifeste sous de nombreuses formes, notamment le coût (tel que la perte de revenus), la confiance des clients (et l'impact sur la réputation), les problèmes opérationnels (tels que l'absence d'employés ou la baisse de productivité) et le risque réglementaire. Utilisez les étapes suivantes pour comprendre ces impacts et définir le RTO et le RPO pour votre charge de travail.
**Étapes d'implémentation**
1. Identifiez les parties prenantes spécifiques à cette charge de travail et collaborez avec elles pour mettre en œuvre ces étapes. Les objectifs de reprise d'une charge de travail relèvent d'une décision de l'entreprise. Les équipes techniques travaillent ensuite avec les parties prenantes de l'entreprise pour utiliser ces objectifs afin de sélectionner une stratégie de reprise après sinistre.
**Note**
Pour les étapes 2 et 3, vous pouvez utiliser [Fiche d'implémentation](#implementation-worksheet).
1. Répondez aux questions ci-dessous pour rassembler les informations nécessaires pour prendre une décision.
1. Utilisez-vous des catégories ou des niveaux de criticité pour déterminer l'impact de la charge de travail dans votre organisation ?
1. Si oui, affectez cette charge de travail à une catégorie.
1. Dans le cas contraire, définissez ces catégories. Créez cinq catégories ou moins et affinez la plage de vos objectifs de délai et de point de reprise. Exemples de catégories : critique, élevé, moyen, faible. Pour comprendre comment les charges de travail correspondent aux catégories, déterminez si la charge de travail est stratégique, importante pour l'entreprise ou non commerciale.
1. Définissez le RTO et le RPO de la charge de travail en fonction de sa catégorie. Choisissez toujours une catégorie plus stricte (RTO et RPO inférieurs) que les valeurs brutes calculées au début de cette étape. Si cela entraîne une variation de valeur trop importante, envisagez de créer une autre catégorie.
1. En fonction de ces réponses, attribuez des valeurs de RTO et RPO à la charge de travail. Cela peut se faire directement ou en affectant la charge de travail à un niveau de service prédéfini.
1. Documentez le plan de reprise après sinistre (DRP) pour cette charge de travail, qui fait partie du [plan de continuité d'activité (BCP)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/business-continuity-plan-bcp.html), à un emplacement accessible à l'équipe responsable de la charge de travail et aux parties prenantes.
1. Enregistrez le RTO et le RPO, ainsi que les informations utilisées pour déterminer ces valeurs. Spécifiez la stratégie utilisée pour évaluer l'impact de la charge de travail sur l'entreprise.
1. Enregistrez d'autres métriques que le RTO et le RPO que vous suivez ou prévoyez de suivre pour les objectifs de reprise après sinistre.
1. Vous ajouterez les détails de votre stratégie de reprise après sinistre et de votre runbook à ce plan lorsque vous les créerez.
1. En recherchant la criticité de la charge de travail dans une matrice telle que celle de la figure 15, vous pouvez commencer à établir des niveaux de service prédéfinis pour votre organisation.
1. Après avoir mis en œuvre une stratégie de reprise après sinistre (ou une preuve de concept pour une stratégie de reprise après sinistre) conformément à [REL13-BP02 Utiliser des stratégies de reprise définies pour répondre aux objectifs de reprise](rel_planning_for_recovery_disaster_recovery.md), testez cette stratégie pour déterminer les valeurs RTC (temps de reprise possible) et RPC (point de reprise possible) réelles de la charge de travail. Si ceux-ci n'atteignent pas les objectifs de reprise cibles, vous pouvez soit collaborer avec les parties prenantes de votre entreprise pour les ajuster, soit apporter des modifications à la stratégie de reprise après sinistre, le cas échéant, pour atteindre ces objectifs.
**Questions principales**
1. Quelle est la durée maximale pendant laquelle la charge de travail peut être interrompue avant qu'un impact grave n'affecte l'entreprise ?
1. Déterminez le coût (impact financier direct) pour l'entreprise par minute où la charge de travail est interrompue.
1. Considérez que l'impact n'est pas toujours linéaire. L'impact peut être limité au début, puis augmenter rapidement au-delà d'un point critique dans le temps.
1. Quelle est la quantité maximale de données pouvant être perdues avant qu'un impact grave n'affecte l'entreprise ?
1. Déterminez cette valeur en fonction de votre magasin de données le plus critique. Identifiez la criticité respective pour les autres magasins de données.
1. Les données de la charge de travail peuvent-elles être recréées en cas de perte ? Si cette approche est plus facile sur le plan opérationnel que la sauvegarde et la restauration, choisissez le RPO en fonction de la criticité des données sources utilisées pour recréer les données de la charge de travail.
1. Quels sont les objectifs de reprise et les attentes de disponibilité des charges de travail dont celle-ci dépend (en aval) ou des charges de travail qui dépendent de celle-ci (en amont) ?
1. Choisissez des objectifs de reprise qui permettent à cette charge de travail de répondre aux exigences des dépendances en amont.
1. Choisissez des objectifs de reprise réalisables compte tenu des capacités de reprise des dépendances en aval. Les dépendances en aval non critiques (celles que vous pouvez « contourner ») peuvent être exclues. Ou, si nécessaire, traitez les dépendances critiques en aval pour améliorer leurs capacités de reprise.
**Questions supplémentaires**
Envisagez ces questions et dans quelle mesure elles s'appliquent à cette charge de travail :
1. Avez-vous des RTO et des RPO différents selon le type de panne (région ou AZ, etc.) ?
1. Existe-t-il un moment précis (saisonnalité, événements commerciaux, lancements de produits) où votre RTO/RPO peut changer ? Si oui, en quoi diffèrent-ils et quelle est leur limite de temps ?
1. Combien de clients seront touchés si la charge de travail est interrompue ?
1. Quel sera l'impact sur la réputation si la charge de travail est interrompue ?
1. Quels autres impacts opérationnels peuvent entrer en jeu si la charge de travail est interrompue ? Par exemple, la productivité des employés sera affectée si les systèmes de messagerie ne sont pas disponibles ou si les systèmes de paie ne sont pas en mesure de soumettre des transactions.
1. Comment le RTO et le RPO de la charge de travail s'alignent-ils sur la stratégie de reprise après sinistre de la succursale et de l'organisation ?
1. Existe-t-il des obligations contractuelles internes régissant la prestation d'un service ? Des sanctions sont-elles appliquées en cas de non-respect ?
1. Quelles sont les contraintes réglementaires ou de conformité liées aux données ?
## Fiche d'implémentation
Vous pouvez utiliser cette feuille de calcul pour les étapes d'implémentation 2 et 3. Vous pouvez l'ajuster en fonction de vos besoins spécifiques, par exemple en ajoutant des questions supplémentaires.
![\[Fiche\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/worksheet.png)
**Niveau d'effort du plan d'implémentation : **Faible
## Ressources
**Bonnes pratiques associées :**
+ [REL09-BP04 Effectuer une récupération périodique des données pour vérifier l'intégrité et les processus de sauvegarde](rel_backing_up_data_periodic_recovery_testing_data.md)
+ [REL13-BP02 Utiliser des stratégies de reprise définies pour répondre aux objectifs de reprise](rel_planning_for_recovery_disaster_recovery.md)
+ [REL13-BP03 Effectuer un test de validation de la mise en œuvre de la reprise après sinistre](rel_planning_for_recovery_dr_tested.md)
**Documents connexes :**
+ [Blog d'architecture AWS : série sur la reprise après sinistre](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [Reprise après sinistre des charges de travail sur AWS : reprise dans le cloud (livre blanc AWS)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [Gestion des politiques de résilience avec AWS Resilience Hub](https://docs.aws.amazon.com/resilience-hub/latest/userguide/resiliency-policies.html)
+ [Partenaire APN : partenaires pouvant faciliter la reprise après sinistre](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS Marketplace : produits pouvant être utilisés pour la reprise après sinistre](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [Disaster Recovery of Workloads on AWS](https://www.youtube.com/watch?v=cJZw5mrxryA)
# REL13-BP02 Utiliser des stratégies de reprise définies pour répondre aux objectifs de reprise
Définissez une stratégie de reprise après sinistre qui répond aux objectifs de reprise de votre charge de travail. Choisissez une stratégie telle que : sauvegarde et restauration, mode secours (actif/passif) ou actif/actif.
**Résultat souhaité :** pour chaque charge de travail, il existe une stratégie de reprise après sinistre définie et implémentée qui permet à cette charge de travail d'atteindre les objectifs de reprise. Les stratégies de reprise après sinistre entre les charges de travail utilisent des modèles réutilisables (comme les stratégies décrites précédemment).
**Anti-modèles courants :**
+ Mettre en œuvre des procédures de récupération incohérentes pour les charges de travail avec des objectifs de reprise après sinistre similaires.
+ Conserver l'implémentation ad hoc de la stratégie de reprise après sinistre lorsqu'un sinistre se produit.
+ Ne pas avoir de plan de reprise après sinistre.
+ Être dépendant des opérations du plan de contrôle pendant la récupération.
**Avantages liés au respect de cette bonne pratique :**
+ L'utilisation de stratégies de reprise définies vous permet d'utiliser des outils et des procédures de test courantes.
+ L'utilisation de stratégies de reprise définies améliore le partage des connaissances entre les équipes et la mise en œuvre de la reprise après sinistre sur les charges de travail qu'elles possèdent.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé. Sans une stratégie de reprise après sinistre planifiée, mise en œuvre et testée, il est peu probable que vous atteigniez vos objectifs de reprise en cas de sinistre.
## Directives d'implémentation
Une stratégie de reprise après sinistre repose sur la capacité à rétablir votre charge de travail sur un site de reprise si votre emplacement principal ne parvient plus à exécuter cette charge de travail. Les objectifs de récupération les plus courants sont le RTO et le RPO, comme indiqué dans [REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](rel_planning_for_recovery_objective_defined_recovery.md).
Une stratégie de reprise après sinistre sur plusieurs zones de disponibilité (AZ) au sein d'une seule Région AWS peut vous prémunir contre les événements catastrophiques tels que les incendies, les inondations et les pannes de courant majeures. S'il est nécessaire de mettre en œuvre une protection contre un événement improbable qui empêcherait votre charge de travail de s'exécuter dans une Région AWS donnée, optez pour une stratégie de reprise après sinistre qui utilise plusieurs régions.
Lors de la conception d'une stratégie de reprise après sinistre dans plusieurs régions, vous devez choisir l'une des approches suivantes. Elles sont répertoriées par ordre croissant de coûts et de complexité et par ordre décroissant de RTO et RPO. La *région de reprise* fait référence à une Région AWS autre que la région principale utilisée pour votre charge de travail.
![\[Diagramme illustrant les stratégies de reprise après sinistre\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/disaster-recovery-strategies.png)
+ **Sauvegarde et restauration** (RPO en heures, RTO de 24 heures maximum) : sauvegardez vos données et applications dans la région de reprise après sinistre. L'utilisation de sauvegardes automatisées ou continues permet une récupération ponctuelle, ce qui peut réduire le RPO à seulement 5 minutes dans certains cas. En cas de sinistre, vous déployez votre infrastructure (en utilisant l'infrastructure en tant que code pour réduire le RTO), déployez votre code et restaurez les données sauvegardées pour vous remettre d'un sinistre dans la région de reprise.
+ **Environnement en veille** (RPO de quelques minutes, RTO de dizaines de minutes) : allouez une copie de votre infrastructure de charge de travail principale dans la région de reprise. Répliquez vos données dans la région de reprise et créez-y des sauvegardes. Les ressources requises pour prendre en charge la réplication et la sauvegarde des données, telles que les bases de données et le stockage d'objets, sont toujours actives. D'autres éléments tels que les serveurs d'applications ou le calcul sans serveur ne sont pas déployés, mais peuvent être créés si nécessaire avec la configuration et le code d'application requis.
+ **Secours à chaud** (RPO de quelques secondes, RTO de quelques minutes) : maintenez une version réduite d'une charge de travail entièrement fonctionnelle qui s'exécute toujours dans la région de reprise. Les systèmes stratégiques sont entièrement dupliqués et sont toujours opérationnels, mais avec une flotte réduite. Les données sont répliquées dans la région de reprise et y sont hébergées. Lorsque vient le moment de la reprise, le système est rapidement mis à l'échelle pour gérer la charge de production. Plus l'échelle du secours à chaud est élevée, plus la dépendance au RTO et au plan de contrôle est faible. Lorsqu'elle est complètement graduée, on parle de *zone hébergée*.
+ **Multi-région (multi-site) actif-actif** (RPO proche de zéro, RTO potentiellement nul) : votre charge de travail est déployée et dessert activement le trafic à partir de plusieurs Régions AWS. Cette stratégie vous oblige à synchroniser les données entre les régions. Il est important d'éviter ou de gérer les éventuels conflits causés par des écritures sur le même enregistrement dans deux réplicas régionaux différents, ce qui peut être complexe. La réplication des données est utile pour la synchronisation des données et vous protège contre certains types de sinistres. Toutefois, elle ne vous protège pas contre la corruption ou la destruction des données à moins que votre solution n'inclue également des options de récupération ponctuelle.
**Note**
La différence entre l'environnement en veille et le secours à chaud est parfois difficile à cerner. Ces deux stratégies incluent un environnement dans votre région de reprise avec des copies des ressources de votre région principale. L'environnement en veille diffère en ce qu'il ne peut pas traiter les demandes sans qu'une action supplémentaire soit entreprise au préalable, tandis que le secours à chaud peut gérer le trafic (à des niveaux de capacité réduits) immédiatement. L'environnement en veille vous oblige à allumer des serveurs, à déployer éventuellement une infrastructure supplémentaire (non essentielle) et à augmenter l'échelle, tandis que le secours à chaud nécessite uniquement une augmentation de l'échelle (tout est déjà déployé et en cours d'exécution). Choisissez entre ces options en fonction de vos besoins en termes de RTO et de RPO.
Si le coût est un problème et que vous souhaitez atteindre des objectifs de RPO et RTO similaires à ceux définis dans la stratégie de secours à chaud, vous pouvez envisager des solutions natives du cloud, comme Reprise après sinistre AWS Elastic, qui adoptent l'approche de l'environnement de veille et offrent des objectifs de RPO et RTO améliorés.
**Étapes d'implémentation**
1. **Déterminez une stratégie de reprise après sinistre qui répond aux exigences de récupération pour cette charge de travail.**
Le choix d'une stratégie de reprise après sinistre vise à trouver un juste milieu entre la réduction des temps d'arrêt et de la perte de données (RTO et RPO) et le coût et la complexité liées à la mise en œuvre de cette stratégie. Évitez de mettre en œuvre une stratégie plus stricte que nécessaire, car cela entraînerait des coûts inutiles.
Par exemple, dans le diagramme suivant, l'entreprise a déterminé son RTO maximal autorisé ainsi que la limite de dépenses possible pour sa stratégie de restauration de service. Compte tenu des objectifs de l'entreprise, les stratégies environnement en veille et secours à chaud satisfont à la fois aux critères de RTO et de coût.
![\[Graphique illustrant le choix d'une stratégie de reprise après sinistre basée sur le RTO et le coût\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/choosing-a-dr-strategy.png)
Pour en savoir plus, consultez [Business Continuity Plan (BCP)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/business-continuity-plan-bcp.html) [Plan de continuité d'activité (PCA)].
1. **Passez en revue les modèles de mise en œuvre de la stratégie de reprise après sinistre sélectionnée.**
Cette étape consiste à comprendre comment mettre en œuvre la stratégie sélectionnée. Les stratégies reposent sur l'utilisation de Régions AWS comme site principal et site de reprise. Cependant, vous pouvez également choisir d'utiliser des zones de disponibilité dans une seule région comme stratégie de reprise après sinistre, ce qui permet d'exploiter des éléments de plusieurs de ces stratégies.
Dans les étapes suivantes, vous pouvez appliquer la stratégie à votre charge de travail spécifique.
**Sauvegarde et restauration**
La *sauvegarde et restauration* est la stratégie la moins complexe à mettre en œuvre, mais nécessite plus de temps et d'efforts pour la restauration de la charge de travail, ce qui entraîne un RTO et un RPO plus élevés. Il est conseillé de toujours faire des sauvegardes de vos données et de les copier sur un autre site (comme une autre Région AWS).
![\[Diagramme illustrant une architecture de sauvegarde et de restauration\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/backup-restore-architecture.png)
Pour obtenir plus de détails sur cette stratégie, consultez [Disaster Recovery (DR) Architecture on AWS, Part II: Backup and Restore with Rapid Recovery](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-ii-backup-and-restore-with-rapid-recovery/) [Architecture de reprise après sinistre (DR) sur AWS, partie II : sauvegarde et restauration avec récupération rapide].
**Environnement en veille**
Avec l'approche de l'*environnement en veille*, vous répliquez vos données depuis la région principale vers la région de reprise. Les ressources principales utilisées pour l'infrastructure de charge de travail sont déployées dans la région de reprise, mais des ressources supplémentaires et toutes les dépendances sont toujours nécessaires pour en faire une pile fonctionnelle. Par exemple, dans la figure 20, aucune instance de calcul n'est déployée.
![\[Diagramme illustrant une architecture avec environnement en veille\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/pilot-light-architecture.png)
Pour obtenir plus de détails sur cette stratégie, consultez [Disaster Recovery (DR) Architecture on AWS, Part III: Pilot Light and Warm Standby](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/) [Architecture de reprise après sinistre (DR) sur AWS, partie III : environnement de veille et secours à chaud].
**Secours à chaud**
Le *secours à chaud* consiste à s'assurer qu'il existe une copie réduite, mais entièrement fonctionnelle, de votre environnement de production dans une autre région. Cette approche étend le concept d'environnement en veille et réduit le temps de récupération, car votre charge de travail reste active dans une autre région. Si la région de reprise est déployée à pleine capacité, on parle de *zone hébergée*.
![\[Schéma illustrant la figure 21 : Architecture de secours à chaud\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/warm-standby-architecture.png)
L'utilisation du secours à chaud ou de l'environnement en veille nécessite une augmentation des ressources dans la région de reprise. Pour vérifier que la capacité est disponible en cas de besoin, envisagez l'utilisation des [réserves de capacité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html) pour les instances EC2. Si vous utilisez AWS Lambda, alors la [simultanéité allouée](https://docs.aws.amazon.com/lambda/latest/dg/provisioned-concurrency.html) peut provisionner des environnements d'exécution afin qu'ils soient prêts à répondre immédiatement aux appels de votre fonction.
Pour obtenir plus de détails sur cette stratégie, consultez [Disaster Recovery (DR) Architecture on AWS, Part III: Pilot Light and Warm Standby](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/) [Architecture de reprise après sinistre (DR) sur AWS, partie III : environnement de veille et secours à chaud].
**Multisite actif/actif**
Vous pouvez exécuter votre charge de travail simultanément dans plusieurs régions dans le cadre d'une stratégie *multisite actif/actif*. Une stratégie multisite actif/actif dessert le trafic de toutes les régions dans lesquelles il est déployé. Les clients peuvent sélectionner cette stratégie pour des raisons autres que la reprise après sinistre. Elle peut être utilisée pour augmenter la disponibilité ou lors du déploiement d'une charge de travail auprès d'une audience mondiale (pour rapprocher le point de terminaison des utilisateurs et/ou déployer des piles localisées pour l'audience de cette région). En tant que stratégie de reprise après sinistre, si la charge de travail ne peut pas être prise en charge dans l'une des Régions AWS vers lesquelles elle est déployée, cette région est évacuée, et les régions restantes sont utilisées pour assurer la disponibilité. La stratégie de reprise après sinistre multisite actif/actif est la plus complexe sur le plan opérationnel et ne doit être sélectionnée que lorsque les besoins de l'entreprise l'exigent.
![\[Diagramme illustrant une architecture multisite de type actif/actif\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/multi-site-active-active-architecture.png)
Pour obtenir plus de détails sur cette stratégie, consultez [Disaster Recovery (DR) Architecture on AWS, Part IV: Multi-site Active/Active](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iv-multi-site-active-active/) [Architecture de reprise après sinistre (DR) sur AWS, partie IV : multisite actif/actif].
**Reprise après sinistre AWS Elastic**
Si vous envisagez une stratégie d'environnement de veille ou de secours à chaud pour la reprise après sinistre, Reprise après sinistre AWS Elastic pourrait constituer une approche alternative offrant de meilleurs avantages.Elastic Disaster Recovery peut offrir un objectif de RPO et de RTO similaire à celui du secours à chaud, tout en conservant l'approche économique de l'environnement de veille. Elastic Disaster Recovery réplique vos données de votre région principale vers votre région de reprise, en utilisant la protection continue des données pour atteindre un RPO mesuré en secondes et un RTO qui peut être mesuré en minutes. Seules les ressources nécessaires à la réplication des données sont déployées dans la région de reprise, ce qui permet de limiter les coûts, à l'instar de la stratégie de l'environnement de veille. En cas d'utilisation de Elastic Disaster Recovery, le service coordonne et orchestre la récupération des ressources informatiques lorsqu'elle est initiée dans le cadre d'un basculement ou d'une opération.
![\[Schéma d'architecture décrivant comment Reprise après sinistre AWS Elastic fonctionne.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/drs-architecture.png)
**Pratiques supplémentaires de protection des données**
Avec toutes les stratégies, vous devez également vous prémunir contre les catastrophes liées aux données La réplication continue des données vous protège contre certains types de sinistres, mais ne vous protège pas toujours contre la corruption ou la destruction des données, à moins que votre stratégie n'inclue également la gestion des versions des données stockées ou des options de récupération ponctuelle. Vous devez également sauvegarder les données répliquées sur le site de reprise pour créer des sauvegardes ponctuelles en plus des réplicas.
**Utilisation de plusieurs zones de disponibilité (AZ) dans une seule Région AWS**
Lorsque vous utilisez plusieurs AZ dans une même région, l'implémentation de la reprise après sinistre exploite plusieurs éléments des stratégies ci-dessus. Vous devez d'abord créer une architecture haute disponibilité (HA), en utilisant plusieurs AZ, comme illustré à la figure 23. Cette architecture utilise une approche multisite actif/actif, car les [instances Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones) et l’ [Elastic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#availability-zones) disposent de ressources déployées dans plusieurs zones de disponibilité, qui gèrent activement les requêtes. L'architecture présente également un système de zone hébergée qui permet, en cas de panne de l'instance principale [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html) (ou de la zone de disponibilité elle-même), de faire passer l'instance de secours au rang d'instance principale.
![\[Diagramme illustrant la figure 24 : architecture de multi-AZ\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/multi-az-architecture2.png)
En plus de cette architecture haute disponibilité, vous devez ajouter des sauvegardes de toutes les données requises pour exécuter votre charge de travail. Ceci est particulièrement important pour les données limitées à une seule zone, telles que les [Amazon EBS volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volumes.html) ou les [Amazon Redshift clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html). Si une zone de disponibilité tombe en panne, vous devrez restaurer ces données dans une autre zone de disponibilité. Dans la mesure du possible, vous devez également copier les sauvegardes de données dans une autre Région AWS comme couche de protection supplémentaire.
Une approche alternative moins courante de la reprise après sinistre à région unique et multi-AZ est illustrée dans l'article de blog, [Building highly resilient applications using Amazon Route 53 Application Recovery Controller, Part 1: Single-Region stack](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/) (Création d'applications hautement résilientes à l'aide du contrôleur de récupération d'application d'Amazon Route 53, partie 1 : pile à région unique). Dans ce cas, la stratégie consiste à maintenir autant que possible l'isolement entre les zones de disponibilité, à l'instar du fonctionnement des régions. Avec cette stratégie alternative, vous pouvez choisir une approche active/active ou active/passive.
**Note**
Certaines charges de travail sont soumises à des exigences réglementaires en matière de situation géographique des données. Si cela s'applique à votre charge de travail dans une localité qui n'a actuellement qu'une seule Région AWS, plusieurs régions ne répondront pas aux besoins de votre entreprise. Les stratégies multi-AZ assurent une bonne protection contre la plupart des catastrophes.
1. **Évaluez les ressources de votre charge de travail et déterminez quelle sera leur configuration dans la région de reprise avant le basculement (pendant le fonctionnement normal).**
Pour l'infrastructure et les ressources AWS, utilisez l'infrastructure en tant que code telle que [AWS CloudFormation](https://aws.amazon.com/cloudformation) ou des outils tiers comme Hashicorp Terraform. Pour un déploiement sur plusieurs comptes et régions en une seule opération, vous pouvez utiliser [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html). Pour les stratégies « Multisite actif/actif » et « Zone hébergée », l'infrastructure déployée dans la région de reprise dispose des mêmes ressources que la région principale. Pour les stratégies « Environnement en veille » et « Secours à chaud », l'infrastructure déployée nécessitera des actions supplémentaires pour être prête pour la production. En utilisant les [paramètres](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html) de CloudFormation et la [logique conditionnelle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-conditions.html) , vous pouvez contrôler si une pile déployée est active ou en veille avec [un seul modèle](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/). En utilisant Elastic Disaster Recovery, le service répliquera et orchestrera la restauration des configurations d'applications et des ressources informatiques.
Toutes les stratégies de reprise après sinistre exigent que les sources de données soient sauvegardées dans la Région AWS, puis que ces sauvegardes soient copiées dans la région de reprise. [AWS Backup](https://aws.amazon.com/backup/) fournit une vue centralisée où vous pouvez configurer, planifier et surveiller les sauvegardes de ces ressources. Pour les stratégies « Environnement en veille », « Secours à chaud » et « Multisite actif/actif », vous devez également répliquer les données de la région principale vers les ressources de données de la région de reprise, telles que des instances de base de données [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds) ou des tables [Amazon DynamoDB](https://aws.amazon.com/dynamodb). Ces ressources de données sont donc actives et prêtes à répondre aux demandes dans la région de reprise.
Pour en savoir plus sur comment fonctionnent les services AWS dans les régions, consultez cette série de blogs intitulée [Creating a Multi-Region Application with AWS Services](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/) (Création d'une application multirégion avec les services AWS).
1. **Déterminez et mettez en œuvre la manière dont vous préparerez votre région de reprise pour le basculement en cas de besoin (lors d'un sinistre).**
Pour la stratégie multisite actif/actif, le basculement consiste à évacuer une région et à s'appuyer sur les régions actives restantes. En général, ces régions sont prêtes à accepter du trafic. Pour les stratégies Environnement en veille et Secours à chaud, vos actions de reprise devront déployer les ressources manquantes, telles que les instances EC2 de la figure 20, ainsi que toute autre ressource manquante.
Pour toutes les stratégies ci-dessus, vous devrez peut-être promouvoir les instances en lecture seule des bases de données au rang d'instances principales en lecture/écriture.
Pour la sauvegarde et la restauration, la restauration des données à partir de la sauvegarde crée des ressources pour ces données, telles que des volumes EBS, des instances de base de données RDS et des tables DynamoDB. Vous devez également restaurer l'infrastructure et déployer le code. Vous pouvez utiliser AWS Backup pour restaurer les données dans la région de reprise. Consulter [REL09-BP01 Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources](rel_backing_up_data_identified_backups_data.md) pour en savoir plus. La reconstruction de l'infrastructure comprend la création de ressources telles que les instances EC2, en plus des [Amazon Virtual Private Cloud(Amazon VPC)](https://aws.amazon.com/vpc), sous-réseaux et groupes de sécurité nécessaires. Vous pouvez automatiser une grande partie du processus de restauration. Pour savoir comment procéder, consultez [cet article de blog](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-ii-backup-and-restore-with-rapid-recovery/).
1. **Déterminez et mettez en œuvre la manière dont vous redirigerez le trafic vers le basculement en cas de besoin (lors d'un sinistre).**
Cette opération de basculement peut être lancée automatiquement ou manuellement. Le basculement lancé automatiquement sur la base de vérifications de l'état ou d'alarmes doit être utilisé avec prudence, car un basculement inutile (fausse alerte) entraînerait des coûts tels que l'indisponibilité et la perte de données. Le basculement manuel est donc souvent utilisé. Dans ce cas, nous vous conseillons tout de même d'automatiser les étapes de basculement, de sorte que vous n'ayez à appuyer que sur un bouton pour lancer le basculement.
Il existe plusieurs options de gestion du trafic à prendre en compte lors de l'utilisation des services AWS. Une option consiste à utiliser [Amazon Route 53](https://aws.amazon.com/route53). Avec Amazon Route 53, vous pouvez associer plusieurs points de terminaison IP dans une ou plusieurs Régions AWS avec un nom de domaine Route 53. Pour mettre en œuvre un basculement manuel, vous pouvez utiliser le [Contrôleur de récupération d'application Amazon Route 53](https://aws.amazon.com/route53/application-recovery-controller/), qui fournit une API de plan de données hautement disponible pour réacheminer le trafic vers la région de reprise. Lors de la mise en œuvre du basculement, utilisez les opérations du plan de données et évitez celles du plan de contrôle, comme décrit dans [REL11-BP04 S'appuyer sur le plan de données et non sur le plan de contrôle pendant la récupération](rel_withstand_component_failures_avoid_control_plane.md). »
Pour en savoir plus sur cette option et d'autres, consultez [cette section du livre blanc sur la reprise après sinistre](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html#pilot-light).
1. **Élaborez un plan pour déterminer la façon dont votre charge de travail se rétablira.**
La restauration consiste à renvoyer l'exploitation de la charge de travail à la région principale, après qu'un événement de sinistre s'est atténué. La mise en service de l'infrastructure et du code dans la région principale suit généralement les mêmes étapes que celles utilisées initialement. Elle s'appuie notamment sur l'infrastructure en tant que code et les pipelines de déploiement de code. Le défi posé par la restauration consiste à restaurer les magasins de données et à garantir leur cohérence avec la région de reprise en cours d'exécution.
Lors de l'état de basculement, les bases de données de la région de reprise sont actives et disposent des données à jour. L'objectif est alors de resynchroniser les données de la région de reprise vers la région principale, en s'assurant qu'elle est à jour.
Certains services AWS effectuent cette opération automatiquement. Si vous utilisiez les [tables globales Amazon DynamoDB](https://aws.amazon.com/dynamodb/global-tables/), même si la table de la région principale devenait indisponible, DynamoDB reprendrait la propagation de toutes les écritures en attente lorsqu'elle se reconnecterait. Si vous utilisez [Amazon Aurora Global Database](https://aws.amazon.com/rds/aurora/global-database/) et un [basculement planifié géré](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover), la topologie de réplication existante de la base de données globale Aurora est maintenue. Par conséquent, l'ancienne instance en lecture/écriture de la région principale deviendra un réplica et recevra les mises à jour de la région de reprise.
Dans les cas où cela n'est pas automatique, vous devrez rétablir la base de données dans la région principale en tant que réplica de la base de données dans la région de reprise. Dans de nombreux cas, cela implique la suppression de l'ancienne base de données principale et la création de nouveaux réplicas. Par exemple, pour obtenir des instructions sur la marche à suivre avec Amazon Aurora Global Database, en supposant un basculement *non planifié*, consultez cet atelier : [Fail Back a Global Database](https://awsauroralabsmy.com/global/failback/) (Failback d'une base de données globale).
Après un basculement, si vous pouvez poursuivre l'exécution dans la région de reprise, envisagez d'en faire la nouvelle région principale. Vous devriez alors suivre toutes les étapes ci-dessus pour convertir l'ancienne région principale en région de reprise. Certaines organisations effectuent une rotation planifiée, en échangeant périodiquement leurs régions principale et de reprise (par exemple tous les trois mois).
Toutes les étapes nécessaires au basculement et au rétablissement doivent être conservées dans un playbook accessible à tous les membres de l'équipe et révisé périodiquement.
En utilisant Elastic Disaster Recovery, le service aidera à orchestrer et à automatiser le processus de failback. Pour obtenir plus de détails, consultez [Effectuer un failback](https://docs.aws.amazon.com/drs/latest/userguide/failback-performing-main.html).
**Niveau d'effort du plan d'implémentation :** élevé
## Ressources
**Bonnes pratiques associées :**
+ [REL09-BP01 Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources](rel_backing_up_data_identified_backups_data.md)
+ [REL11-BP04 S'appuyer sur le plan de données et non sur le plan de contrôle pendant la récupération](rel_withstand_component_failures_avoid_control_plane.md)
+ [REL13-BP01 Définir les objectifs de reprise pour les temps d'arrêt et les pertes de données](rel_planning_for_recovery_objective_defined_recovery.md)
**Documents connexes :**
+ [Blog d'architecture AWS : série sur la reprise après sinistre](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [Reprise après sinistre des charges de travail sur AWS : reprise dans le cloud (livre blanc AWS)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [Options de reprise après sinistre dans le cloud](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html)
+ [Créer une solution backend active-active sans serveur sur plusieurs régions en une heure](https://read.acloud.guru/building-a-serverless-multi-region-active-active-backend-36f28bed4ecf)
+ [Backend sans serveur sur plusieurs régions - rechargé](https://medium.com/@adhorn/multi-region-serverless-backend-reloaded-1b887bc615c0)
+ [RDS : réplication d'un réplica en lecture entre les régions](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html#USER_ReadRepl.XRgn)
+ [Route 53 : configuration du basculement DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html)
+ [S3 : réplication entre régions](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html)
+ [Qu'est-ce que AWS Backup ?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [ What is Route 53 Application Recovery Controller? ](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html) (Qu'est-ce que le contrôleur de récupération d'application d'Amazon Route 53 ?)
+ [AWS Elastic Disaster Recovery](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [HashiCorp Terraform : Premiers pas - AWS](https://learn.hashicorp.com/collections/terraform/aws-get-started)
+ [Partenaire APN : partenaires pouvant faciliter la reprise après sinistre](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS Marketplace : produits pouvant être utilisés pour la reprise après sinistre](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
**Vidéos connexes :**
+ [Disaster Recovery of Workloads on AWS](https://www.youtube.com/watch?v=cJZw5mrxryA) (Reprise après sinistre des charges de travail sur AWS)
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [Démarrer avec AWS Elastic Disaster Recovery \$1 Amazon Web Services](https://www.youtube.com/watch?v=GAMUCIJR5as)
**Exemples connexes :**
+ [Atelier Well-Architected - Reprise après sinistre](https://wellarchitectedlabs.com/reliability/disaster-recovery/) - Série d'ateliers illustrant les stratégies de reprise après sinistre
# REL13-BP03 Effectuer un test de validation de la mise en œuvre de la reprise après sinistre
Testez régulièrement le basculement vers votre site de reprise pour vérifier qu'il fonctionne correctement et que les RTO et RPO sont respectés.
**Anti-modèles courants :**
+ Ne jamais exécuter de basculements en production.
**Avantages liés au respect de cette bonne pratique :** en testant régulièrement votre plan de reprise après sinistre, vous vérifiez qu'il fonctionnera en cas de besoin et que votre équipe sait comment exécuter la stratégie.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
S'il y a bien un modèle à éviter, c'est celui qui consiste à développer des chemins de récupération rarement testés. Par exemple, vous pouvez avoir un magasin de données secondaire qui est utilisé pour les requêtes en lecture seule. Lorsque vous écrivez dans un magasin de données et que l'instance principale connaît une défaillance, vous pouvez basculer vers le magasin de données secondaire. Si vous ne testez pas fréquemment ce basculement, vous constaterez peut-être que vos hypothèses sur les capacités du magasin de données secondaire sont incorrectes. La capacité du magasin de données secondaire, qui peut avoir été suffisante lors de votre dernier test, peut ne plus être en mesure de tolérer la charge dans le cadre de ce scénario. Notre expérience nous a montré que seul un chemin de récupération après erreur testé fréquemment fonctionne réellement. C'est pourquoi l'idéal est de n'avoir qu'un petit nombre de chemins de récupération. Vous pouvez établir des modèles de reprise et tester ceux-ci régulièrement. Si vous avez un chemin de récupération complexe ou critique, vous devez toujours exécuter régulièrement cette panne en production pour vous assurer du bon fonctionnement de ce chemin de récupération. Dans l'exemple que nous venons de présenter, vous devez procéder régulièrement au basculement vers l'instance de secours, quel que soit le besoin.
**Étapes d'implémentation**
1. Préparez vos charges de travail pour la reprise. Testez régulièrement vos chemins de récupération. L'informatique orientée récupération identifie les caractéristiques des systèmes qui améliorent la récupération : isolement et redondance, capacité de l'ensemble du système à réduire les modifications, capacité à surveiller et déterminer l'état de santé, capacité à fournir des diagnostics, reprise automatique, conception modulaire et capacité à redémarrer. Entraînez votre chemin de reprise pour vérifier qu'il peut s'effectuer au moment et à l'état spécifiés. Utilisez vos runbooks au cours de cette reprise pour documenter les problèmes et trouver des solutions pour les résoudre avant le prochain test.
1. Pour les charges de travail basées sur Amazon EC2, utilisez [Reprise après sinistre AWS Elastic](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html) pour mettre en œuvre et lancer des instances d'opérations dans le cadre de votre stratégie de reprise après sinistre. Reprise après sinistre AWS Elastic permet d'exécuter efficacement des opérations, ce qui vous aide à vous préparer à un basculement. Vous pouvez également lancer fréquemment vos instances en utilisant Elastic Disaster Recovery à des fins de test et d'opération sans rediriger le trafic.
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant faciliter la reprise après sinistre](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [Blog d'architecture AWS : série sur la reprise après sinistre](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS Marketplace : produits pouvant être utilisés pour la reprise après sinistre](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [Reprise après sinistre AWS Elastic](https://aws.amazon.com/disaster-recovery/)
+ [Reprise après sinistre des charges de travail sur AWS : reprise dans le cloud (livre blanc AWS)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [Reprise après sinistre AWS Elastic Preparing for Failover](https://docs.aws.amazon.com/drs/latest/userguide/failback-preparing.html) (Préparation au basculement : préparation au basculement)
+ [Projet informatique orientée reprise Berkeley/Stanford](http://roc.cs.berkeley.edu/)
+ [Qu'est qu'AWS Fault Injection Simulator (AWS FIS) ?](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications](https://youtu.be/2e29I3dA8o4)
+ [AWS re:Invent 2019: Backup-and-restore and disaster-recovery solutions with AWS](https://youtu.be/7gNXfo5HZN8)
**Exemples connexes :**
+ [Atelier Well-Architected : tester la résilience](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
# REL13-BP04 Gérer l'écart de configuration au niveau du site ou de la région de reprise après sinistre
Assurez-vous que l'infrastructure, les données et la configuration sont conformes aux besoins du site ou de la région de reprise après sinistre. Par exemple, vérifiez que les AMI et les quotas de service sont à jour.
AWS Config surveille et enregistre en permanence les configurations de vos ressources AWS. Il peut détecter tout écart et déclencher [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) pour le corriger et activer les alarmes. AWS CloudFormation peut également détecter tout écart dans les piles que vous avez déployées.
**Anti-modèles courants :**
+ Ne pas effectuer les mises à jour dans vos emplacements de récupération, lorsque vous apportez des modifications à la configuration ou à l'infrastructure sur les emplacements principaux.
+ Ne pas prendre en compte des limitations potentielles (comme les différences de service) sur le site principal et le site de reprise.
**Avantages liés au respect de cette bonne pratique :** Pour une reprise complète, veillez à ce que votre environnement de reprise après sinistre soit cohérent avec votre environnement existant.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Assurez-vous que vos pipelines de diffusion assurent effectivement cette diffusion au niveau de votre site principal ainsi qu'au niveau de vos sites de sauvegarde. Les pipelines de diffusion pour le déploiement d'applications en production doivent être distribués à tous les emplacements spécifiés de la stratégie de DR, y compris les environnements de développement et de test.
+ Activez AWS Config pour suivre les écart potentiels au niveau des emplacements. Utilisez les règles AWS Config pour créer des systèmes qui appliquent vos stratégies de reprise après sinistre et génèrent des alertes lorsqu'elles détectent un écart.
+ [Correction des ressources AWS non conformes à l'aide des règles AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ Utilisez AWS CloudFormation pour déployer votre infrastructure. AWS CloudFormation peut détecter l'écart entre ce que vos modèles CloudFormation spécifient et ce qui est réellement déployé.
+ [AWS CloudFormation : détection de tout écart à l'échelle d'une pile CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/detect-drift-stack.html)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant faciliter la reprise après sinistre](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [Blog d'architecture AWS : série sur la reprise après sinistre](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS CloudFormation : détection de tout écart à l'échelle d'une pile CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/detect-drift-stack.html)
+ [AWS Marketplace : produits pouvant être utilisés pour la reprise après sinistre](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [Reprise après sinistre des charges de travail sur AWS : reprise dans le cloud (livre blanc AWS)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [Comment mettre en œuvre une solution de gestion de configuration d'infrastructure sur AWS ?](https://aws.amazon.com/answers/configuration-management/aws-infrastructure-configuration-management/?ref=wellarchitected)
+ [Correction des ressources AWS non conformes à l'aide des règles AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
# REL13-BP05 Automatiser la reprise
Utilisez AWS ou des outils tiers pour automatiser la reprise du système et acheminer le trafic vers le site ou la région de reprise après sinistre.
En fonction des vérifications de l'état configurées, les services AWS tels qu'Elastic Load Balancing et AWS Auto Scaling peuvent répartir la charge vers des zones de disponibilité saines, tandis que les services tels qu'AWS et Global Accelerator peuvent acheminer la charge vers des Régions AWS saines. Amazon Route 53 Application Recovery Controller vous aide à gérer et à coordonner le basculement à l'aide de vérifications de l'état de préparation et fonctionnalités de contrôle du routage. Ces fonctionnalités surveillent en permanence la capacité de votre application à se rétablir après une défaillance et vous permettent de contrôler la reprise de votre application dans plusieurs Régions AWS, zones de disponibilité et sur site.
Pour les charges de travail sur des centres de données physiques ou virtuels existants ou des clouds privés, [AWS Elastic Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)disponible via AWS Marketplace, permet aux organisations de configurer une stratégie de reprise après sinistre automatisée pour AWS. CloudEndure prend également en charge la reprise après sinistre entre régions et zones de disponibilité dans AWS.
**Anti-modèles courants :**
+ La mise en œuvre d'un système de basculement et de restauration automatisés identique peut entraîner une oscillation de chemin lorsqu'une défaillance se produit.
**Avantages liés au respect de cette bonne pratique :** La reprise automatique réduit le temps de reprise en éliminant les risques d'erreurs manuelles.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatisez les chemins de récupération. Pour les temps de reprise courts, le jugement et les actions de l'humain ne peuvent pas être utilisés pour des scénarios à haute disponibilité. Le système doit absolument reprendre automatiquement, quelle que soit la situation.
+ Utilisez CloudEndure Disaster Recovery pour un basculement et une restauration automatisés. CloudEndure Disaster Recovery réplique en continu vos machines (notamment le système d'exploitation, la configuration d'état du système, les bases de données, les applications et les fichiers) dans une zone intermédiaire économique de votre Compte AWS cible et de votre région préférée. En cas de sinistre, vous pouvez demander à CloudEndure Disaster Recovery de lancer automatiquement des milliers de vos machines dans leur état entièrement mis en service en quelques minutes.
+ [Exécution d'un basculement et d'une reprise après sinistre](https://docs.cloudendure.com/Content/Configuring_and_Running_Disaster_Recovery/Performing_a_Disaster_Recovery_Failover/Performing_a_Disaster_Recovery_Failover.htm)
+ [CloudEndure Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
## Ressources
**Documents connexes :**
+ [Partenaire APN : partenaires pouvant faciliter la reprise après sinistre](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [Blog d'architecture AWS : série sur la reprise après sinistre](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS Marketplace : produits pouvant être utilisés pour la reprise après sinistre](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [CloudEndure Disaster Recovery vers AWS](https://aws.amazon.com/marketplace/pp/B07XQNF22L)
+ [Reprise après sinistre des charges de travail sur AWS : reprise dans le cloud (livre blanc AWS)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
**Vidéos connexes :**
+ [AWS re:Invent 2018: Architecture Patterns for Multi-Region Active-Active Applications (ARC209-R2)](https://youtu.be/2e29I3dA8o4)
# Efficacité en matière de performance
Le pilier Efficacité des performances comprend la capacité à utiliser efficacement les ressources de calcul pour répondre aux exigences du système et à maintenir cette efficacité à mesure que la demande change et les technologies évoluent. Vous trouverez des recommandations sur l'implémentation dans le [livre blanc Pilier Efficacité en matière de performance](https://docs.aws.amazon.com/wellarchitected/latest/performance-efficiency-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Sélection](a-selection.md)
+ [Vérifiez.](a-review.md)
+ [Surveillance](a-monitoring.md)
+ [Compromis](a-tradeoffs.md)
# Sélection
**Topics**
+ [PERF 1 Comment sélectionner l'architecture la plus performante ?](perf-01.md)
+ [PERF 2 Comment sélectionner votre solution de calcul ?](perf-02.md)
+ [PERF 3 Comment sélectionner votre solution de stockage ?](perf-03.md)
+ [PERF 4 Comment sélectionner votre solution de bases de données ?](perf-04.md)
+ [PERF 5 Comment configurer votre solution de mise en réseau ?](perf-05.md)
# PERF 1 Comment sélectionner l'architecture la plus performante ?
Plusieurs approches sont souvent nécessaires pour obtenir des performances optimales sur une charge de travail. Les systèmes à l'architecture well-architected utilisent plusieurs solutions et fonctions pour améliorer les performances.
**Topics**
+ [PERF01-BP01 Comprendre les services et les ressources disponibles](perf_performing_architecture_evaluate_resources.md)
+ [PERF01-BP02 Définir un processus pour les options d'architecture](perf_performing_architecture_process.md)
+ [PERF01-BP03 Tenir compte compte du facteur coût dans les décisions](perf_performing_architecture_cost.md)
+ [PERF01-BP04 Utiliser des stratégies ou des architectures de référence](perf_performing_architecture_use_policies.md)
+ [PERF01-BP05 Profiter des conseils de votre fournisseur de cloud ou d'un partenaire approprié](perf_performing_architecture_external_guidance.md)
+ [PERF01-BP06 Évaluer les charges de travail existantes](perf_performing_architecture_benchmark.md)
+ [PERF01-BP07 Effectuer un test de charge de votre charge de travail](perf_performing_architecture_load_test.md)
# PERF01-BP01 Comprendre les services et les ressources disponibles
Découvrez et familiarisez-vous avec le vaste éventail de services et ressources disponibles dans le cloud. Identifiez les services et options de configuration pertinents pour votre charge de travail et apprenez à optimiser les performances.
Si vous évaluez une charge de travail existante, vous devez générer un inventaire des différentes ressources de services qu'elle consomme. Votre inventaire vous aide à évaluer quels composants peuvent être remplacés par des services gérés et des technologies plus récentes.
**Anti-modèles courants :**
+ Vous utilisez le cloud comme centre de données hébergé.
+ Vous utilisez un stockage partagé pour tous les objets nécessitant un stockage permanent.
+ Vous n'utilisez pas la mise à l'échelle automatique.
+ Vous utilisez les types d'instances qui correspondent le plus à vos standards actuels. Elles peuvent être de plus grande taille au besoin.
+ Vous déployez et gérez les technologies disponibles en tant que services gérés.
**Avantages liés au respect de cette bonne pratique :** Il est possible que vous réduisiez considérablement le coût de l'infrastructure et l'effort nécessaire pour maintenir vos services en ayant recours à des services auxquels vous n'êtes peut-être pas habitués. Le déploiement de nouveaux services et de nouvelles fonctions peut être un facteur de réduction de votre délai de mise sur le marché.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Préparation de l'inventaire de vos charges de travail logicielles et de l'architecture des services connexes : faites un inventaire de votre charge de travail et choisissez la catégorie de produits dont vous souhaitez en savoir plus. Identifiez les composants de charge de travail susceptibles d'être remplacés par des services gérés pour améliorer les performances et réduire la complexité opérationnelle.
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture/)
+ [AWS Partner Network](https://aws.amazon.com/partners/)
+ [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Voici mon architecture](https://aws.amazon.com/architecture/this-is-my-architecture/)
**Exemples connexes :**
+ [Exemples AWS](https://github.com/aws-samples)
+ [Exemples de kits SDK AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
# PERF01-BP02 Définir un processus pour les options d'architecture
Mobilisez l'expérience et l'expertise des ressources cloud internes ou faites appel à des ressources externes, notamment les cas d'utilisation publiés, la documentation appropriée ou des livres blancs pour définir un processus de sélection de ressources et services. Vous devez définir un processus qui encourage l'expérimentation et la définition de points de référence avec les services qui pourraient être utilisés dans votre charge de travail.
Lorsque vous écrivez des scénarios utilisateurs critiques pour votre architecture, incluez des exigences en matière de performances, en précisant par exemple à quelle vitesse devrait s'exécuter chaque scénario critique. Pour ces scénarios critiques, mettez en place d'autres parcours utilisateurs écrits à l'avance afin de garantir une visibilité sur la façon dont ces scénarios fonctionnent en fonction de vos exigences.
**Anti-modèles courants :**
+ Vous supposez que votre architecture actuelle deviendra statique et ne sera pas mise à jour au fil du temps.
+ Vous introduisez des modifications d'architecture au fil du temps sans justification.
**Avantages liés au respect de cette bonne pratique :** Un processus défini pour les modifications architecturales rend possible l'utilisation des données collectées pour influencer la conception de votre charge de travail au fil du temps.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Sélectionner une approche architecturale : identifiez le type d'architecture qui répond à vos exigences de performance. Identifiez les contraintes telles que les supports de distribution (ordinateur de bureau, applications Web ou mobiles, IoT), les exigences existantes et les intégrations. Identifiez les occasions de réutilisation, notamment la réfactorisation. Pour mieux choisir une architecture, consultez d'autres équipes, schémas d'architecture et ressources, notamment les architectes de solutions AWS, les schémas d'architecture de référence AWS et les partenaires AWS.
Définir les exigences de performance : utilisez l'expérience client pour identifier les métriques les plus importantes. Pour chaque métrique, identifiez la cible, la méthode d'évaluation et la priorité. Définissez l'expérience client. Consignez les exigences des clients en matière d'expérience pratique, en particulier la façon dont ils évaluent la performance de la charge de travail. Priorité à l'expérience pour les scénarios utilisateurs critiques Incluez des exigences en matière de performance et implémentez des parcours utilisateur chiffrés pour vous assurer que vous savez comment les narrations répondent à vos exigences.
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture/)
+ [AWS Partner Network](https://aws.amazon.com/partners/)
+ [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Voici mon architecture](https://aws.amazon.com/architecture/this-is-my-architecture/)
**Exemples connexes :**
+ [Exemples AWS](https://github.com/aws-samples)
+ [Exemples de kits SDK AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
# PERF01-BP03 Tenir compte compte du facteur coût dans les décisions
Le traitement des charges de travail doit souvent tenir compte du facteur coût. Utilisez les contrôles de coûts internes pour sélectionner les types et tailles de ressources en fonction des besoins en ressources prévus.
Déterminez quels composants de charge de travail peuvent être remplacés par des services entièrement gérés, tels que des bases de données gérées, des caches en mémoire et d'autres services ETL. Réduire votre charge de travail opérationnelle vous permet de concentrer vos ressources sur les résultats métier.
Pour connaître les bonnes pratiques en matière d'exigences de coûts, consultez la section *Ressources rentables* du livre blanc [Pilier Optimisation des coûts](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/welcome.html).
**Anti-modèles courants :**
+ Vous n'utilisez qu'une seule famille d'instances.
+ Vous n'évaluez pas les solutions sous licence par rapport aux solutions open source.
+ Vous utilisez uniquement le stockage par blocs.
+ Vous déployez des logiciels courants sur des instances EC2 et des volumes Amazon EBS ou éphémères qui sont disponibles en tant que service géré.
**Avantages liés au respect de cette bonne pratique :** D'autres investissements seront possibles si vous tenez compte du facteur coûts lors de vos sélections.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Optimiser les composants de charge de travail pour réduire les coûts : dimensionnez correctement les composants de la charge de travail et gagnez en élasticité pour réduire les coûts et maximiser l'efficacité des composants. Identifiez les composants de charge de travail susceptibles d'être remplacés par des services gérés le cas échéant : bases de données gérées, caches en mémoire et proxys inverses.
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture/)
+ [AWS Partner Network](https://aws.amazon.com/partners/)
+ [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Voici mon architecture](https://aws.amazon.com/architecture/this-is-my-architecture/)
+ [Optimize performance and cost for your AWS compute (CMP323-R1) ](https://www.youtube.com/watch?v=zt6jYJLK8sg&ref=wellarchitected)
**Exemples connexes :**
+ [Exemples AWS](https://github.com/aws-samples)
+ [Exemples de kits SDK AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
+ [Dimensionnement avec Compute Optimizer et activation de l'utilisation de la mémoire](https://www.wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/5_ec2_computer_opt/)
+ [Code de démonstration Optimiseur de calcul AWS](https://github.com/awslabs/ec2-spot-labs/tree/master/aws-compute-optimizer)
# PERF01-BP04 Utiliser des stratégies ou des architectures de référence
Optimisez les performances et l'efficacité en évaluant les stratégies internes et les architectures de référence existantes, ainsi qu'en utilisant votre analyse pour sélectionner les services et les configurations pour votre charge de travail.
**Anti-modèles courants :**
+ Vous autorisez une utilisation à grande échelle de la sélection de technologies qui peut avoir un impact sur les frais généraux de gestion de votre entreprise.
**Avantages liés au respect de cette bonne pratique :** L'établissement d'une stratégie pour les choix d'architecture, de technologie et de fournisseur permet de prendre des décisions rapidement.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Déployer votre charge de travail à l'aide de stratégies existantes ou d'architectures de référence : intégrez les services à votre déploiement dans le cloud. Utilisez ensuite vos tests de performance pour vous assurer que vous pouvez continuer à répondre à vos exigences de performance.
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture/)
+ [AWS Partner Network](https://aws.amazon.com/partners/)
+ [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Voici mon architecture](https://aws.amazon.com/architecture/this-is-my-architecture/)
**Exemples connexes :**
+ [Exemples AWS](https://github.com/aws-samples)
+ [Exemples de kits SDK AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
# PERF01-BP05 Profiter des conseils de votre fournisseur de cloud ou d'un partenaire approprié
Utilisez les ressources de l'entreprise cloud, notamment les architectes de solutions, les services professionnels ou un partenaire approprié pour éclairer vos décisions. Ces ressources peuvent vous aider à vérifier et à améliorer votre architecture pour avoir des performances optimales.
Contactez AWS pour obtenir de l'aide lorsque vous avez besoin de conseils ou d'informations supplémentaires sur le produit. Les architectes de solutions AWS et [les services professionnels AWS](https://aws.amazon.com/professional-services/) fournissent des conseils pour la mise en œuvre de solutions. [les partenaires AWS](https://aws.amazon.com/partners/) apportent une expertise AWS pour vous aider à gagner en agilité et favoriser l'innovation au sein de votre entreprise.
**Anti-modèles courants :**
+ Vous utilisez AWS en tant que fournisseur de centre de données ordinaire.
+ Vous utilisez les services AWS de manière non conforme à leur utilisation prévue.
**Avantages liés au respect de cette bonne pratique :** Vous aurez confiance aux décisions que vous prendrez après avoir consulté votre fournisseur ou un partenaire.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Faire appel aux ressources AWS pour obtenir de l'aide : les architectes de solutions et les services professionnels AWS prodiguent des conseils pour la mise en œuvre de solutions. Les partenaires APN apportent une expertise AWS pour vous aider à gagner en agilité et favoriser l'innovation au sein de votre entreprise.
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture/)
+ [AWS Partner Network](https://aws.amazon.com/partners/)
+ [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Voici mon architecture](https://aws.amazon.com/architecture/this-is-my-architecture/)
**Exemples connexes :**
+ [Exemples AWS](https://github.com/aws-samples)
+ [Exemples de kits SDK AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
# PERF01-BP06 Évaluer les charges de travail existantes
Définissez des points de référence des performances d'une charge de travail existante afin de comprendre ses performances sur le cloud. Utilisez les données collectées à partir de points de référence pour éclairer vos décisions architecturales.
Utilisez des points de référence avec des tests synthétiques et la surveillance des données utilisateur pour générer des données sur les performances des composants de votre charge de travail. La définition de points de référence est généralement plus rapide à configurer que les tests de charge. Elle est utilisée pour évaluer la technologie pour un composant en particulier. La définition de points de référence est souvent utilisée au début d'un nouveau projet, lorsque vous n'avez pas de solution complète pour le test de charge.
Vous pouvez créer vos propres tests de définition de points de référence, ou bien utiliser un test conforme aux normes du secteur, comme [le TPC-DS](http://www.tpc.org/tpcds/) (pour comparer vos charges de travail d'entreposage de données). Les points de référence du secteur sont utiles lorsque vous comparez différents environnements. Les points de référence personnalisés sont utiles pour cibler certains types d'opérations que vous souhaitez effectuer dans votre architecture.
Avec la définition de points de référence, il est important de préparer votre environnement de test pour garantir des résultats valides. Exécutez plusieurs fois le même point de référence pour être sûr d'avoir capturé toute variabilité au fil du temps.
Étant donné que les points de référence sont généralement plus rapides à exécuter que les tests de charge, ils peuvent être utilisés plus tôt dans le pipeline de déploiement et fournir un retour rapide sur les écarts de performances. Lorsque vous évaluez un changement important dans un composant ou un service, un point de référence peut être un moyen rapide pour voir si la modification a un intérêt. L'utilisation de la définition de points de référence avec un test de charge est essentielle, car un test de charge vous indique comment votre charge de travail se comportera dans un environnement de production.
**Anti-modèles courants :**
+ Vous comptez sur des points de référence communs qui ne reflètent pas les caractéristiques de votre charge de travail.
+ Vous utilisez les commentaires et la perception des clients comme seule référence.
**Avantages liés au respect de cette bonne pratique :** La définition des points de référence de votre implémentation actuelle vous permet de mesurer l'amélioration des performances.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Surveiller les performances au cours du développement : mettez en œuvre des processus garantissant une visibilité des performances au fil de l'évolution de votre charge de travail.
Intégration dans votre pipeline de distribution : exécutez automatiquement des tests de charge dans votre pipeline de distribution. Comparez les résultats des tests aux indicateurs de performance clés (KPI) et aux seuils prédéfinis afin de vous assurer que vous continuez à répondre aux exigences de performance.
Tester les parcours utilisateur : pour effectuer un test de charge, utilisez des versions de données de production factices ou légèrement altérées (supprimez les données sensibles ou les informations d'identification). Testez l'ensemble de votre architecture en utilisant les parcours utilisateur répétés ou préprogrammés via votre application à grande échelle.
Surveillance des données utilisateur : utilisez CloudWatch RUM pour vous aider à collecter et afficher des données côté client sur les performances de votre application. Exploitez ces données pour vous aider à établir vos points de référence en termes de performances utilisateur.
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture/)
+ [AWS Partner Network](https://aws.amazon.com/partners/)
+ [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Voici mon architecture](https://aws.amazon.com/architecture/this-is-my-architecture/)
+ [Optimisez les applications grâce à Amazon CloudWatch RUM](https://www.youtube.com/watch?v=NMaeujY9A9Y)
+ [Démonstration d'Amazon CloudWatch Synthetics](https://www.youtube.com/watch?v=hF3NM9j-u7I)
**Exemples connexes :**
+ [Exemples AWS](https://github.com/aws-samples)
+ [Exemples de kits SDK AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
+ [Tests de charge distribuée](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/)
+ [Mesurer le temps de chargement des pages avec Amazon CloudWatch Synthetics](https://github.com/aws-samples/amazon-cloudwatch-synthetics-page-performance)
+ [Client web Amazon CloudWatch RUM](https://github.com/aws-observability/aws-rum-web)
# PERF01-BP07 Effectuer un test de charge de votre charge de travail
Déployez votre dernière architecture de charge de travail dans au moyen de différents types et tailles de ressources. Surveillez le déploiement pour capturer les métriques de performance qui identifient les goulots d'étranglement ou des excédents de capacité. Utilisez ces données de performance pour concevoir ou améliorer votre sélection d'architecture et de ressources.
Le test de charge utilise votre *charge de travail réelle* afin que vous puissiez voir les performances de votre solution dans un environnement de production. Pour effectuer un test de charge, vous devez exécuter des versions de données de production factices ou légèrement altérées (supprimez les données sensibles ou les informations d'identification). Utilisez les parcours utilisateur répétés ou préprogrammés via votre charge de travail à une échelle similaire à celle de toute votre architecture. Effectuez automatiquement des tests de charge dans le cadre de votre pipeline de livraison et comparez les résultats aux indicateurs de performance clés et aux seuils prédéfinis. Cela vous garantit de continuer à atteindre les performances requises.
**Anti-modèles courants :**
+ Vous testez les différentes parties et non la totalité de votre charge de travail.
+ Vous testez la charge sur une infrastructure qui n'est pas la même que votre environnement de production.
+ Vous n'effectuez le test de charge que pour la charge prévue sans aller au-delà, avec pour but de prévoir où vous pourriez rencontrer des problèmes à l'avenir.
+ Vous effectuez un test de charge sans en informer AWS Support et faites échouer le test, car il ressemble à une attaque par déni de service.
**Avantages liés au respect de cette bonne pratique :** La mesure de vos performances dans le cadre d'un test de charge vous indiquera où vous serez affecté au fil de l'augmentation de la charge. Cela peut vous permettre d'anticiper les changements nécessaires avant qu'ils n'affectent votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Valider votre approche avec un test de charge : effectuez un test de charge d'une preuve de concept pour déterminer si l'approche répond à vos exigences en matière de performances. Vous pouvez utiliser les services AWS pour exécuter des environnements à l'échelle de la production afin de tester votre architecture. Étant donné que vous ne payez pour l'environnement de test que lorsque cela est nécessaire, vous pouvez effectuer des tests à grande échelle pour une fraction du coût d'utilisation d'un environnement sur site.
Surveiller les métriques : Amazon CloudWatch peut récupérer des métriques à partir des ressources de votre architecture. Vous pouvez également récupérer et publier des métriques personnalisées pour faire apparaître des métriques d'entreprise ou des métriques dérivées. Utilisez CloudWatch ou des solutions tierces pour définir des alarmes qui indiquent les dépassements de seuils.
Test à grande échelle : le test de charge utilise votre charge de travail réelle afin que vous puissiez voir les performances de votre solution dans un environnement de production. Vous pouvez utiliser les services AWS pour exécuter des environnements à l'échelle de la production afin de tester votre architecture. Étant donné que vous ne payez pour l'environnement de test que lorsque cela est nécessaire, vous pouvez exécuter des tests à grande échelle à un coût inférieur à celui du test dans un environnement sur site. Utilisez le AWS Cloud pour tester votre charge de travail et découvrir où elle ne parvient pas à se dimensionner ou si elle évolue de manière non linéaire. Par exemple, utilisez les instances Spot pour générer des charges à faible coût et découvrir les goulots d'étranglement avant de les rencontrer en production.
## Ressources
**Documents connexes :**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [Création de modèles AWS CloudFormation avec CloudFormer](https://aws.amazon.com/blogs/devops/building-aws-cloudformation-templates-using-cloudformer/)
+ [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Test de charge distribuée sur AWS](https://docs.aws.amazon.com/solutions/latest/distributed-load-testing-on-aws/welcome.html)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Optimisez les applications grâce à Amazon CloudWatch RUM](https://www.youtube.com/watch?v=NMaeujY9A9Y)
+ [Démonstration d'Amazon CloudWatch Synthetics](https://www.youtube.com/watch?v=hF3NM9j-u7I)
**Exemples connexes :**
+ [Test de charge distribuée sur AWS](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/)
# PERF 2 Comment sélectionner votre solution de calcul ?
La solution de calcul optimale pour une charge de travail peut varier en fonction des trois facteurs suivants : la conception de l'application, les modèles d'utilisation et les paramètres de configuration. Les architectures peuvent utiliser différentes solutions de calcul pour divers composants et activer différentes fonctions pour améliorer les performances. La sélection d'une solution de calcul inadaptée à une architecture peut nuire à ses performances.
**Topics**
+ [PERF02-BP01 Évaluer les options de calcul disponible](perf_select_compute_evaluate_options.md)
+ [PERF02-BP02 Comprendre les options de configuration de calcul disponibles](perf_select_compute_config_options.md)
+ [PERF02-BP03 Collecter les métriques liées au calcul](perf_select_compute_collect_metrics.md)
+ [PERF02-BP04 Déterminer la configuration requise grâce au dimensionnement](perf_select_compute_right_sizing.md)
+ [PERF02-BP05 Utiliser l'élasticité des ressources disponible](perf_select_compute_elasticity.md)
+ [PERF02-BP06 Évaluez continuellement les besoins de calcul en fonction des métriques.](perf_select_compute_use_metrics.md)
# PERF02-BP01 Évaluer les options de calcul disponible
Découvrez comment votre charge de travail peut bénéficier de l'utilisation de différentes options de calcul, telles que des instances, des conteneurs et des fonctions.
**Résultat souhaité :** En comprenant toutes les options de calcul disponibles, vous saurez identifier les opportunités permettant d'augmenter les performances, de réduire les coûts d'infrastructure inutiles et de réduire l'effort opérationnel requis pour gérer votre charge de travail. Vous pouvez également accélérer votre délai de mise sur le marché pour ce qui concerne le déploiement de nouveaux services et fonctions.
**Anti-modèles courants :**
+ Dans une charge de travail post-migration, vous utilisez la même solution de calcul que celle utilisée sur site.
+ Vous manquez de connaissances sur les solutions de calcul cloud et sur la manière dont elles pourraient améliorer vos performances de calcul.
+ Vous surdimensionnez une solution de calcul existante pour répondre aux exigences d'évolutivité ou de performances, alors qu'une autre solution de calcul s'alignerait plus précisément sur les caractéristiques de votre charge de travail.
**Avantages liés au respect de cette bonne pratique :** En identifiant les besoins en calcul et en évaluant les solutions de calcul disponibles, les parties prenantes et les équipes d'ingénierie identifieraient les avantages et les limites liés à l'utilisation de la solution de calcul sélectionnée. La solution de calcul sélectionnée doit correspondre aux critères de performances de la charge de travail. Les critères clés incluent les besoins de traitement, les modèles de trafic, les modèles d'accès aux données, les besoins de mise à l'échelle et les exigences de latence.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Familiarisez-vous avec les solutions de virtualisation, de conteneurisation et de gestion qui peuvent bénéficier à votre charge de travail et répondre à vos exigences de performances. Une charge de travail peut contenir plusieurs types de solutions de calcul. Chaque solution de calcul a des caractéristiques différentes. En fonction de l'échelle de votre charge de travail et des exigences de calcul, une solution de calcul peut être sélectionnée et configurée pour répondre à vos besoins. L'architecte cloud doit connaître les avantages et les inconvénients des instances, des conteneurs et des fonctions. Les étapes suivantes vous aideront à sélectionner votre solution de calcul en fonction des caractéristiques de votre charge de travail et de vos exigences de performances.
| **Type** | **Serveur** | **Conteneurs** | **Fonction** |
| --- | --- | --- | --- |
| Service AWS | Les instances de serveur virtuel Amazon Elastic Compute Cloud (Amazon EC2) | Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) | AWS Lambda |
| Caractéristiques clés | Possède une option dédiée pour les exigences de licence matérielle, les options de placement et une large sélection de différentes familles d'instances basées sur des métriques de calcul | Déploiement facile, environnements cohérents, exécution sur des instances EC2, évolutivité | Courte durée d'exécution (15 minutes ou moins), la mémoire maximale et le processeur ne sont pas aussi élevés que les autres services, couche matérielle gérée, s'adapte à des millions de demandes simultanées |
| Cas d'utilisation courants | Migration « lift-and-shift », application monolithique, environnements hybrides, applications d'entreprise | Microservices, environnements hybrides | Microservices, applications basées sur les événements |
**Étapes d'implémentation :**
1. Sélectionnez l'emplacement où la solution de calcul doit résider en évaluant [PERF05-BP06 Choisir l'emplacement de votre charge de travail en fonction des exigences réseau](perf_select_network_location.md). Cet emplacement limite les types de solutions de calcul à votre disposition.
1. Identifier le type de solution de calcul qui fonctionne avec les exigences liées à l'emplacement et à l'application
1. [https://aws.amazon.com/ec2/](https://aws.amazon.com/ec2/) Les instances de serveur virtuel sont disponibles dans diverses familles et tailles. Elles proposent un large éventail de fonctionnalités, y compris des disques SSD et des unités de traitement graphique (GPU). Les instances EC2 offrent la plus grande flexibilité en matière de choix des instances. Lorsque vous lancez une instance EC2, le type d'instance que vous spécifiez détermine le matériel de votre instance. Chaque type d'instance propose différentes capacités de calcul, de mémoire et de stockage. Les types d'instance sont regroupés en familles d'instances en fonction de ces capacités. Les cas d'utilisation typiques incluent : l'exécution d'applications d'entreprise, le calcul haute performance (HPC), l'entraînement et le déploiement d'applications de machine learning et l'exécution d'applications cloud natives.
1. [https://aws.amazon.com/ecs/](https://aws.amazon.com/ecs/) est un service d'orchestration de conteneurs entièrement géré qui vous permet d'exécuter et de gérer automatiquement des conteneurs sur un cluster d'instances EC2 ou d'instances sans serveur à l'aide d'AWS Fargate. Vous pouvez utiliser Amazon ECS avec d'autres services comme Amazon Route 53, Secrets Manager, Gestion des identités et des accès AWS (IAM) et Amazon CloudWatch. Amazon ECS est recommandé si votre application est conteneurisée et que votre équipe d'ingénieurs préfère les conteneurs Docker.
1. [https://aws.amazon.com/eks/](https://aws.amazon.com/eks/) est un service Kubernetes entièrement géré. Vous pouvez choisir d'exécuter vos clusters EKS à l'aide d'AWS Fargate et éviter ainsi d'avoir à mettre en service et à gérer les serveurs. La gestion d'Amazon EKS est simplifiée grâce aux intégrations avec AWS Services, tels qu'Amazon CloudWatch, les groupes groupe Auto Scaling, Gestion des identités et des accès AWS (IAM) et Amazon Virtual Private Cloud (VPC). Lorsque vous utilisez des conteneurs, vous devez utiliser des métriques de calcul pour sélectionner le type optimal pour votre charge de travail, de la même manière que vous utilisez des métriques de calcul pour sélectionner vos types d'instance EC2 ou AWS Fargate. Amazon EKS est recommandé si votre application est conteneurisée et que votre équipe d'ingénieurs préfère Kubernetes aux conteneurs Docker.
1. Vous pouvez utiliser [https://aws.amazon.com/lambda/](https://aws.amazon.com/lambda/) pour exécuter du code prenant en charge les options d'exécution, de mémoire et de processeur autorisées. Il suffit de charger votre code pour qu'AWS Lambda gère tout ce qui est nécessaire à son exécution et à sa mise à l'échelle. Vous pouvez configurer votre code pour qu'il se déclenche automatiquement à partir d'autres services AWS ou l'appeler directement. Lambda est recommandé pour les architectures de microservices à court terme développées pour le cloud.
1. Après avoir testé votre nouvelle solution de calcul, planifiez votre migration et validez vos métriques de performance. Il s'agit d'un processus continu, voir [PERF02-BP04 Déterminer la configuration requise grâce au dimensionnement](perf_select_compute_right_sizing.md).
**Niveau d'effort du plan d'implémentation :** Si une charge de travail passe d'une solution de calcul à une autre, il peut y avoir un niveau d'effort *modéré* lors de la refactorisation de l'application.
## Ressources
**Documents connexes :**
+ [Calcul sur le cloud avec AWS ](https://aws.amazon.com/products/compute/?ref=wellarchitected)
+ [Types d'instances EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html?ref=wellarchitected)
+ [Contrôle de l'état du processeur pour votre instance EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/processor_state_control.html?ref=wellarchitected)
+ [Conteneurs EKS : nœuds de travail EKS ](https://docs.aws.amazon.com/eks/latest/userguide/worker.html?ref=wellarchitected)
+ [Conteneurs Amazon ECS : instances de conteneur Amazon Amazon ECS ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ECS_instances.html?ref=wellarchitected)
+ [Fonctions : configuration des fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html?ref=wellarchitected#function-configuration)
+ [Conseils prescriptifs pour les conteneurs](https://aws.amazon.com/prescriptive-guidance/?apg-all-cards.sort-by=item.additionalFields.sortText&apg-all-cards.sort-order=desc&awsf.apg-new-filter=*all&awsf.apg-content-type-filter=*all&awsf.apg-code-filter=*all&awsf.apg-category-filter=categories%23containers&awsf.apg-rtype-filter=*all&awsf.apg-isv-filter=*all&awsf.apg-product-filter=*all&awsf.apg-env-filter=*all)
+ [Conseils prescriptifs pour les modèles sans serveur](https://aws.amazon.com/prescriptive-guidance/?apg-all-cards.sort-by=item.additionalFields.sortText&apg-all-cards.sort-order=desc&awsf.apg-new-filter=*all&awsf.apg-content-type-filter=*all&awsf.apg-code-filter=*all&awsf.apg-category-filter=categories%23serverless&awsf.apg-rtype-filter=*all&awsf.apg-isv-filter=*all&awsf.apg-product-filter=*all&awsf.apg-env-filter=*all)
**Vidéos connexes :**
+ [Comment choisir l'option de calcul pour les startups](https://aws.amazon.com/startups/start-building/how-to-choose-compute-option/)
+ [Optimize performance and cost for your AWS compute (CMP323-R1)](https://www.youtube.com/watch?v=zt6jYJLK8sg)
+ [Amazon EC2 foundations (CMP211-R2) ](https://www.youtube.com/watch?v=kMMybKqC2Y0&ref=wellarchitected)
+ [Powering next-gen Amazon EC2: Deep dive into the Nitro system ](https://www.youtube.com/watch?v=rUY-00yFlE4&ref=wellarchitected)
+ [Deliver high-performance ML inference with AWS Inferentia (CMP324-R1) ](https://www.youtube.com/watch?v=17r1EapAxpk&ref=wellarchitected)
+ [Better, faster, cheaper compute: Cost-optimizing Amazon EC2 (CMP202-R1) ](https://www.youtube.com/watch?v=_dvh4P2FVbw&ref=wellarchitected)
**Exemples connexes :**
+ [Migrer l'application Web vers des conteneurs](https://application-migration-with-aws.workshop.aws/en/container-migration.html)
+ [Exécuter un modèle Hello World sans serveur](https://aws.amazon.com/getting-started/hands-on/run-serverless-code/)
# PERF02-BP02 Comprendre les options de configuration de calcul disponibles
Chaque solution de calcul propose des options et des configurations pour prendre en charge les caractéristiques de votre charge de travail. Vous devez savoir comment les différentes options soutiennent votre charge de travail et connaître celles qui sont optimales pour votre système. Parmi ces options, citons, par exemple) la famille d'instances, les tailles, les fonctionnalités (GPU, E/S), la capacité de débordement (bursting), les délais d'attente, les tailles de fonction, les instances de conteneur et la simultanéité.
**Résultat souhaité :** Les caractéristiques de la charge de travail, notamment le processeur, la mémoire, le débit réseau, le processeur graphique, les IOPS, les modèles de trafic et les modèles d'accès aux données, sont documentées et utilisées pour configurer la solution de calcul afin qu'elle corresponde aux caractéristiques de la charge de travail. Chacune de ces métriques ainsi que des métriques personnalisées spécifiques à votre charge de travail sont enregistrées, surveillées, puis exploitées pour optimiser la configuration de calcul afin de répondre au mieux aux exigences.
**Anti-modèles courants :**
+ Vous utilisez la même solution de calcul que celle utilisée sur site.
+ Vous ne vérifiez pas que les options de calcul ou la famille d'instances correspondent aux caractéristiques de la charge de travail.
+ Vous surdimensionnez le calcul pour garantir une capacité de débordement (bursting).
+ Vous utilisez plusieurs plateformes de gestion de calcul pour la même charge de travail.
** Avantages liés au respect de cette bonne pratique :** Connaître les offres de calcul AWS afin de pouvoir identifier la solution la plus adaptée à chacune de vos charges de travail. Après la sélection des offres de calcul pour votre charge de travail, vous pouvez rapidement les tester pour déterminer si elles répondent aux besoins de vos charges de travail. Une solution de calcul optimisée pour répondre aux caractéristiques de votre charge de travail accroît les performances, réduit les coûts et renforce la fiabilité.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Si votre charge de travail utilise la même option de calcul depuis plus de quatre semaines et que vous anticipez que les caractéristiques resteront les mêmes à l'avenir, vous pouvez utiliser [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/) pour recevoir une recommandation basée sur vos caractéristiques de calcul. Si Optimiseur de calcul AWS n'est pas une option en raison du manque de métriques, [un type d'instance non pris en charge](https://docs.aws.amazon.com/compute-optimizer/latest/ug/requirements.html#requirements-ec2-instances) ou un changement prévisible de vos caractéristiques, vous devrez prédire vos métriques en vous basant sur des tests de charge et des expérimentations.
**Étapes d'implémentation :**
1. Exécutez-vous des instances EC2 ou des conteneurs avec le type de lancement EC2 ?
1. Votre charge de travail peut-elle utiliser des GPU pour augmenter les performances ?
1. [Calcul accéléré](https://aws.amazon.com/ec2/instance-types/?trk=36c6da98-7b20-48fa-8225-4784bced9843&sc_channel=ps&sc_campaign=acquisition&sc_medium=ACQ-P|PS-GO|Brand|Desktop|SU|Compute|EC2|US|EN|Text&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types&ef_id=CjwKCAjwiuuRBhBvEiwAFXKaNNRXM5FrnFg5H8RGQ4bQKuUuK1rYWmU2iH-5H3VZPqEheB-pEm-GNBoCdD0QAvD_BwE:G:s&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types#Accelerated_Computing) Les instances de calcul accéléré sont des instances basées sur GPU qui offrent des performances optimales pour l'entraînement du machine learning, l'inférence et le calcul haute performance.
1. Votre charge de travail exécute-t-elle des applications d'inférence de machine learning ?
1. [AWS Inferentia (Inf1)](https://aws.amazon.com/ec2/instance-types/inf1/) — Les instances Inf1 sont conçues pour prendre en charge les applications d'inférence de machine learning. En utilisant des instances Inf1, les clients peuvent exécuter à grande échelle des applications d'inférence de machine learning telles que la reconnaissance des images, la reconnaissance vocale, le traitement du langage naturel, la personnalisation et la détection des fraudes. Vous pouvez créer un modèle dans l'un des frameworks de machine learning les plus courants tels que TensorFlow, PyTorch ou MXNet, et utiliser des instances GPU pour entraîner votre modèle. Une fois que votre modèle de machine learning a été entraîné pour répondre à vos besoins, vous pouvez déployer votre modèle sur des instances Inf1 en utilisant [AWS Neuron](https://aws.amazon.com/machine-learning/neuron/)est un kit de développement logiciel (kit SDK) spécialisé composé d'un compilateur, d'un environnement d'exécution et d'outils de profilage qui optimisent les performances d'inférence de machine learning des puces Inferentia.
1. Votre charge de travail s'intègre-t-elle au matériel de bas niveau pour améliorer les performances ?
1. [Circuits logiques programmables (FPGA)](https://aws.amazon.com/ec2/instance-types/f1/) — Avec les FPGA, vous pouvez optimiser vos charges de travail en bénéficiant d'une exécution à accélération matérielle personnalisée pour vos charges de travail les plus exigeantes. Vous pouvez définir vos algorithmes en exploitant des langages de programmation à usage général pris en charge, comme C ou Go, ou des langages orientés matériel comme Verilog ou VHDL.
1. Disposez-vous d'au moins quatre semaines de métriques et pouvez-vous prédire que votre modèle de trafic et vos métriques resteront à peu près les mêmes à l'avenir ?
1. Utilisez [Compute Optimizer](https://aws.amazon.com/compute-optimizer/) pour recevoir une recommandation de machine learning sur la configuration de calcul qui correspond le mieux à vos caractéristiques de calcul.
1. Les performances de votre charge de travail sont-elles limitées par les métriques du processeur ?
1. [Les instances optimisées pour le calcul](https://aws.amazon.com/ec2/instance-types/?trk=36c6da98-7b20-48fa-8225-4784bced9843&sc_channel=ps&sc_campaign=acquisition&sc_medium=ACQ-P|PS-GO|Brand|Desktop|SU|Compute|EC2|US|EN|Text&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types&ef_id=CjwKCAjwiuuRBhBvEiwAFXKaNNRXM5FrnFg5H8RGQ4bQKuUuK1rYWmU2iH-5H3VZPqEheB-pEm-GNBoCdD0QAvD_BwE:G:s&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types#Compute_Optimized) sont idéales pour les charges de travail nécessitant des processeurs hautes performances.
1. Les performances de votre charge de travail sont-elles limitées par les métriques de la mémoire ?
1. [Les instances optimisées pour la mémoire](https://aws.amazon.com/ec2/instance-types/?trk=36c6da98-7b20-48fa-8225-4784bced9843&sc_channel=ps&sc_campaign=acquisition&sc_medium=ACQ-P|PS-GO|Brand|Desktop|SU|Compute|EC2|US|EN|Text&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types&ef_id=CjwKCAjwiuuRBhBvEiwAFXKaNNRXM5FrnFg5H8RGQ4bQKuUuK1rYWmU2iH-5H3VZPqEheB-pEm-GNBoCdD0QAvD_BwE:G:s&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types#Memory_Optimized) offrent de grandes quantités de mémoire pour soutenir les charges de travail gourmandes en mémoire.
1. Les performances de votre charge de travail sont-elles limitées par les IOPS ?
1. [Les instances optimisées pour le stockage](https://aws.amazon.com/ec2/instance-types/?trk=36c6da98-7b20-48fa-8225-4784bced9843&sc_channel=ps&sc_campaign=acquisition&sc_medium=ACQ-P|PS-GO|Brand|Desktop|SU|Compute|EC2|US|EN|Text&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types&ef_id=CjwKCAjwiuuRBhBvEiwAFXKaNNRXM5FrnFg5H8RGQ4bQKuUuK1rYWmU2iH-5H3VZPqEheB-pEm-GNBoCdD0QAvD_BwE:G:s&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types#Storage_Optimized) sont conçues pour les charges de travail nécessitant un accès séquentiel élevé en lecture et en écriture (IOPS) au stockage local.
1. Les caractéristiques de votre charge de travail représentent-elles un besoin équilibré pour toutes les métriques ?
1. Le processeur de votre charge de travail doit-il fonctionner en débordement (mode bursting) pour gérer les pics de trafic ?
1. [Les instances de performance à capacité extensible](https://aws.amazon.com/ec2/instance-types/?trk=36c6da98-7b20-48fa-8225-4784bced9843&sc_channel=ps&sc_campaign=acquisition&sc_medium=ACQ-P|PS-GO|Brand|Desktop|SU|Compute|EC2|US|EN|Text&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types&ef_id=CjwKCAjwiuuRBhBvEiwAFXKaNNRXM5FrnFg5H8RGQ4bQKuUuK1rYWmU2iH-5H3VZPqEheB-pEm-GNBoCdD0QAvD_BwE:G:s&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types#Instance_Features) sont similaires aux instances optimisées pour le calcul, sauf qu'elles offrent la possibilité de dépasser le point de référence de base fixe du processeur identifié dans une instance optimisée pour le calcul.
1. [Polyvalent](https://aws.amazon.com/ec2/instance-types/?trk=36c6da98-7b20-48fa-8225-4784bced9843&sc_channel=ps&sc_campaign=acquisition&sc_medium=ACQ-P|PS-GO|Brand|Desktop|SU|Compute|EC2|US|EN|Text&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types&ef_id=CjwKCAjwiuuRBhBvEiwAFXKaNNRXM5FrnFg5H8RGQ4bQKuUuK1rYWmU2iH-5H3VZPqEheB-pEm-GNBoCdD0QAvD_BwE:G:s&s_kwcid=AL!4422!3!536392622533!e!!g!!ec2%20instance%20types#General_Purpose) Les instances à usage général fournissent un juste milieu entre toutes les caractéristiques afin de permettre l'exécution d'une variété de charges de travail.
1. Votre instance de calcul s'exécute-t-elle sous Linux et est-elle limitée par le débit réseau sur la carte d'interface réseau ?
1. Vérifiez. [la question de performance 5, bonne pratique 2 : évaluation des fonctionnalités de mise en réseau disponibles](https://docs.aws.amazon.com/wellarchitected/latest/performance-efficiency-pillar/network-architecture-selection.html) pour trouver le type d'instance et la famille les plus adaptés à vos besoins de performances.
1. Votre charge de travail nécessite-t-elle des instances cohérentes et prévisibles dans une zone de disponibilité spécifique sur laquelle vous pouvez vous engager pendant un an ?
1. [Instances réservées](https://aws.amazon.com/ec2/pricing/reserved-instances/) Les instances réservées vous permettent de confirmer les réservations de capacité dans une zone de disponibilité spécifique. Les instances réservées sont idéales pour la puissance de calcul requise dans une zone de disponibilité spécifique.
1. Votre charge de travail a-t-elle des licences qui nécessitent du matériel dédié ?
1. [Hôtes dédiés](https://aws.amazon.com/ec2/dedicated-hosts/) Les hôtes dédiés prennent en charge les licences logicielles existantes et vous aident à respecter les exigences de conformité.
1. Votre solution de calcul fonctionne-t-elle en débordement (mode bursting) et nécessite-t-elle un traitement synchrone ?
1. [Instances à la demande](https://aws.amazon.com/ec2/pricing/on-demand/) Les instances à la demande vous permettent d'utiliser la capacité de calcul à l'heure ou à la seconde sans engagement à long terme. Ces instances sont idéales pour dépasser les besoins de base en matière de performances.
1. Votre solution de calcul est-elle sans état, tolérante aux pannes et asynchrone ?
1. [Instances Spot](https://aws.amazon.com/ec2/spot/) Les instances Spot vous permettent de tirer parti de la capacité d'instance inutilisée pour vos charges de travail sans état et tolérantes aux pannes.
1. Exécutez-vous des conteneurs sur [Fargate](https://aws.amazon.com/fargate/)?
1. Les performances de vos tâches sont-elles limitées par la mémoire ou le processeur ?
1. Utilisez la boîte à outils [Taille de la tâche](https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/capacity-tasksize.html) pour ajuster la mémoire ou le processeur.
1. Vos performances sont-elles affectées par vos pics de trafic ?
1. Utilisez la boîte à outils [Auto Scaling](https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/capacity-autoscaling.html) configuration Auto Scaling pour correspondre à vos modèles de trafic.
1. Votre solution de calcul est-elle sur [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-features.html)?
1. Disposez-vous d'au moins quatre semaines de métriques et pouvez-vous prédire que votre modèle de trafic et vos métriques resteront à peu près les mêmes à l'avenir ?
1. Utilisez [Compute Optimizer](https://aws.amazon.com/compute-optimizer/) pour recevoir une recommandation de machine learning sur la configuration de calcul qui correspond le mieux à vos caractéristiques de calcul.
1. N'avez-vous pas assez de métriques pour utiliser Optimiseur de calcul AWS ?
1. Si vous n'avez pas de métriques disponibles pour utiliser Compute Optimizer, optez pour [AWS Lambda Power Tuning](https://docs.aws.amazon.com/lambda/latest/operatorguide/profile-functions.html) pour vous aider à choisir la meilleure configuration.
1. Les performances de votre fonction sont-elles limitées par la mémoire ou le processeur ?
1. Configurez la [mémoire Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html#configuration-memory-console) pour répondre à vos besoins de performance.
1. Votre fonction expire-t-elle lors de l'exécution ?
1. Modifiez les [paramètres d'expiration.](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html)
1. Les performances de votre fonction sont-elles limitées par des pics d'activité et la simultanéité ?
1. Configurez les [paramètres de simultanéité](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html) pour répondre à vos besoins de performance.
1. Votre fonction s'exécute-t-elle de manière asynchrone et échoue-t-elle lors des tentatives ?
1. Configurez l'ancienneté maximale de l'événement et la limite maximale de nouvelles tentatives dans les [paramètres de configuration](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html) asynchrone.
## Niveau d'effort du plan d'implémentation :
Pour respecter cette bonne pratique, vous devez connaître vos caractéristiques et métriques de calcul actuelles. La collecte de ces métriques, l'établissement d'un point de référence, puis l'utilisation de ces métriques pour identifier l'option de calcul idéale indique un niveau d'effort *faible* to *modéré* . La validation par des tests de charge et des expérimentations est conseillée.
## Ressources
**Documents connexes :**
+ [Calcul sur le cloud avec AWS ](https://aws.amazon.com/products/compute/?ref=wellarchitected)
+ [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)
+ [Types d'instances EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html?ref=wellarchitected)
+ [Contrôle de l'état du processeur pour votre instance EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/processor_state_control.html?ref=wellarchitected)
+ [Conteneurs EKS : nœuds de travail EKS ](https://docs.aws.amazon.com/eks/latest/userguide/worker.html?ref=wellarchitected)
+ [Conteneurs Amazon ECS : instances de conteneur Amazon Amazon ECS ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ECS_instances.html?ref=wellarchitected)
+ [Fonctions : configuration des fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html?ref=wellarchitected#function-configuration)
**Vidéos connexes :**
+ [Amazon EC2 foundations (CMP211-R2) ](https://www.youtube.com/watch?v=kMMybKqC2Y0&ref=wellarchitected)
+ [Powering next-gen Amazon EC2: Deep dive into the Nitro system ](https://www.youtube.com/watch?v=rUY-00yFlE4&ref=wellarchitected)
+ [Optimize performance and cost for your AWS compute (CMP323-R1) ](https://www.youtube.com/watch?v=zt6jYJLK8sg&ref=wellarchitected)
**Exemples connexes :**
+ [Dimensionnement avec Compute Optimizer et activation de l'utilisation de la mémoire](https://www.wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/5_ec2_computer_opt/)
+ [Code de démonstration Optimiseur de calcul AWS](https://github.com/awslabs/ec2-spot-labs/tree/master/aws-compute-optimizer)
# PERF02-BP03 Collecter les métriques liées au calcul
Pour comprendre les performances de vos systèmes de calcul, vous devez enregistrer et suivre l'utilisation de divers systèmes. Ces données peuvent être utilisées pour évaluer les besoins en ressources avec plus de précision.
Les charges de travail peuvent générer de gros volumes de données telles que des métriques, des journaux et des événements. Déterminez si votre service de stockage, de surveillance et d'observabilité existant peut gérer les données générées. Identifiez les métriques qui reflètent l'utilisation des ressources et qui peuvent être collectées, agrégées et corrélées sur une seule plateforme. Ces mesures devraient représenter toutes vos ressources de charge de travail, applications et services, afin que vous ayez une visibilité optimale à l'échelle du système et que vous puissiez identifier rapidement les améliorations possibles des performances et les problèmes.
**Résultat souhaité :** Toutes les métriques relatives aux ressources liées au calcul sont identifiées, collectées, agrégées et corrélées sur une plateforme unique avec la mise en œuvre de la rétention afin de soutenir les objectifs de coût et opérationnels.
**Anti-modèles courants :**
+ Vous utilisez uniquement la recherche manuelle des fichiers journaux pour les métriques.
+ Vous publiez des métriques uniquement dans des outils internes.
+ Vous n'utilisez que les métriques par défaut enregistrées par le logiciel de surveillance que vous avez sélectionné.
+ Vous n'examinez les métriques qu'en cas de problème.
**Avantages liés au respect de cette bonne pratique :** L'enregistrement de plusieurs métriques de performance sur une période donnée est nécessaire pour la surveillance des performances de vos charges de travail. Ces métriques permettent de détecter les anomalies de performances. Elles vous aident également à comparer les performances par rapport aux métriques de l'entreprise pour vous assurer que vous répondez aux besoins de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Identifiez, collectez, agrégez et corrélez les métriques liées au calcul. L'utilisation d'un service comme Amazon CloudWatch peut accélérer la mise en œuvre et en faciliter la gestion. En plus des métriques par défaut enregistrées, identifiez et suivez des métriques supplémentaires au niveau du système dans votre charge de travail. Enregistrez des données telles que l'utilisation du processeur, la mémoire, les E/S de disque et les métriques entrantes et sortantes du réseau, pour obtenir des informations sur les niveaux d'utilisation ou les goulets d'étranglement. Ces données sont essentielles pour comprendre à la fois les performances de la charge de travail et l'utilisation de la solution de calcul. Utilisez ces métriques dans le cadre d'une approche fondée sur les données pour ajuster activement et optimiser les ressources de votre charge de travail.
**Étapes d'implémentation :**
1. Quelles sont les métriques de la solution de calcul à suivre ?
1. [Métriques EC2 par défaut](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html)
1. [Métriques Amazon ECS par défaut](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-metrics.html)
1. [Métriques EKS par défaut](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/kubernetes-eks-metrics.html)
1. [Métriques Lambda par défaut](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-functions-access-metrics.html)
1. [Métriques de mémoire et de disque EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html)
1. Une solution de journalisation et de surveillance approuvée est-elle actuellement à ma disposition ?
1. [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
1. [AWS Distro for OpenTelemetry](https://aws.amazon.com/otel/)
1. [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/grafana/latest/userguide/prometheus-data-source.html)
1. Est-ce que j'ai identifié et configuré mes politiques de conservation des données pour qu'elles correspondent à mes objectifs de sécurité et d'exploitation ?
1. [Métriques de conservation des données pour CloudWatch](https://aws.amazon.com/cloudwatch/faqs/#AWS_resource_.26_custom_metrics_monitoring)
1. [Conservation des données pour CloudWatch Logs](https://aws.amazon.com/cloudwatch/faqs/#Log_management)
1. Comment déployez-vous vos agents d'agrégation de métriques et de journaux ?
1. [Automatisation AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html?ref=wellarchitected)
1. [Collecteur OpenTelemetry](https://aws-otel.github.io/docs/getting-started/collector)
**Niveau d'effort du plan d'implémentation : **Il existe un niveau d'effort *moyen* pour identifier, suivre, collecter, agréger et corréler les métriques de toutes les ressources de calcul.
## Ressources
**Documents connexes :**
+ [Documentation Amazon CloudWatch](https://docs.aws.amazon.com/cloudwatch/index.html?ref=wellarchitected)
+ [Collecte des métriques et des journaux des instances Amazon EC2 et serveurs sur site avec l'agent CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html?ref=wellarchitected)
+ [Accès à Amazon CloudWatch Logs pour AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-functions-logs.html?ref=wellarchitected)
+ [Utiliser CloudWatch Logs avec des instances de conteneur](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_cloudwatch_logs.html?ref=wellarchitected)
+ [Publier des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html?ref=wellarchitected)
+ [AWS Answers : journalisation centralisée](https://aws.amazon.com/answers/logging/centralized-logging/?ref=wellarchitected)
+ [Services AWS publiant des métriques CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CW_Support_For_AWS.html?ref=wellarchitected)
+ [Surveillance d'Amazon EKS sur AWS Fargate](https://aws.amazon.com/blogs/containers/monitoring-amazon-eks-on-aws-fargate-using-prometheus-and-grafana/)
**Vidéos connexes :**
+ [Application Performance Management on AWS](https://www.youtube.com/watch?v=5T4stR-HFas&ref=wellarchitected)
+ [Élaborer un plan de surveillance](https://www.youtube.com/watch?v=OMmiGETJpfU&ref=wellarchitected)
**Exemples connexes :**
+ [Niveau 100 : surveillance avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_with_cloudwatch_dashboards/)
+ [Niveau 100 : surveillance d'une instance Windows EC2 avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_windows_ec2_cloudwatch/)
+ [Niveau 100 : surveillance d'une instance Amazon Linux EC2 avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_linux_ec2_cloudwatch/)
# PERF02-BP04 Déterminer la configuration requise grâce au dimensionnement
Analysez les différentes caractéristiques de performances de votre charge de travail et la façon dont ces caractéristiques se rapportent à la mémoire, au réseau, aux entrées/sorties (E/S) et à l'utilisation du processeur. Utilisez ces données pour choisir les ressources qui correspondent le mieux au profil de votre charge de travail. Par exemple, une charge de travail gourmande en mémoire comme une base de données peut bénéficier d'un ratio mémoire/cœur plus élevé. Cependant, une charge de travail à forte intensité de calcul peut nécessiter un nombre et une fréquence de cœurs plus élevés, mais peut se contenter d'une quantité de mémoire par cœur plus faible.
**Anti-modèles courants :**
+ Vous choisissez une instance présentant les valeurs les plus élevées parmi toutes les caractéristiques de performance disponibles pour toutes les charges de travail.
+ Vous standardisez tous les types d'instances en un seul type pour une gestion aisée.
+ Vous optimisez par rapport à des repères synthétiques standard sans valider les exigences réelles d'une charge de travail particulière.
+ Vous conservez la même infrastructure pendant une longue période sans réévaluer et intégrer de nouvelles offres.
**Avantages liés au respect de cette bonne pratique :** lorsque vous connaissez les exigences de votre charge de travail, vous pouvez comparer ces besoins avec les offres de calcul disponibles et expérimenter rapidement pour déterminer celles qui répondent le plus efficacement aux besoins de votre charge de travail. Cela permet d'obtenir des performances optimales sans avoir à payer trop cher pour des ressources superflues.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Modification de la configuration de votre charge de travail et choix de la bonne taille. Pour optimiser les performances, l'efficacité globale et la rentabilité, déterminez d'abord les ressources dont votre charge de travail a besoin. Choisissez des instances optimisées pour la mémoire, comme la famille d'instances R, pour les charges de travail gourmandes en mémoire, comme une base de données. Pour les charges de travail qui nécessitent une capacité de calcul plus élevée, choisissez la famille d'instances C, ou choisissez des instances avec un nombre de cœurs plus élevé ou une fréquence de cœurs plus élevée. Choisissez les performances d'E/S en fonction des besoins de votre charge de travail au lieu de les comparer à des repères synthétiques standard. Pour des performances d'E/S plus élevées, choisissez des instances de la famille d'instances I, [sélectionnez des volumes Amazon EBS optimisés pour les E/S](https://aws.amazon.com/premiumsupport/knowledge-center/optimize-ebs-provisioned-iops/) ou choisissez des instances avec le [stockage d'instances](https://aws.amazon.com/premiumsupport/knowledge-center/instance-store-vs-ebs/). Pour obtenir plus de détails sur les types d'instance particuliers, consultez les [types d'instance Amazon EC2](https://aws.amazon.com/ec2/instance-types/).
Le dimensionnement correct permet de vérifier que vos charges de travail sont aussi performantes que possible, sans payer trop cher pour des ressources superflues.
**Étapes d'implémentation**
+ Apprenez à connaître votre charge de travail ou analysez ses besoins en ressources.
+ Évaluez les charges de travail séparément. Le AWS Cloud vous donne la souplesse et l'agilité nécessaires pour adapter chaque charge de travail à ses besoins sans devoir faire de compromis.
+ Créez des environnements de test pour trouver la meilleure adéquation entre les offres de calcul et votre charge de travail.
+ Réévaluez en permanence les nouvelles offres de calcul et comparez-les aux besoins de votre charge de travail.
+ Passez régulièrement en revue les nouvelles offres de services afin d'obtenir un meilleur rapport qualité-prix.
+ Procédez régulièrement à des examens du cadre Well-Architected.
## Ressources
**Bonnes pratiques associées :**
+ [PERF02-BP03 Collecter les métriques liées au calcul](perf_select_compute_collect_metrics.md)
+ [PERF02-BP06 Évaluez continuellement les besoins de calcul en fonction des métriques.](perf_select_compute_use_metrics.md)
**Documents connexes :**
+ [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)
+ [Calcul sur le cloud avec AWS](https://aws.amazon.com/products/compute/)
+ [Types d'instance Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
+ [Conteneurs Amazon ECS : instances de conteneur Amazon Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ECS_instances.html)
+ [Conteneurs Amazon EKS : nœuds de travail Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/worker.html)
+ [Fonctions : configuration des fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html#function-configuration)
**Vidéos connexes :**
+ [Amazon EC2 foundations (CMP211-R2)](https://www.youtube.com/watch?v=kMMybKqC2Y0)
+ [Un calcul de meilleure qualité, plus rapide et moins cher : rentabiliser Amazon EC2 (CMP202-R1)](https://www.youtube.com/watch?v=_dvh4P2FVbw)
+ [Deliver high performance ML inference with AWS Inferentia (CMP324-R1)](https://www.youtube.com/watch?v=17r1EapAxpk)
+ [Optimize performance and cost for your AWS compute (CMP323-R1)](https://www.youtube.com/watch?v=zt6jYJLK8sg)
+ [Powering next-gen Amazon EC2: Deep dive into the Nitro system](https://www.youtube.com/watch?v=rUY-00yFlE4)
+ [Comment choisir l'option de calcul pour les startups](https://aws.amazon.com/startups/start-building/how-to-choose-compute-option/)
+ [Optimize performance and cost for your AWS compute (CMP323-R1)](https://www.youtube.com/watch?v=zt6jYJLK8sg)
**Exemples connexes :**
+ [Dimensionnement avec Compute Optimizer et activation de l'utilisation de la mémoire](https://www.wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/5_ec2_computer_opt/)
+ [Code de démonstration Optimiseur de calcul AWS](https://github.com/awslabs/ec2-spot-labs/tree/master/aws-compute-optimizer)
# PERF02-BP05 Utiliser l'élasticité des ressources disponible
Le cloud vous apporte la flexibilité dont vous avez besoin pour développer et réduire vos ressources de manière dynamique via une grande variété de mécanismes afin de répondre aux fluctuations de la demande. En combinant cette élasticité avec des métriques liées au calcul, une charge de travail peut réagir automatiquement aux modifications pour utiliser uniquement les ressources dont elle a besoin.
**Anti-modèles courants :**
+ Vous surprovisionnez pour couvrir les pics éventuels.
+ Vous réagissez aux alertes en augmentant manuellement la capacité.
+ Vous augmentez la capacité sans tenir compte du temps de provisionnement.
+ Vous conservez une capacité accrue après un événement de mise à l'échelle au lieu de la réduire.
+ Vous surveillez des métriques qui ne reflètent pas directement les besoins réels de vos charges de travail.
**Avantages liés au respect de cette bonne pratique :** la demande peut être fixe, variable, suivre un modèle ou être irrégulière. En faisant correspondre l'offre à la demande, on obtient le coût le plus bas pour une charge de travail. La surveillance, le test et la configuration de l'élasticité de la charge de travail permettent d'optimiser les performances, de réaliser des économies et d'améliorer la fiabilité en fonction de l'évolution des besoins. Bien qu'une approche manuelle soit possible, elle est peu pratique à grande échelle. Une approche automatisée et fondée sur des métriques garantit que les ressources répondent aux demandes et à tout moment.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
L'automatisation basée sur des métriques doit être utilisée pour tirer parti de l'élasticité, l'objectif étant que l'offre de ressources dont vous disposez corresponde à la demande de ressources dont votre charge de travail a besoin. Par exemple, vous pouvez utiliser des [métriques Amazon CloudWatch pour surveiller vos ressources](https://aws.amazon.com/startups/start-building/how-to-monitor-resources/), ou utiliser des métriques Amazon CloudWatch pour vos groupes Auto Scaling.
En prenant en compte les métriques liées au calcul, vous pouvez faire en sorte qu'une charge de travail réagisse automatiquement à ces fluctuations et utilise les ressources optimales pour atteindre son objectif. Vous devez également prévoir le temps de provisionnement et les pannes potentielles des ressources.
Les instances, les conteneurs et les fonctions fournissent des mécanismes d'élasticité, soit en tant que caractéristique du service, sous la forme de [Application Auto Scaling](https://aws.amazon.com/autoscaling/), soit en combinaison avec [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html). Utilisez l'élasticité dans votre architecture pour vérifier que vous disposez d'une capacité suffisante pour répondre aux exigences de performance à une grande variété d'échelles d'utilisation.
Validez vos métriques pour l'augmentation ou la diminution des ressources élastiques par rapport au type de charge de travail déployée. Par exemple, si vous déployez une application de transcodage vidéo, une utilisation de 100 % du processeur est attendue. N'en faites pas votre métrique principale. Une alternative consiste à mesurer la longueur de la file d'attente des tâches de transcodage en attente pour mettre à l'échelle vos types d'instances.
Les déploiements de charges de travail doivent gérer les événements d'augmentation et de réduction. Il est aussi essentiel de diminuer les composants de charges de travail en toute sécurité que d'augmenter les ressources lorsque la demande l'exige.
Créez des scénarios de test pour les événements de mise à l'échelle afin de vérifier que la charge de travail se comporte comme prévu.
**Étapes d'implémentation**
+ Exploitez les données historiques pour analyser les demandes de ressources de votre charge de travail au fil du temps. Posez des questions spécifiques telles que les suivantes :
+ Votre charge de travail est-elle régulière et augmente-t-elle au fil du temps à un rythme connu ?
+ Votre charge de travail augmente-t-elle et diminue-t-elle selon des schémas saisonniers et répétables ?
+ Votre charge de travail est-elle irrégulière ? Les pics peuvent-ils être anticipés ou prédits ?
+ Exploitez autant que possible les services de surveillance et les données historiques.
+ Le balisage des ressources peut faciliter le suivi. Lorsque vous utilisez des balises, consultez les [bonnes pratiques en matière de balisage](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). De plus, [les balises peuvent vous aider à gérer, identifier et organiser les ressources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html).
+ Dans AWS, vous pouvez utiliser plusieurs approches pour adapter l'offre à la demande. Les bonnes pratiques du pilier d'optimisation des coûts ([COST09-BP01 à COST09-03](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/manage-demand-and-supply-resources.html)) décrivent comment utiliser les approches suivantes en matière de coûts :
+ [COST09-BP01 Effectuer une analyse de la demande de charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/cost_manage_demand_resources_cost_analysis.html)
+ [COST09-BP02 Mettre en œuvre une mémoire tampon ou une limitation pour gérer la demande](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/cost_manage_demand_resources_buffer_throttle.html)
+ [COST09-BP03 Fournir dynamiquement les ressources](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/cost_manage_demand_resources_dynamic.html)
+ Créez des scénarios de test pour les événements de diminution de la charge de travail afin de vérifier que cette dernière se comporte comme prévu.
+ La plupart des instances non liées à la production devraient être arrêtées lorsqu'elles ne sont pas utilisées.
+ Pour les besoins de stockage lors de l'utilisation de Amazon Elastic Block Store (Amazon EBS), profitez de l'[élasticité basée sur le volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modify-volume.html).
+ Pour [Amazon Elastic Compute Cloud (Amazon EC2)](https://aws.amazon.com/ec2/), envisagez d'utiliser [des groupes Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-groups.html), qui vous permettent d'optimiser les performances et les coûts en augmentant automatiquement le nombre d'instances de calcul lors des pics de demande et en réduisant la capacité lorsque la demande diminue.
## Ressources
**Bonnes pratiques associées :**
+ [PERF02-BP03 Collecter les métriques liées au calcul](perf_select_compute_collect_metrics.md)
+ [PERF02-BP04 Déterminer la configuration requise grâce au dimensionnement](perf_select_compute_right_sizing.md)
+ [PERF02-BP06 Évaluez continuellement les besoins de calcul en fonction des métriques.](perf_select_compute_use_metrics.md)
**Documents connexes :**
+ [Calcul sur le cloud avec AWS](https://aws.amazon.com/products/compute/)
+ [Types d'instance Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
+ [Conteneurs Amazon ECS : instances de conteneur Amazon Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ECS_instances.html)
+ [Conteneurs Amazon EKS : nœuds de travail Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/worker.html)
+ [Fonctions : configuration des fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html#function-configuration)
**Vidéos connexes :**
+ [Amazon EC2 foundations (CMP211-R2)](https://www.youtube.com/watch?v=kMMybKqC2Y0)
+ [Un calcul de meilleure qualité, plus rapide et moins cher : rentabiliser Amazon EC2 (CMP202-R1)](https://www.youtube.com/watch?v=_dvh4P2FVbw)
+ [Deliver high performance ML inference with AWS Inferentia (CMP324-R1)](https://www.youtube.com/watch?v=17r1EapAxpk)
+ [Optimize performance and cost for your AWS compute (CMP323-R1)](https://www.youtube.com/watch?v=zt6jYJLK8sg)
+ [Powering next-gen Amazon EC2: Deep dive into the Nitro system](https://www.youtube.com/watch?v=rUY-00yFlE4)
**Exemples connexes :**
+ [Exemples de groupes Amazon EC2 Auto Scaling](https://github.com/aws-samples/amazon-ec2-auto-scaling-group-examples)
+ [Tutoriels Amazon EFS](https://github.com/aws-samples/amazon-efs-tutorial)
# PERF02-BP06 Évaluez continuellement les besoins de calcul en fonction des métriques.
Utilisez une approche orientée données pour évaluer et optimiser continuellement les ressources de calcul pour votre charge de travail au fil du temps.
**Résultat souhaité :** utiliser des métriques de niveau système pour surveiller activement le comportement et les configurations requises de votre charge de travail au fil du temps. Évaluez les exigences de votre charge de travail par rapport aux ressources disponibles sur la base des données collectées, et apportez des modifications à votre environnement de calcul pour qu'il corresponde au mieux au profil de votre charge de travail. Par exemple, on peut observer au fil du temps qu'une charge de travail est plus gourmande en mémoire que ce qui avait été spécifié au départ, de sorte que le passage à une famille d'instances ou à une taille différente peut améliorer les performances et l'efficacité.
**Anti-modèles courants :**
+ Surveiller des métriques au niveau du système pour avoir une idée de votre charge de travail et ne pas réévaluer les besoins en calcul.
+ Vous concevez l'architecture de vos besoins de calcul de sorte à répondre aux pics de charges de travail.
+ Surdimensionnez la solution de calcul existante pour répondre aux exigences de mise à l'échelle ou de performance lorsque le passage à une solution de calcul alternative correspondrait mieux aux caractéristiques de votre charge de travail.
**Avantages liés au respect de cette bonne pratique :** des ressources informatiques optimisées en fonction des données du monde réel et de l'équilibre que vous souhaitez entre coût et performance.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Utilisez une approche orientée données pour optimiser les ressources informatiques en fonction du comportement observé de la charge de travail. Pour des performances et une efficacité maximales, utilisez les données historiques recueillies à partir de votre charge de travail afin de continuellement ajuster et optimiser vos ressources. Examinez les tendances de l'utilisation des ressources actuelles par votre charge de travail et identifiez le niveau auquel vous pouvez apporter des modifications afin de mieux répondre aux besoins de votre charge de travail. Lorsque les ressources sont sur-engagées, les performances du système se dégradent, et lorsque les ressources ne sont pas utilisées de manière adéquate, le système fonctionne moins efficacement et à un coût plus élevé.
Pour optimiser les performances et l'utilisation des ressources, vous avez besoin d'une vue opérationnelle unifiée, de données granulaires en temps réel et d'une référence historique. Vous pouvez créer des tableaux de bord automatisés pour visualiser ces données et en tirer des informations sur les opérations et l'utilisation.
**Étapes d'implémentation**
1. Collectez les métriques de calcul au fil du temps.
1. Comparez les métriques de la charge de travail aux ressources disponibles dans la solution de calcul que vous avez choisie.
1. Déterminez les changements de configuration nécessaires en redimensionnant la solution existante ou en évaluant d'autres solutions de calcul.
## Ressources
**Bonnes pratiques associées :**
+ [PERF02-BP01 Évaluer les options de calcul disponible](perf_select_compute_evaluate_options.md)
+ [PERF02-BP02 Comprendre les options de configuration de calcul disponibles](perf_select_compute_config_options.md)
+ [PERF02-BP03 Collecter les métriques liées au calcul](perf_select_compute_collect_metrics.md)
+ [PERF02-BP04 Déterminer la configuration requise grâce au dimensionnement](perf_select_compute_right_sizing.md)
**Documents connexes :**
+ [Calcul sur le cloud avec AWS](https://aws.amazon.com/products/compute/?ref=wellarchitected)
+ [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)
+ [Types d'instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
+ [Conteneurs Amazon ECS : instances de conteneur Amazon Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ECS_instances.html)
+ [Conteneurs Amazon EKS : nœuds de travail Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/worker.html)
+ [ Bonnes pratiques d'utilisation des fonctions AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html#function-configuration)
**Vidéos connexes :**
+ [Amazon EC2 foundations (CMP211-R2)](https://www.youtube.com/watch?v=kMMybKqC2Y0)
+ [Un calcul de meilleure qualité, plus rapide et moins cher : rentabiliser Amazon EC2 (CMP202-R1)](https://www.youtube.com/watch?v=_dvh4P2FVbw)
+ [Deliver high performance ML inference with AWS Inferentia (CMP324-R1)](https://www.youtube.com/watch?v=17r1EapAxpk)
+ [Optimize performance and cost for your AWS compute (CMP323-R1)](https://www.youtube.com/watch?v=zt6jYJLK8sg)
+ [Powering next-gen Amazon EC2: Deep dive into the Nitro system](https://www.youtube.com/watch?v=rUY-00yFlE4)
+ [ Selecting and optimizing Amazon EC2 instances ](https://www.youtube.com/watch?v=Vz0HZ6hlpgM) (Sélection et optimisation des instances Amazon EC2)
**Exemples connexes :**
+ [Dimensionnement avec Compute Optimizer et activation de l'utilisation de la mémoire](https://www.wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/5_ec2_computer_opt/)
+ [Code de démonstration Optimiseur de calcul AWS](https://github.com/awslabs/ec2-spot-labs/tree/master/aws-compute-optimizer)
# PERF 3 Comment sélectionner votre solution de stockage ?
La solution de stockage optimale pour un système varie en fonction du type de méthode d'accès (bloc, fichier ou objet), des modèles d'accès (aléatoire ou séquentiel), du débit requis, de la fréquence d'accès (en ligne, hors ligne, l'archivage), de la fréquence de mise à jour (WORM, dynamique), et de la disponibilité et la durabilité des contraintes. Les systèmes bien architecturés utilisent plusieurs solutions de stockage et autorisent différentes fonctions pour améliorer les performances et utiliser efficacement les ressources.
**Topics**
+ [PERF03-BP01 Comprendre les exigences et les caractéristiques de stockage](perf_right_storage_solution_understand_char.md)
+ [PERF03-BP02 Évaluer les options de configuration disponibles](perf_right_storage_solution_evaluated_options.md)
+ [PERF03-BP03 Prendre des décisions sur la base des métriques et des modèles d'accès](perf_right_storage_solution_optimize_patterns.md)
# PERF03-BP01 Comprendre les exigences et les caractéristiques de stockage
Identifiez et documentez les besoins en stockage de la charge de travail et définissez les caractéristiques de stockage de chaque emplacement. Les exemples de caractéristiques de stockage incluent : le partage d'accès, la taille des fichiers, le taux de croissance, le débit, les IOPS, la latence, les modèles d'accès et la persistance des données. Utilisez ces caractéristiques pour évaluer si les services de stockage par blocs, de fichiers, d'objets ou d'instances sont les solutions les plus efficaces pour vos besoins en stockage.
**Résultat souhaité :** Identifiez et documentez les exigences en stockage par exigence de stockage et évaluez les solutions de stockage disponibles. En se basant sur les principales caractéristiques de stockage, votre équipe comprendra en quoi les services de stockage sélectionnés sont avantageux pour les performances de vos charge de travail. Les critères clés incluent les modèles d'accès aux données, le taux de croissance, les besoins de mise à l'échelle et les exigences de latence.
**Anti-modèles courants :**
+ Vous n'utilisez qu'un seul type de stockage, comme Amazon Elastic Block Store (Amazon EBS), pour toutes les charges de travail.
+ Vous supposez que toutes les charges de travail ont des exigences de performances d'accès au stockage similaires.
**Avantages liés au respect de cette bonne pratique :** le fait de sélectionner la solution de stockage en fonction des caractéristiques identifiées et requises permettra d'améliorer les performances de vos charges de travail, de baisser les coûts et de réduire vos efforts opérationnels pour maintenir vos charges de travail. Les performances de vos charges de travail profiteront de la solution, de la configuration et de l'emplacement du service de stockage.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Identifiez les métriques de performances de stockage les plus importantes de votre charge de travail et utilisez la définition de points de référence et les tests de charge pour implémenter des améliorations dans le cadre d'une approche axée sur les données. Utilisez ces données pour identifier les limites de votre solution de stockage et examinez les options de configuration pour améliorer la solution. Déterminez le taux de développement attendu pour votre charge de travail et choisissez une solution de stockage qui sera en adéquation avec ce taux. Examinez les offres de stockage AWS et identifiez la solution de stockage appropriée pour vos diverses charges de travail. La mise en service des solutions de stockage dans AWS augmente vos chances de tester les offres de stockage et de déterminer si elles sont adaptées aux besoins de vos charges de travail.
| Service AWS | Principales caractéristiques | Cas d'utilisation courants |
| --- | --- | --- |
| Amazon S3 | 99,999999999 % de durabilité, croissance illimitée, accessible de n'importe où, plusieurs modèles de coûts basés sur l'accès et la résilience | Données d'application natives cloud, archivage de données, sauvegardes, analytique, lacs de données, hébergement de sites web statiques, données IoT |
| Amazon Glacier | Latence de quelques secondes à plusieurs heures, croissance illimitée, coût le plus bas, stockage à long terme | Archivage des données, archives multimédia, conservation longue durée des sauvegardes. |
| Amazon EBS | Taille de stockage nécessitant gestion et surveillance, faible latence, stockage persistant, 99,8 % à 99,9 % de durabilité, majorité des types de volumes accessibles uniquement à partir d'une instance EC2. | Applications de logiciel commercial, applications nécessitant des entrées/sorties importantes, bases de données relationnelles et NoSQL, sauvegarde et restauration |
| Stockage d'instances EC2 | Taille de stockage prédéterminée, faible latence, stockage pas conservé, accessible uniquement à partir d'une instance EC2 | Applications de logiciel commercial, applications nécessitant des entrées/sorties importantes, stockage de données en mémoire |
| Amazon EFS | 99,999999999 % de durabilité, croissance illimitée, accessible de plusieurs services de calcul | Applications modernisées partageant des fichiers sur plusieurs services de calcul, stockage de fichiers pour la mise à l'échelle des systèmes de gestion de contenu |
| Amazon FSx | Prise en charge de quatre systèmes de fichiers (NetApp, OpenZFS, Windows File Server et Amazon FSx for Lustre), différents stockages disponibles par système de fichiers, accessible par plusieurs services de calcul | Charges de travail natives cloud, private cloud bursting, charges de travail migrées exigeant un système de fichiers spécifique, VMC, systèmes ERP, stockage et sauvegardes de fichiers sur site |
| Snow Family | Appareils portables, chiffrement de 256 bits, point de terminaison NFS, calcul intégré, To de stockage | Migration des données vers le cloud, stockage et calcul dans des conditions sur site extrêmes, reprise après sinistre, collecte de données distante |
| AWS Storage Gateway | Accès sur site à faible latence au stockage sauvegardé sur le cloud, cache sur site entièrement géré | Migrations des données sur site vers le cloud, remplissage des lacs de données cloud à partir des sources sur site, partage de fichiers modernisé. |
**Étapes d'implémentation :**
1. Utiliser le benchmarking ou charger des tests pour récupérer les principales caractéristiques de vos besoins en stockage. Les principales caractéristiques incluent :
1. Partage de stockage (quels composants accèdent à ce stockage)
1. Taux de croissance
1. débit
1. Latence
1. Taille d'E/S
1. Durabilité
1. Modèles d'accès (lectures ou écritures, fréquence, pics de charge ou cohérence)
1. Identifier le type de solution de stockage capable de prendre en charge vos caractéristiques de stockage.
1. [Amazon S3](https://aws.amazon.com/s3/) est un service de stockage d'objets avec une capacité de mise à l'échelle illimitée, une haute disponibilité et plusieurs options d'accessibilité. Pour transférer des objets et accéder à des objets dans et en dehors d'Amazon S3, utilisez un service, tel que [Transfer Acceleration](https://aws.amazon.com/s3/transfer-acceleration/) ou [Points d'accès](https://aws.amazon.com/s3/features/access-points/) pour prendre en charge votre emplacement, vos besoins en sécurité et les modèles d'accès. Utilisez la boîte à outils [recommandations de performances Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance-guidelines.html) pour vous aider à optimiser votre configuration Amazon S3 afin de répondre aux besoins de performances de vos charges de travail.
1. [Amazon Glacier](https://aws.amazon.com/s3/storage-classes/glacier/) est une classe de stockage d'Amazon S3 créée pour l'archivage de données. Choisissez parmi trois solutions d'archivage allant d'un accès en quelques millisecondes à un accès de 5 à 12 heures avec différentes options de coût et de sécurité. Amazon Glacier peut vous aider à répondre à vos exigences de performances en implémentant un cycle de vie des données capable de prendre en charge vos exigences métier et les caractéristiques des données.
1. [Amazon Elastic Block Store (Amazon EBS)](https://aws.amazon.com/ebs/) est un service de stockage par blocs hautes performances conçu pour Amazon Elastic Compute Cloud (Amazon EC2). Choisissez parmi des solutions [basées sur SSD ou HDD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html) avec différentes caractéristiques qui donnent la priorité aux [IOPS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/provisioned-iops.html) ou [au débit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hdd-vols.html). Les volumes EBS sont parfaitement bien adaptés aux charges de travail hautes performances, au stockage primaire pour les systèmes de fichiers, les bases de données ou les applications pouvant uniquement accéder aux systèmes en état attaché.
1. [Stockage d'instances Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html) est semblable à Amazon EBS, car il s'attache à une instance Amazon EC2. Toutefois, le stockage d'instances est seulement un stockage temporaire qui devrait idéalement être utilisé comme tampon, cache ou autre contenu temporaire. Vous ne pouvez pas détacher un stockage d'instances, car toutes vos données seront perdues si l'instance s'arrête. Les stockages d'instances peuvent être utilisés pour les performances d'E/S élevées et les cas d'utilisation de faible latence dans lesquels les données ne doivent pas être conservées.
1. [Amazon Elastic File System (Amazon EFS)](https://aws.amazon.com/efs/) est un système de fichiers montable accessible par plusieurs types de solutions de calcul. Amazon EFS augmente et diminue automatiquement et est optimisé pour fournir de faibles latences. EFS offre [deux modes de configuration de performances](https://docs.aws.amazon.com/efs/latest/ug/performance.html) : polyvalent et E/S max. Le mode Polyvalent possède une latence de lecture inférieure à une milliseconde et une latence d'écriture de moins de 10 millisecondes. La fonctionnalité E/S max peut prendre en charge des milliers d'instances de calcul exigeant un système de fichiers partagé. Amazon EFS prend en charge [deux modes de débit](https://docs.aws.amazon.com/efs/latest/ug/managing-throughput.html) : en rafales et alloué. Une charge de travail connaissant un modèle de pic d'accès profitera du mode de débit en rafales, tandis qu'une charge de travail constamment élevée sera performante avec un mode de débit alloué.
1. [Amazon FSx](https://aws.amazon.com/fsx/) est basé sur les dernières solutions de calcul AWS pour prendre en charge quatre systèmes de fichiers fréquemment utilisés : NetApp ONTAP, OpenZFS, Windows File Serve et Lustre. [La latence, le débit et les IOPS Amazon FSx](https://aws.amazon.com/fsx/when-to-choose-fsx/) varient par système de fichiers et doivent être pris en compte lorsque vous sélectionnez le système de fichiers adapté aux besoins de vos charges de travail.
1. [AWS Snow Family](https://aws.amazon.com/snow/) sont des appareils de stockage et de calcul prenant en charge la migration des données en ligne et hors ligne vers le cloud ainsi que le stockage des données et le calcul sur site. Les appareils AWS Snow prennent en charge la collecte de grands volumes de données sur site, le traitement de ces données et la migration des données vers le cloud. Il existe plusieurs [bonnes pratiques documentées sur les performances](https://docs.aws.amazon.com/snowball/latest/developer-guide/performance.html) en matière de nombre de fichiers, de tailles de fichiers et de compression.
1. [AWS Storage Gateway](https://aws.amazon.com/storagegateway/) fournit aux applications sur site un accès au stockage basé sur le cloud. AWS Storage Gateway prend en charge plusieurs services de stockage cloud dont Amazon S3, Amazon Glacier, Amazon FSx et Amazon EBS. Il prend en charge différents protocoles tels que iSCSI, SMB et NFS. Il fournit des performances de faible latence en mettant en cache sur site les données fréquemment lues et envoie uniquement les données modifiées et compressées vers AWS.
1. Après avoir testé votre nouvelle solution de stockage et identifié la configuration optimale, planifier votre migration et valider vos métriques de performance. Il s'agit d'un processus continu qui devrait être réévalué en cas de modification des principales caractéristiques ou des services et options disponibles.
**Niveau d'effort du plan d'implémentation : **Si une charge de travail passe d'une solution de stockage à une autre, il peut y avoir un niveau d'effort *modéré* lors de la refactorisation de l'application.
## Ressources
**Documents connexes :**
+ [Types de volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Stockage Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Storage.html)
+ [Amazon EFS : Amazon EFS Performance](https://docs.aws.amazon.com/efs/latest/ug/performance.html)
+ [Amazon FSx for Lustre Performance](https://docs.aws.amazon.com/fsx/latest/LustreGuide/performance.html)
+ [Amazon FSx for Windows File Server Performance](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/performance.html)
+ [Amazon FSx for NetApp ONTAP Performance](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/performance.html)
+ [Amazon FSx for OpenZFS Performance](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/performance.html)
+ [Amazon Glacier : documentation Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/introduction.html)
+ [Amazon S3 : directives en matière de débit de demandes et de performances](https://docs.aws.amazon.com/AmazonS3/latest/dev/request-rate-perf-considerations.html)
+ [Stockage cloud avec AWS](https://aws.amazon.com/products/storage/)
+ [AWS Snow Family](https://aws.amazon.com/snow/#Feature_comparison)
+ [Caractéristiques d'E/S EBS](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ebs-io-characteristics.html)
**Vidéos connexes :**
+ [Deep dive on Amazon EBS (STG303-R1)](https://www.youtube.com/watch?v=wsMWANWNoqQ)
+ [Optimize your storage performance with Amazon S3 (STG343)](https://www.youtube.com/watch?v=54AhwfME6wI)
**Exemples connexes :**
+ [Pilote CSI Amazon EFS](https://github.com/kubernetes-sigs/aws-efs-csi-driver)
+ [Pilote CSI Amazon EBS](https://github.com/kubernetes-sigs/aws-ebs-csi-driver)
+ [Utilitaires Amazon EFS](https://github.com/aws/efs-utils)
+ [Amazon EBS Autoscale](https://github.com/awslabs/amazon-ebs-autoscale)
+ [Exemples Amazon S3](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/s3-examples.html)
+ [Pilote d'interface de stockage de conteneur (CSI) Amazon FSx for Lustre](https://github.com/kubernetes-sigs/aws-fsx-csi-driver)
# PERF03-BP02 Évaluer les options de configuration disponibles
Évaluez les différentes caractéristiques, options de configuration, ainsi que leur impact sur le stockage. Comprenez où et comment utiliser les IOPS provisionnés, les disques SSD, le stockage magnétique, le stockage d'objets, le stockage d'archives ou le stockage éphémère pour optimiser l'espace de stockage et les performances de votre charge de travail.
[Amazon EBS](https://aws.amazon.com/ebs) propose un large éventail d'options qui permettent d'optimiser les performances de stockage et le coût de votre charge de travail. Ces options sont divisées en deux catégories principales : le stockage sur disque SSD pour les charges de travail transactionnelles, comme les bases de données et les volumes de démarrage (les performances dépendent principalement des IOPS) et le stockage sur disque dur pour les charges de travail à débit élevé comme MapReduce et le traitement des journaux (les performances dépendent principalement du débit en Mo/s).
Les volumes sur disque SSD comprennent les disques SSD à IOPS provisionnés offrant les plus hautes performances possible pour les charges de travail transactionnelles sensibles à la latence et des disques SSD à usage général qui offrent un bon rapport prix/performances pour un large éventail de données transactionnelles.
[Amazon S3 Transfer Acceleration](https://aws.amazon.com/s3/transfer-acceleration/) permet de transférer rapidement des fichiers sur de longues distances entre votre client et votre compartiment S3. Transfer Acceleration tire parti des emplacements périphériques répartis à l'international d'Amazon CloudFront afin d'acheminer les données sur un chemin de réseau optimisé. Pour une charge de travail dans un compartiment S3 avec des demandes GET intensives, utilisez Amazon S3 avec CloudFront. Lorsque vous chargez des fichiers volumineux, utilisez des chargements partitionnés, avec plusieurs parties chargées simultanément pour optimiser le débit réseau.
[Amazon Elastic File System (Amazon EFS)](https://aws.amazon.com/efs/) fournit un système de fichiers élastique entièrement géré, simple et évolutif en vue d'une utilisation avec des services AWS Cloud et des ressources sur site. Pour prendre en charge une grande variété de charges de travail de stockage dans le cloud, Amazon EFS propose deux modes de performances : le mode de performances à usage général et le mode de performances E/S maximales. Vous avez également le choix entre deux modes de débit pour votre système de fichiers : Débit en rafales et Débit alloué. Pour déterminer les paramètres à utiliser pour votre charge de travail, consultez le [Guide de l'utilisateur Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/performance.html).
[Amazon FSx](https://aws.amazon.com/fsx/) propose quatre systèmes de fichiers : [Amazon FSx for Windows File Server](https://aws.amazon.com/fsx/windows/) pour les charges de travail d'entreprise, [Amazon FSx for Lustre](https://aws.amazon.com/fsx/lustre/) pour les charges de travail hautes performances, [Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/index.html) pour le système de fichiers ONTAP populaire de NetApp et [Amazon FSx for OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html) pour les serveurs de fichiers basés sur Linux. FSx est basé sur SSD et est conçu pour fournir des performances rapides, prévisibles, évolutives et constantes. Les systèmes de fichiers Amazon FSx offrent des vitesses de lecture et d'écriture élevées et un accès cohérent aux données à faible latence. Vous pouvez choisir le niveau de débit dont vous avez besoin pour répondre aux besoins de votre charge de travail.
**Anti-modèles courants :**
+ Vous n'utilisez qu'un seul type de stockage (comme Amazon EBS) pour toutes les charges de travail.
+ Vous utilisez les IOPS provisionnées pour toutes les charges de travail sans effectuer de test en situation réelle sur tous les niveaux de stockage.
+ Vous supposez que toutes les charges de travail ont des exigences de performances d'accès au stockage similaires.
**Avantages liés au respect de cette bonne pratique :** L'évaluation de toutes les options de service de stockage peut réduire le coût de l'infrastructure et les efforts nécessaires pour maintenir vos charges de travail. Cela peut potentiellement accélérer votre délai de mise sur le marché pour ce qui concerne le déploiement de nouveaux services et fonctions.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Déterminer les caractéristiques de stockage : lorsque vous évaluez une solution de stockage, identifiez les caractéristiques dont vous avez besoin : possibilité de partage, taille des fichiers, taille de la mémoire cache, latence, débit et persistance des données. Faites ensuite correspondre vos exigences au service AWS le plus adapté à vos besoins.
## Ressources
**Documents connexes :**
+ [Stockage cloud avec AWS](https://aws.amazon.com/products/storage/?ref=wellarchitected)
+ [Types de volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Stockage Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Storage.html)
+ [Amazon EFS : Amazon EFS Performance](https://docs.aws.amazon.com/efs/latest/ug/performance.html)
+ [Amazon FSx for Lustre Performance](https://docs.aws.amazon.com/fsx/latest/LustreGuide/performance.html)
+ [Amazon FSx for Windows File Server Performance](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/performance.html)
+ [Amazon Glacier : documentation Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/introduction.html)
+ [Amazon S3 : directives en matière de débit de demandes et de performances](https://docs.aws.amazon.com/AmazonS3/latest/dev/request-rate-perf-considerations.html)
+ [Stockage cloud avec AWS](https://aws.amazon.com/products/storage/)
+ [Stockage cloud avec AWS](https://aws.amazon.com/products/storage/?ref=wellarchitected)
+ [Caractéristiques d'E/S EBS](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ebs-io-characteristics.html)
**Vidéos connexes :**
+ [Deep dive on Amazon EBS (STG303-R1)](https://www.youtube.com/watch?v=wsMWANWNoqQ)
+ [Optimize your storage performance with Amazon S3 (STG343)](https://www.youtube.com/watch?v=54AhwfME6wI)
**Exemples connexes :**
+ [Pilote CSI Amazon EFS](https://github.com/kubernetes-sigs/aws-efs-csi-driver)
+ [Pilote CSI Amazon EBS](https://github.com/kubernetes-sigs/aws-ebs-csi-driver)
+ [Utilitaires Amazon EFS](https://github.com/aws/efs-utils)
+ [Amazon EBS Autoscale](https://github.com/awslabs/amazon-ebs-autoscale)
+ [Exemples Amazon S3](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/s3-examples.html)
# PERF03-BP03 Prendre des décisions sur la base des métriques et des modèles d'accès
Choisissez des systèmes de stockage en fonction des modèles d'accès de votre charge de travail et configurez-les en identifiant la façon dont la charge de travail accède aux données. Augmentez l'efficacité du stockage en choisissant le stockage d'objets plutôt que le stockage par blocs. Configurez les options de stockage que vous choisissez en fonction de vos habitudes d'accès aux données.
La manière dont vous accédez aux données a un impact sur les performances de votre solution de stockage. Sélectionnez la solution de stockage qui correspond le mieux à vos modèles d'accès, ou modifiez vos modèles d'accès en fonction de la solution de stockage pour optimiser les performances.
La création d'une matrice RAID 0 permet d'obtenir un niveau de performances plus élevé pour un système de fichiers que sur un volume unique. Envisagez d'utiliser RAID 0 lorsque les performances d'E/S ont plus d'importance que la tolérance aux pannes. Par exemple, vous pouvez l'utiliser avec une base de données très sollicitée où la réplication de données est déjà configurée séparément.
Sélectionnez les métriques de stockage appropriées pour votre charge de travail dans toutes les solutions de stockage consommées pour la charge de travail. Lorsque vous utilisez des systèmes de fichiers qui utilisent des crédits en rafales, créez des alarmes pour vous avertir lorsque vous approchez de ces limites de crédits. Vous devez créer des tableaux de bord de stockage pour afficher l'état global du stockage de la charge de travail.
Pour les systèmes de stockage dont la taille est fixe, tels qu'Amazon EBS ou Amazon FSx, veillez à surveiller la quantité de stockage utilisée par rapport à la taille de stockage globale et créez une automatisation si possible pour augmenter la taille de stockage lorsque vous atteignez un seuil.
**Anti-modèles courants :**
+ Vous supposez que les performances de stockage sont adéquates si les clients ne se plaignent pas.
+ Vous n'utilisez qu'une seule offre de stockage, en supposant que toutes les charges de travail en font partie.
**Avantages liés au respect de cette bonne pratique :** Vous avez besoin d'une vue opérationnelle unifiée, de données granulaires en temps réel et d'une référence historique pour optimiser les performances et l'utilisation des ressources. Vous pouvez créer des tableaux de bord et des données automatiques avec une granularité d'une seconde pour effectuer des calculs de métriques sur vos données et obtenir des informations opérationnelles et d'utilisation pour vos besoins de stockage.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Optimiser l'utilisation de votre stockage et les modèles d'accès : choisissez des systèmes de stockage en fonction des modèles d'accès de votre charge de travail et des caractéristiques des options de stockage disponibles. Déterminez le meilleur emplacement pour stocker des données qui vous permettent de répondre à vos besoins tout en réduisant les frais généraux. Utilisez l'optimisation des performances et des modèles d'accès lors de la configuration et de l'interaction avec les données en fonction des caractéristiques de votre stockage (par exemple, agrégation des volumes ou partitionnement des données).
Sélectionner les métriques appropriées pour les options de stockage : veillez à sélectionner les métriques de stockage appropriées pour la charge de travail. Chaque option de stockage propose différentes métriques de suivi des performances de votre charge de travail au fil du temps. Assurez-vous que vos mesures se font par rapport à des métriques de stockage de systèmes à taille extensibles (par exemple, surveillance des crédits de transmission en rafales pour Amazon EFS). Pour les systèmes de stockage à taille fixe comme Amazon Elastic Block Store ou Amazon FSx, surveillez la quantité de stockage utilisée par rapport à la taille de stockage globale. Créez l'automatisation lorsque cela est possible pour augmenter la taille de stockage lorsque vous atteignez un seuil donné.
Surveiller les métriques : Amazon CloudWatch peut récupérer des métriques à partir des ressources de votre architecture. Vous pouvez également récupérer et publier des métriques personnalisées pour faire apparaître des métriques d'entreprise ou des métriques dérivées. Utilisez CloudWatch ou des solutions tierces pour définir des alarmes qui indiquent les dépassements de seuils.
## Ressources
**Documents connexes :**
+ [Types de volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Stockage Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Storage.html)
+ [Amazon EFS : Amazon EFS Performance](https://docs.aws.amazon.com/efs/latest/ug/performance.html)
+ [Amazon FSx for Lustre Performance](https://docs.aws.amazon.com/fsx/latest/LustreGuide/performance.html)
+ [Amazon FSx for Windows File Server Performance](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/performance.html)
+ [Amazon Glacier : documentation Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/introduction.html)
+ [Amazon S3 : directives en matière de débit de demandes et de performances](https://docs.aws.amazon.com/AmazonS3/latest/dev/request-rate-perf-considerations.html)
+ [Stockage cloud avec AWS](https://aws.amazon.com/products/storage/)
+ [Caractéristiques d'E/S EBS](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ebs-io-characteristics.html)
+ [Surveiller et comprendre les performances Amazon EBS à l'aide d'Amazon CloudWatch](https://aws.amazon.com/blogs/storage/valuable-tips-for-monitoring-and-understanding-amazon-ebs-performance-using-amazon-cloudwatch/)
**Vidéos connexes :**
+ [Deep dive on Amazon EBS (STG303-R1)](https://www.youtube.com/watch?v=wsMWANWNoqQ)
+ [Optimize your storage performance with Amazon S3 (STG343)](https://www.youtube.com/watch?v=54AhwfME6wI)
**Exemples connexes :**
+ [Pilote CSI Amazon EFS](https://github.com/kubernetes-sigs/aws-efs-csi-driver)
+ [Pilote CSI Amazon EBS](https://github.com/kubernetes-sigs/aws-ebs-csi-driver)
+ [Utilitaires Amazon EFS](https://github.com/aws/efs-utils)
+ [Amazon EBS Autoscale](https://github.com/awslabs/amazon-ebs-autoscale)
+ [Exemples Amazon S3](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/s3-examples.html)
# PERF 4 Comment sélectionner votre solution de bases de données ?
La solution de base de données optimale pour un système varie en fonction des exigences de cohérence, de disponibilité, de tolérance des partitions, de latence, de durabilité, d'évolutivité et de capacités de requête. De nombreux systèmes utilisent des solutions de base de données différentes pour divers sous-systèmes et activent des fonctionnalités distinctes pour améliorer les performances. La sélection d'une solution de base de données et de fonctionnalités incorrectes pour un système peut conduire à une efficacité moindre des performances.
**Topics**
+ [PERF04-BP01 Comprendre les caractéristiques des données](perf_right_database_solution_understand_char.md)
+ [PERF04-BP02 Évaluer les options disponibles](perf_right_database_solution_evaluate_options.md)
+ [PERF04-BP03 Collecter et archiver les métriques de performance de la base de données](perf_right_database_solution_collect_metrics.md)
+ [PERF04-BP04 Choisir le stockage de données en fonction des modèles d'accès](perf_right_database_solution_access_patterns.md)
+ [PERF04-BP05 Optimiser le stockage de données en fonction des métriques et des modèles d'accès](perf_right_database_solution_optimize_metrics.md)
# PERF04-BP01 Comprendre les caractéristiques des données
Choisissez vos solutions de gestion des données pour qu'elles correspondent de manière optimale aux caractéristiques, aux modèles d'accès et aux exigences des jeux de données de votre charge de travail. Lors de la sélection et de la mise en œuvre d'une solution de gestion des données, vous devez vous assurer que les caractéristiques d'interrogation, de mise à l'échelle et de stockage prennent en charge les exigences de données de votre charge de travail. Découvrez dans quelle mesure les différentes options de base de données correspondent à vos modèles de données et quelles options de configuration conviennent le mieux à votre cas d'utilisation.
AWS fournit de nombreux moteurs de base de données dédiés, y compris des bases de données relationnelles, de valeurs-clés, de documents, en mémoire, graphiques, de séries chronologiques et de registre. Chaque solution de gestion de données propose des options et des configurations pour prendre en charge vos cas d'utilisation et vos modèles de données. Il se peut que votre charge de travail fonctionne avec plusieurs solutions de base de données différentes, selon les caractéristiques des données. En sélectionnant les solutions de base de données les plus adaptées à un problème spécifique, vous vous éloignez des bases de données monolithiques qui offrent une approche universelle restrictive et se concentrent sur la gestion des données pour répondre aux besoins de votre client.
**Résultat souhaité :** Les caractéristiques des données de charge de travail sont documentées avec suffisamment de détails pour permettre la sélection et la configuration des solutions de base de données sous-jacentes et fournir un aperçu des alternatives potentielles.
**Anti-modèles courants :**
+ Ne pas envisager des moyens de segmenter les grands jeux de données en plus petites collections de données ayant des caractéristiques similaires, ce qui empêche d'utiliser des bases de données plus spécialisées qui correspondent mieux aux caractéristiques des données et à leur croissance.
+ Ne pas identifier les modèles d'accès aux données à l'avance, ce qui entraîne des retouches coûteuses et complexes par la suite.
+ Limiter la croissance en utilisant des stratégies de stockage de données qui ne s'adaptent pas assez rapidement.
+ Choisir un seul type de base de données et un seul fournisseur pour toutes les charges de travail.
+ S'en tenir à une solution de base de données, car l'équipe interne sait comment tirer parti de ce type particulier de solution.
+ Conserver une solution de base de données, car elle fonctionnait bien dans un environnement sur site.
**Avantages liés au respect de cette bonne pratique :** Connaître toutes les solutions de base de données AWS afin de pouvoir identifier celle qui est adéquate pour vos différentes charges de travail. Une fois que vous avez sélectionné la solution de base de données appropriée pour votre charge de travail, vous pouvez tester rapidement chacune de ces offres de base de données pour savoir si elles demeurent pertinentes pour vos besoins en matière de charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
+ Les économies de coûts potentielles peuvent ne pas être identifiées.
+ Les données peuvent ne pas être sécurisées au niveau requis.
+ L'accès aux données et les performances de stockage peuvent ne pas être optimaux.
## Directives d'implémentation
Définissez les caractéristiques des données et les modèles d'accès de votre charge de travail. Passez en revue toutes les solutions de base de données disponibles pour identifier celle qui répond à vos besoins en matière de données. Plusieurs bases de données peuvent être sélectionnées pour une charge de travail spécifique. Évaluez chaque service ou groupe de services individuellement. Si d'autres solutions potentielles de gestion des données sont identifiées pour une partie ou la totalité des données, expérimentez d'autres implémentations susceptibles de vous faire bénéficier d'avantages supplémentaires en termes de coût, de sécurité, de performances et de fiabilité. Mettez à jour la documentation existante, si une nouvelle approche de gestion des données est adoptée.
| **Type** | **Services AWS** | **Caractéristiques clés** | **Cas d'utilisation courants** |
| --- | --- | --- | --- |
| Relationnel | Amazon RDS, Amazon Aurora | Intégrité référentielle, transactions ACID, Schema-On-Write | ERP, CRM, logiciels commerciaux prêts à l'emploi |
| Clé-valeur | Amazon DynamoDB | Haut débit, faible latence, évolutivité quasi infinie | Paniers d'achat (commerce électronique), catalogues de produits, applications de chat |
| Documents | Amazon DocumentDB | Stockage de documents JSON et requêtes portant sur n'importe quel attribut | Gestion de contenu (CMS), profils clients, applications mobiles |
| En mémoire | Amazon ElastiCache, Amazon MemoryDB | Latence de l'ordre de la microseconde | Mise en cache, classements de joueurs en ligne |
| Graphes | Amazon Neptune | Données hautement relationnelles où les relations entre les données ont un sens | Réseaux sociaux, moteurs de personnalisation, détection des fraudes |
| Série chronologique | Amazon Timestream | Données dont la dimension principale est le temps | DevOps, IoT, surveillance |
| Larges colonnes | Amazon Keyspaces | Charges de travail Cassandra | Maintenance des équipements industriels, optimisation des itinéraires |
| Registre | Amazon QLDB | Registre des changements immuable et cryptographiquement vérifiable | Systèmes d'enregistrement, santé, chaînes d'approvisionnement, institutions financières |
**Étapes d'implémentation**
1. Comment les données sont-elles structurées (par exemple, non structurées, clé-valeur, semi-structurées, relationnelles) ?
1. Si les données ne sont pas structurées, envisagez un stockage d'objets comme [Amazon S3](https://aws.amazon.com/products/storage/data-lake-storage/) ou une base de données NoSQL telle qu' [Amazon DocumentDB.](https://aws.amazon.com/documentdb/)
1. Pour les données clé-valeur, envisagez [DynamoDB](https://aws.amazon.com/documentdb/), [ElastiCache for Redis](https://aws.amazon.com/elasticache/redis/) ou [MemoryDB.](https://aws.amazon.com/memorydb/)
1. Si les données ont une structure relationnelle, quel niveau d'intégrité référentielle est requis ?
1. Pour les contraintes de clé étrangère, les bases de données relationnelles comme [Amazon RDS](https://aws.amazon.com/rds/) et [Aurora](https://aws.amazon.com/rds/aurora/) peuvent fournir ce niveau d'intégrité.
1. En règle générale, dans un modèle de données NoSQL, vous dénormalisez les données en un seul document ou en une collection de documents à récupérer en une seule requête au lieu de joindre des documents ou des tables.
1. La conformité ACID (atomicité, cohérence, isolement, durabilité) est-elle requise ?
1. Si les propriétés ACID associées aux bases de données relationnelles sont requises, envisagez une base de données relationnelle comme [Amazon RDS](https://aws.amazon.com/rds/) et [Aurora.](https://aws.amazon.com/rds/aurora/)
1. Quel modèle de cohérence est requis ?
1. Si votre application peut tolérer une cohérence éventuelle, envisagez une implémentation NoSQL. Passez en revue les autres caractéristiques pour choisir [la base de données NoSQL](https://aws.amazon.com/nosql/) la plus appropriée.
1. Si une cohérence forte est requise, vous pouvez utiliser des lectures fortement cohérentes avec [DynamoDB](https://aws.amazon.com/documentdb/) ou une base de données relationnelle comme [Amazon RDS](https://aws.amazon.com/rds/).
1. Quels formats de requête et de résultat doivent être pris en charge (par exemple, SQL, CSV, Parque, Avro, JSON, etc.) ?
1. Quels types de données, tailles de champ et quantités globales sont présents (par exemple, texte, numérique, spatial, série temporelle calculée, binaire ou blob, document) ?
1. Comment les exigences de stockage vont-elles évoluer au fil du temps ? Comment cela affectera-t-il l'évolutivité ?
1. Les bases de données sans serveur comme [DynamoDB](https://aws.amazon.com/documentdb/) et [Amazon Quantum Ledger Database](https://aws.amazon.com/qldb/) évoluent dynamiquement jusqu'à un stockage quasi illimité.
1. Les bases de données relationnelles ont des limites supérieures sur le stockage alloué et doivent souvent être partitionnées horizontalement via des mécanismes tels que le partitionnement une fois qu'elles atteignent ces limites.
1. Quelle est la proportion de requêtes en lecture par rapport aux requêtes en écriture ? La mise en cache pourrait-elle améliorer les performances ?
1. Les charges de travail à lecture intensive peuvent bénéficier d'une couche de mise en cache, comme [ElastiCache](https://aws.amazon.com/elasticache/) ou [DAX,](https://aws.amazon.com/dynamodb/dax/) si la base de données est DynamoDB.
1. Les lectures peuvent également être déchargées pour lire des réplicas avec des bases de données relationnelles comme [Amazon RDS](https://aws.amazon.com/rds/).
1. Le stockage et la modification (OLTP - Online Transaction Processing) ou la récupération et le reporting (OLAP - Online Analytical Processing) ont-ils une priorité plus élevée ?
1. Pour un traitement transactionnel à haut débit, envisagez une base de données NoSQL comme DynamoDB ou Amazon DocumentDB.
1. Pour les requêtes analytiques, envisagez une base de données en colonnes comme [Amazon Redshift](https://aws.amazon.com/redshift/) ou exportez les données vers Amazon S3 et effectuez des analyses à l'aide d' [Athena](https://aws.amazon.com/athena/) ou [QuickSight.](https://aws.amazon.com/quicksight/)
1. Ces données sont-elles sensibles et quel niveau de protection et de chiffrement nécessitent-elles ?
1. Tous les moteurs Amazon RDS et Aurora prennent en charge le chiffrement des données au repos via AWS KMS. Microsoft SQL Server et Oracle prennent également en charge le chiffrement de données transparent (TDE) natif lors de l'utilisation de Amazon RDS.
1. Pour DynamoDB, vous pouvez utiliser un contrôle d'accès précis avec [IAM](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-overview.html) pour contrôler qui a accès à quelles données au niveau de la clé.
1. Quel est le niveau de durabilité requis pour les données ?
1. Aurora réplique automatiquement vos données sur trois zones de disponibilité au sein d'une région. Autrement dit, vos données sont très durables avec moins de risque de perte de données.
1. DynamoDB est automatiquement répliqué sur plusieurs zones de disponibilité, assurant ainsi la haute disponibilité et la durabilité des données.
1. Amazon S3 fournit une durabilité de 99,999999999 %. De nombreux services de base de données comme Amazon RDS et DynamoDB prennent en charge l'exportation de données vers Amazon S3 pour une conservation et un archivage à long terme.
1. Les exigences [d'objectif de temps de récupération (RTO) ou d'objectifs de point de récupération (RPO)](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html) ont-elles une incidence sur la solution ?
1. Amazon RDS, Aurora, DynamoDB, Amazon DocumentDB, et Neptune prennent tous en charge la récupération ponctuelle, ainsi que la sauvegarde et la restauration à la demande.
1. Pour les exigences de haute disponibilité, les tables DynamoDB peuvent être répliquées globalement à l'aide de la fonction de [tables globales,](https://aws.amazon.com/dynamodb/global-tables/) et les clusters Aurora les clusters peuvent être répliqués sur plusieurs régions à l'aide de la fonction de base de données globale. De plus, les compartiments S3 peuvent être répliqués dans les Régions AWS à l'aide de la réplication entre régions.
1. Souhaitez-vous vous éloigner des moteurs de base de données commerciaux/des coûts de licence ?
1. Envisagez des moteurs open source tels que PostgreSQL et MySQL sur Amazon RDS ou Aurora.
1. Exploitez [AWS DMS](https://aws.amazon.com/dms/) et [AWS SCT](https://aws.amazon.com/dms/schema-conversion-tool/) pour passer des moteurs de bases de données commerciaux vers des moteurs open source.
1. Qu'attendez-vous de la base de données du point de vue opérationnel ? Le passage aux services gérés est-il une préoccupation majeure ?
1. L'utilisation de Amazon RDS au lieu d'Amazon EC2 et de DynamoDB ou d'Amazon DocumentDB au lieu de l'auto-hébergement d'une base de données NoSQL contribue à réduire les frais généraux opérationnels.
1. Comment accédez-vous actuellement à la base de données ? S'agit-il uniquement d'un accès via une application, ou y a-t-il des utilisateurs BI et d'autres applications prêtes à l'emploi qui y sont connectées ?
1. Si vous dépendez d'outils externes, vous devrez peut-être préserver la compatibilité avec les bases de données qu'ils prennent en charge. Amazon RDS est entièrement compatible avec les différentes versions de moteur qu'il prend en charge, notamment Microsoft SQL Server, Oracle, MySQL et PostgreSQL.
1. Voici une liste de services de gestion de données potentiels et des cas d'utilisation les plus adaptés :
1. Les bases de données relationnelles stockent des données avec des schémas prédéfinis et des relations mutuelles. Ces bases de données sont conçues pour prendre en charge les transactions ACID (atomicité, cohérence, isolation et durabilité) et maintenir l'intégrité référentielle et la cohérence des données. De nombreuses applications traditionnelles, la planification des ressources d'entreprise (ERP), la gestion de la relation client (CRM) et l'e-commerce utilisent des bases de données relationnelles pour stocker leurs données. Vous pouvez exécuter un grand nombre de ces moteurs de base de données sur Amazon EC2 ou choisir parmi l'un des [services de base de données gérés par AWS](https://aws.amazon.com/products/databases/) : [Amazon Aurora](https://aws.amazon.com/rds/aurora), [Amazon RDS](https://aws.amazon.com/rds)et [Amazon Redshift](https://aws.amazon.com/redshift).
1. Les bases de données de valeurs-clés sont optimisées pour les modèles d'accès courants, généralement pour stocker et récupérer de gros volumes de données. Ces bases de données fournissent des temps de réponse rapides, même en cas de volumes extrêmes de demandes simultanées. Les applications Web à trafic élevé, les systèmes d'e-commerce et les applications de jeu sont des cas d'utilisation typiques pour les bases de données de valeurs-clés. Dans AWS, vous pouvez utiliser [Amazon DynamoDB](https://aws.amazon.com/dynamodb/), une base de données durable, multi-région et multi-maître entièrement gérée, dotée d'une sécurité intégrée, d'une sauvegarde et d'une restauration, ainsi que d'une mise en cache en mémoire pour les applications à l'échelle d'Internet.
1. Les bases de données en mémoire sont utilisées pour les applications qui nécessitent un accès en temps réel aux données, la latence la plus faible et le débit le plus élevé. En stockant les données directement dans la mémoire, ces bases de données fournissent une latence en microsecondes aux applications pour lesquelles une latence en millisecondes n'est pas suffisante. Vous pouvez utiliser des bases de données en mémoire pour la mise en cache des applications, la gestion des sessions, les classements de jeux et les applications géospatiales. [Amazon ElastiCache](https://aws.amazon.com/elasticache/) est un magasin de données en mémoire entièrement géré, compatible avec [Redis](https://aws.amazon.com/elasticache/redis/) ou [Memcached](https://aws.amazon.com/elasticache/memcached). Dans le cas où les applications ont également des exigences de durabilité plus élevées, [Amazon MemoryDB for Redis](https://aws.amazon.com/memorydb/) offre cela en combinaison avec un service de base de données en mémoire durable pour des performances ultra-rapides.
1. Les bases de données de documents sont conçues pour stocker des données semi-structurées sous forme de documents de type JSON. Ces bases de données aident les développeurs à créer et mettre à jour rapidement des applications telles que la gestion de contenu, les catalogues et les profils utilisateur. [Amazon DocumentDB](https://aws.amazon.com/documentdb/) est un service de base de données de documents rapide, évolutif, hautement disponible et entièrement géré, qui prend en charge les charges de travail MongoDB.
1. Un magasin à colonnes larges est un type de base de données NoSQL. Il utilise des tables, des lignes et des colonnes, mais contrairement à une base de données relationnelle, les noms et le format des colonnes peuvent varier d'une ligne à l'autre dans la même table. Généralement, vous voyez un magasin de colonnes larges dans les applications industrielles à grande échelle pour la maintenance des équipements, la gestion des parcs et l'optimisation des itinéraires. [Amazon Keyspaces (pour Apache Cassandra)](https://aws.amazon.com/mcs/) est un service de base de données évolutif, hautement disponible et géré, compatible avec Apache Cassandra.
1. Les bases de données de graphiques sont destinées aux applications qui doivent parcourir et interroger des millions de relations entre des ensembles de données graphiques hautement connectés avec une latence de millisecondes à grande échelle. De nombreuses entreprises utilisent des bases de données de graphiques pour la détection des fraudes, les réseaux sociaux et les moteurs de recommandation. [Amazon Neptune](https://aws.amazon.com/neptune/) est un service de base de données de graphiques rapide, fiable et entièrement géré qui facilite la création et l'exécution d'applications fonctionnant avec des ensembles de données hautement connectés.
1. Les bases de données chronologiques collectent, synthétisent et extraient efficacement des informations à partir de données qui changent au fil du temps. Les applications IoT, les DevOps et la télémétrie industrielle peuvent utiliser des bases de données en séries chronologiques. [Amazon Timestream](https://aws.amazon.com/timestream/) est un service de base de données en séries chronologiques rapide, évolutif et entièrement géré pour l'IoT et les applications opérationnelles, qui facilite le stockage et l'analyse de milliards d'événements par jour.
1. Les bases de données de registre fournissent une autorité centralisée et fiable pour conserver un enregistrement évolutif, immuable et vérifiable grâce au chiffrement des transactions pour chaque application. Il n'est pas rare de voir des bases de données de registre utilisées pour les systèmes d'enregistrement, la chaîne d'approvisionnement, les inscriptions et même les transactions bancaires. [Amazon Quantum Ledger Database (Amazon QLDB)](https://aws.amazon.com/qldb/) est une base de données de registre entièrement gérée qui fournit un journal des transactions transparent, immuable et vérifiable grâce au chiffrement appartenant à une autorité centrale de confiance. Amazon QLDB suit chaque modification des données d'application et tient à jour un historique complet et vérifiable des modifications au fil du temps.
**Niveau d'effort du plan d'implémentation : **Si une charge de travail passe d'une solution de de base de données à une autre, il peut y avoir un niveau d'effort *élevé* lors de la refactorisation des données et de l'application.
## Ressources
**Documents connexes :**
+ [Bases de données cloud avec AWS ](https://aws.amazon.com/products/databases/?ref=wellarchitected)
+ [Mise en cache de bases de données AWS ](https://aws.amazon.com/caching/database-caching/?ref=wellarchitected)
+ [Amazon DynamoDB Accelerator ](https://aws.amazon.com/dynamodb/dax/?ref=wellarchitected)
+ [Bonnes pratiques Amazon Aurora ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.BestPractices.html?ref=wellarchitected)
+ [Performances Amazon Redshift ](https://docs.aws.amazon.com/redshift/latest/dg/c_challenges_achieving_high_performance_queries.html?ref=wellarchitected)
+ [Les 10 meilleures techniques pour améliorer les performances d'Amazon Athena ](https://aws.amazon.com/blogs/big-data/top-10-performance-tuning-tips-for-amazon-athena/?ref=wellarchitected)
+ [Bonnes pratiques Amazon Redshift Spectrum ](https://aws.amazon.com/blogs/big-data/10-best-practices-for-amazon-redshift-spectrum/?ref=wellarchitected)
+ [Bonnes pratiques Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BestPractices.html?ref=wellarchitected)
+ [Choisir entre EC2 et Amazon RDS](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-sql-server/comparison.html)
+ [Bonnes pratiques d'implémentation pour Amazon ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/BestPractices.html)
**Vidéos connexes :**
+ [AWS purpose-built databases (DAT209-L) ](https://www.youtube.com/watch?v=q81TVuV5u28)
+ [Amazon Aurora storage demystified: How it all works (DAT309-R) ](https://www.youtube.com/watch?v=uaQEGLKtw54)
+ [Amazon DynamoDB deep dive: Advanced design patterns (DAT403-R1) ](https://www.youtube.com/watch?v=6yqfmXiZTlM)
**Exemples connexes :**
+ [Optimiser le modèle de données à l'aide du partage de données Amazon Redshift](https://wellarchitectedlabs.com/sustainability/300_labs/300_optimize_data_pattern_using_redshift_data_sharing/)
+ [Migrations des bases de données](https://github.com/aws-samples/aws-database-migration-samples)
+ [Démonstration de réplication MS SQL Server - AWS Database Migration Service (DMS)](https://github.com/aws-samples/aws-dms-sql-server)
+ [Atelier pratique sur la modernisation des bases de données](https://github.com/aws-samples/amazon-rds-purpose-built-workshop)
+ [Exemples Amazon Neptune](https://github.com/aws-samples/amazon-neptune-samples)
# PERF04-BP02 Évaluer les options disponibles
Identifiez les options de base de données disponibles et déterminez comment elles peuvent optimiser vos performances avant de sélectionner votre solution de gestion des données. À l'aide des tests de charge, identifiez les métriques de base de données qui sont essentiels à votre charge de travail. Pendant que vous explorez les options de base de données, tenez compte de divers aspects tels que les groupes de paramètres, les options de stockage, la mémoire, le calcul, le réplica en lecture, la cohérence éventuelle, le regroupement de connexions et les options de mise en cache. Testez ces différentes options de configuration pour améliorer les métriques.
**Résultat souhaité :** Une charge de travail peut utiliser une ou plusieurs solutions de base de données en fonction des types de données. La fonctionnalité et les avantages de la base de données correspondent de manière optimale aux caractéristiques des données, aux modèles d'accès et aux exigences de la charge de travail. Pour optimiser les performances et les coûts de votre base de données, vous devez évaluer les modèles d'accès aux données afin d'identifier les options de base de données appropriées. Évaluez les temps de requête acceptables pour vous assurer que les options de base de données sélectionnées répondent aux exigences.
**Anti-modèles courants :**
+ Ne pas identifier les modèles d'accès aux données.
+ Ne pas connaître les options de configuration de la solution de gestion de données que vous avez choisie.
+ Se concentrer uniquement sur l'augmentation de la taille de l'instance sans examiner les autres options de configuration disponibles.
+ Ne pas tester les caractéristiques de mise à l'échelle de la solution choisie.
**Avantages liés au respect de cette bonne pratique :** En explorant et en expérimentant les options de base de données, vous pourriez réduire le coût de l'infrastructure, améliorer les performances et l'évolutivité et réduire l'effort requis pour maintenir vos charges de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
+ Devoir optimiser son infrastructure *pour une base de données universelle* signifie faire des compromis inutiles.
+ Coûts plus élevés en raison de la non-configuration de la solution de base de données pour qu'elle corresponde aux modèles de trafic.
+ Des problèmes opérationnels peuvent découler des problèmes de mise à l'échelle.
+ Les données peuvent ne pas être sécurisées au niveau requis.
## Directives d'implémentation
Comprenez les caractéristiques des données de votre charge de travail afin de pouvoir configurer vos options de base de données. Exécutez des tests de charge pour identifier les métriques clés de performance et les goulots d'étranglement. Utilisez ces caractéristiques et ces métriques pour évaluer les options de base de données et tester différentes configurations.
| Services AWS | Amazon RDS, Amazon Aurora | Amazon DynamoDB | Amazon DocumentDB | Amazon ElastiCache | Amazon Neptune | Amazon Timestream | Amazon Keyspaces | Amazon QLDB |
| --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Mise à l'échelle du calcul | Augmentation de la taille de l'instance, les instances Aurora Serverless se mettent à l'échelle automatiquement en réponse aux changements de charge | Mise à l'échelle automatique en lecture/écriture avec mode « capacité à la demande » ou mise à l'échelle automatique de la capacité de lecture/écriture allouée en mode « capacité allouée » | Augmentez la taille de l'instance | Augmentation de la taille de l'instance, ajout de nœuds au cluster | Augmentez la taille de l'instance | Mise à l'échelle automatique pour ajuster la capacité | Mise à l'échelle automatique en lecture/écriture avec mode « capacité à la demande » ou mise à l'échelle automatique de la capacité de lecture/écriture allouée en mode « capacité allouée » | Mise à l'échelle automatique pour ajuster la capacité |
| Mise à l'échelle verticale des lectures | Tous les moteurs prennent en charge les réplicas en lecture. Aurora prend en charge la mise à l'échelle automatique des instances de réplica en lecture | Augmentation des unités de capacité de lecture allouées | Réplicas en lecture | Réplicas en lecture | Réplicas en lecture. Prend en charge la mise à l'échelle automatique des instances de réplica en lecture | Mise à l'échelle automatique | Augmentation des unités de capacité de lecture allouées | Augmentation automatique jusqu'aux limites de simultanéité documentées |
| Mise à l'échelle verticale des écritures | Augmentation la taille de l'instance, regroupement des écritures dans l'application ou ajout d'une file d'attente devant la base de données. Mise à l'échelle horizontale via le partitionnement au niveau de l'application sur plusieurs instances | Augmentation des unités de capacité d'écriture allouées Assurer une clé de partition optimale pour empêcher la limitation d'écriture au niveau de la partition | Augmentation de la taille de l'instance principale | Utilisation de Redis en mode cluster pour répartir les écritures sur les partitions | Augmentation de la taille de l'instance | Les demandes d'écriture peuvent être limitées lors de la mise à l'échelle. Si vous rencontrez des exceptions de limitation, continuez à envoyer des données au même débit (ou supérieur) pour une mise à l'échelle automatique. Écritures par lots pour réduire les demandes d'écriture simultanées | Augmentation des unités de capacité d'écriture allouées Assurer une clé de partition optimale pour empêcher la limitation d'écriture au niveau de la partition | Augmentation automatique jusqu'aux limites de simultanéité documentées |
| Configuration du moteur | Groupes de paramètres | Ne s'applique pas | Groupes de paramètres | Groupes de paramètres | Groupes de paramètres | Ne s'applique pas | Ne s'applique pas | Ne s'applique pas |
| Mise en cache | Mise en cache en mémoire, configurable via des groupes de paramètres. Association à un cache dédié tel qu'ElastiCache pour Redis pour décharger les demandes d'éléments fréquemment consultés | Cache entièrement géré DAX (DAX) disponible | Mise en cache en mémoire. Association à un cache dédié tel qu'ElastiCache pour Redis pour décharger les demandes d'éléments fréquemment consultés (facultatif) | La fonction principale est la mise en cache | Utilisation du cache des résultats de requête pour mettre en cache le résultat d'une requête en lecture seule | Timestream a deux niveaux de stockage ; l'un d'entre eux est un niveau de stockage en mémoire hautes performances | Déploiement d'un cache dédié tel qu'ElastiCache pour Redis pour décharger les demandes d'éléments fréquemment consultés | Ne s'applique pas |
| Haute disponibilité et reprise après sinistre | La configuration recommandée pour les charges de travail de production consiste à exécuter une instance de secours dans une deuxième zone de disponibilité pour assurer la résilience au sein d'une région. Pour la résilience entre les régions, Aurora Global Database peut être utilisé | Hautement disponible dans une région. Les tables peuvent être répliquées dans les régions à l'aide des tables globales DynamoDB | Créez plusieurs instances dans les zones de disponibilité pour assurer la disponibilité. Les instantanés peuvent être partagés entre les régions, et les clusters peuvent être répliqués à l'aide de DMS pour fournir une réplication/reprise après sinistre entre régions | La configuration recommandée pour les clusters de production consiste à créer au moins un nœud dans une zone de disponibilité secondaire. ElastiCache Global Datastore peut être utilisé pour répliquer des clusters dans des régions. | Les réplicas en lecture dans d'autres zones de disponibilité servent de cibles de basculement. Les instantanés peuvent être partagés entre les régions, et les clusters peuvent être répliqués à l'aide de flux Neptune pour répliquer les données entre deux clusters dans deux régions différentes. | Hautement disponible dans une région. La réplication entre régions nécessite le développement d'applications personnalisées à l'aide du SDK Timestream | Hautement disponible dans une région. La réplication entre régions nécessite une logique d'application personnalisée ou des outils tiers | Hautement disponible dans une région. Pour assurer la réplication entre les régions, exportez le contenu du journal Amazon QLDB vers un compartiment S3 et configurez le compartiment pour la réplication entre régions. |
**Étapes d'implémentation**
1. Quelles sont les options de configuration disponibles pour les bases de données sélectionnées ?
1. Les groupes de paramètres pour Amazon RDS et Aurora vous permettent d'ajuster les paramètres communs au niveau du moteur de base de données tels que la mémoire allouée pour le cache ou l'ajustement du fuseau horaire de la base de données
1. Pour les services de base de données alloués comme Amazon RDS, Aurora, Neptune, Amazon DocumentDB et ceux déployés sur Amazon EC2, vous pouvez modifier le type d'instance, le stockage alloué et ajouter des réplicas en lecture.
1. DynamoDB vous permet de spécifier deux modes de capacité : à la demande et alloué. Pour tenir compte des différentes charges de travail, vous pouvez basculer entre ces modes et augmenter la capacité allouée en mode alloué à tout moment.
1. La charge de travail en lecture ou en écriture est-elle importante ?
1. Quelles sont les solutions disponibles pour décharger les lectures (réplicas en lecture, mise en cache, etc.) ?
1. Pour les tables DynamoDB, vous pouvez décharger les lectures à l'aide de DAX pour la mise en cache.
1. Pour les bases de données relationnelles, vous pouvez créer un cluster ElastiCache pour Redis et configurer votre application pour qu'elle lise d'abord les données à partir du cache, en revenant à la base de données si l'élément demandé n'est pas présent.
1. Les bases de données relationnelles comme Amazon RDS et Aurora, et les bases de données NoSQL allouées telles que Neptune et Amazon DocumentDB prennent toutes en charge l'ajout de réplicas en lecture pour décharger les parties lues de la charge de travail.
1. Les bases de données sans serveur comme DynamoDB se mettent à l'échelle automatiquement. Assurez-vous que vous disposez de suffisamment d'unités de capacité de lecture (RCU) allouées pour gérer la charge de travail.
1. Quelles sont les solutions disponibles pour la mise à l'échelle des écritures (sharding des clés de partition, introduction d'une file d'attente, etc.) ?
1. Pour les bases de données relationnelles, vous pouvez augmenter la taille de l'instance pour qu'elle s'adapte à une charge de travail accrue ou augmenter les IOPS provisionnés pour permettre un débit accru vers le stockage sous-jacent.
+ Vous pouvez également ajouter une file d'attente devant votre base de données plutôt que d'écrire directement dans la base de données. Ce modèle vous permet de dissocier l'ingestion de la base de données et de contrôler le débit afin que la base de données ne soit pas submergée.
+ Regrouper vos demandes d'écriture plutôt que de créer de nombreuses transactions de courte durée contribue à améliorer le débit dans les bases de données relationnelles à volume d'écriture élevé.
1. Les bases de données sans serveur comme DynamoDB peuvent mettre à l'échelle le débit d'écriture automatiquement ou en ajustant les unités de capacité d'écriture allouées (WCU) en fonction du mode de capacité.
+ Cependant, vous pouvez toujours rencontrer des problèmes *avec les partitions actives* lorsque vous atteignez les limites de débit pour une clé de partition donnée. Pour pallier à ce problème, choisissez une clé de partition distribuée plus uniformément ou partitionnez en écriture la clé de partition.
1. Quels sont les pics de transactions par seconde (TPS) actuels ou attendus ? Testez l'utilisation de ce volume de trafic et de ce \$1X % de volume pour comprendre les caractéristiques de mise à l'échelle.
1. Des outils natifs tels que pg\$1bench pour PostgreSQL peuvent être utilisés pour tester la base de données et identifier les goulots d'étranglement et les caractéristiques de mise à l'échelle.
1. Le trafic de type production doit être capturé afin de pouvoir être réexécuté pour simuler des conditions réelles en plus des charges de travail synthétiques.
1. Si vous utilisez un calcul sans serveur ou élastiquement évolutif, testez l'impact de cette mise à l'échelle sur la base de données. Le cas échéant, ajoutez la gestion ou le regroupement des connexions pour réduire l'impact sur la base de données.
1. RDS Proxy peut être utilisé avec Amazon RDS et Aurora pour gérer les connexions à la base de données.
1. Les bases de données sans serveur comme DynamoDB n'ont pas de connexions associées, mais tenez compte de la capacité allouée et des politiques de mise à l'échelle automatique pour faire face aux pics de charge.
1. La charge est-elle prévisible, y a-t-il des pics de charge et des périodes d'inactivité ?
1. En cas de périodes d'inactivité, envisagez de réduire la capacité allouée ou la taille de l'instance pendant ces périodes. Aurora Serverless V2 augmente et diminue automatiquement la capacité en fonction de la charge.
1. Pour les instances hors production, envisagez de les suspendre ou de les arrêter en dehors des heures de travail.
1. Avez-vous besoin de segmenter et de décomposer vos modèles de données en fonction des modèles d'accès et des caractéristiques des données ?
1. Envisagez d'utiliser AWS DMS ou AWS SCT pour déplacer vos données vers d'autres services.
## Niveau d'effort du plan d'implémentation :
Pour respecter cette bonne pratique, vous devez connaître vos caractéristiques et métriques de données actuelles. La collecte de ces métriques, l'établissement d'un point de référence, puis l'utilisation de ces métriques pour identifier l'option de configuration de base de données idéale indique un niveau d'effort *faible* to *modéré* . La validation par des tests de charge et des expérimentations est conseillée.
## Ressources
**Documents connexes :**
+ [Bases de données cloud avec AWS ](https://aws.amazon.com/products/databases/?ref=wellarchitected)
+ [Mise en cache de bases de données AWS ](https://aws.amazon.com/caching/database-caching/?ref=wellarchitected)
+ [Amazon DynamoDB Accelerator ](https://aws.amazon.com/dynamodb/dax/?ref=wellarchitected)
+ [Bonnes pratiques Amazon Aurora ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.BestPractices.html?ref=wellarchitected)
+ [Performances Amazon Redshift ](https://docs.aws.amazon.com/redshift/latest/dg/c_challenges_achieving_high_performance_queries.html?ref=wellarchitected)
+ [Les 10 meilleures techniques pour améliorer les performances d'Amazon Athena ](https://aws.amazon.com/blogs/big-data/top-10-performance-tuning-tips-for-amazon-athena/?ref=wellarchitected)
+ [Bonnes pratiques Amazon Redshift Spectrum ](https://aws.amazon.com/blogs/big-data/10-best-practices-for-amazon-redshift-spectrum/?ref=wellarchitected)
+ [Bonnes pratiques Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BestPractices.html?ref=wellarchitected)
**Vidéos connexes :**
+ [AWS purpose-built databases (DAT209-L) ](https://www.youtube.com/watch?v=q81TVuV5u28)
+ [Amazon Aurora storage demystified: How it all works (DAT309-R) ](https://www.youtube.com/watch?v=uaQEGLKtw54)
+ [Amazon DynamoDB deep dive: Advanced design patterns (DAT403-R1) ](https://www.youtube.com/watch?v=6yqfmXiZTlM)
**Exemples connexes :**
+ [Exemples Amazon DynamoDB](https://github.com/aws-samples/aws-dynamodb-examples)
+ [Exemples de migration de base de données AWS](https://github.com/aws-samples/aws-database-migration-samples)
+ [Atelier sur la modernisation des bases de données](https://github.com/aws-samples/amazon-rds-purpose-built-workshop)
+ [Utilisation des paramètres de votre instance de base de données Amazon RDS for PostgreSQL](https://github.com/awsdocs/amazon-rds-user-guide/blob/main/doc_source/Appendix.PostgreSQL.CommonDBATasks.Parameters.md)
# PERF04-BP03 Collecter et archiver les métriques de performance de la base de données
Pour comprendre les performances de vos systèmes de gestion des données, il est important de suivre les métriques pertinentes. Ces métriques vous aideront à optimiser vos ressources de gestion de données, à vous assurer que les exigences de votre charge de travail sont satisfaites et que vous avez une vue d'ensemble claire sur le mode de fonctionnement de la charge de travail. Utilisez des outils, des bibliothèques et des systèmes qui enregistrent des mesures de performances liées aux performances de la base de données.
Il existe des métriques liées au système sur lequel la base de données est hébergée (par exemple, processeur, stockage, mémoire, IOPS), et il existe des métriques pour l'accès aux données elles-mêmes (par exemple, transactions par seconde, taux de requêtes, délais de réponse, erreurs). Ces métriques doivent être facilement accessibles à tous les membres des équipes d'assistance ou d'exploitation, et doivent contenir un historique suffisant pour permettre d'identifier les tendances, les anomalies et les goulots d'étranglement.
**Résultat souhaité :** L'enregistrement de plusieurs métriques de performance sur une période donnée est obligatoire pour la surveillance des performances des charges de travail de votre base de données. Cette surveillance vous permet non seulement de détecter les anomalies, mais aussi d'évaluer les performances par rapport aux métriques métier afin de vous assurer que vous répondez aux besoins de votre charge de travail.
**Anti-modèles courants :**
+ Vous utilisez uniquement la recherche manuelle des fichiers journaux pour les métriques.
+ Vous publiez uniquement des métriques sur les outils internes utilisés par votre équipe et vous n'avez pas une visibilité complète de votre charge de travail.
+ Vous n'utilisez que les métriques par défaut enregistrées par le logiciel de surveillance que vous avez sélectionné.
+ Vous n'examinez les métriques qu'en cas de problème.
+ Vous ne surveillez que les métriques au niveau du système, sans capturer les métriques d'accès ou d'utilisation des données.
**Avantages liés au respect de cette bonne pratique :** La définition de points de référence pour les performances permet de mieux comprendre le comportement normal et les exigences des charges de travail. Les modèles anormaux peuvent être identifiés et débogués plus rapidement, améliorant ainsi les performances et la fiabilité de la base de données. La capacité de la base de données peut être configurée pour garantir un coût optimal sans compromettre les performances.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
+ L'incapacité à faire la différence entre le niveau de performance normal et le niveau de performance anormal crée des difficultés dans l'identification des problèmes et la prise de décision.
+ Les économies de coûts potentielles peuvent ne pas être identifiées.
+ Les modèles de croissance ne sont pas identifiés, ce qui peut entraîner une dégradation de la fiabilité ou des performances.
## Directives d'implémentation
Identifiez, collectez, agrégez et corrélez les métriques liées à la base de données. Ces métriques doivent inclure à la fois le système sous-jacent qui prend en charge la base de données et les métriques de la base de données. Les métriques système sous-jacentes peuvent inclure l'utilisation du processeur, la mémoire, le stockage sur disque disponible, les E/S de disque et les métriques entrantes et sortantes du réseau, tandis que les métriques de la base de données peuvent inclure les transactions par seconde, les principales requêtes, les taux de requêtes moyens, les temps de réponse, l'utilisation de l'index, les verrouillages de table, les délais d'expiration des requêtes et le nombre de connexions ouvertes. Ces données sont essentielles pour comprendre à la fois les performances de la charge de travail et l'utilisation de la solution de base de données. Utilisez ces métriques dans le cadre d'une approche fondée sur les données pour ajuster et optimiser les ressources de votre charge de travail.
**Étapes d'implémentation :**
1. Quelles sont les métriques de base de données à suivre ?
1. [Métriques de surveillance pour Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Monitoring.html)
1. [Surveillance avec Performance Insights](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)
1. [Surveillance améliorée](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.overview.html)
1. [Métriques DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/metrics-dimensions.html)
1. [Surveillance de DynamoDB DAX](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAX.Monitoring.html)
1. [Surveillance de MemoryDB](https://docs.aws.amazon.com/memorydb/latest/devguide/monitoring-cloudwatch.html)
1. [Surveillance d'Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/metrics.html)
1. [Métriques et dimensions des séries chronologiques](https://docs.aws.amazon.com/timestream/latest/developerguide/metrics-dimensions.html)
1. [Métriques au niveau du cluster pour Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.AuroraMySQL.Monitoring.Metrics.html)
1. [Surveillance d'Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/monitoring.html)
1. [Surveillance de Amazon Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/monitoring.html)
1. La surveillance de la base de données bénéficierait-elle d'une solution de machine learning qui détecte les problèmes de performances et les anomalies opérationnelles ?
1. [Amazon DevOps Guru pour Amazon RDS](https://docs.aws.amazon.com/devops-guru/latest/userguide/working-with-rds.overview.how-it-works.html) assure la visibilité des problèmes de performance et suggère des actions correctives.
1. Avez-vous besoin de détails au niveau de l'application sur l'utilisation de SQL ?
1. [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-api-segmentdocuments.html#api-segmentdocuments-sql) peut être instrumenté dans l'application pour obtenir des informations et encapsuler tous les points de données pour une seule requête.
1. Une solution de journalisation et de surveillance approuvée est-elle actuellement à ma disposition ?
1. [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) peut récupérer des métriques à partir des ressources de votre architecture. Vous pouvez également récupérer et publier des métriques personnalisées pour faire apparaître des métriques d'entreprise ou des métriques dérivées. Utilisez CloudWatch ou des solutions tierces pour définir des alarmes qui indiquent les dépassements de seuils.
1. Est-ce que vous avez identifié et configuré des politiques de conservation des données pour qu'elles correspondent à vos objectifs de sécurité et d'exploitation ?
1. [Métriques de conservation des données pour CloudWatch](https://aws.amazon.com/cloudwatch/faqs/#AWS_resource_.26_custom_metrics_monitoring)
1. [Conservation des données pour CloudWatch Logs](https://aws.amazon.com/cloudwatch/faqs/#Log_management)
**Niveau d'effort du plan d'implémentation : **Il existe un niveau d'effort *moyen* pour identifier, suivre, collecter, agréger et corréler les métriques de toutes les ressources de base de données.
## Ressources
**Documents connexes :**
+ [Mise en cache de bases de données AWS](https://aws.amazon.com/caching/database-caching/)
+ [ Les 10 meilleures techniques pour améliorer les performances d'Amazon Athena ](https://aws.amazon.com/blogs/big-data/top-10-performance-tuning-tips-for-amazon-athena/)
+ [ Bonnes pratiques Amazon Aurora ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.BestPractices.html)
+ [Amazon DynamoDB Accelerator ](https://aws.amazon.com/dynamodb/dax/)
+ [Bonnes pratiques Amazon DynamoDB ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BestPractices.html)
+ [Bonnes pratiques Amazon Redshift Spectrum ](https://aws.amazon.com/blogs/big-data/10-best-practices-for-amazon-redshift-spectrum/)
+ [Performances Amazon Redshift ](https://docs.aws.amazon.com/redshift/latest/dg/c_challenges_achieving_high_performance_queries.html)
+ [Bases de données cloud avec AWS](https://aws.amazon.com/products/databases/)
+ [Amazon RDS Performance Insights](https://aws.amazon.com/rds/performance-insights/)
**Vidéos connexes :**
+ [AWS purpose-built databases (DAT209-L) ](https://www.youtube.com/watch?v=q81TVuV5u28)
+ [Amazon Aurora storage demystified: How it all works (DAT309-R) ](https://www.youtube.com/watch?v=uaQEGLKtw54)
+ [Amazon DynamoDB deep dive: Advanced design patterns (DAT403-R1) ](https://www.youtube.com/watch?v=6yqfmXiZTlM)
**Exemples connexes :**
+ [Niveau 100 : surveillance avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_with_cloudwatch_dashboards/)
+ [Infrastructure de collecte de métriques d'ingestion de jeux de données AWS](https://github.com/awslabs/aws-dataset-ingestion-metrics-collection-framework)
+ [Atelier sur la surveillance Amazon RDS](https://www.workshops.aws/?tag=Enhanced%20Monitoring)
# PERF04-BP04 Choisir le stockage de données en fonction des modèles d'accès
Utilisez les modèles d'accès de la charge de travail et les exigences des applications pour décider des services et technologies de données optimaux à utiliser.
**Résultat souhaité** : le stockage des données a été sélectionné en fonction des modèles d'accès aux données identifiés et documentés. Cela peut inclure les requêtes de lecture, d'écriture et de suppression les plus courantes, la nécessité d'effectuer des calculs et des agrégations, la complexité des données, l'interdépendance des données et les besoins de cohérence requis.
**Anti-modèles courants :**
+ Sélectionnez un seul moteur de base de données afin de simplifier la gestion des opérations.
+ Vous partez du principe que les modèles d'accès aux données n'évolueront pas dans le temps.
+ Vous implémentez des transactions complexes, la restauration et une logique de cohérence dans l'application.
+ La base de données est configurée pour prendre en charge une rafale de trafic potentiellement élevé. Dès lors, les ressources de la base de données restent inactives la plupart du temps.
+ Vous utilisez une base de données partagée pour des usages transactionnels et analytiques.
**Avantages liés au respect de cette bonne pratique :** la sélection et l'optimisation de votre stockage de données en fonction des modèles d'accès contribuent à réduire la complexité du développement et à optimiser vos opportunités de performances. Savoir quand utiliser les réplicas en lecture, les tables globales, le partitionnement des données et la mise en cache vous aidera à réduire les frais généraux opérationnels et à évoluer en fonction des besoins de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Identifiez et évaluez votre modèle d'accès aux données pour sélectionner la configuration de stockage appropriée. Chaque solution de base de données dispose d'options pour configurer et optimiser votre solution de stockage. Utilisez les métriques et les journaux collectés et testez les options pour trouver la configuration optimale. Utilisez le tableau suivant pour passer en revue les options de stockage par service de base de données.
| AWS Services | Amazon RDS | Amazon Aurora | Amazon DynamoDB | Amazon DocumentDB | Amazon ElastiCache | Amazon Neptune | Amazon Timestream | Amazon Keyspaces | Amazon QLDB |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Scaling Storage | Storage can be scaled up manually or configured to scale automatically to a maximum of 64 TiB based on engine types. Provisioned storage cannot be decreased. | Storage scales automatically up to maximum of 128 TiB and decreases when data is removed. Maximum storage size also depends upon specific Aurora MySQL or Aurora Postgres engine versions. | Storage automatically scales. Tables are unconstrained in terms of size. | Storage scales automatically up to maximum of 64 TiB. Starting Amazon DocumentDB 4.0 storage can decrease by comparable amounts for data removal through dropping a collection or index. With Amazon DocumentDB 3.6 allocated space remains same and free space is reused when data volume increases. | Storage is in-memory, tied to instance type or count. | Storage scales automatically can grow up to 128 TiB (or 64 TiB in few Regions). Upon data removal from, total allocated space remains same and is reused in the future. | Organizes your time series data to optimize query processing and reduce storage costs. Retention period can be configured through in-memory and magnetic tiers. | Scales table storage up and down automatically as your application writes, updates, and deletes data. | Storage automatically scales. Tables are unconstrained in terms of size. |
**Étapes d'implémentation :**
1. Comprenez les exigences relatives aux transactions, à l'atomicité, à la cohérence, à l'isolement et à la durabilité (ACID), ainsi qu'à la cohérence des lectures. Toutes les bases de données ne prennent pas en charge ces opérations, et la plupart des bases de données NoSQL fournissent un modèle de cohérence éventuel.
1. Les applications distribuées à l'échelle mondiale doivent tenir compte des modèles de trafic, de la latence et des exigences d'accès afin d'identifier la solution de stockage optimale.
1. Analysez les modèles de requête, les modèles d'accès aléatoires et les requêtes ponctuelles. Les considérations relatives aux fonctionnalités de requête hautement spécialisées pour le traitement du texte et du langage naturel, les séries chronologiques et les graphiques doivent également être prises en considération.
1. Identifiez et documentez la croissance prévue des données et du trafic.
1. Amazon RDS et Aurora prennent en charge la mise à l'échelle automatique du stockage jusqu'aux limites documentées. Au-delà de ces limites, envisagez de transférer des données plus anciennes vers Amazon S3 pour l'archivage, d'agréger les données historiques à des fins d'analyse ou de les mettre à l'échelle horizontalement à l'aide du partitionnement.
1. DynamoDB et Amazon S3 se mettent automatiquement à l'échelle pour atteindre un volume de stockage presque illimité.
1. Les instances Amazon RDS et les bases de données exécutées sur EC2 peuvent être redimensionnées manuellement, et de nouveaux volumes EBS peuvent être ajoutés ultérieurement sur les instances EC2 pour un stockage supplémentaire.
1. Les types d'instance peuvent être modifiés en fonction des changements d'activité. Par exemple, vous pouvez commencer avec une instance plus petite en phase de test, puis mettre à l'échelle l'instance lorsque vous commencez à recevoir du trafic de production vers le service. Aurora Serverless V2 se met automatiquement à l'échelle en fonction des changements de charge.
1. Exigences de base de référence relatives aux performances normales et maximales (transactions par seconde, TPS, et requêtes par seconde, QPS) et à la cohérence (ACID et cohérence éventuelle).
1. Documentez les aspects de déploiement de la solution et les exigences d'accès à la base de données (comme la réplication mondiale, le multi-AZ, la réplication en lecture et plusieurs nœuds d'écriture).
**Niveau d'effort du plan d'implémentation :** faible. Si vous ne disposez pas de journaux ni de métriques pour votre solution de gestion des données, vous devrez les mettre en place avant d'identifier et de documenter vos modèles d'accès aux données. Une fois que votre modèle d'accès aux données sera identifié, la sélection et la configuration de votre stockage de données présenteront un niveau d'effort faible.
## Ressources
**Documents connexes :**
+ [ Bases de données cloud avec AWS](https://aws.amazon.com/products/databases/)
+ [ Utilisation du stockage pour les instances de base de données Amazon RDS ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html)
+ [ Amazon DocumentDB Storage](https://docs.aws.amazon.com/documentdb/latest/developerguide/how-it-works.html#how-it-works.storage)
+ [AWS Database Caching](https://aws.amazon.com/caching/database-caching/)
+ [ Amazon Timestream Storage](https://docs.aws.amazon.com/timestream/latest/developerguide/storage.html)
+ [ Storage in Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/Storage.html)
+ [ Amazon ElastiCache FAQs ](https://aws.amazon.com/elasticache/faqs/)
+ [ Amazon Neptune storage, reliability, and availability](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-storage.html)
+ [Bonnes pratiques avec Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.BestPractices.html)
+ [Amazon DynamoDB Accelerator](https://aws.amazon.com/dynamodb/dax/)
+ [Bonnes pratiques Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BestPractices.html)
+ [Amazon RDS Storage Types](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Storage.html)
+ [ Hardware specifications for Amazon RDS instance classes ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html#Concepts.DBInstanceClass.Types)
+ [ Aurora Storage limits](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Limits.html#RDS_Limits.FileSize.Aurora)
**Vidéos connexes :**
+ [AWS purpose-built databases (DAT209-L)](https://www.youtube.com/watch?v=q81TVuV5u28)
+ [Amazon Aurora storage demystified: How it all works (DAT309-R) ](https://www.youtube.com/watch?v=uaQEGLKtw54)
+ [ Amazon DynamoDB deep dive: Advanced design patterns (DAT403-R1) ](https://www.youtube.com/watch?v=6yqfmXiZTlM)
**Exemples connexes :**
+ [Effectuer des expérimentations et des tests avec les tests de charge distribués sur AWS](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/)
# PERF04-BP05 Optimiser le stockage de données en fonction des métriques et des modèles d'accès
Utilisez les caractéristiques de performances et les modèles d'accès qui optimisent la façon dont les données sont stockées ou interrogées pour obtenir les meilleures performances possible. Mesurez la façon dont les optimisations telles que l'indexation, la distribution de clé, la conception de l'entrepôt de données ou les stratégies de mise en cache affectent les performances du système ou l'efficacité globale.
**Anti-modèles courants :**
+ Vous utilisez uniquement la recherche manuelle des fichiers journaux pour les métriques.
+ Vous publiez des métriques uniquement dans des outils internes.
**Avantages liés au respect de cette bonne pratique :** Afin de vous assurer que vous avez les métriques requises pour la charge de travail, vous devez surveiller les métriques de performance de la base de données liées à la lecture et à l'écriture. Vous pouvez utiliser ces données pour ajouter de nouvelles optimisations pour les lectures et les écritures dans la couche de stockage de données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Optimiser le stockage des données en fonction de métriques et de modèles : utilisez les métriques rapportées pour identifier les zones présentant des performances insuffisantes dans votre charge de travail et pour optimiser les composants de votre base de données. Chaque système de base de données possède différentes caractéristiques de performances à évaluer, en particulier la façon dont les données sont indexées, mises en cache ou distribuées entre plusieurs systèmes. Mesurez l'impact de vos optimisations.
## Ressources
**Documents connexes :**
+ [Mise en cache de bases de données AWS](https://aws.amazon.com/caching/database-caching/)
+ [Les 10 meilleures techniques pour améliorer les performances d'Amazon Athena](https://aws.amazon.com/blogs/big-data/top-10-performance-tuning-tips-for-amazon-athena/)
+ [Bonnes pratiques Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.BestPractices.html)
+ [Amazon DynamoDB Accelerator](https://aws.amazon.com/dynamodb/dax/)
+ [Bonnes pratiques Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BestPractices.html)
+ [Bonnes pratiques Amazon Redshift Spectrum](https://aws.amazon.com/blogs/big-data/10-best-practices-for-amazon-redshift-spectrum/)
+ [Performances Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/c_challenges_achieving_high_performance_queries.html)
+ [Bases de données cloud avec AWS](https://aws.amazon.com/products/databases/)
+ [Analyser les anomalies de performances avec DevOps Guru pour RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/devops-guru-for-rds.html)
+ [Mode de capacité lecture/écriture pour DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.ReadWriteCapacityMode.html)
**Vidéos connexes :**
+ [AWS purpose-built databases (DAT209-L)](https://www.youtube.com/watch?v=q81TVuV5u28)
+ [Amazon Aurora storage demystified: How it all works (DAT309-R)](https://www.youtube.com/watch?v=uaQEGLKtw54)
+ [Amazon DynamoDB deep dive: Advanced design patterns (DAT403-R1)](https://www.youtube.com/watch?v=6yqfmXiZTlM)
**Exemples connexes :**
+ [Ateliers pratiques pour Amazon DynamoDB](https://amazon-dynamodb-labs.workshop.aws/hands-on-labs.html)
# PERF 5 Comment configurer votre solution de mise en réseau ?
La solution réseau optimale pour une charge de travail varie en fonction des exigences de latence, de bande passante, de registre et de débit. Le choix des options d'emplacement est tributaire des contraintes physiques telles que les ressources pour utilisateur ou sur site. Ces contraintes peuvent être compensées avec les emplacements périphériques ou le placement des ressources.
**Topics**
+ [PERF05-BP01 Comprendre l'impact de la mise en réseau sur les performances](perf_select_network_understand_impact.md)
+ [PERF05-BP02 Évaluer les fonctionnalités de mise en réseau disponibles](perf_select_network_evaluate_features.md)
+ [PERF05-BP03 Choisir une connectivité dédiée ou un VPN de taille appropriée pour les charges de travail hybrides](perf_select_network_hybrid.md)
+ [PERF05-BP04 Tirer parti de l'équilibrage de charge et du déchargement du chiffrement](perf_select_network_encryption_offload.md)
+ [PERF05-BP05 Choisir des protocoles réseau afin d'améliorer les performances](perf_select_network_protocols.md)
+ [PERF05-BP06 Choisir l'emplacement de votre charge de travail en fonction des exigences réseau](perf_select_network_location.md)
+ [PERF05-BP07 Optimiser la configuration réseau en fonction de métriques](perf_select_network_optimize.md)
# PERF05-BP01 Comprendre l'impact de la mise en réseau sur les performances
Analysez et comprenez l'impact des décisions liées au réseau sur les performances des charges de travail. Le réseau est responsable de la connectivité entre les composants d'application, les services cloud, les réseaux périphériques et les données sur site et, par conséquent, il peut avoir un impact majeur sur les performances de la charge de travail. Outre les performances de la charge de travail, l'expérience utilisateur est également affectée par la latence du réseau, la bande passante, les protocoles, l'emplacement, la congestion du réseau, l'instabilité, le débit et les règles de routage.
**Résultat souhaité :** Avoir une liste documentée des exigences de mise en réseau de la charge de travail, y compris la latence, la taille des paquets, les règles de routage, les protocoles et les modèles de trafic pris en charge. Passez en revue les solutions de mise en réseau disponibles et identifiez le service qui répond aux caractéristiques de mise en réseau de votre charge de travail. Les réseaux basés sur le cloud peuvent être rapidement recréés. L'évolution de votre architecture réseau au fil du temps est donc nécessaire pour améliorer l'efficacité des performances.
**Anti-modèles courants :**
+ Tout le trafic passe par vos centres de données existants.
+ Vous créez des sessions Direct Connect de manière excessive sans connaître les exigences d'utilisation réelles.
+ Vous ne tenez pas compte des caractéristiques de la charge de travail et de la surcharge de chiffrement lors de la définition de vos solutions de mise en réseau.
+ Vous utilisez des concepts et des stratégies sur site pour les solutions de mise en réseau dans le cloud.
**Avantages liés au respect de cette bonne pratique :** Comprendre comment la mise en réseau affecte les performances de la charge de travail vous aidera à identifier les goulots d'étranglement potentiels, à améliorer l'expérience utilisateur, à accroître la fiabilité et à réduire la maintenance opérationnelle à mesure que la charge de travail évolue.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Identifiez les métriques de performance réseau clés de votre charge de travail et capturez ses caractéristiques de mise en réseau. Définissez et documentez les exigences dans le cadre d'une approche axée sur les données, à l'aide de la définition de points de référence ou de tests de charge. Utilisez ces données pour identifier les points où votre solution réseau est limitée, et examinez les options de configuration susceptibles d'améliorer la charge de travail. Familiarisez-vous avec les fonctionnalités et les options de mise en réseau cloud native disponibles et leur impact sur les performances de votre charge de travail en fonction des exigences. Chaque fonction de mise en réseau présente des avantages et des inconvénients et peut être configurée pour répondre aux caractéristiques et à l'échelle de votre charge de travail en fonction de vos besoins.
**Étapes d'implémentation :**
1. Définir et documenter les exigences de performances réseau :
1. Inclure des métriques telles que la latence du réseau, la bande passante, les protocoles, les emplacements, les modèles de trafic (pics et fréquence), le débit, le chiffrement, l'inspection et les règles de routage
1. Capturer les caractéristiques de mise en réseau fondamentales :
1. [Journaux de flux VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
1. [Métriques AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudwatch-metrics.html)
1. [Métriques AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-cloudwatch-metrics.html)
1. Capturer les caractéristiques de mise en réseau des applications :
1. [Adaptateur de réseau élastique (ENA)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html)
1. [Métriques AWS App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/envoy-metrics.html)
1. [Métriques Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-metrics-and-dimensions.html)
1. Capturer les caractéristiques de mise en réseau à la périphérie :
1. [Métriques Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/viewing-cloudfront-metrics.html)
1. [Métriques Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html)
1. [Métriques AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html)
1. Capturer les caractéristiques de mise en réseau hybride :
1. [Métriques Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-cloudwatch.html)
1. [Métriques AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-cloudwatch-vpn.html)
1. [Métriques AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/monitoring-cloudwatch.html)
1. [Métriques AWS Cloud WAN](https://docs.aws.amazon.com/vpc/latest/cloudwan/cloudwan-cloudwatch-metrics.html)
1. Capturer les caractéristiques de mise en réseau de la sécurité :
1. [Métriques AWS Shield, WAF et Network Firewall](https://docs.aws.amazon.com/waf/latest/developerguide/monitoring-cloudwatch.html)
1. Capturer les métriques de performance de bout en bout avec des outils de traçabilité :
1. [AWS X-Ray](https://aws.amazon.com/xray/)
1. [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
1. Définir des points de référence et et tester les performances du réseau :
1. [Évaluer](https://aws.amazon.com/premiumsupport/knowledge-center/network-throughput-benchmark-linux-ec2/) le débit réseau : certains facteurs peuvent affecter les performances du réseau EC2 lorsque les instances se trouvent dans le même VPC. Mesurez la bande passante réseau entre les instances EC2 Linux dans le même VPC.
1. Effectuer [des tests de charge](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/) pour expérimenter des solutions et des options de mise en réseau
**Niveau d'effort du plan d'implémentation : **Il existe un niveau d'effort *moyen* pour documenter les exigences de mise en réseau de la charge de travail, les options et les solutions disponibles.
## Ressources
**Documents connexes :**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Mise en réseau améliorée d'EC2 sous Linux ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html)
+ [Capacité réseau améliorée d'EC2 sous Windows ](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking.html)
+ [Groupes de placement EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [Activation de la mise en réseau améliorée avec Elastic Network Adapter (ENA) sur les instances de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html)
+ [Network Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)
+ [Mise en réseau de produits avec AWS](https://aws.amazon.com/products/networking/)
+ [Transit Gateway ](https://docs.aws.amazon.com/vpc/latest/tgw)
+ [Transition vers le routage basé sur la latence dans Amazon Route 53 ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/TutorialTransitionToLBR.html)
+ [Points de terminaison d'un VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Journaux de flux VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
**Vidéos connexes :**
+ [Connectivity to AWS and hybrid AWS network architectures (NET317-R1) ](https://www.youtube.com/watch?v=eqW6CPb58gs)
+ [Optimizing Network Performance for Amazon EC2 Instances (CMP308-R1) ](https://www.youtube.com/watch?v=DWiwuYtIgu0)
+ [Improve Global Network Performance for Applications](https://youtu.be/vNIALfLTW9M)
+ [EC2 Instances and Performance Optimization Best Practices](https://youtu.be/W0PKclqP3U0)
+ [Optimizing Network Performance for Amazon EC2 Instances](https://youtu.be/DWiwuYtIgu0)
+ [Networking best practices and tips with the Well-Architected Framework](https://youtu.be/wOMNpG49BeM)
+ [AWS networking best practices in large-scale migrations](https://youtu.be/qCQvwLBjcbs)
**Exemples connexes :**
+ [AWS Transit Gateway et solutions de sécurité évolutives](https://github.com/aws-samples/aws-transit-gateway-and-scalable-security-solutions)
+ [Ateliers sur la mise en réseau AWS](https://networking.workshop.aws/)
# PERF05-BP02 Évaluer les fonctionnalités de mise en réseau disponibles
Évaluez les fonctions de mise en réseau dans le cloud qui peuvent améliorer les performances. Mesurez l'impact de ces fonctions au moyen de tests, de métriques et de l'analyse. Par exemple, tirez parti des fonctions au niveau du réseau qui sont disponibles pour réduire la latence, la perte de paquets ou l'instabilité.
De nombreux services sont créés afin d'améliorer les performances et d'autres offrent généralement des fonctionnalités pour optimiser les performances réseau. Des services tels qu'AWS Global Accelerator et Amazon CloudFront existent pour améliorer les performances, tandis que la plupart des autres services disposent de fonctionnalités de produits pour optimiser le trafic réseau. Examinez des fonctionnalités de service comme la fonctionnalité de réseau d'instance EC2, les types d'instance de mise en réseau améliorés, les instances optimisées pour Amazon EBS, Amazon S3 Transfer Acceleration et la fonctionnalité CloudFront pour optimiser les performances réseau.
**Résultat souhaité :** Vous avez documenté l'inventaire des composants dans votre charge de travail et identifié quelles configurations de mise en réseau par composant vous aideraient à répondre à vos exigences de performances. Après avoir évalué les fonctionnalités de mise en réseau, vous avez testé et mesuré les métriques de performances afin d'identifier comment utiliser les fonctionnalités à votre disposition.
**Anti-modèles courants :**
+ Placement de toutes vos charges de travail dans l'Région AWS la plus proche de votre siège, plutôt que dans une Région AWS plus proche de vos utilisateurs finaux.
+ Échec du test comparatif des performances de vos charges de travail et évaluation continue des performances de vos charges de travail grâce à ce test comparatif.
+ Pas d'examen des configurations de service pour les options d'amélioration des performances.
**Avantages liés au respect de cette bonne pratique :** L'évaluation de toutes les options et fonctionnalités de service peut augmenter les performances de vos charges de travail, baisser le coût d'infrastructure, réduire les efforts nécessaires à la maintenance de vos charges de travail et améliorer votre posture générale en matière de sécurité. Vous pouvez utiliser la couverture mondiale d'AWS pour garantir à vos clients une expérience de mise en réseau optimale.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Examinez les options de configuration liées au réseau disponibles et leur impact potentiel sur votre charge de travail. Pour optimiser les performances, il est essentiel de comprendre les interactions entre ces options et votre architecture, ainsi que l'impact qu'elles auront à la fois sur les performances mesurées et les performances perçues par les utilisateurs.
**Étapes d'implémentation :**
1. Créer une liste des composants de la charge de travail.
1. Créez, gérez et surveillez le réseau de votre entreprise grâce à [AWS Cloud WAN](https://aws.amazon.com/cloud-wan/).
1. Disposez d'une visibilité sur votre réseau grâce à [Network Manager](https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html). Utilisez un outil de base de données de gestion de la configuration (CMDB) ou un outil tel qu' [AWS Config](https://aws.amazon.com/config/) pour créer un inventaire de votre charge de travail et de sa configuration.
1. Identifier et documenter le test comparatif pour vos métriques de performances s'il s'agit d'une charge de travail existante, en vous concentrant sur les goulots d'étranglement et les zones à améliorer. Les métriques de mise en réseau liées aux performances diffèrent par charge de travail en fonction des exigences métier et des caractéristiques de charge de travail. Pour commencer, il pourrait être important d'examiner ces métriques pour votre charge de travail : bande passante, latence, perte de paquets, instabilité et retransmissions.
1. S'il s'agit d'une nouvelle charge de travail, réaliser [des tests de charge](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/) pour identifier les goulots d'étranglement au niveau des performances.
1. Concernant l'identification des goulots d'étranglement au niveau des performances, examiner les options de configuration pour les solutions afin d'identifier les opportunités d'amélioration des performances.
1. Si vous ne connaissez pas votre chemin réseau, utiliser [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) pour l'identifier.
1. Examiner vos protocoles réseau pour réduire davantage votre latence.
+ [PERF05-BP05 Choisir des protocoles réseau afin d'améliorer les performances](perf_select_network_protocols.md)
1. Si vous utilisez un AWS Site-to-Site VPN sur plusieurs emplacements pour vous connecter à une Région AWS, examiner [les connexions Site-to-Site VPN accélérées](https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html) pour chercher des occasions d'améliorer les performances de mise en réseau.
1. Lorsque le trafic de votre charge de travail est réparti sur plusieurs comptes, évaluer la topologie de votre réseau et les services pour réduire la latence.
+ Évaluez vos compromis de performances et opérationnels entre [Appairage des VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) et [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) lors de la connexion à plusieurs comptes. AWS Transit Gateway prend en charge le débit AWS Site-to-Site VPN pour mettre à l'échelle au-delà d'une seule [limite maximum IPsec](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/) en utilisant un multi-chemin. Le trafic entre Amazon VPC et AWS Transit Gateway reste sur le réseau AWS privé et n'est pas exposé à Internet. AWS Transit Gateway simplifie la façon dont vous interconnectez tous vos VPC, qui peuvent s'étendre sur des milliers d'Comptes AWS et des réseaux sur site. Partagez votre AWS Transit Gateway entre plusieurs comptes à l'aide de [Resource Access Manager](https://aws.amazon.com/ram/). Pour disposer d'une visibilité sur votre trafic réseau mondial, utilisez [Network Manager](https://aws.amazon.com/transit-gateway/network-manager/) pour profiter d'une vue centrale de vos métriques réseau.
1. Examiner vos emplacements utilisateur et réduire la distance entre vos utilisateurs et la charge de travail.
1. [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) est un service qui améliore de 60 % les performances du trafic réseau de vos utilisateurs grâce à l'infrastructure réseau mondiale Amazon Web Services. Lorsque la connexion Internet est encombrée, AWS Global Accelerator optimise le chemin vers votre application pour maintenir la perte de paquets, l'instabilité et la latence à un niveau continuellement bas. Il fournit également des adresses IP statiques qui facilitent le déplacement de points de terminaison entre des zones de disponibilité ou des Régions AWS sans avoir besoin de mettre à jour votre configuration DNS ou de modifier les applications orientées client.
1. [Amazon CloudFront](https://aws.amazon.com/cloudfront/) peut améliorer la diffusion du contenu de votre charge de travail et la latence à l'échelle mondiale. CloudFront possède plus de 410 points de présence dispersés dans le monde et capables de mettre en cache votre contenu et de réduire la latence pour l'utilisateur final.
1. Amazon Route 53 offre des options de [routage basé sur la latence](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-latency.html), [routage de géolocalisation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-geo.html), [routage de proximité géographique](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-geoproximity.html)et [routage basé sur IP](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-ipbased.html) pour vous permettre d'améliorer les performances de votre charge de travail pour satisfaire un public international. Identifiez l'option de routage qui optimiserait les performances de votre charge de travail en étudiant le trafic de votre charge de travail et l'emplacement de l'utilisateur.
1. Évaluer des fonctionnalités Amazon S3 supplémentaires pour améliorer les IOPS de stockage.
1. [Amazon S3 Transfer Acceleration](https://aws.amazon.com/s3/transfer-acceleration/) est une fonction qui permet aux utilisateurs externes de bénéficier des optimisations de mise en réseau de CloudFront pour charger des données dans Amazon S3. Cela améliore le transfert d'importants volumes de données à partir d'emplacements distants qui n'ont pas de connectivité dédiée au AWS Cloud.
1. [Les points d'accès multi-régions dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPoints.html) répliquent le contenu vers plusieurs régions et simplifient la charge de travail en fournissant un point d'accès. Lorsqu'un point d'accès multi-région est utilisé, vous pouvez demander ou écrire des données à Amazon S3 tandis que le service identifie le compartiment à la latence la plus faible.
1. Examiner votre bande passante du réseau de ressources de calcul.
1. Les interfaces réseau Elastic (ENI) utilisées par des instances EC2, des conteneurs et des fonctions Lambda sont limitées par flux. Examinez vos groupes de placement pour optimiser votre [débit de mise en réseau EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-network-bandwidth.html). Pour éviter le goulot d'étranglement de la conception par flux, créez votre application pour qu'elle utilise plusieurs flux. Pour surveiller et disposer d'une visibilité sur vos métriques de mise en réseau liée au calcul, utilisez [les métriques CloudWatch](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-instance-network-bandwidth.html) et [https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html). `ethtool` est inclus dans le pilote ENA et expose des métriques liées au réseau supplémentaires capables d'être publiées en tant que [métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html) sur CloudWatch.
1. Les instances EC2 plus récentes peuvent tirer parti d'une capacité réseau améliorée. [Les instances EC2 de la série N](https://aws.amazon.com/ec2/nitro/), telles que `M5n` et `M5dn`, profitent de la quatrième génération de cartes Nitro personnalisées pour diffuser jusqu'à 100 Gbps de débit réseau dans une instance unique. Ces instances offrent quatre fois plus de bande passante réseau et de processus de paquets que les instances `M5` de base et sont idéales pour les applications gourmandes en réseau.
1. [Les Amazon Elastic Network Adapters](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html) (ENA) fournissent une optimisation ultérieure en diffusant un meilleur débit pour vos instances dans un [groupe de placement du cluster](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html#placement-groups-cluster%23placement-groups-limitations-cluster).
1. [Elastic Fabric Adapter](https://aws.amazon.com/hpc/efa/) (EFA) est une interface réseau pour les instances Amazon EC2 qui vous permet d'exécuter des charges de travail nécessitant des niveaux élevés de communication entre les nœuds à grande échelle sur AWS. Avec EFA, les applications de calcul hautes performances (HPC) utilisant l'interface de transmission de message (MPI) et les applications de machine learning (ML) utilisant NVIDIA Collective Communications Library (NCCL) peuvent s'adapter à des milliers de CPU ou de GPU.
1. [Les instances optimisées par Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html) utilisent une pile de configuration optimisée et offrent une capacité dédiée supplémentaire pour les E/S Amazon EBS. Cette optimisation offre les meilleures performances pour vos volumes EBS : elle réduit les conflits entre les E/S Amazon EBS et le reste du trafic issu de votre instance.
**Niveau d'effort du plan d'implémentation : **
Pour créer cette bonne pratique, vous devez connaître vos options actuelles en matière de composants de la charge de travail capables d'impacter les performances du réseau. La collecte des composants, l'évaluation des options d'amélioration du réseau, l'expérimentation, l'implémentation et la documentation de ces améliorations est un niveau d'effort *faible* to *modéré* .
## Ressources
**Documents connexes :**
+ [Amazon EBS – Instances optimisées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Bande passante du réseau d'instance Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-network-bandwidth.html)
+ [Mise en réseau améliorée d'EC2 sous Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html)
+ [Capacité réseau améliorée d'EC2 sous Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking.html)
+ [Groupes de placement EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [Activation de la mise en réseau améliorée avec Elastic Network Adapter (ENA) sur les instances de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html)
+ [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)
+ [Mise en réseau de produits avec AWS](https://aws.amazon.com/products/networking/)
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw)
+ [Transition vers le routage basé sur la latence dans Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/TutorialTransitionToLBR.html)
+ [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [Création d'une CMDB cloud](https://aws.amazon.com/blogs/mt/building-a-cloud-cmdb-on-aws-for-consistent-resource-configuration-in-hybrid-environments/)
+ [Mise à l'échelle du débit VPN à l'aide d'AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/)
**Vidéos connexes :**
+ [Connectivity to AWS and hybrid AWS network architectures (NET317-R1)](https://www.youtube.com/watch?v=eqW6CPb58gs)
+ [Optimizing Network Performance for Amazon EC2 Instances (CMP308-R1)](https://www.youtube.com/watch?v=DWiwuYtIgu0)
+ [AWS Global Accelerator](https://www.youtube.com/watch?v=lAOhr-5Urfk)
**Exemples connexes :**
+ [AWS Transit Gateway et solutions de sécurité évolutives](https://github.com/aws-samples/aws-transit-gateway-and-scalable-security-solutions)
+ [Ateliers sur la mise en réseau AWS](https://networking.workshop.aws/)
# PERF05-BP03 Choisir une connectivité dédiée ou un VPN de taille appropriée pour les charges de travail hybrides
Lorsqu'un réseau commun est requis pour connecter des ressources sur site et des ressources cloud dans AWS, vérifiez que vous disposez d'une bande passante adéquate pour répondre à vos exigences de performances. Estimez les exigences en matière de bande passante et de latence pour votre charge de travail hybride. Ces chiffres détermineront les exigences de dimensionnement de vos options de connectivité.
**Résultat souhaité :** lors du déploiement d'une charge de travail qui nécessitera une mise en réseau hybride, vous disposez de plusieurs options de configuration pour la connectivité, comme une connexion dédiée ou un réseau privé virtuel (VPN). Sélectionnez le type de connexion approprié pour chaque charge de travail tout en vérifiant que les exigences de bande passante et de chiffrement entre votre emplacement et le cloud sont adéquates.
**Anti-modèles courants :**
+ Vous ne comprenez pas ou n'identifiez pas toutes les exigences de la charge de travail (bande passante, latence, instabilité, chiffrement et besoins de trafic).
+ Vous n'évaluez pas les options de sauvegarde ou de connectivité parallèle.
**Avantages liés au respect de cette bonne pratique :** la sélection et la configuration de solutions de réseau hybride de taille appropriée contribuent à accroître la fiabilité de votre charge de travail et optimisent les possibilités de performances. En identifiant les exigences de la charge de travail, en effectuant une planification appropriée et en évaluant les solutions hybrides, vous minimiserez les modifications coûteuses du réseau physique et les frais généraux opérationnels tout en augmentant le délai de mise sur le marché.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Développez une architecture de mise en réseau hybride basée sur vos besoins en bande passante. Évaluez les besoins en bande passante et en latence de vos applications hybrides. Considérez l'option de connectivité appropriée entre l'utilisation d'une connexion réseau dédiée ou d'un VPN basé sur Internet.
La connexion dédiée établit une connexion réseau sur des lignes privées. Cette solution convient lorsque vous avez besoin d'une bande passante élevée et d'une faible latence tout en conservant des performances constantes. La connexion VPN établit une connexion sécurisée sur Internet. Cette solution convient lorsque vous avez besoin d'une connexion chiffrée en utilisant une connexion Internet existante.
Il est possible qu'une seule connexion VPN ou dédiée ne suffise pas et que vous deviez concevoir une configuration hybride pour permettre l'équilibrage de la charge de trafic sur plusieurs connexions. Le scénario pertinent sera fonction des besoins en bande passante.
**Étapes d'implémentation**
1. Évaluez les besoins en bande passante et en latence de vos applications hybrides.
1. Pour les applications existantes qui migrent vers AWS, exploitez les données de vos systèmes internes de surveillance du réseau.
1. Pour les nouvelles applications ou les applications existantes pour lesquelles vous ne disposez pas de données de suivi, consultez les propriétaires du produit pour obtenir des métriques de performance adéquates et offrir une bonne expérience utilisateur.
1. Sélectionnez une connexion dédiée ou un VPN comme option de connectivité. En fonction de toutes les exigences de la charge de travail (besoins en matière de chiffrement, de bande passante et de trafic), vous pouvez choisir AWS Direct Connect ou AWS Site-to-Site VPN (ou les deux). Le schéma suivant vous aidera à choisir le type de connexion approprié.
1. Si vous envisagez une connexion dédiée, AWS Direct Connect peut être nécessaire. Le service offre des performances plus prévisibles et constantes en raison de sa connectivité de réseau privé. AWS Direct Connect fournit une connectivité dédiée à l'environnement AWS, de 50 Mbps à 100 Gbps, en utilisant soit une connexion dédiée, soit une connexion hébergée. Cela vous permet de gérer et de contrôler la latence et de profiter d'une bande passante provisionnée. Ainsi, vos charges de travail peuvent se connecter efficacement à d'autres environnements. Grâce à un partenaire AWS Direct Connect, vous disposez d'une connectivité de bout en bout à partir de plusieurs environnements, ce qui vous permet de disposer d'un réseau étendu aux performances constantes. AWS offre une bande passante de connexion directe évolutive en utilisant soit le débit 100 Gbps natif, soit le protocole LAG (Link Aggregation Group), soit le protocole BGP ECMP (Equal-cost multipath).
1. Si vous envisagez une connexion VPN, un VPN géré par AWS est l'option recommandée. AWS Site-to-Site VPN fournit un service VPN géré prenant en charge le protocole de sécurité du protocole Internet (IPsec). Lorsqu'une connexion VPN est créée, chaque connexion VPN comprend deux tunnels pour une haute disponibilité. Avec AWS Transit Gateway, vous pouvez simplifier la connectivité entre plusieurs VPC et vous connecter à n'importe quel VPC rattaché à AWS Transit Gateway avec une seule connexion VPN. AWS Transit Gateway vous permet également de dépasser la limite de débit des VPN IPsec de 1,25 Gbps en prenant en charge le routage ECMP (Equal-cost multipath) sur plusieurs tunnels VPN.
![\[Organigramme décrivant les options à envisager pour déterminer si vous avez besoin de performances déterministes dans votre mise en réseau ou non.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/deterministic-performance-flowchart.png)
**Niveau d'effort du plan d'implémentation :** élevé. L'évaluation des besoins en matière de charge de travail pour les réseaux hybrides et la mise en œuvre de solutions de mise en réseau hybride exigent des efforts considérables.
## Ressources
**Documents connexes :**
+ [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)
+ [Mise en réseau de produits avec AWS](https://aws.amazon.com/products/networking/)
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw)
+ [Transition vers le routage basé sur la latence dans Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/TutorialTransitionToLBR.html)
+ [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [Création d'une infrastructure réseau AWS multi-VPC évolutive et sécurisée](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html)
**Vidéos connexes :**
+ [Connectivity to AWS and hybrid AWS network architectures (NET317-R1) ](https://www.youtube.com/watch?v=eqW6CPb58gs)
+ [Optimizing Network Performance for Amazon EC2 Instances (CMP308-R1) ](https://www.youtube.com/watch?v=DWiwuYtIgu0)
+ [AWS Global Accelerator](https://www.youtube.com/watch?v=lAOhr-5Urfk)
+ [AWS Direct Connect](https://www.youtube.com/watch?v=DXFooR95BYc&t=6s)
+ [Transit Gateway Connect](https://www.youtube.com/watch?v=_MPY_LHSKtM&t=491s)
+ [Solutions VPN](https://www.youtube.com/watch?v=qmKkbuS9gRs)
+ [Sécurité avec les solutions VPN](https://www.youtube.com/watch?v=FrhVV9nG4UM)
**Exemples connexes :**
+ [AWS Transit Gateway et solutions de sécurité évolutives](https://github.com/aws-samples/aws-transit-gateway-and-scalable-security-solutions)
+ [Ateliers sur la mise en réseau AWS](https://networking.workshop.aws/)
# PERF05-BP04 Tirer parti de l'équilibrage de charge et du déchargement du chiffrement
Utilisez des équilibreurs de charge pour obtenir une efficacité optimale de vos ressources cibles et améliorer la réactivité de votre système.
**Résultat souhaité :** réduire le nombre de ressources informatiques pour servir votre trafic. Évitez le déséquilibre de la consommation de ressources dans vos cibles. Déchargez les tâches de calcul intensif sur l'équilibreur de charge. Tirez parti de l'élasticité et de la flexibilité du cloud pour améliorer les performances et optimiser votre architecture.
**Anti-modèles courants :**
+ Vous ne tenez pas compte des exigences de votre charge de travail lorsque vous choisissez le type d'équilibreur de charge.
+ Vous ne tirez pas parti des fonctions d'équilibrage de charge pour optimiser les performances.
+ La charge de travail est exposée directement à Internet sans équilibreur de charge.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Les équilibreurs de charge servent de point d'entrée pour votre charge de travail et, de là, ils distribuent le trafic vers vos cibles dorsales, telles que les instances de calcul ou les conteneurs. Le choix du bon type d'équilibreur de charge est la première étape de l'optimisation de votre architecture.
Commencez par énumérer les caractéristiques de votre charge de travail, telles que le protocole (TCP, HTTP, TLS ou WebSockets), le type de cible (instances, conteneurs ou sans serveur), les exigences de l'application (connexions de longue durée, authentification de l'utilisateur ou permanence) et le placement (région, zone locale, Outpost ou isolement de zone).
Après avoir choisi le bon équilibreur de charge, vous pouvez commencer à tirer parti de ses fonctionnalités pour réduire les efforts que votre système dorsal doit fournir pour servir le trafic.
Par exemple, en utilisant à la fois Application Load Balancer (ALB) et Network Load Balancer (NLB), vous pouvez effectuer un déchargement du chiffrement SSL/TLS. Cela permet d'éviter que la liaison TLS, très gourmande en ressources CPU, ne soit effectuée par vos cibles, et permet également d'améliorer la gestion des certificats.
Lorsque vous configurez le déchargement SSL/TLS dans votre équilibreur de charge, celui-ci se charge du chiffrement du trafic en provenance et à destination des clients, tout en acheminant le trafic non chiffré vers vos systèmes dorsaux. Cela libère vos ressources dorsales et améliore le temps de réponse pour les clients.
Application Load Balancer peut également servir le trafic HTTP2 sans avoir besoin de le prendre en charge sur vos cibles. Cette simple décision peut améliorer le temps de réponse de votre application, car HTTP2 utilise plus efficacement les connexions TCP.
Les équilibreurs de charge permettent aussi de rendre votre architecture plus flexible en répartissant le trafic entre différents types de systèmes dorsaux, tels que les conteneurs et les sans serveur. Par exemple, Application Load Balancer peut être configuré avec des [règles de l'écouteur](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html) qui transmettent le trafic à différents groupes cibles en fonction des paramètres de la demande tels que l'en-tête, la méthode ou le modèle.
Les exigences de latence de votre charge de travail doivent également être prises en compte lors de la définition de l'architecture. Par exemple, si vous avez une application sensible à la latence, vous pouvez décider d'utiliser Network Load Balancer, qui offre des latences extrêmement faibles. Vous pouvez également décider de rapprocher votre charge de travail de vos clients en tirant parti de Application Load Balancer dans les [zones locales AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/) ou même [AWS Outposts](https://aws.amazon.com/outposts/rack/).
L'équilibrage de charge entre zones est un autre élément à prendre en compte pour les charges de travail sensibles à la latence. Avec l'équilibrage de charge inter-zone, chaque nœud d'équilibreur de charge distribue le trafic sur les cibles enregistrées dans toutes les zones de disponibilité activées. Cela améliore la disponibilité, même si cela peut ajouter entre 1 et 9 millisecondes à la latence aller-retour.
Enfin, ALB et NLB offrent tous deux des ressources de surveillance telles que des journaux et des métriques. Une bonne configuration de la surveillance peut aider à recueillir des informations sur les performances de votre application. Par exemple, vous pouvez utiliser les journaux d'accès à l'ALB pour déterminer quelles demandes prennent plus de temps à être traitées ou quelles cibles dorsales causent des problèmes de performance.
**Étapes d'implémentation**
1. Choisissez l'équilibreur de charge adapté à votre charge de travail.
1. Utilisez Application Load Balancer pour les charges de travail HTTP/HTTPS.
1. Utilisez Network Load Balancer pour les charges de travail non HTTP qui fonctionnent sur TCP ou UDP.
1. Utilisez une combinaison des deux ([ALB comme cible de NLB](https://aws.amazon.com/blogs/networking-and-content-delivery/application-load-balancer-type-target-group-for-network-load-balancer/)) si vous souhaitez tirer parti des fonctionnalités des deux produits. Par exemple, vous pouvez le faire si vous voulez utiliser les IP statiques de NLB avec l'itinéraire basé sur l'en-tête HTTP de ALB, ou si vous voulez exposer votre charge de travail HTTP à un [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html).
1. Pour obtenir une comparaison complète des équilibreurs de charge, consultez la [comparaison des produits ELB](https://aws.amazon.com/elasticloadbalancing/features/).
1. Utilisez le déchargement SSL/TLS.
1. Configurez des ports d'écoute HTTPS/TLS à la fois avec [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) et [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html), tous deux intégrés à [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
1. Notez que certaines charges de travail peuvent nécessiter un chiffrement de bout en bout pour des raisons de conformité. Dans ce cas, il est nécessaire d'activer le chiffrement au niveau des cibles.
1. Pour découvrir les bonnes pratiques de sécurité, consultez [SEC09-BP02 Appliquer le chiffrement en transit](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html).
1. Sélectionnez le bon algorithme de routage.
1. L'algorithme de routage peut faire une réelle différence dans le degré d'utilisation de vos cibles dorsales et donc dans leur impact sur les performances. Par exemple, ALB propose [deux options pour les algorithmes de routage](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#modify-routing-algorithm) :
1. **Demandes les moins en attente :** permet d'obtenir une meilleure répartition de la charge sur vos cibles dorsales dans les cas où les demandes de votre application varient en complexité ou vos cibles varient en capacité de traitement.
1. **Tourniquet :** utilisez cette méthode lorsque les demandes et les cibles sont similaires, ou si vous devez distribuer les demandes de manière égale entre les cibles.
1. Envisagez un isolement inter-zone ou par zone.
1. Utilisez les zones croisées désactivées (isolement par zone) pour améliorer la latence et les domaines de panne par zone. L'option est désactivée par défaut dans NLB et dans [ALB, vous pouvez la désactiver par groupe cible](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/disable-cross-zone.html).
1. Utilisez les zones croisées activées pour une disponibilité et une flexibilité accrues. Par défaut, les zones croisées sont activées pour ALB et dans [NLB, vous pouvez les activer par groupe cible](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-cross-zone.html).
1. Activez l'option de persistance HTTP pour vos charges de travail HTTP.
1. Pour les charges de travail HTTP, activez l'option de persistance HTTP dans les paramètres du serveur web de vos cibles dorsales. Grâce à cette fonction, l'équilibreur de charge peut réutiliser les connexions dorsales jusqu'à l'expiration du délai d'attente, ce qui améliore les temps de demande et de réponse HTTP et réduit également l'utilisation des ressources sur vos cibles dorsales. Pour obtenir plus de détails sur la façon de procéder pour Apache et Nginx, consultez [Quels sont les paramètres optimaux pour utiliser Apache ou NGINX en tant que serveur principal pour ELB ?](https://aws.amazon.com/premiumsupport/knowledge-center/apache-backend-elb/)
1. Utilisez les intégrations Elastic Load Balancing pour une meilleure orchestration des ressources de calcul.
1. Intégrez Auto Scaling à votre équilibreur de charge. L'un des aspects essentiels d'un système performant est le dimensionnement adéquat de vos ressources dorsales. Pour ce faire, vous pouvez tirer parti des intégrations d'équilibreurs de charge pour les ressources cibles du système dorsal. Grâce à l'intégration de l'équilibreur de charge avec les groupes Auto Scaling, les cibles seront ajoutées ou retirées de l'équilibreur de charge selon les besoins en fonction du trafic entrant.
1. Les équilibreurs de charge peuvent également s'intégrer à Amazon ECS et Amazon EKS pour les charges de travail conteneurisées.
+ [ Utilisez Elastic Load Balancing pour distribuer le trafic entre les instances de votre groupe Auto Scaling ](https://docs.aws.amazon.com/autoscaling/ec2/userguide/autoscaling-load-balancer.html)
+ [ Amazon ECS : équilibrage de charge des services ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html)
+ [ Équilibrage de charge d'application sur Amazon EKS ](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html)
+ [ Équilibrage de la charge réseau sur Amazon EKS ](https://docs.aws.amazon.com/eks/latest/userguide/network-load-balancing.html)
1. Surveillez votre équilibreur de charge pour détecter les goulots d'étranglement.
1. Activez les journaux d'accès pour votre [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html) et votre [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html).
1. Les principaux champs à prendre en compte pour l'ALB sont les suivants : `request_processing_time`, `request_processing_time`et `response_processing_time`. »
1. Les principaux champs à prendre en compte pour le NLB sont les suivants : `connection_time` et `tls_handshake_time`. »
1. Soyez prêt à interroger les journaux lorsque vous en avez besoin. Vous pouvez utiliser Amazon Athena pour interroger les [journaux ALB](https://docs.aws.amazon.com/athena/latest/ug/application-load-balancer-logs.html) et les [journaux NLB](https://docs.aws.amazon.com/athena/latest/ug/networkloadbalancer-classic-logs.html).
1. Créez des alarmes pour les métriques liées aux performances, telles que [`TargetResponseTime` pour ALB](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html).
## Ressources
**Bonnes pratiques associées :**
+ [SEC09-BP02 Appliquer le chiffrement en transit](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)
**Documents connexes :**
+ [ Comparaison des produits ELB ](https://aws.amazon.com/elasticloadbalancing/features/)
+ [ Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
+ [ Improving Performance and Reducing Cost Using Availability Zone Affinity ](https://aws.amazon.com/blogs/architecture/improving-performance-and-reducing-cost-using-availability-zone-affinity/) (Amélioration des performances et réduction des coûts grâce à l'affinité des zones de disponibilité)
+ [ Step by step for Log Analysis with Amazon Athena ](https://github.com/aws/elastic-load-balancing-tools/tree/master/amazon-athena-for-elb) (Étape par étape pour l'analyse des journaux avec Amazon Athena)
+ [ Querying Application Load Balancer logs ](https://docs.aws.amazon.com/athena/latest/ug/application-load-balancer-logs.html) (Interroger les journaux de l'ALB)
+ [ Monitor your Application Load Balancers ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-monitoring.html) (Surveillez vos équilibreurs de charge d'applications)
+ [ Monitor your Network Load Balancers ](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-monitoring.html) (Surveillez vos équilibreurs de charge réseau)
**Vidéos connexes :**
+ [AWS re:Invent 2018: [REPEAT 1] Elastic Load Balancing: Deep Dive and Best Practices (NET404-R1) ](https://www.youtube.com/watch?v=VIgAT7vjol8)
+ [AWS re:Invent 2021 - How to choose the right load balancer for your AWS workloads ](https://www.youtube.com/watch?v=p0YZBF03r5A)
+ [AWS re:Inforce 2022 - How to use Elastic Load Balancing to enhance your security posture at scale (NIS203) ](https://www.youtube.com/watch?v=YhNc5VSzOGQ)
+ [AWS re:Invent 2019: Get the most from Elastic Load Balancing for different workloads (NET407-R2) ](https://www.youtube.com/watch?v=HKh54BkaOK0)
**Exemples connexes :**
+ [ CDK and CloudFormation samples for Log Analysis with Amazon Athena ](https://github.com/aws/elastic-load-balancing-tools/tree/master/log-analysis-elb-cdk-cf-template) (Exemples de CDK et de CloudFormation pour l'analyse des journaux avec Amazon Athena)
# PERF05-BP05 Choisir des protocoles réseau afin d'améliorer les performances
Évaluez les exigences de performance de votre charge de travail et choisissez les protocoles réseau qui optimisent la performance globale de votre charge de travail.
Il existe une relation entre la latence et la bande passante pour atteindre le débit. Par exemple, si votre transfert de fichiers utilise le protocole de contrôle de transmission (TCP), des latences plus élevées réduiront le débit global. Il existe des approches pour résoudre ce problème avec le réglage du protocole TCP et les protocoles de transfert optimisés. Certaines approches utilisent le protocole UDP (User Datagram Protocol).
Le [protocole SRD (scalable reliable datagram)](https://ieeexplore.ieee.org/document/9167399) est un protocole de transport de réseau conçu par AWS et destiné aux Elastic Fabric Adapter, qui assure une livraison fiable des datagrammes. Contrairement au protocole TCP, SRD peut réorganiser les paquets et les livrer dans le désordre. Ce mécanisme de livraison en désordre du protocole SRD envoie des paquets en parallèle sur des chemins alternatifs, ce qui augmente le débit.
**Anti-modèles courants :**
+ Utilisation de TCP pour toutes les charges de travail, quelles que soient les exigences de performance.
**Avantages liés au respect de cette bonne pratique :**
+ Pour vous assurer d'obtenir les meilleures performances pour cette charge de travail, vous devez choisir le bon protocole de communication entre les différents éléments de la charge de travail.
+ Vérifiez que vous utilisez un protocole approprié pour la communication entre les utilisateurs et les composants de la charge de travail, afin d'améliorer l'expérience globale des utilisateurs de vos applications. Par exemple, en utilisant à la fois TCP et UDP, les charges de travail VDI peuvent profiter de la fiabilité de TCP pour les données critiques et de la vitesse d'UDP pour les données en temps réel.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen (l'utilisation d'un protocole de réseau inapproprié peut entraîner des performances médiocres, telles que des temps de réponse lents, une latence élevée et une capacité de mise à l'échelle réduite)
## Directives d'implémentation
Pour améliorer les performances de votre charge de travail, il est essentiel de comprendre les exigences en matière de latence et de débit, puis de choisir des protocoles réseau qui optimisent les performances.
**Quand envisager l'utilisation du protocole TCP**
Le protocole TCP assure une livraison fiable des données et peut être utilisé pour la communication entre les composants de la charge de travail où la fiabilité et la livraison garantie des données sont importantes. De nombreuses applications web reposent sur des protocoles basés sur le protocole TCP, tels que HTTP et HTTPS, pour ouvrir des sockets TCP afin de communiquer avec des serveurs sur AWS. L'e-mail et le transfert de données de fichiers sont des applications courantes qui utilisent également le protocole TCP en raison de la capacité de ce dernier à contrôler le taux d'échange de données et la congestion du réseau. L'utilisation de TLS avec TCP peut ajouter une certaine surcharge à la communication, ce qui peut entraîner une augmentation de la latence et une réduction du débit. La surcharge provient principalement de la charge supplémentaire du processus de liaison, qui peut prendre plusieurs allers-retours pour se terminer. Une fois la liaison établie, la charge de chiffrement et de déchiffrement des données devient relativement faible.
**Quand envisager l'utilisation du protocole UDP**
UDP est un protocole orienté sans connexion et convient donc aux applications qui nécessitent une transmission rapide et efficace, comme les données de journal, de surveillance et de VoIP. En outre, envisagez d'utiliser UDP si vous avez des composants de charge de travail qui répondent à de petites requêtes provenant d'un grand nombre de clients, afin de garantir des performances optimales de la charge de travail. Le protocole DTLS (Datagram Transport Layer Security) est l'équivalent UDP de TLS. Lors de l'utilisation de DTLS avec UDP, la charge provient du chiffrement et du déchiffrement des données, car le processus de liaison est simplifié. DTLS ajoute également une petite quantité de charge aux paquets UDP, car il inclut des champs supplémentaires pour indiquer les paramètres de sécurité et pour détecter la falsification.
**Quand envisager l'utilisation du protocole SRD**
Le protocole SRD (Scalable reliable datagram) est un protocole de transport en réseau optimisé pour les charges de travail à haut débit en raison de sa capacité à répartir le trafic sur plusieurs chemins et à se rétablir rapidement en cas de perte de paquets ou de défaillance d'un lien. Le SRD est donc le mieux adapté aux charges de travail du calcul haute performance (HPC) qui nécessitent un débit élevé et une communication à faible latence entre les nœuds de calcul. Il peut s'agir de tâches de traitement parallèle telles que la simulation, la modélisation et l'analyse de données qui impliquent un grand nombre de transferts de données entre les nœuds.
**Étapes d'implémentation**
1. Utilisez les services [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) et [AWS Transfer Family](https://aws.amazon.com/aws-transfer-family/) pour améliorer le débit de vos applications de transfert de fichiers en ligne. Le service AWS Global Accelerator vous aide à réduire la latence entre vos appareils clients et votre charge de travail sur AWS. Avec AWS Transfer Family, vous pouvez utiliser des protocoles basés sur TCP tels que le protocole de transfert de fichiers Secure Shell (SFTP) et le protocole de transfert de fichiers sur SSL (FTPS) pour dimensionner et gérer en toute sécurité vos transferts de fichiers vers des services de stockage AWS.
1. Utilisez la latence du réseau pour déterminer si le protocole TCP est adapté à la communication entre les composants de la charge de travail. Si la latence du réseau entre votre application client et le serveur est élevée, la liaison tripartite TCP peut prendre un certain temps, ce qui a un impact sur la réactivité de votre application. Des métriques telles que le délai jusqu'au premier octet (TTFB) et le temps d'aller-retour (RTT) peuvent être utilisées pour mesurer la latence du réseau. Si votre charge de travail diffuse du contenu dynamique aux utilisateurs, envisagez d'utiliser [Amazon CloudFront](https://aws.amazon.com/cloudfront/), qui établit une connexion persistante avec chaque origine pour le contenu dynamique afin d'éliminer le temps d'établissement de la connexion qui, autrement, ralentirait chaque demande du client.
1. L'utilisation de TLS avec TCP ou UDP peut entraîner une augmentation de la latence et une réduction du débit de votre charge de travail en raison de l'impact du chiffrement et du déchiffrement. Pour de telles charges de travail, envisagez d'activer le déchargement SSL/TLS sur [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/) pour améliorer les performances de la charge de travail en permettant à l'équilibreur de charge de gérer les processus de chiffrement et de déchiffrement SSL/TLS au lieu de laisser les instances dorsales s'en charger. Cela peut contribuer à réduire l'utilisation du CPU sur les instances dorsales, ce qui peut améliorer les performances et augmenter la capacité.
1. Utilisez le [Network Load Balancer (NLB)](https://aws.amazon.com/elasticloadbalancing/network-load-balancer/) pour déployer des services qui reposent sur le protocole UDP, tels que l'authentification et l'autorisation, la journalisation, le DNS, l'IoT et le streaming média, afin d'améliorer les performances et la fiabilité de votre charge de travail. Le NLB distribue le trafic UDP entrant sur plusieurs cibles, ce qui vous permet de faire évoluer votre charge de travail horizontalement, d'augmenter la capacité et de réduire les frais généraux associés à une seule cible.
1. Pour vos charges de travail de calcul haute performance (HPC), envisagez d'utiliser la fonctionnalité [Elastic Network Adapter (ENA) Express](https://aws.amazon.com/about-aws/whats-new/2022/11/elastic-network-adapter-ena-express-amazon-ec2-instances/) qui utilise le protocole SRD pour améliorer les performances du réseau en fournissant une bande passante à flux unique plus élevée (25 Gbps) et une latence de queue plus faible (99,9 %) pour le trafic réseau entre les instances EC2.
1. Utilisez l'[Application Load Balancer (ALB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) pour router et répartir votre trafic gRPC (Remote Procedure Calls) entre les composants de la charge de travail ou entre les clients et les services gRPC. gRPC utilise le protocole HTTP/2 basé sur TCP pour le transport et offre des avantages en termes de performances, tels qu'une empreinte réseau plus légère, la compression, une sérialisation binaire efficace, la prise en charge de nombreux langages et le streaming bidirectionnel.
## Ressources
**Documents connexes :**
+ [Amazon EBS – Instances optimisées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Mise en réseau améliorée d'EC2 sous Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html)
+ [Capacité réseau améliorée d'EC2 sous Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking.html)
+ [Groupes de placement EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [Activation de la mise en réseau améliorée avec Elastic Network Adapter (ENA) sur les instances de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html)
+ [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)
+ [Mise en réseau de produits avec AWS](https://aws.amazon.com/products/networking/)
+ [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw)
+ [Transition vers le routage basé sur la latence dans Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/TutorialTransitionToLBR.html)
+ [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
**Vidéos connexes :**
+ [Connectivity to AWS and hybrid AWS network architectures (NET317-R1)](https://www.youtube.com/watch?v=eqW6CPb58gs)
+ [Optimizing Network Performance for Amazon EC2 Instances (CMP308-R1)](https://www.youtube.com/watch?v=DWiwuYtIgu0)
+ [ Tuning Your Cloud: Improve Global Network Performance for Application ](https://www.youtube.com/watch?v=00ukhVcgWrs) (Optimiser votre cloud : améliorer les performances du réseau mondial pour les applications)
+ [ Mise à l'échelle des applications avec EFA et SRD ](https://pages.awscloud.com/HPC-Application-Scaling-with-Elastic-Fabric-Adapter-EFA-and-Scalable-Reliable-Datagram-SRD_2020_0004-CMP_OD.html)
**Exemples connexes :**
+ [AWS Transit Gateway et solutions de sécurité évolutives](https://github.com/aws-samples/aws-transit-gateway-and-scalable-security-solutions)
+ [Ateliers sur la mise en réseau AWS](https://networking.workshop.aws/)
# PERF05-BP06 Choisir l'emplacement de votre charge de travail en fonction des exigences réseau
Évaluez les options de placement des ressources afin de réduire la latence du réseau et d'améliorer le débit, offrant ainsi une expérience utilisateur optimale en réduisant les temps de chargement des pages et de transfert des données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Les ressources, telles que les instances Amazon EC2, sont placées dans des zones de disponibilité au sein des [Régions AWS](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/), des [zones locales AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/), de [AWS Outposts](https://aws.amazon.com/outposts/), ou des [zones AWS Wavelength](https://aws.amazon.com/wavelength/). Le choix de cet emplacement influence la latence et le débit du réseau à partir d'un emplacement donné de l'utilisateur. Les services périphérique tels que [Amazon CloudFront](https://aws.amazon.com/cloudfront/) et [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) peuvent également améliorer les performances du réseau, soit par la mise en cache du contenu aux emplacements périphériques, soit en fournissant aux utilisateurs un chemin optimal vers la charge de travail à travers le réseau global AWS.
**Étapes d'implémentation**
1. Choisissez la ou les Région AWS appropriées pour votre déploiement en fonction des éléments clés suivants :
1. **Emplacement de vos utilisateurs :** choisir une région proche des utilisateurs de votre charge de travail pour garantir une latence plus faible lorsqu'ils utilisent la charge de travail.
1. **Emplacement de vos données :** pour les applications utilisant de grandes quantités de données, le principal goulot d'étranglement du transfert de données est la latence. Le code de l'application doit s'exécuter aussi près que possible des données.
1. **Autres contraintes :** tenez compte de contraintes telles que la sécurité et la conformité (par exemple, les exigences en matière de résidence des données).
1. Pour une charge de travail donnée, si un composant est constitué d'un groupe d'instances Amazon EC2 interdépendantes nécessitant une faible latence, envisagez d'utiliser des [groupes de placement du cluster](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html) pour influencer le placement de ces instances afin de répondre aux exigences de la charge de travail. Les instances du même groupe de placement du cluster bénéficient d'une limite de débit par flux plus élevée pour le trafic TCP/IP et sont placées dans le même segment de bande passante à bisection élevée du réseau. Les groupes de placement du cluster sont recommandés pour les applications qui bénéficient d'une latence réseau faible, d'un débit réseau élevé, ou des deux.
1. Pour une charge de travail sensible à l'emplacement, comportant par exemple des exigences de faible latence ou de résidence des données, consultez les [zones locales AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/) ou [AWS Outposts](https://aws.amazon.com/outposts/).
1. Les zones locales AWS sont un type de déploiement d'infrastructure qui place les services de calcul, de stockage, de base de données et d'autres services AWS sélectionnés à proximité des grands centres de population et d'industrie.
1. AWS Outposts est une famille de solutions entièrement gérées fournissant une infrastructure et des services AWS à pratiquement n'importe quel emplacement sur site ou périphérique pour une expérience hybride vraiment cohérente.
1. Les applications telles que le streaming vidéo en direct à haute résolution, l'audio haute fidélité et la réalité augmentée/virtuelle (RA/RV) exigent une latence ultra-faible pour les appareils 5G. Pour ces applications, pensez à [AWS Wavelength](https://aws.amazon.com/wavelength/). AWS Wavelength intègre les services de calcul et de stockage d'AWS dans les réseaux 5G, fournissant ainsi une infrastructure informatique de périphérie mobile pour le développement, le déploiement et la mise à l'échelle d'applications à très faible latence.
1. Si vos utilisateurs sont répartis géographiquement, un réseau de distribution de contenu (CDN) peut accélérer la distribution de contenu web statique et dynamique en acheminant les données par des points de présence (PoP) dispersés dans le monde entier. En général, les CDN offrent également des capacités de calcul en périphérie, ce qui permet d'effectuer des opérations sensibles à la latence, telles que la manipulation des en-têtes HTTP, les réécritures et les redirections d'URL, à grande échelle en périphérie. [Amazon CloudFront](https://aws.amazon.com/cloudfront/) est un service web qui accélère la distribution de votre contenu web statique et dynamique. Les cas d'utilisation pour CloudFront comprennent l'accélération de la diffusion de contenu de sites web statiques et la diffusion de vidéos à la demande ou de vidéos en streaming en direct. CloudFront peut également personnaliser le contenu et l'expérience des spectateurs, avec une latence réduite.
1. Certaines applications nécessitent des points d'entrée fixes ou des performances plus élevées en réduisant la latence et l'instabilité du premier octet et en augmentant le débit. Ces applications peuvent bénéficier de services de mise en réseau qui fournissent des adresses IP statiques anycast et une terminaison TCP aux emplacements périphériques. [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) peut améliorer les performances de vos applications jusqu'à 60 % et assurer un basculement rapide pour les architectures multirégionales. AWS Global Accelerator vous fournit des adresses IP statiques anycast qui servent de point d'entrée fixe pour vos applications hébergées dans une ou plusieurs Régions AWS. Ces adresses IP permettent au trafic d'entrer sur le réseau global AWS aussi près que possible de vos utilisateurs. AWS Global Accelerator réduit le temps d'établissement de la connexion initiale en établissant une connexion TCP entre le client et l'emplacement périphérique AWS le plus proche du client. Examinez l'utilisation de AWS Global Accelerator pour améliorer les performances de vos charges de travail TCP/UDP et fournir un basculement rapide pour les architectures multirégionales.
1. Si vous avez des applications ou des utilisateurs sur site, vous pouvez bénéficier d'une connexion réseau dédiée entre votre réseau et le cloud. Une connexion réseau dédiée peut réduire les risques de congestion ou d'augmentation inattendue de la latence. [AWS Direct Connect](https://aws.amazon.com/directconnect/) peut améliorer les performances des applications en connectant votre réseau directement à AWS et en contournant l'Internet public. Lors de la création d'une nouvelle connexion, vous pouvez opter pour une connexion hébergée fournie par un partenaire de livraisonAWS Direct Connect, ou choisir une connexion dédiée à partir d'AWS et la déployer sur plus de 100 emplacements AWS Direct Connect dans le monde. Vous pouvez également réduire vos coûts de mise en réseau grâce à de faibles taux de transfert de données à partir d'AWS, et éventuellement configurer un Site-to-Site VPN pour le basculement.
1. Si vous configurez un [Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/) pour se connecter à vos ressources dans AWS, vous pouvez aussi activer l'accélération. Une connexion Site-to-Site VPN accélérée utilise AWS Global Accelerator pour router le trafic de votre réseau sur site vers un emplacement périphérique AWS qui est le plus proche de votre dispositif de passerelle client.
1. Identifiez l'option de routage DNS qui optimiserait les performances de votre charge de travail en examinant le trafic de votre charge de travail et l'emplacement de l'utilisateur.[Amazon Route 53](https://aws.amazon.com/route53) offre des options de [routage basé sur la latence](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-latency.html), de [routage de géolocalisation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-geo.html), de [routage basé sur la géoproximité](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-geoproximity.html) et de [routage basé sur IP](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-ipbased.html) pour vous aider à améliorer les performances de votre charge de travail pour un public mondial.
1. Route 53 propose également une faible latence des requêtes pour vos utilisateurs finaux. En utilisant un réseau global anycast de serveurs DNS dans le monde entier, Route 53 est conçu pour répondre automatiquement aux requêtes à partir de l'emplacement optimal en fonction des conditions du réseau.
## Ressources
**Bonnes pratiques associées :**
+ [COST07-BP02 Mettre en œuvre des régions en fonction des coûts](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_pricing_model_region_cost.html)
+ [COST08-BP03 Mettre en œuvre des services pour réduire les coûts de transfert de données](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_data_transfer_implement_services.html)
+ [REL10-BP01 Déployer la charge de travail sur plusieurs emplacements](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_fault_isolation_multiaz_region_system.html)
+ [REL10-BP02 Sélectionner les emplacements appropriés pour votre déploiement multisite](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_fault_isolation_select_location.html)
+ [SUS01-BP01 Choisir des régions proches des projets d'énergie renouvelable d'Amazon et des régions où l'intensité carbone publiée du réseau est inférieure à celle d'autres emplacements (ou régions)](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_region_a2.html)
+ [SUS02-BP04 Optimiser l'emplacement géographique des charges de travail en fonction de la localisation des utilisateurs](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_user_a5.html)
+ [SUS04-BP07 Réduire le mouvement des données entre les réseaux](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_data_a8.html)
**Documents connexes :**
+ [ Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
+ [AWS Local Zones and AWS Outposts, choosing the right technology for your edge workload ](https://aws.amazon.com/blogs/compute/aws-local-zones-and-aws-outposts-choosing-the-right-technology-for-your-edge-workload/) (Zones locales AWS et Outpost AWS, choisir la bonne technologie pour votre charge de travail périphérique)
+ [Groupes de placement](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [Zones locales AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/)
+ [AWS Outposts](https://aws.amazon.com/outposts/)
+ [AWS Wavelength](https://aws.amazon.com/wavelength/)
+ [Amazon CloudFront](https://aws.amazon.com/cloudfront/)
+ [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/)
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/)
+ [Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/)
+ [Amazon Route 53](https://aws.amazon.com/route53)
**Vidéos connexes :**
+ [ Vidéo explicative sur les zones locales AWS](https://www.youtube.com/watch?v=JHt-D4_zh7w)
+ [ Présentation d'AWS Outposts et de son fonctionnement ](https://www.youtube.com/watch?v=ppG2FFB0mMQ)
+ [AWS re:Invent 2021 - AWS Outposts: Bringing the AWS experience on premises ](https://www.youtube.com/watch?v=FxVF6A22498)
+ [AWS re:Invent 2020: AWS Wavelength: Run apps with ultra-low latency at 5G edge ](https://www.youtube.com/watch?v=AQ-GbAFDvpM)
+ [AWS re:Invent 2022 - AWS Local Zones: Building applications for a distributed edge ](https://www.youtube.com/watch?v=bDnh_d-slhw)
+ [AWS re:Invent 2021 - Building low-latency websites with Amazon CloudFront ](https://www.youtube.com/watch?v=9npcOZ1PP_c)
+ [AWS re:Invent 2022 - Improve performance and availability with AWS Global Accelerator](https://www.youtube.com/watch?v=s5sjsdDC0Lg)
+ [AWS re:Invent 2022 - Build your global wide area network using AWS](https://www.youtube.com/watch?v=flBieylTwvI)
+ [AWS re:Invent 2020: Global traffic management with Amazon Route 53 ](https://www.youtube.com/watch?v=E33dA6n9O7I)
**Exemples connexes :**
+ [ Atelier AWS Global Accelerator](https://catalog.us-east-1.prod.workshops.aws/workshops/effb1517-b193-4c59-8da5-ce2abdb0b656/en-US)
+ [ Handling Rewrites and Redirects using Edge Functions ](https://catalog.us-east-1.prod.workshops.aws/workshops/814dcdac-c2ad-4386-98d5-27d37bb77766/en-US) (Gestion des réécritures et des redirections à l'aide des fonctions de périphérie)
# PERF05-BP07 Optimiser la configuration réseau en fonction de métriques
Une mauvaise configuration du réseau affecte souvent les performances, l'efficacité et les coûts associés au réseau. Dans les environnements de réseau classiques, le déploiement doit être achevé rapidement dès le début, ce qui fait que les performances du réseau ne sont pas pleinement prises en compte dans la configuration adéquate du réseau. Pour optimiser votre configuration réseau, vous devez d'abord disposer d'une visibilité et de données sur votre environnement réseau.
Pour comprendre les performances de vos ressources réseau, collectez et analysez les données afin de prendre des décisions éclairées sur l'optimisation de votre configuration réseau. Mesurez l'impact de ces modifications et utilisez les mesures d'impact pour prendre des décisions.
**Résultat souhaité :** utiliser des métriques et des outils de surveillance du réseau pour optimiser la configuration du réseau en fonction de l'évolution des charges de travail. Les réseaux basés sur le cloud peuvent être rapidement optimisés. L'évolution de votre architecture réseau dans le temps est donc nécessaire pour continuer d'assurer l'efficacité des performances.
**Anti-modèles courants :**
+ Vous supposez que tous les problèmes liés aux performances sont liés à l'application.
+ Vous testez uniquement les performances de votre réseau à partir d'un emplacement proche de l'endroit où vous avez déployé la charge de travail.
+ Vous utilisez des configurations par défaut pour tous les services du réseau.
+ Vous surdimensionnez la ressource réseau afin de fournir une capacité suffisante.
**Avantages liés au respect de cette bonne pratique :** la collecte des métriques nécessaires de votre réseau AWS et la mise en œuvre d'outils de surveillance du réseau vous permettent de comprendre les performances du réseau et d'optimiser les configurations du réseau.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
La surveillance du trafic en provenance et à destination des VPC, des sous-réseaux ou des interfaces réseau est essentielle pour comprendre comment utiliser les ressources réseau AWS et comment optimiser les configurations réseau. Les outils suivants vous permettent d'obtenir des informations supplémentaires sur l'utilisation du trafic, l'accès au réseau et les journaux.
**Étapes d'implémentation**
1. Utilisez [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html). Vous pouvez utiliser IPAM pour planifier, suivre et surveiller les adresses IP pour vos charges de travail AWS et sur site. C'est la meilleure pratique à adopter pour optimiser l'utilisation et l'affectation des adresses IP.
1. Activez les [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html). Utilisez les journaux de flux VPC pour capturer des informations détaillées sur le trafic en provenance et à destination des interfaces réseau de vos VPC. Grâce aux journaux de flux VPC, vous pouvez diagnostiquer les règles de groupes de sécurité trop restrictives ou trop permissives et déterminer la direction du trafic vers et depuis les interfaces réseau. Les frais d'ingestion et d'archivage des données pour les journaux payants s'appliquent lorsque vous publiez les journaux de flux.
1. Activez la [journalisation des requêtes DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html). Vous pouvez configurer Amazon Route 53 pour journaliser des informations sur les requêtes DNS publiques ou privées que Route 53 reçoit. Grâce aux journaux DNS, vous pouvez optimiser les configurations DNS en comprenant le domaine ou le sous-domaine qui a été demandé ou les emplacements périphériques Route 53 qui ont répondu aux requêtes DNS.
1. Utilisez [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pour analyser et déboguer l'accessibilité du réseau. Reachability Analyzer est un outil d'analyse de la configuration qui vous permet d'effectuer des tests de connectivité entre une ressource source et une ressource de destination dans vos VPC. Cet outil vous aide à vérifier que votre configuration réseau correspond à la connectivité souhaitée.
1. Utilisez [l'analyseur d'accès réseau](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) pour comprendre l'accès réseau à vos ressources. Vous pouvez utiliser l'analyseur d'accès réseau pour spécifier vos exigences en matière d'accès au réseau et identifier les chemins d'accès potentiels qui ne répondent pas à vos exigences spécifiées. En optimisant la configuration de votre réseau correspondant, vous pouvez comprendre et vérifier l'état de votre réseau et démontrer si votre réseau sur AWS répond à vos exigences de conformité.
1. Utilisez [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) et activez les métriques appropriées pour les options réseau. Veillez à choisir la métrique de réseau adaptée à votre charge de travail. Par exemple, vous pouvez activer des métriques pour l'utilisation d'adresses réseau VPC, la passerelle VPC NAT, AWS Transit Gateway, le tunnel VPN, AWS Network Firewall, Elastic Load Balancing, et AWS Direct Connect. La surveillance continue des métriques est une bonne pratique pour observer et comprendre l'état et l'utilisation de votre réseau. Elle vous aide à optimiser la configuration du réseau en fonction de vos observations.
**Niveau d'effort du plan d'implémentation :** moyen
## Ressources
**Documents connexes :**
+ [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Journalisation des requêtes DNS publiques ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)
+ [ Qu'est-ce que IPAM ? ](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [Qu'est-ce qu'Reachability Analyzer ?](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)
+ [ What is Network Access Analyzer? ](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) (Qu'est-ce que l'analyseur d'accès réseau ?)
+ [ Métriques CloudWatch pour vos VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cloudwatch.html)
+ [ Optimize performance and reduce costs for network analytics with VPC Flow Logs in Apache Parquet format ](https://aws.amazon.com/blogs/big-data/optimize-performance-and-reduce-costs-for-network-analytics-with-vpc-flow-logs-in-apache-parquet-format/) (Optimisez les performances et réduisez les coûts analytiques des réseaux grâce aux journaux de flux VPC au format Apache Parquet)
+ [Surveillance de vos réseaux mondiaux et principaux avec les métriques Amazon Cloudwatch](https://docs.aws.amazon.com/vpc/latest/tgwnm/monitoring-cloudwatch-metrics.html)
+ [Surveiller en permanence le trafic et les ressources du réseau](https://docs.aws.amazon.com/whitepapers/latest/security-best-practices-for-manufacturing-ot/continuously-monitor-network-traffic-and-resources.html)
**Vidéos connexes :**
+ [Networking best practices and tips with the Well-Architected Framework](https://www.youtube.com/watch?v=wOMNpG49BeM)
+ [Monitoring and troubleshooting network traffic](https://www.youtube.com/watch?v=Ed09ReWRQXc)
**Exemples connexes :**
+ [Ateliers sur la mise en réseau AWS](https://networking.workshop.aws/)
+ [Surveillance réseau AWS](https://github.com/aws-samples/monitor-vpc-network-patterns)
# Vérifiez.
**Topics**
+ [PERF 6 Comment faire évoluer votre charge de travail pour tirer parti des nouvelles versions ?](perf-06.md)
# PERF 6 Comment faire évoluer votre charge de travail pour tirer parti des nouvelles versions ?
Lors de la conception architecturale des charges de travail fini, il existe des options que vous pouvez choisir. Au fil du temps, cependant, de nouvelles technologies et approches entrent en scène et permettent d'améliorer les performances de votre architecture.
**Topics**
+ [PERF06-BP01 Se tenir informé des nouvelles ressources et des nouveaux services](perf_continue_having_appropriate_resource_type_keep_up_to_date.md)
+ [PERF06-BP02 Définir un processus pour améliorer les performances des charges de travail](perf_continue_having_appropriate_resource_type_define_process.md)
+ [PERF06-BP03 Faire évoluer les performances des charges de travail au fil du temps](perf_continue_having_appropriate_resource_type_evolve.md)
# PERF06-BP01 Se tenir informé des nouvelles ressources et des nouveaux services
Évaluez les méthodes d'amélioration des performances au fur et à mesure que de nouveaux services, modèles de conception et offres de produits entrent en scène. Identifiez celles de ces méthodes qui sont susceptibles d'améliorer les performances ou d'accroître l'efficacité de la charge de travail via l'évaluation, la discussion interne ou l'analyse externe.
Mettez en place un processus permettant d'évaluer les mises à jour, les nouvelles fonctions et les services pertinents pour votre charge de travail. Par exemple, la création d'une preuve de concept qui utilise les nouvelles technologies ou la consultation d'un groupe interne. Lorsque vous essayez de nouvelles idées ou services, exécutez des tests de performances pour mesurer leur impact sur les performances de la charge de travail. Utilisation de l'infrastructure en tant que code (IaC) et d'une culture DevOps pour profiter de la capacité de tester fréquemment de nouvelles idées ou technologies avec un coût ou un risque minimal.
**Résultat souhaité :** vous avez documenté l'inventaire des composants, votre modèle de conception et vos caractéristiques de charge de travail. Vous utilisez cette documentation pour créer une liste d'abonnements afin d'informer votre équipe sur les mises à jour de service, les fonctionnalités et les nouveaux produits. Vous avez identifié les parties prenantes du composant qui évalueront les nouvelles versions et formuleront une recommandation quant à l'impact et la priorité pour l'entreprise.
**Anti-modèles courants :**
+ Vous n'examinez les nouvelles options et les nouveaux services que lorsque votre charge de travail ne répond pas aux exigences de performances.
+ Vous supposez que toutes les nouvelles offres de produits ne seront pas utiles pour votre charge de travail.
+ Vous choisissez toujours de créer plutôt que d'acheter lorsque vous améliorez votre charge de travail.
**Avantages liés au respect de cette bonne pratique :** en envisageant de nouveaux services ou de nouvelles offres de produits, vous pouvez améliorer les performances et l'efficacité de votre charge de travail, réduire le coût de l'infrastructure et limiter l'effort requis pour gérer vos services.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Mettez en place un processus permettant d'évaluer les mises à jour, les nouvelles fonctions et les services d'AWS. Vous pouvez, à titre d'exemple, créer des preuves de concept qui utilisent les nouvelles technologies. Lorsque vous essayez de nouvelles idées ou de nouveaux services, exécutez des tests de performance afin de mesurer l'impact sur l'efficacité ou les performances de la charge de travail. Tirez parti de la flexibilité offerte par AWS pour tester fréquemment de nouvelles idées ou des technologies avec un coût et un risque limités.
## Étapes d'implémentation
1. Documentez vos solutions de charge de travail. Utilisez votre solution de base de données de gestion des configurations (CMDB) pour documenter votre inventaire et classer par catégorie vos services et dépendances. Utilisez des outils tels qu' [AWS Config](https://aws.amazon.com/config/) pour obtenir une liste de tous les services AWS utilisés par votre charge de travail.
1. Utilisez [une stratégie de balisage](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) pour documenter les propriétaires de chaque composant et catégorie de charge de travail. Par exemple, si vous utilisez actuellement Amazon RDS comme solution de base de données, demandez à votre administrateur de base de données (DBA) d'être désigné et documenté comme propriétaire afin d'évaluer et de rechercher de nouveaux services et mises à jour.
1. Identifiez les actualités et mettez à jour les sources liées aux composants de votre charge de travail. Dans l'exemple Amazon RDS mentionné précédemment, le propriétaire de la catégorie doit s'abonner au blog [Quelles sont les nouveautés AWS ?](https://aws.amazon.com/new/) pour les produits qui correspondent à sa charge de travail. Vous pouvez vous abonner au flux RSS ou gérer vos [abonnements aux e-mails](https://pages.awscloud.com/communication-preferences.html). Surveillez les mises à niveau de la base de données Amazon RDS que vous utilisez, les nouvelles fonctionnalités, les instances publiées et les nouveaux produits tels qu'Amazon Aurora Serverless. Surveillez les blogs, les produits et les fournisseurs du secteur sur lesquels le composant s'appuie.
1. Documentez votre processus d'évaluation des mises à jour et des nouveaux services. Donnez aux propriétaires de votre catégorie le temps et l'espace nécessaires pour rechercher, tester, expérimenter et valider les mises à jour et les nouveaux services. Reportez-vous aux exigences opérationnelles documentées et aux KPI pour établir l'ordre de priorité des mises à jour qui auront un impact positif sur les activités.
**Niveau d'effort du plan d'implémentation :** pour établir cette bonne pratique, vous devez connaître les composants actuels de votre charge de travail et identifier les propriétaires de catégorie et les sources de mises à jour des services. Il s'agit d'un faible niveau d'effort au début, mais c'est un processus continu qui pourrait évoluer et s'améliorer au fil du temps.
## Ressources
**Documents connexes :**
+ [Blog AWS](https://aws.amazon.com/blogs/)
+ [Nouveautés AWS](https://aws.amazon.com/new/?ref=wellarchitected)
**Vidéos connexes :**
+ [Chaîne YouTube AWS Events](https://www.youtube.com/channel/UCdoadna9HFHsxXWhafhNvKw)
+ [Chaîne YouTube AWS Online Tech Talks](https://www.youtube.com/user/AWSwebinars)
+ [Chaîne YouTube Amazon Web Services](https://www.youtube.com/channel/UCd6MoB9NC6uYN2grvUNT-Zg)
**Exemples connexes :**
+ [AWS Github](https://github.com/aws)
+ [AWS Skill Builder](https://explore.skillbuilder.aws/learn)
# PERF06-BP02 Définir un processus pour améliorer les performances des charges de travail
Définissez un processus d'évaluation de nouveaux services, les modèles de conception, les types de ressources et les configurations au fur et à mesure qu'elles deviennent disponibles. Par exemple, exécutez des tests de performances existants sur de nouvelles offres d'instances afin de déterminer leur potentiel d'amélioration de votre charge de travail.
Les performances de votre charge de travail présentent quelques contraintes clés. Documentez-les pour connaître les types d'innovations qui pourraient améliorer les performances de votre charge de travail. Utilisez ces informations lors de l'apprentissage de nouveaux services ou la technologie au fur et à mesure de leur disponibilité afin d'identifier les moyens d'atténuer des contraintes ou des goulets d'étranglement.
**Anti-modèles courants :**
+ Vous supposez que votre architecture actuelle deviendra statique et ne sera jamais mise à jour au fil du temps.
+ Vous introduisez des modifications d'architecture au fil du temps sans justification basée sur les métriques.
**Avantages liés au respect de cette bonne pratique :** Un processus défini pour les modifications d'architecture rend possible l'utilisation des données collectées pour influencer la conception de votre charge de travail au fil du temps.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Identifier les contraintes de performance clés pour votre charge de travail : documentez les contraintes environnementales de votre charge de travail pour connaître les types d'innovations qui pourraient améliorer ses performances.
## Ressources
**Documents connexes :**
+ [Blog AWS](https://aws.amazon.com/blogs/)
+ [Nouveautés AWS](https://aws.amazon.com/new/?ref=wellarchitected)
**Vidéos connexes :**
+ [Chaîne YouTube AWS Events](https://www.youtube.com/channel/UCdoadna9HFHsxXWhafhNvKw)
+ [Chaîne YouTube AWS Online Tech Talks](https://www.youtube.com/user/AWSwebinars)
+ [Chaîne YouTube Amazon Web Services](https://www.youtube.com/channel/UCd6MoB9NC6uYN2grvUNT-Zg)
**Exemples connexes :**
+ [AWS Github](https://github.com/aws)
+ [AWS Skill Builder](https://explore.skillbuilder.aws/learn)
# PERF06-BP03 Faire évoluer les performances des charges de travail au fil du temps
En tant qu'organisation, utilisez les informations collectées par le biais du processus d'évaluation pour éclairer l'adoption de nouveaux services ou ressources lorsqu'ils sont disponibles.
Utilisez les informations que vous collectez lors de l'évaluation de nouveaux services ou de technologies pour modifier. Les modifications de votre activité ou de votre charge de travail s'accompagnent toujours d'une évolution des besoins en termes de performances. Utilisez les données collectées à partir des métriques de de votre charge de travail pour évaluer les zones où vous pouvez obtenir les plus grands gains d'efficacité des performances, ou de manière proactive adopter de nouveaux services et technologies pour répondre à la demande.
**Anti-modèles courants :**
+ Vous supposez que votre architecture actuelle deviendra statique et ne sera jamais mise à jour au fil du temps.
+ Vous introduisez des modifications d'architecture au fil du temps sans justification basée sur les métriques.
+ Vous modifiez l'architecture simplement parce que tous les autres acteurs du secteur l'utilisent.
**Avantages liés au respect de cette bonne pratique :** Pour optimiser les performances et les coûts de votre charge de travail, vous devez évaluer tous les logiciels et services disponibles afin d'identifier ceux qui conviennent à votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Faire évoluer votre charge de travail dans le temps : utilisez les informations que vous collectez lors de l'évaluation de nouveaux services ou technologies pour encourager le changement. Les modifications de votre activité ou de votre charge de travail s'accompagnent toujours d'une évolution des besoins en termes de performances. Utilisez les données collectées à partir des métriques de votre charge de travail pour évaluer les zones où vous pouvez obtenir les plus grands gains d'efficacité des performances ou adopter de manière proactive de nouveaux services et technologies pour répondre à la demande.
## Ressources
**Documents connexes :**
+ [Blog AWS](https://aws.amazon.com/blogs/)
+ [Nouveautés AWS](https://aws.amazon.com/new/?ref=wellarchitected)
**Vidéos connexes :**
+ [Chaîne YouTube AWS Events](https://www.youtube.com/channel/UCdoadna9HFHsxXWhafhNvKw)
+ [Chaîne YouTube AWS Online Tech Talks](https://www.youtube.com/user/AWSwebinars)
+ [Chaîne YouTube Amazon Web Services](https://www.youtube.com/channel/UCd6MoB9NC6uYN2grvUNT-Zg)
**Exemples connexes :**
+ [AWS Github](https://github.com/aws)
+ [AWS Skill Builder](https://explore.skillbuilder.aws/learn)
# Surveillance
**Topics**
+ [PERF 7 Comment surveiller vos ressources pour vous assurer qu'elles fonctionnent ?](perf-07.md)
# PERF 7 Comment surveiller vos ressources pour vous assurer qu'elles fonctionnent ?
Les performances du système peuvent se dégrader au fil du temps. Surveillez-les afin d'identifier cette dégradation et corriger les facteurs internes ou externes tels que le système d'exploitation ou le chargement des applications.
**Topics**
+ [PERF07-BP01 Enregistrer les métriques liées aux performances](perf_monitor_instances_post_launch_record_metrics.md)
+ [PERF07-BP02 Analyser les métriques lorsque des événements ou incidents se produisent](perf_monitor_instances_post_launch_review_metrics.md)
+ [PERF07-BP03 Définir des indicateurs clés de performance (KPI) pour mesurer les performances de la charge de travail](perf_monitor_instances_post_launch_establish_kpi.md)
+ [PERF07-BP04 Utiliser la surveillance pour générer des notifications basées sur une alarme](perf_monitor_instances_post_launch_generate_alarms.md)
+ [PERF07-BP05 Vérifier les métriques à intervalles réguliers](perf_monitor_instances_post_launch_review_metrics_collected.md)
+ [PERF07-BP06 Surveillance et alarmes proactives](perf_monitor_instances_post_launch_proactive.md)
# PERF07-BP01 Enregistrer les métriques liées aux performances
Utilisez un service de surveillance et d'observabilité pour enregistrer les métriques liées aux performances. Parmi les exemples de métriques, citons les transactions de la base de données, les requêtes lentes, la latence d'E/S, le débit des demandes HTTP, la latence de service ou d'autres données clés.
Identifiez les métriques de performance qui comptent pour votre charge de travail et enregistrez-les. Ces données sont un élément important pour être en mesure d'identifier les composants qui ont une incidence sur les performances globales ou sur l'efficacité de la charge de travail.
En travaillant à partir de l'expérience client, identifiez les métriques importantes. Pour chaque métrique, identifiez la cible, la méthode d'évaluation et la priorité. Utilisez-les pour créer des alarmes et des notifications pour gérer de manière proactive les problèmes liés à la performance.
**Anti-modèles courants :**
+ Vous surveillez uniquement les métriques au niveau du système d'exploitation pour obtenir des informations sur votre charge de travail.
+ Vous concevez l'architecture de vos besoins de calcul de sorte à répondre aux pics de charges de travail.
**Avantages liés au respect de cette bonne pratique :** Vous avez besoin d'une vue opérationnelle unifiée de vos indicateurs de performance clés (KPI) pour optimiser les performances et l'utilisation des ressources. Vous pouvez créer des tableaux de bord et soumettre vos données à des calculs métriques pour en tirer des informations opérationnelles et d'utilisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Identifiez et enregistrez les métriques de performance pertinentes pour votre charge de travail. Ces données permettent d'identifier les composants ayant un impact sur les performances globales ou l'efficacité de votre charge de travail.
Identifier les métriques de performance : utilisez l'expérience client pour identifier les métriques les plus importantes. Pour chaque métrique, identifiez la cible, la méthode d'évaluation et la priorité. Utilisez ces points de données pour créer des alarmes et des notifications afin de gérer de manière proactive les problèmes liés à la performance.
## Ressources
**Documents connexes :**
+ [Documentation CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Collecte des métriques et des journaux des instances Amazon EC2 et serveurs sur site avec l'agent CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html?ref=wellarchitected)
+ [Publier des métriques personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html?ref=wellarchitected)
+ [Surveillance, journalisation et performances Partenaires APN](https://aws.amazon.com/devops/partner-solutions/#_Monitoring.2C_Logging.2C_and_Performance)
+ [Documentation X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
+ [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
**Vidéos connexes :**
+ [Cut through the chaos: Gain operational visibility and insight (MGT301-R1)](https://www.youtube.com/watch?v=nLYGbotqHd0)
+ [Application Performance Management on AWS](https://www.youtube.com/watch?v=5T4stR-HFas&ref=wellarchitected)
+ [Élaborer un plan de surveillance](https://www.youtube.com/watch?v=OMmiGETJpfU&ref=wellarchitected)
**Exemples connexes :**
+ [Niveau 100 : surveillance avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_with_cloudwatch_dashboards/)
+ [Niveau 100 : surveillance d'une instance Windows EC2 avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_windows_ec2_cloudwatch/)
+ [Niveau 100 : surveillance d'une instance Amazon Linux EC2 avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_linux_ec2_cloudwatch/)
# PERF07-BP02 Analyser les métriques lorsque des événements ou incidents se produisent
En réponse à un événement/incident ou lors de celui-ci, utilisez les tableaux de bord ou les rapports de supervision pour comprendre et diagnostiquer l'impact. Ces vues permettent d’identifier les portions de la charge de travail qui ne fonctionnent pas comme prévu.
Lorsque vous écrivez des scénarios utilisateurs critiques pour votre architecture, incluez les exigences en matière de performances, notamment en précisant à quelle vitesse devrait s'exécuter chaque scénario critique. Pour ces scénarios critiques, mettez en place d'autres parcours utilisateurs écrits à l'avance afin de vous assurer que ces scénarios fonctionnent conformément à vos exigences.
**Anti-modèles courants :**
+ Vous supposez que les événements de performances sont exceptionnels et uniquement liés à des anomalies.
+ Vous n'évaluez les métriques de performances existantes que lorsque vous répondez à des événements de performances.
**Avantages liés au respect de cette bonne pratique :** Afin de déterminer si votre charge de travail fonctionne aux niveaux prévus, vous devez répondre aux événements de performances en recueillant des données de métriques supplémentaires pour l'analyse. Ces données sont utilisées pour comprendre l'impact de l'événement de performance et suggérer des modifications pour améliorer les performances de la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Donner la priorité à l'expérience dans les scénarios utilisateur critiques : lorsque vous écrivez des scénarios utilisateur critiques pour votre architecture, incluez les exigences en matière de performances, notamment en précisant à quelle vitesse devrait s'exécuter chaque scénario critique. Pour ces scénarios critiques, mettez en place d'autres parcours utilisateurs écrits à l'avance afin de vous assurer de connaître comment les narrations de l’utilisateur fonctionnent par rapport à vos exigences.
## Ressources
**Documents connexes :**
+ [Documentation CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Surveillance, journalisation et performances Partenaires APN](https://aws.amazon.com/devops/partner-solutions/#_Monitoring.2C_Logging.2C_and_Performance)
+ [Documentation X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**Vidéos connexes :**
+ [Cut through the chaos: Gain operational visibility and insight (MGT301-R1)](https://www.youtube.com/watch?v=nLYGbotqHd0)
+ [Optimize applications through Amazon CloudWatch RUM](https://www.youtube.com/watch?v=NMaeujY9A9Y)
+ [Demo of Amazon CloudWatch Synthetics](https://www.youtube.com/watch?v=hF3NM9j-u7I)
**Exemples connexes :**
+ [Mesurer le temps de chargement des pages avec Amazon CloudWatch Synthetics](https://github.com/aws-samples/amazon-cloudwatch-synthetics-page-performance)
+ [Client web Amazon CloudWatch RUM](https://github.com/aws-observability/aws-rum-web)
# PERF07-BP03 Définir des indicateurs clés de performance (KPI) pour mesurer les performances de la charge de travail
Identifiez les KPI qui mesurent les performances de la charge de travail de manière quantitative et qualitative. Les KPI permettent de mesurer l'état d'une charge de travail par rapport à un objectif commercial. Ils permettent aux équipes commerciales et d'ingénierie de s'aligner sur la mesure des objectifs et des stratégies et sur la façon dont ces éléments se combinent pour générer des résultats commerciaux. Les KPI doivent être revus lorsque les objectifs commerciaux, les stratégies ou les exigences des utilisateurs finaux changent.
Par exemple, une charge de travail de site Web peut utiliser le temps de chargement de la page comme indication des performances globales. Cette métrique serait l'un des éléments de données pris en compte pour mesurer l'expérience d'un utilisateur final. En plus d'identifier les temps limites de chargement des pages, vous devez documenter le résultat attendu ou le risque commercial si les performances ne sont pas atteintes. Un long temps de chargement des pages affecterait directement vos utilisateurs finaux, nuirait à leur expérience utilisateur et pourrait entraîner une perte de clients. Lorsque vous définissez vos seuils de KPI, combinez à la fois les points de référence en vigueur dans votre secteur et les attentes de vos utilisateurs finaux. Par exemple, si le point de référence actuel établi par votre secteur d'activité pour le chargement d'une page Web est un délai de deux secondes, mais que vos utilisateurs finaux s'attendent à ce qu'une page Web se charge dans un délai d'une seconde, vous devez prendre en compte ces deux éléments de données lors de la définition des KPI. Un autre exemple de KPI pourrait se concentrer sur la satisfaction des besoins de performances internes. Un seuil de KPI peut spécifier que la génération des rapports de vente doit se faire dans un délai d'un jour ouvrable après la génération des données de production. Ces rapports peuvent affecter directement les décisions quotidiennes et les résultats commerciaux.
**Résultat souhaité :** La définition de KPI implique différents départements et parties prenantes. Votre équipe doit évaluer les KPI de votre charge de travail à l'aide de données précises en temps réel et de données historiques à titre de référence et créer des tableaux de bord qui effectuent des calculs de métriques par rapport à vos données de KPI pour générer des informations opérationnelles et d'utilisation. Les KPI doivent être documentés. Les KPI et les seuils convenus qui soutiennent les objectifs et les stratégies de l'entreprise, ainsi que les métriques surveillées doivent être indiqués. Les KPI identifient les exigences de performance, sont vérifiés intentionnellement et sont fréquemment partagés et acceptés par toutes les équipes. Les risques et les compromis sont clairement identifiés et compris, et l'impact sur l'activité si les seuils de KPI ne sont pas atteints est connu.
**Anti-modèles courants :**
+ Vous surveillez uniquement les métriques au niveau du système pour avoir un aperçu de votre charge de travail et ne comprenez pas les impacts commerciaux possibles.
+ Vous supposez que vos KPI sont déjà publiés et partagés en tant que données de métriques standard.
+ Vous définissez des KPI, mais vous ne les partagez pas avec toutes les équipes.
+ Vous ne définissez pas des KPI quantitatifs et mesurables.
+ Vous ne tenez pas compte des objectifs ni des stratégies de l'entreprise pour définir vos KPI.
**Avantages liés au respect de cette bonne pratique :** L'identification de métriques spécifiques qui représentent l'état de la charge de travail contribue à aligner les équipes sur leurs priorités et à définir des résultats commerciaux atteignables. Le partage de ces métriques avec tous les départements offre une visibilité et un alignement sur les seuils, les attentes et l'impact commercial.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Tous les départements et toutes les équipes métier concernés par l'état de la charge de travail doivent contribuer à la définition des KPI. Une seule personne doit gérer la collaboration, les délais, la documentation et les informations relatives aux KPI d'une organisation. Ce responsable unique partagera souvent les objectifs et les stratégies de l'entreprise et attribuera des tâches aux parties prenantes pour qu'ils créent des KPI dans leurs départements respectifs. Une fois les KPI définis, l'équipe des opérations aide souvent à définir les métriques qui soutiendront et informeront le succès des différents KPI. Les KPI ne sont efficaces que si tous les membres de l'équipe responsables d'une charge de travail en a connaissance.
**Étapes d'implémentation**
1. Identifiez et documentez les parties prenantes de l'entreprise.
1. Identifiez les objectifs et les stratégies de l'entreprise.
1. Passez en revue les KPI qui correspondent aux objectifs et aux stratégies de votre entreprise dans votre secteur d'activité.
1. Passez en revue les attentes des utilisateurs finaux concernant votre charge de travail.
1. Définissez et documentez des KPI qui soutiennent les objectifs et les stratégies de l'entreprise.
1. Identifiez et documentez les stratégies de compromis approuvées pour atteindre les KPI.
1. Identifiez et documentez les métriques qui informeront les KPI.
1. Identifiez et documentez les seuils de KPI pour les niveaux de gravité ou d'alarme.
1. Identifiez et documentez le risque et l'impact si le KPI n'est pas atteint.
1. Identifiez la fréquence de révision par KPI.
1. Communiquer la documentation sur les KPI à toutes les équipes responsables de la charge de travail.
** Niveau d'effort du plan d'implémentation :** Définir et communiquer les KPI implique un niveau d'effort *faible* . Cela peut généralement se faire en quelques semaines et implique de se réunir avec les parties prenantes de l'entreprise et d'examiner les objectifs, les stratégies et les métriques de la charge de travail.
## Ressources
**Documents connexes :**
+ [Documentation CloudWatch ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Surveillance, journalisation et performances Partenaires APN](https://aws.amazon.com/devops/partner-solutions/#_Monitoring.2C_Logging.2C_and_Performance)
+ [Documentation X-Ray ](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
+ [Fonctionnement des tableaux de bord Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html?ref=wellarchitected)
+ [KPI Quick](https://docs.aws.amazon.com/quicksight/latest/user/kpi.html)
**Vidéos connexes :**
+ [AWS re:Invent 2019: Scaling up to your first 10 million users (ARC211-R)](https://www.youtube.com/watch?v=kKjm4ehYiMs&ref=wellarchitected)
+ [Cut through the chaos: Gain operational visibility and insight (MGT301-R1)](https://www.youtube.com/watch?v=nLYGbotqHd0&ref=wellarchitected)
+ [Élaborer un plan de surveillance](https://www.youtube.com/watch?v=OMmiGETJpfU&ref=wellarchitected)
**Exemples connexes :**
+ [Création d'un tableau de bord avec Quick](https://github.com/aws-samples/amazon-quicksight-sdk-proserve)
# PERF07-BP04 Utiliser la surveillance pour générer des notifications basées sur une alarme
En vous servant des KPI que vous avez définis, utilisez un système de surveillance qui génère des alarmes automatiquement lorsque ces mesures sont situées en dehors des limites attendues.
Amazon CloudWatch peut récupérer des métriques à partir des ressources de votre architecture. Vous pouvez également récupérer et publier des métriques personnalisées pour faire apparaître des métriques d'entreprise ou des métriques dérivées. Utilisez CloudWatch ou un service de surveillance tiers pour définir des alarmes qui vous avertissent lorsque les seuils sont dépassés. Les alarmes indiquent qu'une métrique est située en dehors des limites attendues.
**Anti-modèles courants :**
+ Vous comptez sur le personnel pour surveiller les métriques et réagir en cas de problème.
+ Vous comptez uniquement sur les runbooks opérationnels, notamment lorsque des flux de travail sans serveur peuvent être déclenchés pour accomplir la même tâche.
**Avantages liés au respect de cette bonne pratique :** Vous pouvez définir des alarmes et automatiser des actions en fonction de seuils prédéfinis ou d'algorithmes de machine learning qui identifient les comportements anormaux dans vos métriques. Ces mêmes alarmes peuvent également déclencher des flux de travail sans serveur, ce qui peut modifier les caractéristiques de performance de votre charge de travail (par exemple, augmenter la capacité de calcul ou modifier la configuration de la base de données)
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Surveiller les métriques : Amazon CloudWatch peut récupérer des métriques à partir des ressources de votre architecture. Vous pouvez récupérer et publier des métriques personnalisées pour faire apparaître des métriques métiers ou des métriques dérivées. Utilisez CloudWatch ou un service de surveillance tiers pour définir des alarmes qui indiquent les dépassements de seuils.
## Ressources
**Documents connexes :**
+ [Documentation CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Surveillance, journalisation et performances Partenaires APN](https://aws.amazon.com/devops/partner-solutions/#_Monitoring.2C_Logging.2C_and_Performance)
+ [Documentation X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
+ [Utilisation des alarmes et des actions d'alarme dans CloudWatch](https://docs.aws.amazon.com/sdk-for-go/v1/developer-guide/cw-example-using-alarm-actions.html)
**Vidéos connexes :**
+ [AWS re:Invent 2019: Scaling up to your first 10 million users (ARC211-R)](https://www.youtube.com/watch?v=kKjm4ehYiMs&ref=wellarchitected)
+ [Cut through the chaos: Gain operational visibility and insight (MGT301-R1)](https://www.youtube.com/watch?v=nLYGbotqHd0&ref=wellarchitected)
+ [Build a Monitoring Plan](https://www.youtube.com/watch?v=OMmiGETJpfU&ref=wellarchitected)
+ [Using AWS Lambda with Amazon CloudWatch Events](https://www.youtube.com/watch?v=WDBD3JmpLqs)
**Exemples connexes :**
+ [Personnalisation des alarmes Cloudwatch Logs](https://github.com/awslabs/cloudwatch-logs-customize-alarms)
# PERF07-BP05 Vérifier les métriques à intervalles réguliers
Vérifiez les métriques qui sont collectées au titre de la maintenance de routine ou en réponse à des événements ou des incidents. Utilisez ces vérifications pour identifier les métriques qui ont été essentielles pour traiter les problèmes et les métriques supplémentaires, si elles ont été suivies, qui aideraient à identifier, traiter ou empêcher les problèmes.
Lorsque vous répondez aux incidents ou aux événements, évaluez les métriques qui ont été utiles dans la gestion du problème et les métriques qui auraient pu aider mais ne sont pas suivies actuellement. Utilisez ce processus pour améliorer la qualité des métriques que vous collectez afin de pouvoir prévenir ou résoudre plus rapidement les incidents futurs.
**Anti-modèles courants :**
+ Vous autorisez les métriques à rester dans un état d'alarme pendant longtemps.
+ Vous créez des alarmes qui ne sont pas exploitables par un système d'automatisation.
**Avantages liés au respect de cette bonne pratique :** Passer en revue en permanence les métriques qui sont collectées pour vous assurer qu'elles identifient, résolvent ou préviennent correctement les problèmes. Les métriques peuvent également devenir caduques si vous les laissez dans un état d'alarme pendant longtemps.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Améliorer constamment la collecte et le suivi des métriques : lorsque vous répondez aux incidents ou aux événements, évaluez les métriques qui ont été utiles dans la gestion du problème et les métriques qui auraient pu aider mais ne sont pas suivies actuellement. Utilisez cette méthode pour améliorer la qualité des métriques que vous collectez afin de pouvoir prévenir ou résoudre plus rapidement les incidents futurs.
## Ressources
**Documents connexes :**
+ [Documentation CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Collecte des métriques et des journaux des instances Amazon EC2 et serveurs sur site avec l'agent CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html?ref=wellarchitected)
+ [Surveillance, journalisation et performances Partenaires APN](https://aws.amazon.com/devops/partner-solutions/#_Monitoring.2C_Logging.2C_and_Performance)
+ [Documentation X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**Vidéos connexes :**
+ [Cut through the chaos: Gain operational visibility and insight (MGT301-R1)](https://www.youtube.com/watch?v=nLYGbotqHd0)
+ [Application Performance Management on AWS](https://www.youtube.com/watch?v=5T4stR-HFas&ref=wellarchitected)
+ [Build a Monitoring Plan](https://www.youtube.com/watch?v=OMmiGETJpfU&ref=wellarchitected)
**Exemples connexes :**
+ [Création d'un tableau de bord avec Quick](https://github.com/aws-samples/amazon-quicksight-sdk-proserve)
+ [Niveau 100 : surveillance avec les tableaux de bord CloudWatch](https://wellarchitectedlabs.com/performance-efficiency/100_labs/100_monitoring_with_cloudwatch_dashboards/)
# PERF07-BP06 Surveillance et alarmes proactives
Utilisez les KPI en combinaison avec des systèmes de surveillance et d'alarme pour traiter de manière proactive les problèmes liés aux performances. Utilisez des alarmes pour déclencher des actions automatisées afin de corriger les problèmes dans la mesure du possible. Faites remonter l'alarme aux personnes qui peuvent répondre si une réponse automatique n'est pas possible. Par exemple, vous pourriez disposer d'un système capable de prédire les valeurs attendues de KPI lorsqu'elles dépassent certains seuils d'alarme. Vous pouvez aussi disposer d’un outil capable d'arrêter ou de restaurer automatiquement des déploiements si les valeurs des KPI dépassent celles attendues.
Mettez en place des processus qui rendent visibles les performances pendant que votre charge de travail est en cours d'exécution. Créez des tableaux de bord de surveillance et établissez des normes de référence pour les attentes en matière de performances pour déterminer si les performances de la charge de travail sont optimales.
**Anti-modèles courants :**
+ Vous autorisez uniquement le personnel des opérations à apporter des modifications opérationnelles à la charge de travail.
+ Vous confiez toutes les activités de filtre des alarmes à l'équipe des opérations sans correction proactive.
**Avantages liés au respect de cette bonne pratique :** La correction proactive des actions d'alarme permet au personnel d'assistance de se concentrer sur les éléments qui ne sont pas exploitables automatiquement. Cela garantit que le personnel des opérations ne soit pas submergé par toutes les alarmes et se concentre uniquement sur les alarmes critiques.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Surveiller les performances au cours des opérations : mettez en œuvre des processus garantissant une visibilité des performances lors de l'exécution de votre charge de travail. Créez des tableaux de bord de surveillance et établissez une référence pour les attentes en matière de performances.
## Ressources
**Documents connexes :**
+ [Documentation CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
+ [Surveillance, journalisation et performances Partenaires APN](https://aws.amazon.com/devops/partner-solutions/#_Monitoring.2C_Logging.2C_and_Performance)
+ [Documentation X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
+ [Utilisation des alarmes et des actions d'alarme dans CloudWatch](https://docs.aws.amazon.com/sdk-for-go/v1/developer-guide/cw-example-using-alarm-actions.html)
**Vidéos connexes :**
+ [Cut through the chaos: Gain operational visibility and insight (MGT301-R1)](https://www.youtube.com/watch?v=nLYGbotqHd0)
+ [Application Performance Management on AWS](https://www.youtube.com/watch?v=5T4stR-HFas&ref=wellarchitected)
+ [Build a Monitoring Plan](https://www.youtube.com/watch?v=OMmiGETJpfU&ref=wellarchitected)
+ [Using AWS Lambda with Amazon CloudWatch Events](https://www.youtube.com/watch?v=WDBD3JmpLqs)
**Exemples connexes :**
+ [Personnalisation des alarmes Cloudwatch Logs](https://github.com/awslabs/cloudwatch-logs-customize-alarms)
# Compromis
**Topics**
+ [PERF 8 Comment utiliser les compromis pour améliorer les performances ?](perf-08.md)
# PERF 8 Comment utiliser les compromis pour améliorer les performances ?
Lors de la conception architecturale de solutions, identifier les compromis permet de sélectionner une approche optimale. En règle générale, vous pouvez améliorer les performances en faisant un compromis sur la cohérence, la durabilité et l'espace en faveur du temps et de la latence.
**Topics**
+ [PERF08-BP01 Comprendre les domaines où les performances sont d'une importance critique](perf_tradeoffs_performance_critical_areas.md)
+ [PERF08-BP02 Découvrir les modèles de conception et les services](perf_tradeoffs_performance_design_patterns.md)
+ [PERF08-BP03 Identifier la façon dont les compromis affectent les clients et l'efficacité](perf_tradeoffs_performance_understand_impact.md)
+ [PERF08-BP04 Mesurer l'impact des améliorations de performances](perf_tradeoffs_performance_measure.md)
+ [PERF08-BP05 Utiliser différentes stratégies en lien avec les performances](perf_tradeoffs_performance_implement_strategy.md)
# PERF08-BP01 Comprendre les domaines où les performances sont d'une importance critique
Comprenez et identifiez les domaines où l'augmentation des performances de votre charge de travail aura un impact positif sur l'efficacité ou l'expérience client. Par exemple, un site web qui comporte un grand nombre d'interactions clients pourrait gagner à utiliser des services de périphérie pour rapprocher la diffusion de contenus des clients.
**Résultat souhaité :** améliorer l'efficacité des performances en comprenant votre architecture, vos modèles de trafic et d'accès aux données, et identifier vos temps de latence et de traitement. Identifier les goulots d'étranglement potentiels qui pourraient avoir une incidence sur l'expérience client à mesure que la charge de travail augmente. Une fois que vous aurez identifié ces domaines, déterminez quelle solution vous pouvez déployer afin de surmonter ces problèmes de performances.
**Anti-modèles courants :**
+ Vous supposez que les métriques de calcul standard telles que `CPUUtilization` ou la sollicitation de la mémoire suffisent pour détecter les problèmes de performances.
+ Vous n'utilisez que les métriques par défaut enregistrées par le logiciel de surveillance que vous avez sélectionné.
+ Vous n'examinez les métriques qu'en cas de problème.
**Avantages liés au respect de cette bonne pratique :** la compréhension des domaines critiques de performances aide les propriétaires des charges de travail à surveiller les KPI et à prioriser les améliorations à impact élevé.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Mettez en place un suivi de bout en bout afin d'identifier les tendances du trafic, la latence et les domaines de performances critiques. Surveillez vos modèles d'accès aux données afin d'identifier les requêtes lentes ou les données mal fragmentées et partitionnées. Identifiez les zones de charge de travail limitées à l'aide de tests ou de surveillance des charges.
## Étapes d'implémentation
1. Mettez en place une surveillance de bout en bout pour capturer tous les composants et métriques de la charge de travail.
+ Utilisez [Amazon CloudWatch Real-User Monitoring (RUM)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html) pour capturer les métriques de performances des applications à partir de sessions réelles côté client et front-end.
+ Configurez [AWS X-Ray](https://aws.amazon.com/xray/) pour tracer le trafic à travers les couches applicatives et identifier la latence entre les composants et les dépendances. Utilisez les cartographies de services X-Ray afin de voir les relations et la latence entre les composants de la charge de travail.
+ Utilisez [Amazon Relational Database Service Performance Insights](https://aws.amazon.com/rds/performance-insights/) pour consulter les métriques de performances de la base de données et identifier les améliorations des performances.
+ Utilisez [Amazon RDS Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) pour consulter les métriques de performances du système d'exploitation de la base de données.
+ Collectez [les métriques CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) par composant de la charge de travail et service, et déterminez quelles métriques ont un impact sur l'efficacité des performances.
+ Configurez [Amazon DevOps Guru](https://aws.amazon.com/devops-guru/) pour obtenir d'autres informations et recommandations sur les performances
1. Effectuez des tests afin de générer des métriques, d'identifier les tendances de trafic, les goulots d'étranglement et les domaines de performance critiques.
+ Configurez [des tests canary synthétiques CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) afin d'imiter par programmation les activités de l'utilisateur basées sur un navigateur en utilisant des `tâches cron` ou des expressions de taux afin de générer des métriques cohérentes au fil du temps.
+ Utilisez la solution [Test de charge distribuée sur AWS](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/) afin de générer un trafic de pointe ou de tester la charge de travail au taux de croissance attendu.
1. Évaluez les métriques et la télémétrie pour identifier vos domaines de performances critiques. Examinez ces domaines avec votre équipe afin de discuter de la surveillance et des solutions pour éviter les goulots d'étranglement.
1. Expérimentez des améliorations des performances et mesurez ces changements avec des données.
+ Utilisez [CloudWatch Evidently](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Evidently.html) afin de tester les nouvelles améliorations et l'impact sur la charge de travail.
**Niveau d'effort du plan d'implémentation :** pour établir cette bonne pratique, vous devez examiner vos métriques de bout en bout et connaître vos performances actuelles en matière de charge de travail. Il s'agit d'un niveau d'effort modéré pour établir une surveillance de bout en bout et déterminer vos domaines de performances critiques.
## Ressources
**Documents connexes :**
+ [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library)
+ [Documentation X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
+ [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [Amazon DevOps Guru](https://aws.amazon.com/devops-guru/)
+ [CloudWatch RUM et X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-RUM.html)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Demo of Amazon CloudWatch Synthetics](https://www.youtube.com/watch?v=hF3NM9j-u7I)
**Exemples connexes :**
+ [Mesurer le temps de chargement des pages avec Amazon CloudWatch Synthetics](https://github.com/aws-samples/amazon-cloudwatch-synthetics-page-performance)
+ [Client web Amazon CloudWatch RUM](https://github.com/aws-observability/aws-rum-web)
+ [Kit SDK X-Ray pour Node.js](https://github.com/aws/aws-xray-sdk-node)
+ [Kit SDK X-Ray pour Python](https://github.com/aws/aws-xray-sdk-python)
+ [Kit SDK X-Ray pour Java](https://github.com/aws/aws-xray-sdk-java)
+ [Kit SDK X-Ray pour .Net](https://github.com/aws/aws-xray-sdk-dotnet)
+ [Kit SDK X-Ray pour Ruby](https://github.com/aws/aws-xray-sdk-ruby)
+ [Démon X-Ray](https://github.com/aws/aws-xray-daemon)
+ [Test de charge distribuée sur AWS](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/)
# PERF08-BP02 Découvrir les modèles de conception et les services
Étudiez et apprenez à connaître les différents modèles de conception et les services qui vous permettent d'améliorer les performances des charges de travail. Identifiez, dans le cadre de l'analyse, les compromis que vous pourriez faire pour obtenir de meilleures performances. Par exemple, l'utilisation d'un service de cache contribue à réduire la charge placée sur les systèmes de base de données. Toutefois, la mise en cache peut introduire une cohérence finale et exige l'implémentation d'efforts d'ingénierie dans les exigences métier et les attentes client.
**Résultat souhaité :** La recherche de modèles de conception vous permettra de choisir une conception d'architecture capable de supporter le système le plus performant. Découvrez les options de configuration des performances disponibles et leur impact potentiel sur la charge de travail. L'optimisation des performances de votre charge de travail dépend de la compréhension de l'interaction de ces options avec votre architecture et de l'impact qu'elles auront sur les performances mesurées et les performances perçues par les utilisateurs finaux.
**Anti-modèles courants :**
+ Vous supposez que toutes les stratégies de performances de charge de travail informatiques traditionnelles conviennent mieux aux charges de travail cloud.
+ Vous créez et gérez des solutions de mise en cache au lieu d'utiliser des services gérés.
+ Vous utilisez le même modèle de conception pour toutes vos charges de travail sans évaluer les modèles capables d'améliorer les performances de la charge de travail.
**Avantages liés au respect de cette bonne pratique :** En sélectionnant le modèle de conception et les services adaptés à votre charge de travail, vous optimiserez vos performances en améliorant l'excellence opérationnelle et en augmentant la fiabilité. Le modèle de conception adapté répondra aux caractéristiques actuelles de votre charge de travail et vous aidera à mettre à l'échelle pour la croissance ou les changements futurs.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Découvrez les options de configuration des performances disponibles ainsi que leur impact potentiel sur la charge de travail. L'optimisation des performances de votre charge de travail dépend de la compréhension de l'interaction de ces options avec votre architecture et de l'impact qu'elles ont sur les performances mesurées et les performances perçues par les utilisateurs.
**Étapes d'implémentation :**
1. Évaluer et examiner les modèles de conception qui amélioreront les performances de votre charge de travail.
1. La version [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library/) vous fournit une description détaillée de la façon dont Amazon élabore et exploite la technologie. Ces articles sont rédigés par des ingénieurs chevronnés d'Amazon et couvrent des sujets tels que l'architecture, la livraison de logiciels et les opérations.
1. [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/) est un ensemble de solutions prêtes à être déployées qui regroupe services, code et configurations. Ces solutions ont été créées par AWS et les partenaires AWS en se basant sur des cas d'utilisation courants et des modèles de conception regroupés par secteur ou type de charge de travail. Par exemple, vous pouvez définir une [solution de test de charge distribuée](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/) pour votre charge de travail.
1. [Centre d'architecture AWS](https://aws.amazon.com/architecture/) fournit des diagrammes d'architecture de référence regroupés par modèle de conception, type de contenu et technologie.
1. [AWS Samples](https://github.com/aws-samples) est un référentiel GitHub rempli d'exemples pratiques pour vous aider à explorer les modèles d'architecture, solutions et services courants. Il est mis à jour fréquemment avec les nouveaux services et exemples.
1. Améliorer votre charge de travail pour reproduire les modèles de conception sélectionnés, sans oublier d'utiliser les services et les options de configuration de service pour améliorer les performances de votre charge de travail.
1. Entraînez votre équipe en interne avec les ressources disponibles sur [AWS Skills Guild](https://aws.amazon.com/training/teams/aws-skills-guild/).
1. Utilisez la boîte à outils [AWS Partner Network](https://aws.amazon.com/partners/) pour fournir rapidement une expertise et mettre à l'échelle votre capacité à apporter des améliorations.
**Niveau d'effort du plan d'implémentation :** pour mettre en place cette bonne pratique, vous devez connaître les modèles de conception et les services capables de vous aider à améliorer les performances de votre charge de travail. Une fois les modèles de conception évalués, l'implémentation exige un effort *élevé* .
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture/)
+ [AWS Partner Network](https://aws.amazon.com/partners/)
+ [Bibliothèque de solutions AWS](https://aws.amazon.com/solutions/)
+ [Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library/)
+ [Utilisation du délestage de charge pour éviter la surcharge](https://aws.amazon.com/builders-library/using-load-shedding-to-avoid-overload/?did=ba_card&trk=ba_card)
+ [Défis et stratégies en matière de mise en cache](https://aws.amazon.com/builders-library/caching-challenges-and-strategies/?did=ba_card&trk=ba_card)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Voici mon architecture](https://aws.amazon.com/architecture/this-is-my-architecture/)
**Exemples connexes :**
+ [Exemples AWS](https://github.com/aws-samples)
+ [Exemples de kits SDK AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
# PERF08-BP03 Identifier la façon dont les compromis affectent les clients et l'efficacité
Lors de l'évaluation des améliorations liées à la performance, identifiez les choix qui vont affecter vos clients et l'efficacité de la charge de travail. Par exemple, si l'utilisation d'un magasin de données clé-valeur augmente les performances du système, il est important d'évaluer l'impact de sa nature constante à terme sur les clients.
Identifiez les domaines ayant de mauvaises performances dans votre système via les métriques et la surveillance. Déterminez la façon dont vous pouvez apporter des améliorations ainsi que les compromis que ces améliorations entraînent et la façon dont ils affectent le système et l'expérience de l'utilisateur. Par exemple, la mise en œuvre de la mise en cache des données permet d'améliorer de manière significative les performances, mais nécessite une stratégie précise concernant la manière et le moment où mettre à jour ou invalider les données mises en cache pour empêcher un comportement incorrect du système.
**Anti-modèles courants :**
+ Vous supposez que tous les gains de performances doivent être mis en œuvre, même s'il existe des compromis comme la cohérence éventuelle pour ce qui est de l'implémentation.
+ Vous n'évaluez les modifications apportées aux charges de travail que lorsqu'un problème de performances a atteint un point critique.
**Avantages liés au respect de cette bonne pratique :** Lorsque vous évaluez les améliorations potentielles liées aux performances, vous devez décider si les compromis pour les modifications sont cohérents avec les exigences de charge de travail. Dans certains cas, vous devrez peut-être mettre en place des contrôles supplémentaires pour compenser les compromis.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Identifier les compromis : utilisez des métriques et un suivi pour identifier les domaines où les performances de votre système sont insuffisantes. Déterminez comment apporter des améliorations et l'impact des compromis sur le système et l'expérience utilisateur. À titre d'exemple, la mise en œuvre de la mise en cache des données permet certes d'améliorer de manière significative les performances, mais nécessite une stratégie précise concernant la manière et le moment où mettre à jour ou invalider les données mises en cache pour empêcher un comportement incorrect du système.
## Ressources
**Documents connexes :**
+ [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library)
+ [KPI Quick](https://docs.aws.amazon.com/quicksight/latest/user/kpi.html)
+ [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [Documentation X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Build a Monitoring Plan](https://www.youtube.com/watch?v=OMmiGETJpfU&ref=wellarchitected)
+ [Optimize applications through Amazon CloudWatch RUM](https://www.youtube.com/watch?v=NMaeujY9A9Y)
+ [Demo of Amazon CloudWatch Synthetics](https://www.youtube.com/watch?v=hF3NM9j-u7I)
**Exemples connexes :**
+ [Mesurer le temps de chargement des pages avec Amazon CloudWatch Synthetics](https://github.com/aws-samples/amazon-cloudwatch-synthetics-page-performance)
+ [Client web Amazon CloudWatch RUM](https://github.com/aws-observability/aws-rum-web)
# PERF08-BP04 Mesurer l'impact des améliorations de performances
Évaluez les métriques et les données collectées au fur et à mesure que des modifications sont apportées pour améliorer les performances. Utilisez ces informations pour déterminer l'impact de l'amélioration des performances sur la charge de travail, les composants de la charge de travail et vos clients. Cette mesure vous aide à comprendre les améliorations résultant du compromis ainsi qu'à déterminer si des effets négatifs se sont produits.
Un système Well-Architected utilise une combinaison de stratégies liées à la performance. Déterminez quelle stratégie aura l'impact positif le plus important sur un point d'accès donné ou un goulot d'étranglement. Par exemple, le partitionnement des données sur plusieurs systèmes de bases de données relationnelles peut améliorer le débit global, tout en conservant la prise en charge des transactions. La mise en cache au sein de chaque partition peut aider à réduire la charge.
**Anti-modèles courants :**
+ Vous déployez et gérez manuellement des technologies qui sont disponibles en tant que services gérés.
+ Vous vous concentrez sur un seul composant à l'instar de la mise en réseau, lorsque plusieurs composants peuvent être utilisés pour améliorer les performances de la charge de travail.
+ Vous utilisez les commentaires et la perception des clients comme seule référence.
**Avantages liés au respect de cette bonne pratique :** Pour les besoins de la mise en œuvre des stratégies de performances, vous devez sélectionner plusieurs services et fonctions qui, ensemble, vous permettront de répondre aux exigences de performance de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Un système Well-Architected utilise une combinaison de stratégies liées à la performance. Déterminez quelle stratégie aura l'impact positif le plus important sur un point d'accès donné ou un goulot d'étranglement. Par exemple, le partitionnement des données sur plusieurs systèmes de bases de données relationnelles peut améliorer le débit global, tout en conservant la prise en charge des transactions. La mise en cache au sein de chaque partition peut aider à réduire la charge.
## Ressources
**Documents connexes :**
+ [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library)
+ [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [Test de charge distribuée sur AWS](https://docs.aws.amazon.com/solutions/latest/distributed-load-testing-on-aws/welcome.html)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [Optimize applications through Amazon CloudWatch RUM](https://www.youtube.com/watch?v=NMaeujY9A9Y)
+ [Demo of Amazon CloudWatch Synthetics](https://www.youtube.com/watch?v=hF3NM9j-u7I)
**Exemples connexes :**
+ [Mesurer le temps de chargement des pages avec Amazon CloudWatch Synthetics](https://github.com/aws-samples/amazon-cloudwatch-synthetics-page-performance)
+ [Client web Amazon CloudWatch RUM](https://github.com/aws-observability/aws-rum-web)
+ [Test de charge distribuée sur AWS](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/)
# PERF08-BP05 Utiliser différentes stratégies en lien avec les performances
Utilisez le cas échéant plusieurs stratégies pour améliorer les performances. À titre d'exemple, utilisez des stratégies telles que la mise en cache des données pour éviter les appels réseau ou de base de données excessifs, l'utilisation de réplicas en lecture pour les moteurs de base de données afin d'améliorer les vitesses de lecture, la fragmentation ou la compression des données si possible pour réduire les volumes de données, et la mise en mémoire tampon et la diffusion des résultats au fur et à mesure qu'ils sont disponibles pour éviter un blocage.
Lorsque vous apportez des modifications à la charge de travail, collectez et évaluez les métriques pour déterminer l'impact de ces modifications. Mesurez les impacts sur le système, ainsi que sur l'utilisateur final pour comprendre la façon dont vos compromis affectent votre charge de travail. Utilisez une approche systématique, telle que des tests de charge, pour déterminer si le compromis améliore les performances.
**Anti-modèles courants :**
+ Vous supposez que les performances de la charge de travail sont adéquates si les clients ne se plaignent pas.
+ Vous ne collectez les données sur les performances qu'après avoir apporté des modifications liées aux performances.
**Avantages liés au respect de cette bonne pratique :** Pour optimiser les performances et l'utilisation des ressources, vous avez besoin d'une vue opérationnelle unifiée, de données granulaires en temps réel et de références historiques. Vous pouvez créer des tableaux de bord et soumettre vos données à des calculs métriques pour obtenir des informations opérationnelles et d'utilisation pour vos charges de travail au fur et à mesure qu'elles évoluent au fil du temps.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Utiliser une approche basée sur les données pour faire évoluer votre architecture : lorsque vous apportez des modifications à la charge de travail, collectez et évaluez les métriques pour déterminer l'impact de ces modifications. Mesurez les impacts sur le système ainsi que sur l'utilisateur final pour comprendre la façon dont vos compromis affectent votre charge de travail. Utilisez une approche systématique, telle que des tests de charge, pour déterminer si le compromis améliore les performances.
## Ressources
**Documents connexes :**
+ [Bibliothèque Amazon Builders' Library](https://aws.amazon.com/builders-library)
+ [Bonnes pratiques d'implémentation pour Amazon ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/BestPractices.html)
+ [Mise en cache de bases de données AWS ](https://aws.amazon.com/caching/database-caching/?ref=wellarchitected)
+ [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html)
+ [Test de charge distribuée sur AWS](https://docs.aws.amazon.com/solutions/latest/distributed-load-testing-on-aws/welcome.html)
**Vidéos connexes :**
+ [Introducing The Amazon Builders' Library (DOP328)](https://www.youtube.com/watch?v=sKRdemSirDM)
+ [AWS purpose-built databases (DAT209-L) ](https://www.youtube.com/watch?v=q81TVuV5u28&ref=wellarchitected)
+ [Optimize applications through Amazon CloudWatch RUM](https://www.youtube.com/watch?v=NMaeujY9A9Y)
**Exemples connexes :**
+ [Mesurer le temps de chargement des pages avec Amazon CloudWatch Synthetics](https://github.com/aws-samples/amazon-cloudwatch-synthetics-page-performance)
+ [Client web Amazon CloudWatch RUM](https://github.com/aws-observability/aws-rum-web)
+ [Test de charge distribuée sur AWS](https://aws.amazon.com/solutions/implementations/distributed-load-testing-on-aws/)
# Optimisation des coûts
Le pilier Optimisation des coûts comprend la possibilité d'exécuter des systèmes pour offrir une valeur métier au prix le plus bas. Vous trouverez des recommandations sur l'implémentation dans le [livre blanc Pilier Optimisation des coûts](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Pratiques en matière de gestion financière du cloud](a-practice-cloud-financial-management.md)
+ [Sensibilisation aux dépenses et à l'utilisation](a-expenditure-and-usage-awareness.md)
+ [Ressources rentables](a-cost-effective-resources.md)
+ [Gérer la demande et les sources d'approvisionnement](a-manage-demand-and-supply-resources.md)
+ [Optimiser dans le temps](a-optimize-over-time.md)
# Pratiques en matière de gestion financière du cloud
**Topics**
+ [COST 1 Comment mettre en œuvre la gestion financière du cloud ?](cost-01.md)
# COST 1 Comment mettre en œuvre la gestion financière du cloud ?
La gestion financière du cloud (CFM) permet aux organisations de générer de la valeur ajoutée et d'être financièrement performantes en optimisant leurs coûts et l'utilisation, et de se développer sur AWS.
**Topics**
+ [COST01-BP01 Mettre en place une fonction d'optimisation des coûts](cost_cloud_financial_management_function.md)
+ [COST01-BP02 Établir un partenariat entre les équipes financières et technologiques](cost_cloud_financial_management_partnership.md)
+ [COST01-BP03 Établir des budgets et des prévisions cloud](cost_cloud_financial_management_budget_forecast.md)
+ [COST01-BP04 Mettre en œuvre la sensibilisation aux coûts dans les processus organisationnels](cost_cloud_financial_management_cost_awareness.md)
+ [COST01-BP05 Rendre compte de l'optimisation des coûts](cost_cloud_financial_management_usage_report.md)
+ [COST01-BP06 Surveiller les coûts de manière proactive](cost_cloud_financial_management_proactive_process.md)
+ [COST01-BP07 Suivre les nouvelles versions des services](cost_cloud_financial_management_scheduled.md)
+ [COST01-BP08 Créer une culture de sensibilisation aux coûts](cost_cloud_financial_management_culture.md)
+ [COST01-BP09 Quantifier la valeur ajoutée générée par l'optimisation des coûts](cost_cloud_financial_management_quantify_value.md)
# COST01-BP01 Mettre en place une fonction d'optimisation des coûts
Créez une équipe (Bureau d'affaires du cloud ou centre d'excellence cloud) chargée d'établir et de gérer la sensibilisation aux coûts dans toute votre organisation. L'équipe nécessite des personnes occupant des postes dans les domaines financier, de la technologie et des affaires.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Créez une équipe (Bureau d'affaires du cloud ou Centre d'excellence cloud) chargée d'établir et de gérer une culture de sensibilisation aux coûts dans le cloud computing. Il peut s'agir d'une personne existante, d'une équipe au sein de votre organisation, ou d'une nouvelle équipe composée des principales parties prenantes de la finance, de la technologie et de l'organisation dans toute l'organisation.
La fonction (individu ou équipe) établit des priorités et consacre le pourcentage de temps requis aux activités de gestion et d'optimisation des coûts. Pour une petite organisation, la fonction peut consacrer un pourcentage de temps plus faible qu'une fonction à temps plein pour une grande entreprise.
Cette fonction exige une approche pluridisciplinaire, avec des capacités en gestion de projet, en science des données, en analyse financière et en développement de logiciels ou d'infrastructures. La fonction peut améliorer l'efficacité des charges de travail en exécutant les optimisations de coûts dans trois différentes propriétés :
+ **Centralisée : **par le biais d'équipes désignées (finance, opérations, optimisation des coûts, Bureau d'affaires du cloud ou Centre d'excellence cloud), les clients peuvent concevoir et implémenter des mécanismes de gouvernance et encourager les bonnes pratiques dans toute l'entreprise.
+ **Décentralisée :** influencer les équipes technologiques pour exécuter des optimisations.
+ **Hybride :** une combinaison des équipes centralisée et décentralisée peut collaborer pour exécuter les optimisations de coûts.
La fonction peut être mesurée par rapport à sa capacité à exécuter et à atteindre les objectifs d'optimisation des coûts (par exemple, les métriques d'efficacité de la charge de travail).
Vous devez obtenir un parrainage de la direction pour cette fonction pour effectuer des changements, ce qui est le principal facteur de réussite. Le sponsor est considéré comme le champion de la consommation rentable de l'informatique dématérialisée et fournit un soutien à l'escalade pour la fonction afin de garantir que les activités d'optimisation des coûts sont traitées avec le niveau de priorité défini par l'organisation. Sinon, les conseils peuvent être ignorés et les opportunités d'économies ne seront pas prioritaires. Ensemble, le sponsor et la fonction veillent à ce que votre organisation consomme le cloud de manière efficace et continue à générer de la valeur ajoutée.
Si vous disposez d'un plan Business, Enterprise-On-Ramp ou Enterprise Support, et avez besoin d'aide pour créer cette équipe ou fonction, contactez les experts en gestion financière de cloud via l'équipe en charge de votre compte.
**Étapes d'implémentation**
+ ** Définir les principaux membres :** Vous devez vous assurer que toutes les parties concernées de votre organisation contribuent et s'impliquent dans la gestion des coûts. En règle générale, les équipes comprennent la finance, les responsables d'application ou de produit, la direction et les équipes techniques (DevOps). Certaines personnes sont recrutées à temps plein (finance, technique) et d'autres périodiquement si nécessaire. Les individus ou les équipes pratiquant la gestion financière de cloud ont généralement besoin des compétences suivantes :
+ Compétences en développement logiciel : dans le cas où des scripts et l'automatisation sont créés.
+ Compétences en ingénierie d'infrastructure : pour déployer des scripts ou une automatisation, et comprendre comment les services et les ressources sont approvisionnés.
+ Perspicacité des opérations : la gestion financière de cloud concerne le fonctionnement efficace sur le cloud en mesurant, en surveillant, en modifiant, en planifiant et en mettant à l'échelle l'utilisation efficace du cloud.
+ **Définir des objectifs et des métriques : **La fonction doit apporter de la valeur à l'organisation de différentes manières. Ces objectifs sont définis et évoluent continuellement au rythme de l'organisation. Les activités courantes incluent la création et l'exécution de programmes de formation sur l'optimisation des coûts au sein de l'organisation, le développement de normes à l'échelle de l'organisation, telles que la surveillance et la création de rapports pour l'optimisation des coûts, et la définition d'objectifs de charge de travail pour l'optimisation. Cette fonction doit également rendre régulièrement compte à l'organisation de la capacité d'optimisation des coûts de cette dernière.
Vous pouvez définir des indicateurs de performance clés basés sur la valeur. Les indicateurs de performance clés peuvent être basés sur les coûts ou la valeur. Lorsque vous définissez les indicateurs de performance clés, vous pouvez calculer le coût prévu en matière d'efficacité et les résultats métier attendus. Les indicateurs de performance clés lient les métriques de coût et d'utilisation aux leviers stratégiques de valeur métier, et nous aident à rationaliser les changements dans nos dépenses AWS. La première étape pour tirer profit des indicateurs de performance clés basés sur la valeur consiste à collaborer, d'un point de vue trans-organisationnel, pour sélectionner et convenir d'un ensemble standard d'indicateurs de performance clés.
+ ** Définir une fréquence : **Le groupe (équipes financière, technologique et commerciaux) doit se réunir régulièrement pour examiner ses objectifs et métriques. Une fréquence type implique d'examiner l'état de l'organisation, de passer en revue les programmes en cours, puis de vérifier les métriques financières et d'optimisation globales. Les principales charges de travail font l'objet d'un rapport plus détaillé.
Pendant ces réunions régulières, vous pouvez examiner l'efficacité (le coût) de la charge de travail et les résultats métier. Par exemple, une hausse de 20 % du coût d'une charge de travail peut s'aligner avec une utilisation client accrue. Dans ce cas, cette hausse de 20 % du coût peut être interprétée comme un investissement. Ces appels réguliers peuvent aider les équipes à identifier les indicateurs de performance clés basés sur la valeur qui attribuent une signification à l'entreprise entière.
## Ressources
**Documents connexes :**
+ [Blog Centre d'excellence cloud AWS](https://aws.amazon.com/blogs/enterprise-strategy/tag/ccoe/)
+ [Création d'un bureau d'affaires du cloud](https://aws.amazon.com/blogs/enterprise-strategy/creating-the-cloud-business-office/)
+ [Centre d'excellence cloud (CCoE)](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-laying-the-foundation/cloud-center-of-excellence.html)
**Vidéos connexes :**
+ [Témoignage de réussite : centre d'excellence cloud Vanguard](https://www.youtube.com/watch?v=0XA08hhRVFQ)
**Exemples connexes :**
+ [Utilisation d'un centre d'excellence cloud pour transformer l'entreprise entière](https://aws.amazon.com/blogs/enterprise-strategy/using-a-cloud-center-of-excellence-ccoe-to-transform-the-entire-enterprise/)
+ [Création d'un centre d'excellence cloud pour transformer l'entreprise entière](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/building-a-cloud-center-of-excellence-ccoe-to-transform-the-entire-enterprise.html)
+ [7 pièges à éviter lors de la création d'un centre d'excellence cloud](https://aws.amazon.com/blogs/enterprise-strategy/7-pitfalls-to-avoid-when-building-a-ccoe/)
# COST01-BP02 Établir un partenariat entre les équipes financières et technologiques
Impliquez les équipes financières et technologiques aux discussions sur les coûts et l'utilisation à toutes les étapes de votre transition vers le cloud. Les équipes se réunissent régulièrement et discutent de sujets tels que les objectifs et les cibles organisationnels, l'état actuel des coûts et l'utilisation et les pratiques financières et comptables.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Dans le cloud, les équipes technologiques innovent plus rapidement grâce à la réduction de la durée des cycles d'approbation, d'achat et de déploiement des infrastructures. Il peut s'agir d'un ajustement pour les organisations financières auparavant habituées à exécuter des processus longs et gourmands en ressources pour l'acquisition et le déploiement de capitaux dans les centres de données et les environnements sur site, et la répartition des coûts uniquement lors de l'approbation du projet.
Du point de vue d'un organisme financier et d'acquisition, le processus de budgétisation des capitaux, de demandes de capitaux, d'approbations, d'acquisitions et d'installation d'une infrastructure physique a été appris et standardisé durant des décennies :
+ Les équipes ingénierie ou informatiques sont généralement les demandeurs
+ Plusieurs équipes financières agissent en tant qu'approbateurs et acheteurs
+ Les équipes opérations installent, intègrent et confient une infrastructure prête à l'emploi
![\[Circular workflow diagram showing technology teams, procurement, supply chain, and operations interactions.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/cost01-bp02-finance-and-procurement-workflow.png)
Avec l'adoption du cloud, la consommation et l'acquisition d'infrastructure n'obéissent plus à une chaîne de dépendances. Dans le modèle cloud, les équipes technologiques et de produits ne se contentent plus de créer, elles sont les opérateurs et les propriétaires de leurs produits, responsables de la plupart des activités historiquement associées aux équipes financières et d'opérations, y compris l'acquisition et le déploiement.
Pour acquérir des ressources cloud, il suffit d'un compte utilisateur et des bonnes autorisations. C'est aussi ce qui réduit les risques informatiques et financiers ; ce qui signifie que les équipes ne sont qu'à quelques clics ou appels API d'arrêter des ressources cloud inactives ou inutiles. C'est également ce qui permet aux équipes technologiques d'innover plus rapidement : l'agilité et la capacité à mettre en place et à supprimer des expériences. Bien que la nature variable de la consommation cloud puisse impacter la prévisibilité du point de vue de la prévision et de la budgétisation du capital, le cloud offre aux entreprises la possibilité de réduire les coûts de sur-approvisionnement, tout en diminuant les coûts d'opportunités associés au sous-approvisionnement conservateur.
![\[Diagram showing Technology and Product teams deploying, Finance and Business teams operating, with optimization at the center.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/cost01-bp02-deploy-operate-optimize.png)
Établissez un partenariat entre les principaux acteurs financiers et technologiques afin de créer une compréhension commune des objectifs organisationnels et de développer des mécanismes pour réussir financièrement dans le modèle de dépenses variables du cloud computing. Les équipes concernées au sein de votre organisation doivent être impliquées dans les discussions sur les coûts et l'utilisation à toutes les étapes de votre voyage dans le cloud, y compris :
+ ** Responsables financiers :** Les directeurs, contrôleurs, planificateurs financiers, les analystes métier, les responsables des achats, de l'approvisionnement et des comptes fournisseurs doivent comprendre le modèle de consommation du cloud, les options d'achat et le processus de facturation mensuelle. Les services financiers doivent s'associer aux équipes technologiques pour créer et socialiser une histoire de la valeur des TI et, ainsi, aider les équipes commerciales à comprendre le lien entre les dépenses en technologie et les résultats commerciaux. Prises sous cet angle, les dépenses technologiques ne sont pas considérées comme des coûts, mais plutôt comme des investissements. En raison des différences fondamentales entre le cloud (telles que le taux de changement d'utilisation, la tarification à l’utilisation, la tarification progressive, les modèles de tarification et les informations détaillées sur la facturation et l'utilisation) par rapport à l'exploitation sur site, il est essentiel que l'organisme financier comprenne comment l'utilisation du cloud peut influer sur les aspects commerciaux, notamment les processus d'acquisition, le suivi des incitations, la répartition des coûts et les états financiers.
+ **Responsables technologiques :** Les responsables technologiques (y compris les propriétaires de produits et d'applications) doivent être conscients des exigences financières (par exemple, les contraintes budgétaires), ainsi que des exigences métier (par exemple, les contrats de niveau de service). Cela permet de mettre en œuvre la charge de travail pour atteindre les objectifs souhaités de l'organisation.
Le partenariat entre la finance et la technologie offre les avantages suivants :
+ Les équipes financières et technologiques bénéficient d'une visibilité quasiment en temps réel sur les coûts et l'utilisation.
+ Les équipes financières et technologiques établissent une procédure d'exploitation standard pour gérer les variations des dépenses liées au cloud.
+ Les acteurs financiers jouent le rôle de conseillers stratégiques en ce qui concerne la manière dont le capital est utilisé pour acheter des réductions sur engagement (par exemple, les instances réservées ou le modèle tarification flexible Savings Plans AWS), et la manière dont le cloud est utilisé pour développer l'organisation.
+ Les processus existants de comptes fournisseurs et d'acquisition sont utilisés avec le cloud.
+ Les équipes financières et technologiques collaborent à la prévision des coûts et de l'utilisation d’AWS afin d'aligner et de consolider les budgets de l'entreprise.
+ Une meilleure communication inter-entreprise grâce à un langage partagé et une compréhension commune des concepts financiers.
Les autres parties prenantes au sein de votre organisation qui doivent être impliquées dans les discussions sur les coûts et l'utilisation sont notamment :
+ **Propriétaires de Business Units :** Les propriétaires de Business Units doivent comprendre le modèle économique du cloud afin de pouvoir orienter les unités commerciales et l'entreprise dans son ensemble. Cette connaissance du cloud est essentielle lorsqu'il est nécessaire de prévoir la croissance et l'utilisation de la charge de travail, et d'évaluer les options d'achat à plus long terme, telles que les instances réservées ou les Savings Plans.
+ **Équipe ingénierie : **La mise en place d'un partenariat entre les équipes financières et technologiques est essentielle pour créer une culture de sensibilisation aux coûts capable d'encourager les ingénieurs à prendre des mesures sur la gestion financière du cloud. L'un des problèmes courants de la gestion financière du cloud ou des professionnels des opérations financières et des équipes financières est de faire comprendre aux ingénieurs l'ensemble de l'activité sur le cloud, de leur faire suivre les bonnes pratiques et de leur faire prendre des mesures recommandées.
+ **Tiers : **Si votre entreprise fait appel à des tiers (par exemple, des consultants ou des outils), assurez-vous qu'ils sont en phase avec vos objectifs financiers et qu'ils peuvent le démontrer à la fois par leurs modèles d'engagement et par un retour sur investissement. En règle générale, les tiers contribueront à l'établissement de rapports et à l'analyse de toute charge de travail qu'ils gèrent, et ils fourniront une analyse des coûts de toute charge de travail qu'ils conçoivent.
La collaboration entre les équipes financières, technologiques et commerciales ainsi qu'un changement dans la manière dont les dépenses liées au cloud sont communiquées et évaluées au sein de l'organisation sont des préalables à la mise en œuvre et la réussite de la gestion financière du cloud. Incluez les équipes ingénierie afin qu'elles participent aux discussions sur le coût et l'utilisation à chaque étape, et les encourager à suivre les bonnes pratiques ainsi qu'à prendre les mesures convenues en conséquence.
**Étapes d'implémentation**
+ **Définir les principaux membres : **Veillez à ce que tous les membres concernés de vos équipes financières et technologiques s'impliquent dans le partenariat. Les membres concernés dans l'équipe financière sont ceux qui interagissent avec le projet de loi sur le cloud. Il s'agit généralement de directeurs financiers, de contrôleurs financiers, de planificateurs financiers, d'analystes commerciaux et des financeurs. Les membres technologiques sont généralement les propriétaires de produit et d'application les responsables techniques et les représentants de toutes les équipes qui s'appuient sur le cloud. Les autres membres peuvent inclure les propriétaires d'unité commerciale, tels que le marketing qui influencera l'utilisation des produits. Il y a également des tiers, tels que des consultants afin d’assurer l'adéquation avec vos objectifs et vos mécanismes ainsi qu’une assistance pour les rapports d'activité.
+ **Définir les sujets de discussion :** Définissez les sujets communs aux équipes ou qui nécessitent une compréhension commune. Suivez le coût à partir de sa création jusqu'au paiement de la facture. Notez tous les membres impliqués, ainsi que les processus organisationnels qui doivent être appliqués. Ayez une compréhension de chacune de ses étapes ou de chacun de ses processus et des informations associées, telles que les modèles de tarification disponibles, la tarification progressive, les modèles de réduction, la budgétisation et les exigences financières.
+ **Définir une fréquence : **Pour créer un partenariat financier et technologique, mettez en place une cadence de communication régulière pour créer et maintenir un alignement. Le groupe doit se réunir régulièrement par rapport à ses objectifs et métriques. Une fréquence type implique d'examiner l'état de l'organisation, de passer en revue les programmes en cours, puis de vérifier les métriques financières et d'optimisation globales. Les principales charges de travail font l'objet d'un rapport plus détaillé.
## Ressources
**Documents connexes :**
+ [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/)
# COST01-BP03 Établir des budgets et des prévisions cloud
Ajuster les processus existants de budgétisation et de prévision organisationnels afin qu'ils soient compatibles avec la nature hautement variable des coûts et de l'utilisation du cloud. Les processus doivent être dynamiques en utilisant des algorithmes basés sur les tendances ou les facteurs d'activité, ou une combinaison des deux.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Les clients utilisent le cloud pour son efficacité, sa rapidité et son agilité, ce qui crée un montant très variable de coûts et d'utilisation. Les coûts peuvent diminuer avec l'augmentation de l'efficacité de la charge de travail, ou à mesure que de nouvelles charges de travail et fonctionnalités sont déployées. Il est possible de constater une augmentation des coûts lors l'augmentation de l'efficacité de la charge de travail, ou à mesure que de nouvelles charges de travail et fonctionnalités sont déployées. Ou bien, les charges de travail s'adapteront pour servir un plus grand nombre de vos clients, ce qui augmentera l'utilisation du cloud et les coûts. Aujourd'hui, les ressources sont plus facilement accessibles que jamais. L'élasticité du cloud apporte également une élasticité des coûts et des prévisions. Les processus de budgétisation organisationnels existants doivent être modifiés pour intégrer cette variabilité.
Adaptez les processus de budgétisation et de prévision existants pour les rendre plus dynamiques en utilisant soit un algorithme basé sur les tendances (en utilisant les coûts historiques comme données), soit des algorithmes basés sur les facteurs commerciaux (par exemple, le lancement de nouveaux produits ou l'expansion régionale), soit une combinaison des deux.
Utilisez [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) pour établir des budgets personnalisés détaillés en spécifiant la période, la récurrence ou le montant (fixe ou variable), et en ajoutant des filtres tels que le service, la région AWS et des balises. Pour rester informé des performances de vos budgets existants, vous pouvez créer et programmer des [Rapports AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/reporting-cost-budget.html) qui sont régulièrement envoyés par e-mail à vous même ainsi qu'à vos parties prenantes. Vous pouvez également créer des [alertes AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-best-practices.html) basées sur les coûts réels, réactives par essence, ou sur les coûts prévus, ce qui vous donne le temps de mettre en place des mesures d'atténuation contre les dépassements de coûts potentiels. Vous serez alerté lorsque votre coût ou votre utilisation dépassera ou devrait dépasser le montant prévu au budget.
AWS vous donne la possibilité de mettre en place des processus de prévision et de budgétisation dynamiques afin que vous puissiez rester informé du respect ou du dépassement des limites budgétaires.
Utilisez [AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-forecast.html) pour prévoir les coûts sur une période future en fonction de vos dépenses passées. Le moteur de prévision d'AWS Cost Explorer segmente vos données d'historique en fonction des types de frais (par exemple, les instances réservées) et utilise une combinaison de machine learning et de modèles basés sur des règles pour prévoir les dépenses pour tous les types de frais pris individuellement. Utilisez [AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-forecast.html) pour prévoir les coûts quotidiens (jusqu'à trois mois) ou mensuels (jusqu'à 12 mois) du cloud en fonction d'algorithmes de machine learning appliqués à vos coûts historiques (basés sur les tendances).
Une fois que vous avez déterminé vos prévisions basées sur les tendances à l'aide de Cost Explorer, utilisez l' [Calculateur de tarification AWS](https://calculator.aws/#/) pour évaluer votre cas d'utilisation AWS et les coûts futurs sur l'utilisation attendue (trafic, demandes par seconde, instance Amazon Elastic Compute Cloud (Amazon EC2) requise, etc.). Vous pouvez également les utiliser pour vous aider à prévoir vos dépenses, rechercher des opportunités de réaliser des économies et prendre des décisions éclairées lorsque vous utilisez AWS.
Utilisez [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) pour réduire les coûts inopinés et améliorer le contrôle sans ralentir le processus d'innovation. AWS Cost Anomaly Detection exploite les technologies de machine learning avancées pour identifier les dépenses irrégulières et en déterminer les causes profondes, ce qui vous permet de rapidement agir. [En trois étapes simples](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/), vous pouvez créer votre propre surveillance contextualisée et recevoir des alertes en cas de dépense irrégulière détectée. Laissez les créateurs créer et AWS Cost Anomaly Detection surveiller vos dépenses et réduire le risque de facturations inopinées.
Comme mentionné dans la sous-section [Partenariat financier et technologique du pilier Optimisation des coûts Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/finance-and-technology-partnership.html) , il est important d'avoir des partenariats et des cadences entre les secteurs informatique et financier et les autres parties prenantes pour veiller à ce qu'ils utilisent tous les mêmes outils et processus dans un souci de cohérence. Dans les cas où les budgets doivent être modifiés, une augmentation des points de contact de cadence peut permettre de réagir plus rapidement à ces changements.
**Étapes d'implémentation**
+ **Mettre à jour les processus de budgétisation et de prévision existants : **Mettez en œuvre des processus de budgétisation et de prévision basés sur les tendances, les facteurs d'activité ou une combinaison des deux.
+ **Configurer des alertes et des notifications :** Utilisez des alertes AWS Budgets et Cost Anomaly Detection.
+ **Effectuer des examens réguliers avec les principales parties prenantes :** Par exemple, les parties prenantes des secteurs informatique, financier, plateforme et des autres secteurs de l'entreprise, doivent s'aligner avec les nouvelles orientations opérationnelles et les changements d'utilisation dans l'entreprise.
## Ressources
**Documents connexes :**
+ [AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-forecast.html)
+ [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)
+ [Calculateur de tarification AWS](https://calculator.aws/#/)
+ [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/)
+ [AWS License Manager](https://aws.amazon.com/license-manager/)
**Exemples connexes :**
+ [Lancement : prévisions basées sur l'utilisation désormais disponibles dans AWS Cost Explorer](https://aws.amazon.com/blogs/aws-cloud-financial-management/launch-usage-based-forecasting-now-available-in-aws-cost-explorer/)
+ [Ateliers AWS Well-Architected : utilisation des coûts et de la gouvernance](https://wellarchitectedlabs.com/cost/100_labs/100_2_cost_and_usage_governance/)
# COST01-BP04 Mettre en œuvre la sensibilisation aux coûts dans les processus organisationnels
Mettez en œuvre la sensibilisation aux coûts, créez une transparence et intégrez une sensibilisation à l'égard des coûts dans les processus nouveaux ou existants qui ont une incidence sur l'utilisation, et tirez parti des processus existants pour la sensibilisation aux coûts. Intégrez la sensibilisation aux coûts dans la formation des employés.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
La prise en compte des coûts doit être mise en œuvre dans les processus organisationnels nouveaux et existants. Il s'agit de l'une des capacités prérequises fondamentales pour les autres bonnes pratiques. Il est recommandé de réutiliser et de modifier les processus existants dans la mesure du possible, ce qui réduit l'impact sur l'agilité et la vitesse. Signalez les coûts de cloud aux équipes technologiques, aux décideurs de l'entreprise et aux équipes financières pour sensibiliser aux coûts, et établir des indicateurs de performance clés d'efficacité pour les parties prenantes financières et commerciales. Les recommandations suivantes vous aideront à mettre en œuvre la prise en compte des coûts dans votre charge de travail :
+ Vérifiez que la gestion des modifications comprenne une mesure des coûts pour quantifier l'impact financier des modifications. Cela permet de répondre de manière proactive aux préoccupations liées aux coûts et de mettre en évidence les économies réalisées.
+ Vérifiez que l'optimisation des coûts est une composante essentielle de vos capacités d'exploitation. Par exemple, vous pouvez tirer parti des processus de gestion des incidents existants pour investiguer et identifier les causes racines des anomalies de coût et d'utilisation ou surcoûts.
+ Accélérez la réduction des coûts et la génération de valeur métier avec l'automatisation ou l'utilisation d'outils. Lorsque vous réfléchissez au coût de la mise en œuvre, encadrez la conversation pour y inclure une composante de retour sur investissement afin de justifier l'investissement en temps ou en argent.
+ Allouez les coûts de cloud en implémentant des showbacks (récupération des données de facturation) ou des chargebacks (facturation) pour les dépenses de cloud, y compris les options d'achat basées sur l'engagement, les services partagés et les achats marketplace afin de stimuler la plupart de la consommation de cloud sensible aux coûts.
+ Étendez les programmes de formation et de développement existants afin d'y inclure une formation de sensibilisation aux coûts dans toute votre entreprise. Il est recommandé d'inclure une formation et une certification continues. Cela permettra de créer une organisation capable de gérer automatiquement les coûts et l'utilisation.
+ Profitez des outils natifs AWS gratuits tels qu' [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/), [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)et [Rapports AWS Budgets](https://aws.amazon.com/about-aws/whats-new/2019/07/introducing-aws-budgets-reports/).
Lorsque les entreprises adoptent de manière cohérente les pratiques de [Gestion financière du cloud](https://aws.amazon.com/aws-cost-management/) (CFM), ces comportements deviennent ancrés dans la façon de travailler et de prendre des décisions. Il en résulte une culture plus soucieuse des coûts, depuis les développeurs qui conçoivent une nouvelle application « née dans le cloud » jusqu'aux responsables financiers qui analysent le retour sur investissement de ces nouveaux investissements dans le cloud.
**Étapes d'implémentation**
+ ** Identifier les processus organisationnels pertinents : **Chaque unité organisationnelle passe en revue ses processus et identifie les processus qui ont un impact sur les coûts et l'utilisation. Tous les processus qui entraînent la création ou l'arrêt d'une ressource doivent être inclus dans la vérification. Recherchez des processus qui peuvent soutenir la prise en compte des coûts dans votre entreprise, tels que la gestion des incidents et la formation.
+ **Mettre en place une culture de sensibilisation aux coûts autonome :** veillez à ce que toutes les parties prenantes pertinentes s'alignent avec la cause du changement et l'impact en tant que coût, afin qu'elles comprennent le coût du cloud. Cela permettra à votre entreprise de mettre en place une culture de sensibilisation aux coûts autonome de l'innovation.
+ ** Mettre à jour les processus avec la sensibilisation aux coûts :** Chaque processus est modifié pour tenir compte des coûts. Le processus peut nécessiter des contrôles préalables supplémentaires, tels que l'évaluation de l'impact du coût, ou des contrôles a posteriori validant que les changements attendus en matière de coût et d'utilisation se sont produits. Les processus de soutien, tels que la formation et la gestion des incidents, peuvent être étendus pour inclure des éléments relatifs au coût et à l'utilisation.
Pour obtenir de l'aide, contactez les experts de la gestion financière du cloud par le biais de l'équipe chargée de votre compte, ou parcourez les ressources et les documents associés ci-dessous.
## Ressources
**Documents connexes :**
+ [Gestion financière du cloud AWS](https://aws.amazon.com/aws-cost-management/)
**Exemples connexes :**
+ [Stratégie pour une gestion des coûts de cloud efficace](https://aws.amazon.com/blogs/enterprise-strategy/strategy-for-efficient-cloud-cost-management/)
+ [Série de blog sur le contrôle des coûts \$13 : comment gérer les augmentations de coûts](https://aws.amazon.com/blogs/aws-cloud-financial-management/cost-control-blog-series-3-how-to-handle-cost-shock/)
+ [Guide du débutant : AWS Cost Management](https://aws.amazon.com/blogs/aws-cloud-financial-management/beginners-guide-to-aws-cost-management/)
# COST01-BP05 Rendre compte de l'optimisation des coûts
Configurez AWS Budgets et AWS Cost Anomaly Detection de façon à fournir des notifications sur les coûts et l'utilisation par rapport aux objectifs. Organisez des réunions régulières pour analyser la rentabilité de la charge de travail et promouvoir une culture de sensibilisation aux coûts.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Vous devez régulièrement signaler l'optimisation des coûts et de l'utilisation au sein de votre entreprise. Vous pouvez mettre en place des séances dédiées à l'optimisation des coûts, ou inclure l'optimisation des coûts dans vos cycles de rapports opérationnels réguliers pour vos charges de travail. Utilisez des services et outils pour identifier et implémenter des opportunités d'économies. [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) fournit des tableaux de bord et des rapports. Vous pouvez suivre l'évolution de vos coûts et de votre utilisation par rapport aux budgets configurés avec [Rapports AWS Budgets](https://aws.amazon.com/about-aws/whats-new/2019/07/introducing-aws-budgets-reports/).
Utilisez [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) pour définir des budgets personnalisés pour suivre vos coûts et votre utilisation, mais aussi répondre rapidement aux alertes reçues par e-mail ou notifications Amazon Simple Notification Service (Amazon SNS) en cas de dépassement de votre seuil. [Définissez votre budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) sur quotidien, mensuel, trimestriel ou annuel, puis définissez des limites budgétaires spécifiques pour rester informé de la progression des coûts et de l'utilisation réels et prévus par rapport à votre seuil budgétaire. Vous pouvez également définir des [d'information](https://docs.aws.amazon.com/cost-management/latest/userguide/sns-alert-chime.html) et [des mesures](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-controls.html) automatiques par rapport à ces alertes, ou via un processus d'approbation en cas de dépassement d'une cible budgétaire.
Mettez en œuvre des notifications sur les coûts et l'utilisation afin que les modifications puissent être rapidement prises en compte si elles sont imprévues. [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) vous permet de réduire les coûts inopinés et améliorer le contrôle sans ralentir le processus d'innovation. AWS Cost Anomaly Detection identifie les dépenses irrégulières et les causes profondes, ce qui permet de réduire le risque de facturations inopinées. En trois étapes simples, vous pouvez créer votre propre surveillance contextualisée et recevoir des alertes en cas de dépense irrégulière détectée.
Vous pouvez également utiliser [Amazon Quick](https://aws.amazon.com/quicksight/) avec des données AWS Cost and Usage Report (CUR), afin de fournir des rapports hautement personnalisés avec des données plus détaillées. Amazon Quick vous permet de planifier des rapports et de recevoir des e-mails périodiques sur le rapport de coût pour connaître le coût et l'utilisation historiques, ou les opportunités d'économies.
Utilisez [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/), qui offre des conseils pour vérifier si les ressources allouées sont alignées avec les bonnes pratiques AWS pour des questions d'optimisation des coûts.
Créez des rapports périodiques contenant les éléments clés des Savings Plans et des instances réservées ainsi que les recommandations de redimensionnement Amazon Elastic Compute Cloud (Amazon EC2) d'AWS Cost Explorer pour commencer à réduire le coût associé aux charges de travail à état stable, ainsi qu'aux ressources inactives et sous-exploitées. Identifiez et récupérez les dépenses inutiles liées au cloud pour les ressources déployées. Les dépenses inutiles liées au cloud se produisent lorsque des ressources de taille inappropriée sont créées, ou des modèles d'utilisation différents sont observés au lieu de ce qui était prévu. Suivez les bonnes pratiques AWS pour réduire vos dépenses inutiles, mais aussi [optimiser et économiser](https://aws.amazon.com/aws-cost-management/aws-cost-optimization/) vos coûts de cloud.
Générez des rapports réguliers pour profiter de meilleures options d'achat pour vos ressources afin de réduire les coûts unitaires de vos charges de travail. Les options d'achat telles que les Savings Plans, les instances réservées ou les instances Spot Amazon EC2 offrent les meilleures économies pour les charges de travail tolérantes aux pannes et permettent aux parties prenantes (propriétaires d'entreprise, équipes financières et technologiques) de participer à ces discussions sur l'engagement.
Partagez les rapports contenant des opportunités ou des annonces de lancement capables de vous aider à réduire le coût total de possession (TCO) du cloud. Adoptez de nouveaux services, régions, fonctionnalités, solutions ou moyens de réduire davantage les coûts.
**Étapes d'implémentation**
+ **Configurer AWS Budgets : **Configurez AWS Budgets sur tous les comptes de votre charge de travail. Définissez un budget pour les dépenses globales des comptes et un budget pour la charge de travail à l'aide de balises.
+ [Ateliers Well-Architected : utilisation des coûts et de la gouvernance](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_2_Cost_and_Usage_Governance/README.html)
+ **Rendre compte de l'optimisation des coûts : **Définissez un cycle régulier pour discuter de l'efficacité de la charge de travail et l'analyser. À l'aide des métriques définies, rendez compte des métriques atteintes et du coût associé. Identifiez et corrigez les tendances négatives, et ciblez les tendances positives que vous pouvez promouvoir dans votre organisation. Les rapports doivent impliquer des représentants des équipes et des propriétaires d'application, de la finance et de la gestion.
+ [Ateliers Well-Architected : visualisation](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_5_Cost_Visualization/README.html)
## Ressources
**Documents connexes :**
+ [AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)
+ [Bonnes pratiques AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-best-practices.html#budgets-best-practices-setting-budgets%3Fsc_channel=ba%26sc_campaign=aws-budgets%26sc_medium=manage-and-control%26sc_content=web_pdp%26sc_detail=how-do-I%26sc_outcome=aw%26trk=how-do-I_web_pdp_aws-budgets)
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ [Amazon S3 Analytics](https://docs.aws.amazon.com/AmazonS3/latest/userguide/analytics-storage-class.html)
+ [AWS Cost and Usage Report](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)
**Exemples connexes :**
+ [Ateliers Well-Architected : utilisation des coûts et de la gouvernance](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_2_Cost_and_Usage_Governance/README.html)
+ [Ateliers Well-Architected : visualisation](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_5_Cost_Visualization/README.html)
+ [Méthodes clés pour commencer à optimiser vos coûts de cloud AWS](https://aws.amazon.com/blogs/aws-cloud-financial-management/key-ways-to-start-optimizing-your-aws-cloud-costs/)
# COST01-BP06 Surveiller les coûts de manière proactive
Mettez en œuvre des outils et des tableaux de bord pour surveiller de manière proactive les coûts de la charge de travail. Vérifiez régulièrement les coûts grâce aux outils configurés ou prêts à l'emploi. Ne vous contentez pas d'examiner les coûts et les catégories lorsque vous recevez des notifications. La surveillance et l'analyse des coûts de manière proactive permettent d'identifier les tendances positives et de les promouvoir dans toute votre organisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Il est recommandé de surveiller les coûts et l'utilisation de manière proactive au sein de votre entreprise et pas seulement lorsque des exceptions ou des anomalies se présentent. Des tableaux de bord très visibles dans votre bureau ou votre environnement de travail garantissent que les personnes clés ont accès aux informations dont elles ont besoin et indiquent que l'organisation se concentre sur l'optimisation des coûts. Des tableaux de bord visibles vous permettent de promouvoir activement les résultats positifs et de les mettre en œuvre dans toute votre organisation.
Créez une routine quotidienne ou fréquente pour utiliser [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) ou tout autre tableau de bord tel que [Amazon Quick](https://aws.amazon.com/quicksight/) afin d'observer les coûts et de les analyser de manière proactive. Analysez les coûts et l'utilisation des services AWS au niveau du compte AWS, de la charge de travail ou des services AWS spécifiques avec le filtrage et le regroupement, et confirmez s'ils sont attendus ou non. Utilisez les balises ainsi que la granularité horaire et au niveau des ressources pour filtrer et identifier les coûts facturés pour les ressources principales. Vous pouvez également créer vos propres rapports grâce au [Cost Intelligence Dashboard](https://wellarchitectedlabs.com/cost/200_labs/200_cloud_intelligence/), une solution [Amazon Quick](https://aws.amazon.com/quicksight/) créée par AWS Solutions Architects, et comparer vos budgets avec le coût et l'utilisation réels.
**Étapes d'implémentation**
+ **Rendre compte de l'optimisation des coûts :** Définissez un cycle régulier pour discuter de l'efficacité de la charge de travail et l'analyser. À l'aide des métriques définies, rendez compte des métriques atteintes et du coût associé. Identifiez et corrigez les tendances négatives, et ciblez les tendances positives à promouvoir dans votre organisation. Les rapports doivent impliquer des représentants des équipes et des propriétaires d'application, de la finance et de la gestion.
+ **Créer et activer la granularité quotidienne [AWS Budgets](https://aws.amazon.com/blogs/aws-cloud-financial-management/launch-daily-cost-and-usage-budgets/) pour le coût et l'utilisation afin de prendre des mesures au moment opportun pour prévenir tout dépassement potentiel des coûts : ** AWS Budgets vous permet de configurer des notifications d'alerte, afin de rester informé si l'un de vos types de budget dépasse les seuils pré-configurés. Le meilleur moyen d'exploiter AWS Budgets est de définir votre coût et votre utilisation prévus comme vos limites, afin que tout ce qui se situe au-dessus de vos budgets soit considéré comme un dépassement.
+ **Créer AWS Cost Anomaly Detection pour surveiller les coûts : ** [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) utilise la technologie avancée de machine learning pour identifier les dépenses anormales et les causes profondes, afin que vous puissiez rapidement prendre des mesures. Cela vous permet de configurer des surveillances de coûts qui définissent les segments de dépenses que vous souhaitez évaluer (par exemple, services AWS individuels, comptes membres, balises de répartition des coûts et catégories de coûts),mais aussi de définir quand, où et comment vous recevez vos notifications d'alerte. Pour chaque surveillance, attachez plusieurs abonnements d'alerte pour les propriétaires d'entreprise et les équipes technologiques, notamment un nom, un seuil d'impact du coût et une fréquence d'alerte (alertes individuelles, résumé quotidien, résumé hebdomadaire) pour chaque abonnement.
+ **Utiliser AWS Cost Explorer ou intégrer vos données AWS Cost and Usage Report (CUR) aux tableaux de bord Amazon Quick pour visualiser les coûts de votre entreprise :** AWS Cost Explorer possède une interface facile à utiliser qui vous permet de visualiser, de comprendre et de gérer vos coûts ainsi que l'utilisation AWS au fil du temps. La version [Cost Intelligence Dashboard](https://wellarchitectedlabs.com/cost/200_labs/200_cloud_intelligence/) est un tableau de bord personnalisable et accessible pour aider à poser les bases de votre propre outil de gestion et d'optimisation des coûts.
## Ressources
**Documents connexes :**
+ [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)
+ [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)
+ [Coûts et budgets d'utilisation au quotidien](https://aws.amazon.com/blogs/aws-cloud-financial-management/launch-daily-cost-and-usage-budgets/)
+ [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/)
**Exemples connexes :**
+ [Ateliers Well-Architected : visualisation](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_5_Cost_Visualization/README.html)
+ [Ateliers Well-Architected : visualisation avancée](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_5_Cost_Visualization/README.html)
+ [Ateliers Well-Architected : Cloud Intelligence Dashboards](https://wellarchitectedlabs.com/cost/200_labs/200_cloud_intelligence/)
+ [Ateliers Well-Architected : visualisation des coûts](https://wellarchitectedlabs.com/cost/200_labs/200_5_cost_visualization/)
+ [Alerte AWS Cost Anomaly Detection avec Slack](https://aws.amazon.com/aws-cost-management/resources/slack-integrations-for-aws-cost-anomaly-detection-using-aws-chatbot/)
# COST01-BP07 Suivre les nouvelles versions des services
Travaillez régulièrement avec des experts ou des partenaires AWS pour identifier les services et les fonctionnalités qui offrent les coûts les plus bas. Examinez les blogs AWS et d'autres sources d'informations.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
AWS ajoute constamment de nouvelles capacités pour tirer parti des dernières technologies pour expérimenter et innover plus rapidement. Vous pourrez mettre en œuvre de nouveaux services et fonctionnalités AWS pour accroître la rentabilité de votre charge de travail. Consultez régulièrement la [Gestion des coûts AWS](https://aws.amazon.com/aws-cost-management/)le [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/)le [blog sur la gestion des coûts AWS](https://aws.amazon.com/blogs/aws-cloud-financial-management/)et [les nouveautés AWS](https://aws.amazon.com/new/) pour en savoir plus sur les nouvelles versions de services et de fonctionnalités. Les articles Nouveautés offrent un rapide aperçu de l'ensemble des services AWS, fonctionnalités et annonces d'expansion de régions dès leur lancement.
**Étapes d'implémentation**
+ **S'abonner aux blogs :** Accédez aux pages des blogs AWS et abonnez-vous aux blogs des nouveautés et aux autres blogs pertinents. Vous pouvez vous inscrire sur la page des [préférences de communication](https://pages.awscloud.com/communication-preferences?languages=english) avec votre adresse e-mail.
+ **S'abonner aux Actualités AWS : **Consultez régulièrement le [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/) et [les nouveautés AWS](https://aws.amazon.com/new/) pour en savoir plus sur les nouvelles versions de services et de fonctionnalités. Abonnez-vous au flux RSS ou avec votre e-mail pour suivre les annonces et les lancements.
+ **Suivre les réductions de prix AWS :** les baisses de prix régulières sur tous nos services se sont imposées comme une méthode standard pour AWS permettant de transmettre l'efficacité économique obtenue grâce à notre mise à l'échelle. À compter d'avril 2022, AWS aura réduit les prix 115 fois depuis son lancement en 2006. Si vous avez des décisions métier en attente en raison d'inquiétudes concernant les prix, vous pouvez les examiner de nouveau après les réductions de prix et l'intégration de nouveaux services. Vous pouvez en savoir plus sur les précédentes réductions de prix, notamment les instances Amazon Elastic Compute Cloud (Amazon EC2), dans la [catégorie réduction des prix du blog Actualités AWS](https://aws.amazon.com/blogs/aws/category/price-reduction/).
+ ** Événements et réunions AWS : **Participez à votre conférence AWS et à toutes les réunions locales avec les autres organisations de votre région. Si vous ne pouvez pas y assister en personne, participez aux événements virtuels pour entendre les experts AWS et en savoir plus sur les cas métier des autres clients.
+ ** Se réunir avec l'équipe chargée de votre compte : **Planifiez un rythme régulier avec l'équipe chargée de votre compte, réunissez-vous et discutez des tendances du secteur et des services AWS. Parlez avec votre gestionnaire de compte, votre architecte de solutions et votre équipe de support.
## Ressources
**Documents connexes :**
+ [Gestion des coûts AWS](https://aws.amazon.com/aws-cost-management/)
+ [les nouveautés AWS](https://aws.amazon.com/new/)
+ [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/)
**Exemples connexes :**
+ [Amazon EC2 : 15 ans d'optimisation et de réduction des coûts informatiques](https://aws.amazon.com/blogs/aws-cost-management/amazon-ec2-15th-years-of-optimizing-and-saving-your-it-costs/)
+ [Blog Actualités AWS : réduction des prix](https://aws.amazon.com/blogs/aws/category/price-reduction/)
# COST01-BP08 Créer une culture de sensibilisation aux coûts
Mettez en œuvre des modifications ou des programmes dans toute votre entreprise afin de créer une culture de sensibilisation aux coûts. Il est recommandé de commencer petit, puis, au fur et à mesure que vos capacités augmentent et que votre organisation utilise le cloud, de mettre en œuvre des programmes de grande envergure.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Une culture de sensibilisation aux coûts vous permet de déployer à grande échelle l'optimisation des coûts et la gestion financière dans le cloud (opérations financières, centre d'excellence cloud, équipes des opérations cloud, etc.) grâce aux bonnes pratiques qui sont appliquées de manière organique et décentralisée dans toute votre entreprise. La sensibilisation aux coûts permet de créer de hauts niveaux de capacité dans toute votre organisation avec un minimum d'efforts, par rapport à une approche centralisée et descendante stricte.
La création d'une sensibilisation aux coûts dans le cloud computing, notamment pour les principaux facteurs de coût, permet aux équipes de comprendre les résultats attendus de n'importe quel changement en matière de coût. Les équipes qui accèdent aux environnements de cloud doivent connaître les modèles de tarification et la différence entre les centres de données sur site traditionnels et le cloud computing.
Le principal avantage d'une culture de sensibilisation aux coûts est que les équipes technologiques optimisent les coûts de manière proactive et continue (par exemple, elle est considérée comme une exigence non fonctionnelle lors de la création de l'architecture des nouvelles charges de travail ou de la modification de charges de travail existantes) au lieu de procéder à des optimisations de coûts réactives si nécessaire.
De petits changements de culture peuvent avoir de grandes répercussions sur l'efficacité de votre charge de travail actuelle et future. Voici quelques exemples :
+ Donnez de la visibilité et créez de la sensibilisation dans les équipes ingénierie pour comprendre ce qu'elles font et leur impact en termes de coûts.
+ Ludification des coûts et de l'utilisation dans votre entreprise. Cela peut se faire au moyen d'un tableau de bord visible du public ou d'un rapport qui compare les coûts normalisés et l'utilisation par les différentes équipes (par exemple, le coût par charge de travail et le coût par transaction).
+ Reconnaissance de la rentabilité. Récompenser les réalisations volontaires ou non sollicitées en matière d'optimisation des coûts, publiquement ou en privé, et tirer les leçons des erreurs pour éviter de les répéter à l'avenir.
+ Créez des exigences organisationnelles hiérarchisées pour que les charges de travail soient exécutées selon des budgets prédéfinis.
+ Questionnez les exigences métier en matière de changements, et l'impact du coût des changements demandés apportés à l'infrastructure de l'architecture ou la configuration de charge de travail, pour veiller à payer uniquement ce dont vous avez besoin.
+ Veillez à ce que le planificateur de changements soit informé des changements attendus ayant un impact sur le coût, et qu'ils soient confirmés par les parties prenantes pour fournir des résultats métier de manière rentable.
**Étapes d'implémentation**
+ **Signaler les coûts de cloud aux équipes technologiques :** pour sensibiliser aux coûts, et établir des indicateurs de performance clés d'efficacité pour les parties prenantes financières et commerciales.
+ **Informer les parties prenantes ou les membres de l'équipe des changements planifiés :** créez un point à l'ordre du jour pour discuter des changements planifiés et de l'impact coûts-avantages sur la charge de travail lors des réunions hebdomadaires sur les changements.
+ ** Se réunir avec l'équipe chargée de votre compte : **planifiez une réunion régulière avec l'équipe chargée de votre compte et discutez des tendances du secteur et des services AWS. Parlez avec votre gestionnaire de compte, architecte et équipe de support.
+ **Partager des témoignages de réussite :** partagez des témoignages de réussite sur la réduction des coûts pour n'importe quelle charge de travail, Compte AWS ou entreprise afin de créer une attitude positive et des encouragements autour de l'optimisation des coûts.
+ **Entraîner : **veillez à ce que les équipes techniques ou les membres de l'équipe soient entraînés pour la sensibilisation des coûts liés aux ressources sur AWS Cloud.
+ ** Événements et réunions AWS : **participez aux conférences AWS et à toutes les réunions locales avec les autres organisations de votre région.
+ **S'abonner aux blogs :** Accédez aux pages des blogs AWS et abonnez-vous au [blog sur les nouveautés](https://aws.amazon.com/new/) et aux autres blogs pertinents pour suivre les lancements, les implémentations, les exemples et les changements partagés par AWS.
## Ressources
**Documents connexes :**
+ [Blog AWS](https://aws.amazon.com/blogs/)
+ [Gestion des coûts AWS](https://aws.amazon.com/blogs/aws-cost-management/)
+ [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/)
**Exemples connexes :**
+ [Gestion financière du cloud AWS](https://aws.amazon.com/blogs/aws-cloud-financial-management/)
+ [Ateliers AWS Well-Architected : gestion financière du cloud](https://www.wellarchitectedlabs.com/cost/100_labs/100_goals_and_targets/1_cloud_financial_management/)
# COST01-BP09 Quantifier la valeur ajoutée générée par l'optimisation des coûts
Quantifier la valeur métier obtenue grâce à l'optimisation des coûts permet de comprendre l'ensemble des avantages pour votre entreprise. Parce que l'optimisation des coûts est un investissement nécessaire, la quantification de la valeur ajoutée vous permet d'expliquer le retour sur investissement aux parties prenantes. La quantification de la valeur ajoutée peut vous aider à obtenir une meilleure adhésion des parties prenantes aux investissements futurs en matière d'optimisation des coûts, et fournit un cadre pour mesurer les résultats des activités d'optimisation des coûts de votre organisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
En plus de faire état des économies réalisées grâce à l'optimisation des coûts, il est recommandé de quantifier la valeur métier générée. Les avantages de l'optimisation des coûts sont généralement quantifiés en termes de réduction des coûts par résultat commercial. Par exemple, vous pouvez quantifier les économies réalisées grâce aux Amazon Elastic Compute Cloud(Amazon EC2) à la demande lorsque vous achetez des Savings Plans, ce qui réduit les coûts et maintient les niveaux de production de la charge de travail. Vous pouvez quantifier les économies réalisées au niveau des dépenses AWSlorsque des instances Amazon EC2 inactives sont mises hors service ou que des volumes Amazon Elastic Block Store (Amazon EBS) non attachés sont supprimés.
Les avantages de l'optimisation des coûts vont toutefois au-delà de la réduction ou de l'évitement des coûts. Envisagez de saisir des données supplémentaires pour mesurer les améliorations de l'efficacité et la valeur ajoutée.
**Étapes d'implémentation**
+ **Exécution des bonnes pratiques d'optimisation des coûts : **Par exemple, la gestion du cycle de vie des ressources réduit les coûts d'infrastructure et de fonctionnement et crée des délais et un budget imprévus pour l'expérimentation. Cela accroît l'agilité des organisations et permet de découvrir de nouvelles possibilités de générer des revenus.
+ **Mise en œuvre de l'automatisation : **Par exemple, Auto Scaling, qui assure l'élasticité avec un effort minimal et augmente la productivité du personnel en éliminant les tâches manuelles de planification des capacités. Pour en savoir plus sur la résilience opérationnelle, consultez le [livre blanc du pilier Fiabilité de Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html).
+ **Prévision des coûts AWS futurs : **La prévision des coûts permet aux acteurs financiers de définir des attentes avec d'autres acteurs internes et externes de l'organisation, et contribue à améliorer la prévisibilité financière de votre organisation. AWS Cost Explorer peut être utilisé pour effectuer des prévisions concernant vos coûts et votre utilisation.
## Ressources
**Documents connexes :**
+ [Blog AWS](https://aws.amazon.com/blogs/)
+ [Gestion des coûts AWS](https://aws.amazon.com/blogs/aws-cost-management/)
+ [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/)
+ [livre blanc du pilier Fiabilité de Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)
+ [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)
# Sensibilisation aux dépenses et à l'utilisation
**Topics**
+ [COST 2 Comment gérer l'utilisation ?](cost-02.md)
+ [COST 3 Comment surveiller l'utilisation et les coûts ?](cost-03.md)
+ [COST 4 Comment mettre les ressources hors service ?](cost-04.md)
# COST 2 Comment gérer l'utilisation ?
Définissez des stratégies et des mécanismes pour vous assurer que les coûts appropriés sont facturés tout en atteignant les objectifs. En adoptant une approche d'équilibre des pouvoirs, vous pouvez innover sans dépense excessive.
**Topics**
+ [COST02-BP01 Développer des stratégies en fonction des exigences de votre organisation](cost_govern_usage_policies.md)
+ [COST02-BP02 Mettre en œuvre des objectifs et des cibles](cost_govern_usage_goal_target.md)
+ [COST02-BP03 Mettre en œuvre une structure de compte](cost_govern_usage_account_structure.md)
+ [COST02-BP04 Mettre en œuvre des groupes et des rôles](cost_govern_usage_groups_roles.md)
+ [COST02-BP05 Mettre en œuvre des contrôles de coûts](cost_govern_usage_controls.md)
+ [COST02-BP06 Suivre le cycle de vie du projet](cost_govern_usage_track_lifecycle.md)
# COST02-BP01 Développer des stratégies en fonction des exigences de votre organisation
Développez des politiques qui définissent la manière dont les ressources sont gérées par votre organisation et inspectez-les régulièrement. Les stratégies doivent couvrir les aspects de coût des ressources et des charges de travail, y compris la création, la modification et la mise hors service pendant la durée de vie des ressources.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Il est essentiel de comprendre les coûts et les facteurs de coûts de votre entreprise pour les gérer efficacement et identifier les possibilités de réduction. Les organisations exécutent généralement plusieurs charges de travail exécutées par plusieurs équipes. Ces équipes peuvent appartenir à différentes unités commerciales, chacune ayant ses propres sources de revenus. La possibilité d'attribuer le coût des ressources aux charges de travail, à l'organisation individuelle ou aux propriétaires de produits permet d'adopter un comportement d'utilisation efficace et contribue à réduire les pertes. La surveillance précise des coûts et de l'utilisation vous aide à comprendre dans quelle mesure une charge de travail est optimisée, ainsi que le degré de rentabilité des unités organisationnelles et des produits. Ces connaissances permettent de prendre des décisions plus éclairées quant à l'affectation des ressources au sein de votre organisation. La sensibilisation à l'utilisation à tous les niveaux de l'organisation est la clé du changement, car les changements d'utilisation entraînent des changements dans les coûts. Envisagez d'adopter une approche multidimensionnelle pour prendre conscience de votre utilisation et de vos dépenses.
La première étape de la gouvernance consiste à utiliser les exigences de votre entreprise pour élaborer des stratégies d'utilisation du cloud. Ces politiques définissent la façon dont votre organisation utilise le cloud et dont les ressources sont gérées. Les politiques doivent couvrir tous les aspects des ressources et des charges de travail qui ont trait au coût ou à l'utilisation, y compris la création, la modification et la mise hors service pendant la durée de vie de la ressource. Vérifiez que les politiques et les procédures sont suivies et mises en œuvre en cas de changement dans un environnement cloud. Lors de vos réunions sur la gestion des changements informatiques, posez des questions afin de connaître l'impact du coût des changements prévus, qu'il s'agisse d'une augmentation ou d'une baisse, la justification opérationnelle et le résultat attendu.
Les politiques doivent être simples afin qu'elles soient aisément compréhensibles et puissent être mises en œuvre efficacement dans toute l'organisation. Les politiques doivent également être faciles à suivre et à interpréter (afin qu'elles soient utilisées) et être spécifiques (aucune mauvaise interprétation entre les équipes). En outre, elles doivent être inspectées périodiquement (comme nos mécanismes) et mises à jour à mesure que les conditions commerciales ou les priorités des clients évoluent, ce qui rendrait la politique obsolète.
Commencez par des politiques générales de haut niveau, telles que la région géographique à utiliser ou les moments de la journée où les ressources doivent fonctionner. Affinez progressivement les politiques des différentes unités organisationnelles et des charges de travail. Les politiques communes comprennent les services et les fonctionnalités qui peuvent être utilisés (par exemple, un stockage moins performant dans les environnements de test et de développement), les types de ressources qui peuvent être utilisés par différents groupes (par exemple, la plus grande taille de ressource dans un compte de développement est moyenne) et la durée d'utilisation de ces ressources (qu'elle soit temporaire, courte ou spécifique).
**Exemple de politique**
Vous trouverez ci-dessous un exemple de politique que vous pouvez consulter pour créer vos propres politiques de gouvernance du cloud, axées sur l'optimisation des coûts. Assurez-vous d'ajuster la politique en fonction des exigences de votre organisation et des demandes de vos parties prenantes.
+ **Nom de la politique :** définissez un nom de politique clair, par exemple Politique d'optimisation des ressources et de réduction des coûts.
+ **Objectif :** expliquez pourquoi cette politique doit être utilisée et quel est le résultat attendu. L'objectif de cette politique est de vérifier qu'il existe un coût minimum requis pour déployer et exécuter la charge de travail souhaitée afin de répondre aux exigences de l'organisation.
+ **Champ d'application :** définissez clairement qui doit utiliser cette politique et quand elle doit être utilisée, par exemple DevOps X Team doit utiliser cette politique pour les clients US, côte est, pour l'environnement X (production ou hors production).
**Déclaration de politique**
1. Sélectionnez 1 ou plusieus région US, côte est, en fonction de l'environnement de votre charge de travail et des exigences métier (développement, tests d'acceptation par les utilisateurs, préproduction ou production).
1. Programmez des instances Amazon EC2 et Amazon RDS qui devront être exécutées entre six heures et vingt heures (heure normale de l'Est (EST)).
1. Arrêtez toutes les instances Amazon EC2 non utilisées après huit heures et les instances Amazon RDS non utilisées après 24 heures d'inactivité.
1. Mettez fin à toutes les instances Amazon EC2 non utilisées après 24 heures d'inactivité dans les environnements hors production. Rappelez au propriétaire de l'instance Amazon EC2 (en fonction des balises) de revoir ses instances Amazon EC2 arrêtées en production et de l'informer que ses instances Amazon EC2 seront résiliées dans les 72 heures si elles ne sont pas utilisées.
1. Utilisez une famille et une taille d'instance génériques, telles que m5.large, puis redimensionnez l'instance en fonction de l'utilisation du processeur et de la mémoire avec Optimiseur de calcul AWS.
1. Priorisez l'utilisation de la mise à l'échelle automatique pour ajuster dynamiquement le nombre d'instances en cours d'exécution en fonction du trafic.
1. Utilisez des instances Spot pour les charges de travail non critiques.
1. Passez en revue les exigences en matière de capacité pour valider des plans d'épargne ou des instances réservées pour des charges de travail prévisibles et informez l'équipe de gestion financière du cloud.
1. Utilisez des politiques de cycle de vie Amazon S3 pour déplacer les données rarement consultées vers des niveaux de stockage moins coûteux. Si aucune politique de rétention n'est définie, utilisez la hiérarchisation Amazon S3 intelligente pour déplacer automatiquement les objets vers le niveau archivé.
1. Surveillez l'utilisation des ressources et définissez des alarmes pour déclencher des événements de dimensionnement à l'aide d'Amazon CloudWatch.
1. Pour chaque Compte AWS, utilisez AWS Budgets pour définir les budgets de coûts et d'utilisation de votre compte en fonction du centre de coûts et des unités commerciales.
1. L'utilisation d'AWS Budgets pour définir les budgets de coûts et d'utilisation de votre compte peut vous aider à maîtriser vos dépenses et à éviter les factures imprévues, ce qui vous permet de mieux contrôler vos coûts.
**Procédure :** fournissez des procédures détaillées pour la mise en œuvre de cette politique ou consultez d'autres documents qui décrivent comment mettre en œuvre chaque déclaration de politique. Cette section doit fournir des instructions détaillées pour la mise en œuvre des exigences de la politique.
Pour mettre en œuvre cette politique, vous pouvez utiliser divers outils tiers ou règles AWS Config afin de vérifier la conformité avec la déclaration de politique et de déclencher des actions correctives automatisées à l'aide des fonctions AWS Lambda. Vous pouvez également utiliser AWS Organizations pour appliquer la politique. En outre, vous devez régulièrement revoir votre utilisation des ressources et ajuster la politique si nécessaire pour vérifier qu'elle continue de répondre aux besoins de votre organisation.
## Étapes d'implémentation
+ **Rencontrez les parties prenantes :** pour élaborer des politiques, demandez aux parties prenantes (bureaux commerciaux du cloud, ingénieurs ou décideurs fonctionnels chargés de l'application des politiques) au sein de votre organisation de spécifier leurs exigences et de les documenter. Adoptez une approche itérative en commençant par les grandes lignes et en affinant continuellement jusqu'aux plus petites unités à chaque étape. Les membres de l'équipe incluent ceux qui sont directement impliqués dans la charge de travail, tels que les unités d'organisation ou les propriétaires d'application, ainsi que les groupes de soutien, tels que les équipes de sécurité et financières.
+ **Obtenez une confirmation :** assurez-vous que les équipes s'accordent sur les politiques décrivant qui peut accéder au AWS Cloud et y faire des déploiements. Vérifiez qu'elles suivent les politiques de votre organisation et confirmez que leurs créations de ressources s'alignent sur les politiques et les procédures convenues.
+ **Créez des sessions de formation d'intégration :** demandez aux nouveaux membres de l'organisation de suivre des cours de formation d'intégration afin de les sensibiliser aux coûts et aux exigences de l'organisation. Ils peuvent supposer des politiques différentes issues de leur expérience passée ou ne pas en connaître du tout.
+ ** Définissez des emplacements pour votre charge de travail : **Définissez l'emplacement d'exécution de votre charge de travail, y compris le pays et la zone du pays. Ces informations seront utilisées pour l'association aux Régions AWS et aux zones de disponibilité AWS.
+ ** Définir et regrouper les services et les ressources : **Définissez les services dont les charges de travail ont besoin. Pour chaque service, spécifiez les types, la taille et le nombre de ressources requis. Définissez des groupes pour les ressources par fonction, tels que les serveurs d'applications ou le stockage de base de données. Les ressources peuvent appartenir à plusieurs groupes.
+ **Définir et regrouper les utilisateurs par fonction : **Définissez les utilisateurs qui interagissent avec la charge de travail, en vous concentrant sur ce qu'ils font et sur la façon dont ils l'utilisent, et non pas sur leur identité ou leur poste au sein de l'organisation. Regroupez les utilisateurs ou fonctions similaires. Vous pouvez utiliser les politiques gérées par AWS comme guide.
+ ** Définir les actions :** En utilisant les emplacements, les ressources et les utilisateurs identifiés précédemment, définissez les actions requises par chacun pour atteindre les résultats de la charge de travail pendant sa durée de vie (développement, exploitation et mise hors service). Identifiez les actions en fonction des groupes, et non pas des éléments individuels des groupes, dans chaque emplacement. Commencez globalement avec la lecture ou l'écriture, puis affinez vers des actions spécifiques pour chaque service.
+ ** Définir la période de vérification :** Les charges de travail et les exigences organisationnelles peuvent changer au fil du temps. Définissez le calendrier de révision de la charge de travail pour qu'il reste conforme aux priorités de l'organisation.
+ **Documentez les politiques : **assurez-vous que les politiques définies sont accessibles en fonction des besoins de votre organisation. Ces politiques sont utilisées pour mettre en œuvre, gérer et auditer l'accès de vos environnements.
## Ressources
**Documents connexes :**
+ [Gestion des changements dans le cloud](https://docs.aws.amazon.com/whitepapers/latest/change-management-in-the-cloud/change-management-in-cloud.html)
+ [Stratégies gérées par AWS pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Stratégie de facturation multicompte AWS](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Actions, ressources et clés de condition pour les services AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html)
+ [Gestion et gouvernance AWS](https://aws.amazon.com/products/management-and-governance/)
+ [Contrôler l'accès aux Régions AWS avec des politiques IAM](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [Régions et AZ des Infrastructures mondiales](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**Vidéos connexes :**
+ [AWS Management and Governance at Scale](https://www.youtube.com/watch?v=xdJSUnPcPPI)
**Exemples connexes :**
+ [VMware – Quelles sont les politiques cloud ?](https://blogs.vmware.com/cloudhealth/what-are-cloud-policies/)
# COST02-BP02 Mettre en œuvre des objectifs et des cibles
Mettez en œuvre les objectifs et cibles de coût et d'utilisation de votre charge de travail. Les objectifs fournissent une orientation à votre organisation sur les résultats attendus et les cibles fournissent des résultats mesurables spécifiques à atteindre pour vos charges de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Développez des objectifs et des cibles de coût et d'utilisation pour votre entreprise. En tant qu'organisation en pleine croissance sur AWS, il est important de définir et de suivre des objectifs d'optimisation des coûts. Ces objectifs ou [indicateurs clés de performance (KPI)](https://aws.amazon.com/blogs/aws-cloud-financial-management/unit-metric-the-touchstone-of-your-it-planning-and-evaluation/) peuvent inclure des éléments comme le pourcentage des dépenses à la demande ou l'adoption de certains services optimisés tels que les instances AWS Graviton ou les types de volumes EBS gp3. La définition d'objectifs mesurables et réalisables peut vous aider à continuer à mesurer les améliorations de l'efficacité, ce qui est important pour les opérations métier en cours. Les objectifs fournissent des conseils et des directives à votre organisation en ce qui concerne les résultats attendus. Les cibles fournissent des résultats mesurables spécifiques à atteindre. En résumé, un objectif est la direction que vous voulez prendre et une cible correspond à la distance dans cette direction et au moment où cet objectif doit être atteint (à l'aide de conseils SMART, c'est-à-dire spécifiques, mesurables, acceptables, réalistes et temporellement définis). Voici un exemple d'objectif : l'utilisation de la plateforme doit augmenter de manière significative, avec seulement une augmentation mineure (non linéaire) des coûts. Voici un exemple de cible : une augmentation de 20 % de l'utilisation de la plateforme, avec une augmentation des coûts inférieure à 5 %. Voici un autre exemple d'objectif commun : les charges de travail doivent être plus efficaces tous les six mois. La cible qui correspondrait à cet objectif serait de faire en sorte que les indicateurs du coût par entreprise diminuent de 5 % tous les six mois.
L'un des objectifs de l'optimisation des coûts est d'accroître l'efficacité de la charge de travail, c'est-à-dire de réduire le coût par résultat métier de la charge de travail au fil du temps. Il est recommandé de mettre en œuvre cet objectif pour toutes les charges de travail et de définir également un objectif tel qu'une augmentation de 5 % de l'efficacité tous les six mois à un an. Cela peut être réalisé dans le cloud en développant des capacités d'optimisation des coûts et en publiant de nouveaux services et fonctionnalités.
Il est important de disposer d'une visibilité en temps quasi réel sur vos KPI et les opportunités d'économies associées, et de suivre vos progrès au fil du temps. Pour commencer à définir et à suivre les objectifs des KPI, nous vous recommandons d'utiliser le tableau de bord des KPI du [cadre Cloud Intelligence Dashboards (CID)](https://aws.amazon.com/blogs/mt/visualize-and-gain-insights-into-your-aws-cost-and-usage-with-cloud-intelligence-dashboards-using-amazon-quicksight/). Sur la base des données issues d'AWS Cost and Usage Report, le tableau de bord des KPI fournit une série de KPI recommandés pour l'optimisation des coûts, avec la possibilité de définir des objectifs personnalisés et de suivre les progrès au fil du temps.
Si vous disposez d'une autre solution qui vous permet de définir et de suivre des objectifs de KPI, assurez-vous qu'elle est adoptée par toutes les parties prenantes de votre organisation en matière de gestion financière dans le cloud.
## Étapes d'implémentation
+ **Définissez les niveaux d'utilisation attendus : **pour commencer, concentrez-vous sur les niveaux d'utilisation. Collaborez avec les propriétaires d'application, les équipes marketing et les équipes commerciales plus importantes afin de comprendre quels seront les niveaux d'utilisation attendus pour la charge de travail. Comment la demande des clients évoluera-t-elle dans le temps et existera-t-il des changements dus à des augmentations saisonnières ou à des campagnes marketing ?
+ ** Définissez les coûts et les ressources de la charge de travail : **une fois les niveaux d'utilisation définis, quantifiez les modifications des ressources de charge de travail nécessaires pour atteindre ces niveaux d'utilisation. Il sera peut-être nécessaire d'augmenter la taille des ressources d'un composant de la charge de travail ou leur nombre, d'accroître le transfert de données ou de remplacer les composants de la charge de travail par un service différent à un niveau spécifique. Précisez quels seront les coûts à chacun de ces points majeurs, et quels seront les changements de coûts lorsqu'il existera des changements d'utilisation.
+ **Définir les objectifs commerciaux : **Combinez les résultats des modifications attendues en termes d'utilisation et de coût aux modifications technologiques attendues ou aux programmes que vous exécutez, et développez des objectifs pour la charge de travail. Les objectifs doivent tenir compte de l'utilisation, du coût et de la relation entre les deux. Les objectifs doivent être simples, généraux et aider les personnes à comprendre les attentes de l'entreprise en termes de résultats (par exemple, s'assurer que les ressources inutilisées restent en dessous d'un certain niveau de coût). Vous n'avez pas besoin de définir des objectifs pour chaque type de ressource inutilisé ni de définir des coûts qui entraînent des pertes pour les objectifs et les cibles. Assurez-vous qu'il existe des programmes organisationnels (par exemple le renforcement des capacités avec la formation et l'éducation) si des variations de coûts sont attendues sans changement dans l'utilisation.
+ **Définissez les cibles : **pour chacun des objectifs définis, spécifiez une cible mesurable. Si l'objectif est d'augmenter l'efficacité de la charge de travail, la cible quantifiera le degré d'amélioration (généralement en termes de résultat économique par dollar dépensé) et le moment où il sera atteint. Par exemple, si votre objectif est de réduire le gaspillage issu du surprovisionnement, alors votre cible peut être que le gaspillage dû au surprovisionnement de calcul pour le premier niveau des charges de travail de production ne doit pas dépasser 10 % des coûts de calcul du niveau, et que le gaspillage dû au surprovisionnement de calcul pour le deuxième niveau des charges de travail de production ne doit pas dépasser 5 % des coûts de calcul du niveau.
## Ressources
**Documents connexes :**
+ [Politiques gérées par AWS pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Stratégie AWS multicompte pour votre zone de destination AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)
+ [Contrôler l'accès aux Régions AWS avec des politiques IAM](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [ Objectifs SMART ](https://en.wikipedia.org/wiki/SMART_criteria)
**Vidéos connexes :**
+ [ Ateliers Well-Architected : objectifs et cibles (niveau 100) ](https://www.wellarchitectedlabs.com/cost/100_labs/100_goals_and_targets/)
**Exemples connexes :**
+ [ Ateliers Well-Architected : mettre hors service des ressources (objectifs et cibles) ](https://www.wellarchitectedlabs.com/cost/100_labs/100_goals_and_targets/4_decommission_resources/)
+ [ Ateliers Well-Architected : type de ressource, taille et quantité (objectifs et cibles) ](https://www.wellarchitectedlabs.com/cost/100_labs/100_goals_and_targets/6_resource_type_size_number/)
# COST02-BP03 Mettre en œuvre une structure de compte
Implémentez une structure de comptes mappée sur votre organisation. Cela vous aide à répartir et à gérer les coûts dans toute votre organisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
AWS Organizations vous permet de créer plusieurs Comptes AWS qui peuvent vous aider à gérer votre environnement de manière centralisée lorsque vous augmentez vos charges de travail sur AWS. Vous pouvez modéliser votre hiérarchie organisationnelle en regroupant les Comptes AWS dans une structure d'unité d'organisation (UO) et en créant plusieurs Comptes AWS sous chaque UO. Pour créer une structure de compte, vous devez d'abord décider lequel de vos Comptes AWS sera le compte de gestion. Ensuite, vous pouvez créer de nouveaux Comptes AWS ou sélectionner des comptes existants en tant que comptes membres basés sur votre structure de compte désignée en suivant les [bonnes pratiques du compte de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) et les [bonnes pratiques des comptes membres](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html).
Il est recommandé de toujours lier au moins un compte membre au compte de gestion, quelle que soit la taille de votre entreprise ou l'utilisation prévue. Toutes les ressources liées aux charges de travail doivent se trouver uniquement dans les comptes membres et aucune ressource ne doit être créée dans le compte de gestion. Il n'existe pas de nombre prédéfini de Comptes AWS dont vous devez disposer. Évaluez vos modèles opérationnels et de coûts actuels et futurs pour vous assurer que la structure de vos Comptes AWS reflète les objectifs de votre organisation. Certaines entreprises créent plusieurs comptes Comptes AWS pour des raisons professionnelles, par exemple :
+ Une isolation administrative, fiscale ou en matière de facturation est nécessaire entre les unités d'organisation, les centres de coûts ou les charges de travail spécifiques.
+ Les limites du service AWS sont fixées pour être spécifiques à des charges de travail particulières.
+ Il existe une exigence d'isolation et de séparation entre les charges de travail et les ressources.
Dans [AWS Organizations](https://aws.amazon.com/organizations/), la [facturation consolidée](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) crée la structure entre un ou plusieurs comptes membres et le compte de gestion. Les comptes membres vous permettent d'isoler et de distinguer votre coût et votre utilisation par groupes. Une pratique courante consiste à avoir des comptes membres séparés pour chaque unité d'organisation (comme les finances, le marketing et les ventes), ou pour chaque cycle de vie de l'environnement (comme le développement, les tests et la production), ou pour chaque charge de travail (charge de travail a, b et c), puis à regrouper ces comptes liés en utilisant la facturation consolidée.
La facturation consolidée vous permet de regrouper le paiement de plusieurs membres Comptes AWS sous un seul compte de gestion, tout en assurant la visibilité de l'activité de chaque compte lié. Comme les coûts et l'utilisation sont regroupés dans le compte de gestion, cela vous permet de maximiser vos réductions sur le volume de services et l'utilisation de vos remises sur engagement (Savings Plans et instances réservées) pour obtenir les remises les plus élevées.
Le diagramme suivant illustre l'utilisation d'AWS Organizations avec les unités d'organisation (UO) afin de regrouper plusieurs comptes et de placer de plusieurs Comptes AWS sous chaque UO. Il est recommandé d'utiliser des UO pour divers cas d'utilisation et charges de travail qui fournissent des modèles pour l'organisation des comptes.
![\[Tree diagram showing how to group multiple accounts under organizational units.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/aws-organizations-ou-grouping.png)
[AWS Control Tower](https://aws.amazon.com/controltower/) peut rapidement installer et configurer plusieurs comptes AWS de façon à ce que la gouvernance soit conforme aux exigences de votre entreprise.
**Étapes d'implémentation**
+ **Définir les exigences de séparation : **les exigences de séparation combinent plusieurs facteurs, notamment la sécurité, la fiabilité et les structures financières. Examinez chaque facteur dans l'ordre et précisez si la charge de travail ou son environnement doivent être séparés des autres. La sécurité favorise le respect des exigences en matière d'accès et de données. La fiabilité gère les limites afin que les environnements et les charges de travail n'affectent pas les autres. Examinez périodiquement les piliers de sécurité et de fiabilité du cadre Well-Architected et suivez les bonnes pratiques fournies. Les structures financières créent une séparation financière stricte (pour les multiples centres de coûts, et les différentes responsabilités et propriétés liées aux charges de travail). Parmi les exemples courants de séparation, citons : les charges de travail de production et de test exécutées dans des comptes distincts ou l'utilisation d'un compte distinct afin que les données de facturation soient fournies aux unités commerciales, aux services individuels au sein de l'organisation ou à la partie prenante qui détient le compte.
+ **Définir les exigences de regroupement** : les exigences de regroupement ne remplacent pas les exigences de séparation, mais sont utilisées pour faciliter la gestion. Regroupez les environnements ou les charges de travail similaires qui ne nécessitent pas de séparation. Par exemple, regroupez plusieurs environnements de test ou de développement d'une ou de plusieurs charges de travail.
+ **Définir la structure des comptes : **à l'aide de ces séparations et regroupements, spécifiez un compte pour chaque groupe et gérez les exigences de séparation. Ces comptes sont vos comptes membres ou liés. En regroupant ces comptes membres au sein d'un seul compte de gestion ou compte payeur, vous rassemblez les données d'utilisation, ce qui vous permet d'obtenir des remises plus importantes sur le volume, en générant une seule facture pour tous les comptes. Il est possible de séparer les données de facturation et de créer une vue individuelle par compte membre. Si les données d'utilisation ou de facturation d'un compte membre ne doivent pas être visibles des autres comptes ou que la facturation séparée d'AWS est nécessaire, définissez plusieurs comptes de gestion ou comptes payeurs. Dans ce cas, chaque compte membre possède son propre compte de gestion ou compte payeur. Les ressources doivent toujours être placées dans des comptes membres ou comptes liés. Les comptes de gestion ou comptes payeurs doivent être uniquement utilisés pour la gestion.
## Ressources
**Documents connexes :**
+ [Using Cost Allocation Tags (Utilisation des balises de répartition des coûts)](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)
+ [Stratégies gérées par AWS pour les fonctions de tâches](https://docs.aws.amazon.com//latest/UserGuide/access_policies_job-functions.html)
+ [Stratégie de facturation multi-comptes AWS](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Contrôler l'accès aux Régions AWS avec des politiques IAM](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ Bonnes pratiques relatives aux [comptes de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) et aux [comptes membres](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)
+ [Organisation de votre environnement AWS à l'aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)
+ [Activation des remises de Savings Plans et sur instances réservées partagées](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-turn-on-process.html)
+ [Consolidated billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) (Facturation consolidée)
+ [Consolidated billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) (Facturation consolidée)
**Exemples connexes :**
+ [Splitting the CUR and Sharing Access (Fractionner le rapport d'utilisation et de coût (CUR) et partager l'accès)](https://wellarchitectedlabs.com/Cost/Cost_and_Usage_Analysis/300_Splitting_Sharing_CUR_Access/README.html)
**Vidéos connexes :**
+ [ Introducing AWS Organizations](https://www.youtube.com/watch?v=T4NK8fv8YdI)
+ [ Set Up a Multi-Account AWS Environment that Uses Best Practices for AWS Organizations](https://www.youtube.com/watch?v=uOrq8ZUuaAQ)
**Exemples connexes :**
+ [ Well-Architected Labs: Create an AWS Organization (Level 100) (Ateliers Well-Architected : créer une organisation AWS (niveau 100))](https://www.wellarchitectedlabs.com/cost/100_labs/100_1_aws_account_setup/2_account_structure/)
+ [ Splitting the AWS Cost and Usage Report and Sharing Access (Fractionner le rapport d'utilisation et de coût (CUR) et partager l'accès) ](https://wellarchitectedlabs.com/cost/300_labs/300_splitting_sharing_cur_access/)
+ [Defining an AWS Multi-Account Strategy for telecommunications companies](https://aws.amazon.com/blogs/industries/defining-an-aws-multi-account-strategy-for-telecommunications-companies/)
+ [Best Practices for Optimizing Comptes AWS](https://aws.amazon.com/blogs/architecture/new-whitepaper-provides-best-practices-for-optimizing-aws-accounts/) (Bonnes pratiques pour optimiser les comptes AWS)
+ [Best Practices for Organizational Units with AWS Organizations](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/?org_product_gs_bp_OUBlog)
# COST02-BP04 Mettre en œuvre des groupes et des rôles
Mettez en œuvre des groupes et des rôles conformes à vos politiques et qui indiquent qui créent, modifient ou met hors service des instances et des ressources dans chaque groupe. Par exemple, mettez en place des groupes de développement, de test et de production. Cela s'applique aux services AWS et aux solutions tierces.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Après avoir élaboré les stratégies, vous pouvez créer des groupes et des rôles logiques d'utilisateurs au sein de votre entreprise. Cela vous permet d'attribuer des autorisations et de contrôler l'utilisation. Commencez par des groupes de personnes généraux, ce qui correspond généralement aux unités organisationnelles et aux rôles des postes (par exemple, administrateur système au sein du service informatique ou contrôleur financier). Les groupes contiennent des personnes qui effectuent des tâches similaires et ont besoin d'un accès similaire. Les rôles définissent ce qu'un groupe doit faire. Par exemple, un administrateur de système du service informatique a besoin d'un accès pour créer toutes les ressources, mais un membre de l'équipe d'analyse n'a besoin que de créer des ressources analytiques.
**Étapes d'implémentation**
+ ** Mettre en place des groupes : **En utilisant les groupes d'utilisateurs définis dans vos politiques organisationnelles, mettez en œuvre les groupes correspondants, si nécessaire. Reportez-vous au pilier Sécurité pour connaître les bonnes pratiques concernant les utilisateurs, les groupes et l'authentification.
+ ** Mettre en œuvre des rôles et des politiques : **À l'aide des actions définies dans vos politiques organisationnelles, créez les rôles et politiques d'accès requis. Reportez-vous au pilier Sécurité pour connaître les bonnes pratiques concernant les rôles et les stratégies.
## Ressources
**Documents connexes :**
+ [Stratégies gérées AWS pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Stratégie de facturation multicompte AWS](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Contrôler l'accès aux Régions AWS avec des politiques IAM](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [Pilier Sécurité Well Architected](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
**Exemples connexes :**
+ [Identité et accès de base de l'atelier Well-Architected](https://wellarchitectedlabs.com/Security/100_Basic_Identity_and_Access_Management_User_Group_Role/README.html)
# COST02-BP05 Mettre en œuvre des contrôles de coûts
Mettez en œuvre des contrôles reposant sur des politiques organisationnelles et les groupes et rôles définis. Il s'agit de s'assurer que les coûts encourus sont toujours conformes aux exigences de l'organisation, notamment en termes de contrôle d'accès aux régions ou aux types de ressources.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
En matière de contrôle des coûts, la première étape consiste le plus souvent à configurer l'envoi de notifications lorsque des événements liés aux coûts ou à l'utilisation sortant du cadre des politiques en vigueur se produisent. Vous pouvez agir rapidement et vérifier si une action corrective est nécessaire, sans restreindre ni affecter négativement les charges de travail ou la nouvelle activité. Une fois que vous connaissez les limites de la charge de travail et de l'environnement, vous pouvez appliquer la gouvernance. [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) vous permet d'établir des notifications et de définir des budgets mensuels pour vos coûts, votre utilisation et vos remises sur engagement (Savings Plans et instances réservées) AWS. Vous pouvez créer des budgets à un niveau de coût global (intégralité des coûts) ou plus précis, si vous n'incluez que les dimensions spécifiques pertinentes, telles que les comptes, services, balises ou zones de disponibilité.
Une fois que vous avez fixé vos limites budgétaires avec AWS Budgets, utilisez [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) pour réduire vos coûts imprévus. AWS Cost Anomaly Detection est un service de gestion des coûts qui utilise le machine learning pour surveiller continuellement vos coûts et votre utilisation afin de détecter les dépenses inhabituelles. Il vous permet d'identifier les dépenses anormales et les causes profondes, afin que vous puissiez prendre des mesures rapidement. Créez tout d'abord une surveillance des coûts dans AWS Cost Anomaly Detection, puis choisissez votre préférence d'alerte en établissant un seuil monétaire (par exemple une alerte sur les anomalies ayant un impact supérieur à 1 000 USD). Une fois les alertes reçues, vous pouvez analyser la cause profonde de l'anomalie et son impact sur vos coûts. Vous pouvez également surveiller et analyser les anomalies dans AWS Cost Explorer.
Appliquez les politiques de gouvernance dans AWS via [Gestion des identités et des accès AWS](https://aws.amazon.com/iam/) et les [Politiques de contrôle de service (SCP) AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp.html). IAM vous permet de gérer en toute sécurité l'accès aux services et aux ressources AWS. Avec IAM, vous pouvez contrôler qui peut créer et gérer les ressources AWS ainsi que le type de ressources disponibles et leurs emplacements respectifs. Cela réduit au minimum les risques que des ressources soient créées en dehors du cadre de la politique définie. Utilisez les rôles et groupes créés précédemment et attribuez des [politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) pour garantir une utilisation correcte. Une politique SCP offre un contrôle central des autorisations maximales disponibles pour tous les comptes de votre organisation, afin que ces derniers respectent à tout moment vos directives de contrôle d'accès. Les politiques SCP ne sont disponibles que dans les organisations où toutes les fonctionnalités sont activées. Vous pouvez configurer les politiques SCP afin qu'elles refusent ou autorisent par défaut les actions des comptes membres. Pour plus de détails sur la mise en œuvre de la gestion des accès, consultez le [livre blanc Well-Architected - Pilier Sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html).
La gouvernance peut également être mise en œuvre grâce à la gestion de[AWS quotas de service](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). En vous assurant que les quotas de service sont fixés avec un coût minimum et gérés avec précision, vous pouvez minimiser la création de ressources en dehors du cadre des exigences de votre organisation. Pour ce faire, vous devez comprendre à quel point vos exigences peuvent rapidement changer, appréhender les projets en cours (tant la création que la mise hors service des ressources), et tenir compte de l'accélération des délais de mise en œuvre de ces quotas. [Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) est un service qui permet d‘augmenter vos quotas en fonction de vos besoins.
**Étapes d'implémentation**
+ ** Mettre en œuvre des notifications sur les dépenses :** à l'aide des politiques organisationnelles que vous avez définies, créez des budgets [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) pour envoyer des notifications lorsque les dépenses dépassent les seuils fixés. Configurez plusieurs budgets de coûts, un pour chaque compte, afin d'être averti des dépenses globales du compte. Configurez des budgets de coûts supplémentaires dans chaque compte pour les plus petites unités du compte. Ces unités varient en fonction de la structure de votre compte. Quelques exemples courants sont les Régions AWS, les charges de travail (avec les balises) ou les services AWS. Configurez une liste de distribution comme destinataire des notifications au lieu d'utiliser un e-mail individuel. Vous pouvez définir un budget réel en cas de dépassement du montant ou utiliser un budget prévisionnel pour notifier de l'utilisation prévue. Vous pouvez également préconfigurer des actions AWS Budget pour appliquer des politiques IAM ou SCP spécifiques, voire arrêter les instances cibles Amazon EC2 ou Amazon RDS. Les actions Budget peuvent être automatiquement exécutées ou nécessiter l'approbation du flux de travail.
+ **Mettre en œuvre des notifications sur les dépenses anormales :** utilisez [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) pour réduire les coûts imprévus dans votre organisation et analyser la cause profonde des éventuelles dépenses anormales. Une fois que vous avez créé le suivi des coûts pour identifier les dépenses inhabituelles à la granularité spécifiée et configuré les notifications dans AWS Cost Anomaly Detection, vous recevez une alerte lorsque des dépenses inhabituelles sont détectées. Cela vous permettra d'analyser le cas racine de l'anomalie et de comprendre l'impact sur votre coût. Utilisez les catégories de coûts AWS en configurant AWS Cost Anomaly Detection afin de déterminer quelle équipe de projet ou d'unité commerciale peut analyser la cause profonde des coûts imprévus et prendre rapidement les mesures nécessaires.
+ ** Mettre en œuvre des contrôles sur l'utilisation :** à l'aide des politiques organisationnelles que vous avez définies, mettez en œuvre des politiques et des rôles IAM pour spécifier les actions que les utilisateurs peuvent et ne peuvent pas effectuer. Plusieurs politiques organisationnelles peuvent être incluses dans une politique AWS. De la même manière que vous avez défini les politiques, commencez par une approche générale et appliquez ensuite des contrôles plus fins à chaque étape. Les limites de service constituent également un contrôle efficace de l'utilisation. Mettez en œuvre les limites de service correctes sur tous vos comptes.
## Ressources
**Documents connexes :**
+ [Politiques gérées AWS pour les fonctions professionnelles](https://docs.aws.amazon.com//latest/UserGuide/access_policies_job-functions.html)
+ [Stratégie de facturation multi-comptes AWS](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Contrôler l'accès aux Régions AWS avec des politiques IAM](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)
+ [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/)
+ [Maîtriser vos coûts AWS](https://aws.amazon.com/getting-started/hands-on/control-your-costs-free-tier-budgets/)
**Vidéos connexes :**
+ [How can I use AWS Budgets to track my spending and usage?](https://www.youtube.com/watch?v=Ris23gKc7s0)
**Exemples connexes :**
+ [Example IAM access management policies (Exemples de politiques de gestion des accès IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html)
+ [Example service control policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html) (Exemples de politiques de contrôle de service)
+ [Actions AWS Budgets](https://aws.amazon.com/blogs/aws-cloud-financial-management/get-started-with-aws-budgets-actions/)
+ [Comment créer une politique IAM pour contrôler l'accès aux ressources Amazon EC2 à l'aide de balises ?](https://aws.amazon.com/premiumsupport/knowledge-center/iam-ec2-resource-tags/)
+ [Est-il possible de limiter l'accès d'une identité IAM à des ressources Amazon EC2 spécifiques ?](https://aws.amazon.com/premiumsupport/knowledge-center/restrict-ec2-iam/)
+ [Create an IAM Policy to restrict Amazon EC2 usage by family (Créer une politique IAM pour limiter l'utilisation d'EC2 par famille)](https://www.wellarchitectedlabs.com/cost/200_labs/200_2_cost_and_usage_governance/3_ec2_restrict_family/)
+ [Well-Architected Labs: Cost and Usage Governance (Level 100) (Ateliers Well-Architected : gouvernance des coûts et de l'utilisation (niveau 100))](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_2_Cost_and_Usage_Governance/README.html)
+ [Well-Architected Labs: Cost and Usage Governance (Level 200) (Ateliers Well-Architected : gouvernance des coûts et de l'utilisation (niveau 200))](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_2_Cost_and_Usage_Governance/README.html)
+ [Slack integrations for Cost Anomaly Detection using Amazon Q Developer in chat applications (Intégrations de Slack pour Cost Anomaly Detection avec AWS Chatbot)](https://aws.amazon.com/aws-cost-management/resources/slack-integrations-for-aws-cost-anomaly-detection-using-aws-chatbot/)
# COST02-BP06 Suivre le cycle de vie du projet
Suivez, mesurez et auditez le cycle de vie des projets, des équipes et des environnements pour éviter d'utiliser et de payer des ressources superflues.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Veillez à suivre l'ensemble du cycle de vie de la charge de travail. Cela permet de garantir que lorsque les charges de travail ou les éléments de la charge de travail ne sont plus nécessaires, ils peuvent être déclassés ou modifiés. Cela est particulièrement utile lorsque vous publiez de nouveaux services ou fonctionnalités. Les charges de travail et les composants existants peuvent sembler être utilisés, mais doivent être mis hors service pour rediriger les clients vers le nouveau service. Notez les étapes précédentes des charges de travail : une fois qu'une charge de travail est en production, les environnements précédents peuvent être mis hors service ou leur capacité fortement réduite jusqu'à ce qu'ils soient à nouveau requis.
AWS fournit des services de gestion et de gouvernance que vous pouvez utiliser pour le suivi du cycle de vie des entités. Vous pouvez utiliser [AWS Config](https://aws.amazon.com/config/) ou [AWS Systems Manager](https://aws.amazon.com/systems-manager/) pour fournir un inventaire détaillé de vos ressources et de votre configuration AWS. Il est recommandé de l'intégrer à vos systèmes de gestion de projets ou ressources existants pour assurer le suivi des projets et produits actifs au sein de votre organisation. La combinaison de votre système actuel avec le riche ensemble d'événements et de mesures fourni par AWS vous permet de construire une vue des événements importants du cycle de vie et de gérer les ressources de manière proactive afin de réduire les coûts inutiles.
Reportez-vous à [livre blanc du pilier Excellence opérationnelle du cadre Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) pour en savoir plus sur l'implémentation du suivi du cycle de vie de l'entité.
**Étapes d'implémentation**
+ ** Vérifier la charge de travail : **Comme défini par vos politiques d'organisation, faites un audit de vos projets existants. Le niveau d'effort consacré à l'audit doit être proportionnel au risque, à la valeur ou au coût approximatif pour l'organisation. Les principaux domaines à inclure dans l'audit sont le risque pour l'organisation d'un incident ou d'une panne, la valeur ou la contribution à l'organisation (mesurée en termes de chiffre d'affaires ou de réputation de la marque), le coût de la charge de travail (mesuré en tant que coût total des ressources et coûts opérationnels) et l'utilisation de la charge de travail (mesurée en nombre de résultats de l'organisation par unité de temps). Si ces domaines changent au cours du cycle de vie, des ajustements de la charge de travail sont nécessaires, tels que la mise hors service complète ou partielle.
## Ressources
**Documents connexes :**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Stratégies gérées AWS pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Stratégie de facturation multi-comptes AWS](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Contrôler l'accès aux Régions AWS avec des politiques IAM](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
# COST 3 Comment surveiller l'utilisation et les coûts ?
Définissez des stratégies et des procédures pour surveiller et allouer vos coûts de manière appropriée. Cela vous permet d'évaluer et d'améliorer la rentabilité de cette charge de travail.
**Topics**
+ [COST03-BP01 Configurer des sources d'informations détaillées](cost_monitor_usage_detailed_source.md)
+ [COST03-BP02 Ajouter des informations organisationnelles aux coûts et à l'utilisation](cost_monitor_usage_org_information.md)
+ [COST03-BP03 Identifier les catégories de répartition des coûts](cost_monitor_usage_define_attribution.md)
+ [COST03-BP04 Établir des métriques organisationnelles](cost_monitor_usage_define_kpi.md)
+ [COST03-BP05 Configurer des outils de facturation et de gestion des coûts](cost_monitor_usage_config_tools.md)
+ [COST03-BP06 Répartir les coûts selon les métriques de la charge de travail](cost_monitor_usage_allocate_outcome.md)
# COST03-BP01 Configurer des sources d'informations détaillées
Configurez le rapport de coût et d'utilisation AWS et la granularité horaire Cost Explorer pour fournir des informations détaillées sur les coûts et l'utilisation. Configurez votre charge de travail de sorte qu'elle dispose d'entrées de journal pour chaque résultat opérationnel obtenu.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Activez la granularité horaire dans AWS Cost Explorer et créez un [AWS Cost and Usage Report (CUR)](https://aws.amazon.com/aws-cost-management/aws-cost-and-usage-reporting/). Ces sources de données offrent la vue la plus précise des coûts et de l'utilisation dans l'ensemble de votre organisation. Le rapport CUR fournit une granularité d'utilisation quotidienne ou horaire, des tarifs, des coûts et des attributs d'utilisation pour tous les services AWS payants. Toutes les dimensions possibles sont dans le rapport CUR, y compris le marquage, l'emplacement, les attributs des ressources et les ID de compte.
Configurez votre CUR avec les personnalisations suivantes :
+ Inclure les ID de ressources
+ Actualiser automatiquement le CUR
+ Granularité horaire
+ **Gestion des versions :** Remplacer le rapport existant
+ **Intégration des données :** Amazon Athena (format et compression Parquet)
Utilisez [AWS Glue](https://aws.amazon.com/glue/) pour préparer les données pour l'analyse et [Amazon Athena](https://aws.amazon.com/athena/) pour effectuer l'analyse des données, à l'aide de SQL pour interroger les données. Vous pouvez également utiliser [Amazon Quick](https://aws.amazon.com/quicksight/) pour créer des visualisations personnalisées et complexes et les distribuer dans l'ensemble de votre entreprise.
**Étapes d'implémentation**
+ ** Configurer le rapport de coût et d'utilisation : **Dans la console de facturation, configurez au moins un rapport d'utilisation et de coût. Configurez un rapport avec une granularité horaire incluant tous les identifiants et les ID de ressource. Vous pouvez également créer d'autres rapports avec différentes granularités pour fournir des informations récapitulatives générales.
+ ** Configurer la granularité horaire dans Cost Explorer : **Dans la console de facturation, activez les données horaires et des ressources.
**Note**
Des coûts sont associés à l'activation de cette fonctionnalité. Pour plus de détails, reportez-vous à la tarification.
+ **Configurer la journalisation de l'application :** Vérifiez que votre application consigne chaque résultat opérationnel qu'elle produit afin de le suivre et le mesurer. Veillez à ce que la granularité de ces données est au moins horaire pour être mise en correspondance avec les données de coût et d'utilisation. Reportez-vous à [au pilier Excellence opérationnelle Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) pour plus d'informations sur la journalisation et la surveillance.
## Ressources
**Documents connexes :**
+ [Configuration de compte AWS](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_1_AWS_Account_Setup/README.html)
+ [AWS Cost and Usage Report (CUR)](https://aws.amazon.com/aws-cost-management/aws-cost-and-usage-reporting/)
+ [AWS Glue](https://aws.amazon.com/glue/)
+ [Amazon Quick](https://aws.amazon.com/quicksight/)
+ [Tarification de la gestion des coûts AWS](https://aws.amazon.com/aws-cost-management/pricing/)
+ [Balisage des ressources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)
+ [Analyse des coûts avec AWS Budgets](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)
+ [Analyse des coûts avec Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-explorer-what-is.html)
+ [Gestion des rapports d'utilisation et de coûts AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-reports-costusage-managing.html)
+ [au pilier Excellence opérationnelle Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html)
**Exemples connexes :**
+ [Configuration de compte AWS](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_1_AWS_Account_Setup/README.html)
# COST03-BP02 Ajouter des informations organisationnelles aux coûts et à l'utilisation
Définissez un schéma de balisage en fonction de votre organisation, des attributs de la charge de travail et des catégories de répartition des coûts afin de pouvoir filtrer et rechercher des ressources ou surveiller les coûts et l'utilisation dans les outils de gestion des coûts. Mettez en œuvre le balisage cohérent sur toutes les ressources, dans la mesure du possible, par objectif, équipe, environnement ou tout autre critère pertinent pour votre entreprise.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Mettez en œuvre [le balisage dans AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) pour ajouter des informations organisationnelles à vos ressources, qui seront ensuite ajoutées à vos informations de coût et d'utilisation. Une balise est une paire clé-valeur. La clé est définie et doit être unique dans votre organisation, et la valeur est unique à un groupe de ressources. Voici un exemple de paire clé-valeur : la clé est `Environment` (Environnement), avec une valeur `Production` (Production). Toutes les ressources de l'environnement de production auront cette paire clé-valeur. Le balisage permet de catégoriser et de suivre vos coûts à l'aide d'informations significatives pertinentes sur l'organisation. Vous pouvez appliquer des balises qui représentent des catégories d'organisations (telles que les centres de coûts, les noms d'application, les projets ou les propriétaires), et identifier les charges de travail et les caractéristiques des charges de travail (telles que les tests ou la production) pour attribuer vos coûts et votre utilisation dans toute votre organisation.
Lorsque vous appliquez des balises à vos ressources AWS (telles que les instances Amazon Elastic Compute Cloud ou les compartiments Amazon Simple Storage Service) et que vous les activez, AWS ajoute ces informations à vos rapports de coûts et d'utilisation. Vous pouvez exécuter des rapports et effectuer des analyses sur les ressources balisées et non balisées pour permettre une meilleure conformité avec les politiques internes de gestion des coûts et assurer une attribution précise.
La création et la mise en œuvre d'une norme de balisage AWS dans les comptes de votre entreprise permettent de gérer et de gouverner vos environnements AWS de manière cohérente et uniforme. Utilisez [Tag Policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) (Politiques de balise) dans AWS Organizations pour définir les règles d'utilisation des balises au niveau des ressources AWS de vos comptes dans AWS Organizations. Les politiques de balises permettent d'adopter facilement une approche normalisée pour le balisage des ressources AWS.
[AWS Tag Editor](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) permet d'ajouter, de supprimer et de gérer des balises de plusieurs ressources. Avec Tag Editor, vous recherchez les ressources que vous voulez baliser et vous gérez ensuite les balises pour les ressources dans vos résultats de recherche.
[Les catégories de coûts AWS](https://aws.amazon.com/aws-cost-management/aws-cost-categories/) permettent d'attribuer une signification organisationnelle à vos coûts, sans nécessiter de balises sur les ressources. Vous pouvez associer vos informations de coût et d'utilisation à des structures d'organisation internes uniques. Vous définissez des règles de catégorie pour associer et catégoriser les coûts à l'aide des dimensions de facturation, telles que les comptes et les balises. Cela fournit un autre niveau de fonctionnalité de gestion en plus du balisage. Vous pouvez également associer des comptes et des balises spécifiques à plusieurs projets.
**Étapes d'implémentation**
+ **Définir un schéma de balisage :** réunissez toutes les parties prenantes de votre entreprise pour définir un schéma. Il s'agit généralement de membres du personnel technique, de l'équipe financière et de la direction. Définissez une liste de balises que toutes les ressources doivent avoir, ainsi qu'une liste de balises que des ressources doivent avoir. Veillez à ce que les noms et les valeurs des balises soient cohérents dans l'ensemble de votre organisation.
+ **Baliser des ressources : **en utilisant vos catégories de répartition des coûts définies, [placez des balises](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) sur toutes les ressources de vos charges de travail en fonction des catégories. Utilisez des outils tels que l'interface de ligne de commande (CLI), Tag Editor ou AWS Systems Manager pour améliorer l'efficacité.
+ **Mettre en œuvre les catégories de coûts AWS : **vous pouvez créer des [catégories de coûts](https://aws.amazon.com/aws-cost-management/aws-cost-categories/) sans mettre en œuvre le balisage. Les catégories de coûts utilisent les dimensions de coûts et d'utilisation existantes. Créez des règles de catégorie à partir de votre schéma et mettez-les en œuvre dans les catégories de coûts.
+ **Automatiser le balisage :** pour veiller à maintenir des niveaux élevés de balisage sur toutes les ressources, automatisez le balisage afin que les ressources soient automatiquement balisées lorsqu'elles sont créées. Utilisez des services tels que [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-resource-tags.html) pour vérifier que les ressources sont balisées lors de leur création. Vous pouvez également créer une solution personnalisée pour [baliser automatiquement](https://aws.amazon.com/blogs/mt/auto-tag-aws-resources/) grâce aux fonctions Lambda ou utiliser un microservice qui analyse régulièrement la charge de travail et supprime toutes les ressources qui ne sont pas balisées, ce qui est pratique pour les environnements de test et de développement.
+ **Surveiller et créer des rapports sur le balisage : **pour veiller à maintenir des niveaux élevés de balisage dans votre organisation, surveillez les balises de vos charges de travail et créez des rapports associés. Vous pouvez utiliser [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) pour afficher le coût des ressources balisées et non balisées, ou recourir à des services tels que [Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Examinez régulièrement le nombre de ressources non balisées et prenez les mesures nécessaires pour ajouter des balises jusqu'à ce que vous atteigniez le niveau de balisage souhaité.
## Ressources
**Documents connexes :**
+ [Bonnes pratiques de balisage](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)
+ [Balise d'une ressource AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-resource-tags.html)
+ [Catégories de coûts AWS](https://aws.amazon.com/aws-cost-management/aws-cost-categories/)
+ [Balisage des ressources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)
+ [Analyse des coûts avec AWS Budgets](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)
+ [Analyse des coûts avec Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-explorer-what-is.html)
+ [Gestion des rapports d'utilisation et de coûts AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-reports-costusage-managing.html)
**Vidéos connexes :**
+ [Comment puis-je baliser mes ressources AWS pour répartir ma facture par centre de coûts ou par projet ?](https://www.youtube.com/watch?v=3j9xyyKIg6w)
+ [Balisage des ressources AWS](https://www.youtube.com/watch?v=MX9DaAQS15I)
**Exemples connexes :**
+ [Automatiquement baliser des nouvelles ressources AWS en fonction de l'identité ou du rôle](https://aws.amazon.com/blogs/mt/auto-tag-aws-resources/)
# COST03-BP03 Identifier les catégories de répartition des coûts
Identifiez les catégories d'organisation telles que les unités commerciales, les départements ou les projets qui pourraient être utilisées pour répartir les coûts au sein de votre organisation entre les entités consommatrices internes afin de renforcer la responsabilité en matière de dépenses et de piloter efficacement les comportements de consommation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Le processus de catégorisation des coûts est crucial pour la budgétisation, la comptabilité, les rapports financiers, la prise de décision, l'analyse comparative et la gestion de projet. En classant et en catégorisant les dépenses, les équipes peuvent mieux comprendre les types de coûts qu'elles devront supporter tout au long de leur transition vers le cloud, ce qui les aide à prendre des décisions éclairées et à gérer les budgets de manière efficace.
La responsabilité des dépenses liées au cloud incite fortement à une gestion disciplinée de la demande et des coûts. Il en résulte des économies importantes sur les coûts liés au cloud pour les organisations qui allouent la majeure partie de leurs dépenses en matière de cloud à des unités commerciales ou à des équipes consommatrices.
Travaillez avec votre équipe financière et les autres parties prenantes concernées pour comprendre les exigences relatives à la répartition des coûts au sein de votre entreprise. Les coûts de la charge de travail doivent être répartis sur l'ensemble du cycle de vie, y compris le développement, les tests, la production et la mise hors service. Vous devez comprendre comment les coûts engagés pour l'apprentissage, le développement du personnel et la création d'idées sont attribués dans l'organisation. Cela peut être utile pour affecter correctement les comptes utilisés à cette fin aux budgets de formation et de développement, au lieu des budgets génériques de coûts informatiques.
Après avoir défini vos catégories d'attribution des coûts avec les parties prenantes de votre organisation, utilisez [les Catégories de coûts AWS](https://aws.amazon.com/aws-cost-management/aws-cost-categories/) pour regrouper vos informations de coût et d'utilisation dans des catégories pertinentes dans AWS Cloud, par exemple les coûts relatifs à un projet spécifique ou à des Comptes AWS pour des départements ou des unités commerciales. Vous pouvez créer des catégories personnalisées et mapper vos informations de coût et d'utilisation dans ces catégories en fonction des règles que vous définissez grâce à différentes dimensions, telles que le compte, la balise, le service, le type de frais et même d'autres catégories de coûts. Une fois les catégories de coûts définies, vous pourrez afficher vos informations de coût et d'utilisation pour chacune d'entre elles et permettre à votre organisation de prendre de meilleures décisions stratégiques et d'achat. Ces catégories seront également visibles dans AWS Cost Explorer, AWS Budgets et AWS Cost and Usage Report.
Par exemple, le diagramme suivant vous montre comment vous pouvez regrouper les informations de coûts et d'utilisation de votre organisation : plusieurs équipes (catégorie de coûts) ayant plusieurs environnements (règles) et chaque environnement ayant plusieurs ressources ou actifs (dimensions).
![\[Organigramme détaillant la relation entre le coût et l'utilisation au sein d'une organisation.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/cost-usage-organization-chart.png)
## Étapes d'implémentation
+ **Définir les catégories de votre organisation :** Rencontrez les parties prenantes pour définir des catégories qui reflètent la structure et les exigences de votre organisation. Elles correspondront directement à la structure des catégories financières existantes, telles que l'unité commerciale, le budget, le centre de coûts ou le service. Examinez les résultats que le cloud apporte à votre entreprise, tels que la formation ou l'éducation, car il s'agit également de catégories organisationnelles. Plusieurs catégories peuvent être attribuées à une ressource, et une ressource peut se trouver dans plusieurs catégories. Par conséquent, définissez autant de catégories que nécessaire.
+ **Définir vos catégories fonctionnelles :** Rencontrez les parties prenantes pour définir des catégories qui reflètent les fonctions dont vous disposez dans votre entreprise. Il peut s'agir de la charge de travail ou des noms d'application, ainsi que du type d'environnement, comme la production, les tests ou le développement. Plusieurs catégories peuvent être attribuées à une ressource, et une ressource peut se trouver dans plusieurs catégories. Par conséquent, définissez autant de catégories que nécessaire afin de pouvoir [gérer vos coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-cost-categories.html) dans la structure catégorisée à l'aide des Catégories de coûts AWS.
+ **Définissez les Catégories de coûts AWS :** Vous pouvez [créer des catégories de coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/create-cost-categories.html) pour organiser vos informations sur les coûts et l'utilisation. Utilisez [les Catégories de coûts AWS](https://aws.amazon.com/aws-cost-management/aws-cost-categories/) pour classer vos coûts AWS et votre utilisation dans des catégories pertinentes. Avec les catégories de coûts, vous pouvez organiser vos coûts grâce à un moteur basé sur des règles. Les règles que vous configurez organisent vos coûts en catégories. Vous pouvez filtrer ces règles sous plusieurs dimensions pour chaque catégorie, telles que des Comptes AWS spécifiques, des services AWS spécifiques ou de types de frais spécifiques. Vous pouvez ensuite utiliser ces catégories dans la console [AWS Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html) [sur plusieurs produits](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/view-billing-dashboard.html). Cela inclut AWS Cost Explorer, AWS Budgets, AWS Cost and Usage Report et AWS Cost Anomaly Detection. Vous pouvez également regrouper les coûts avec les catégories de coûts. Une fois que vous avez créé les catégories de coûts (jusqu'à 24 heures après la création d'une catégorie de coût peuvent être nécessaires pour que les valeurs soient mises à jour dans vos relevés d'utilisation), elles apparaissent dans [AWS Cost Explorer](https://aws.amazon.com//aws-cost-management/aws-cost-explorer/), [AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-managing-costs.html), [AWS Cost and Usage Report](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)et [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/). Par exemple, créez des catégories de coûts pour vos unités commerciales (équipe DevOps) et, sous chaque catégorie, créez plusieurs règles (des règles pour chaque sous-catégorie) avec plusieurs dimensions (Comptes AWS, balises de répartition des coûts, services ou type de frais) selon les regroupements que vous avez définis. Dans AWS Cost Explorer et AWS Budgets, une catégorie de coût apparaît dans une dimension de facturation supplémentaire. Vous pouvez l'utiliser pour filtrer la valeur de catégorie de coût spécifique ou effectuer un regroupement sous la catégorie de coût.
## Ressources
**Documents connexes :**
+ [Balisage des ressources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)
+ [Utilisation des balises de répartition des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)
+ [Analyse des coûts avec AWS Budgets](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)
+ [Analyse des coûts avec Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-explorer-what-is.html)
+ [Gestion des rapports d'utilisation et de coûts AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-reports-costusage-managing.html)
+ [Catégories de coûts AWS](aws-cost-management/aws-cost-categories/)
+ [Gestion de vos coûts grâce aux Catégories de coûts AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-cost-categories.html)
+ [Création de catégories de coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/create-cost-categories.html)
+ [Balisage des catégories de coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/tag-cost-categories.html)
+ [Division des frais dans les catégories de coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/splitcharge-cost-categories.html)
+ [Fonctionnalités des Catégories de coûts AWS](https://aws.amazon.com/aws-cost-management/aws-cost-categories/features/)
**Exemples connexes :**
+ [Organisation de vos données de coûts et d'utilisation à l'aide des Catégories de coûts AWS](https://aws.amazon.com/blogs/aws-cloud-financial-management/organize-your-cost-and-usage-data-with-aws-cost-categories/)
+ [Gestion de vos coûts grâce aux Catégories de coûts AWS](https://aws.amazon.com/aws-cost-management/resources/managing-your-costs-with-aws-cost-categories/)
# COST03-BP04 Établir des métriques organisationnelles
Établissez les métriques de l'organisation qui sont requises pour cette charge de travail. Les rapports des clients produits ou les pages Web diffusées aux clients sont des exemples de métriques d'une charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Comprenez comment le rendement de votre charge de travail est mesuré par rapport à la réussite métier. Chaque charge de travail comporte généralement un petit ensemble de résultats majeurs qui indiquent les performances. Si votre charge de travail est complexe et comporte de nombreux éléments, vous pouvez en dresser la liste par ordre de priorité ou définir et suivre les paramètres de chaque élément. Travaillez avec vos équipes pour savoir quelles métriques vous devez utiliser. Cette unité sera utilisée pour comprendre l'efficacité de la charge de travail, ou le coût de chaque production commerciale.
**Étapes d'implémentation**
+ **Définir les résultats de la charge de travail : **rencontrez les parties prenantes de l'entreprise et définissez les résultats de la charge de travail. Il s'agit des mesures principales de l'utilisation des clients, qui doivent être des métriques économiques et non pas techniques. Il doit exister un petit nombre de métriques générales (moins de cinq) par charge de travail. Si la charge de travail produit plusieurs résultats pour différents cas d'utilisation, regroupez-les dans une seule métrique.
+ **Définir les résultats des composants de la charge de travail : **le cas échéant, si la charge de travail est volumineuse et complexe ou que vous pouvez facilement la diviser en composants (tels que des microservices) avec des entrées et des sorties bien définies, définissez des métriques pour chaque composant. L'effort doit refléter la valeur et le coût du composant. Procédez du plus grand au plus petit composant.
## Ressources
**Documents connexes :**
+ [Balisage des ressources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)
+ [Analyse des coûts avec AWS Budgets](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)
+ [Analyse des coûts avec Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-explorer-what-is.html)
+ [Gestion des rapports d'utilisation et de coûts AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-reports-costusage-managing.html)
# COST03-BP05 Configurer des outils de facturation et de gestion des coûts
Configurez les outils de gestion des coûts conformément aux politiques de votre organisation en matière de gestion et d'optimisation des dépenses du cloud. Ils incluent les services, les outils et les ressources pour organiser et suivre les données de coûts et d'utilisation, avoir plus de contrôle grâce à la facturation consolidée et les autorisations d'accès, améliorer la planification via des budgets et des prévisions, recevoir des notifications ou des alertes, et réduire davantage les coûts grâce aux optimisations des ressources et de la tarification.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Pour établir une solide responsabilisation, vous devez d'abord considérer la stratégie de votre compte comme faisant partie de votre stratégie de répartition des coûts. Faites les choses correctement et vous n'aurez peut-être pas besoin d'aller plus loin. Sinon, certains points risquent d'être omis et d'autres problèmes pourraient survenir par la suite.
Pour encourager la responsabilisation en matière de dépenses liées au cloud, les utilisateurs doivent avoir accès à des outils offrant une visibilité sur leurs coûts et leur utilisation. Il est recommandé de configurer les outils pour toutes les charges de travail et pour toutes les équipes pour les objectifs et détails suivants :
+ **Organiser :** établissez votre répartition des coûts et votre base de référence de la gouvernance avec votre propre stratégie de balisage et votre taxonomie. Balisez les ressources AWS prises en charge et classez-les de manière significative en fonction de la structure de votre organisation (unités commerciales, départements ou projets). Balisez les noms de comptes pour des centres de coûts spécifiques et associez-les à des Catégories de coûts AWS afin de regrouper les comptes d'unités commerciales spécifiques pour leurs centres de coûts et permettre au propriétaire de l'unité commerciale de voir la consommation de plusieurs comptes dans un seul endroit.
+ **Accéder :** suivez les informations de facturation à l'échelle de l'organisation dans [la facturation consolidée](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) et vérifiez que les bonnes parties prenantes et les propriétaires d'entreprise y ont accès.
+ **Contrôler :** créez des mécanismes de gouvernance efficaces avec les barrières de protection appropriées pour éviter les scénarios inattendus lors de l'utilisation du SCP, des politiques de balises et des alertes budgétaires. Par exemple, grâce à un mécanisme de contrôle efficace, vous pouvez empêcher les équipes de créer des ressources dans des régions non prises en charge.
+ **État actuel : **configurez un tableau de bord affichant les niveaux actuels de coûts et d'utilisation. Le tableau de bord doit être disponible dans un endroit hautement visible dans l'environnement de travail (similaire à un tableau de bord d'opérations). Vous pouvez utiliser le [Cloud Intelligence Dashboard (CID)](https://github.com/aws-samples/aws-cudos-framework-deployment) ou tout autre produit pris en charge pour créer cette visibilité.
+ **Notifications :** fournissez des notifications lorsque le coût ou l'utilisation dépasse les limites définies et lorsque des anomalies surviennent avec AWS Budgets ou AWS Cost Anomaly Detection.
+ **Rapports :** récapitulez toutes les informations de coût et d'utilisation, et sensibilisez et responsabilisez quant à vos dépenses cloud avec des données de coûts détaillées et imputables. Les rapports doivent être pertinents pour l'équipe qui les utilise et, idéalement, contenir des recommandations.
+ **Suivi : **affichez les coûts et l'utilisation actuels par rapport aux objectifs ou cibles configurés.
+ **Analyse : **permettez aux membres de l'équipe d'effectuer des analyses personnalisées et approfondies jusqu'à la précision horaire, avec toutes les dimensions possibles.
+ **Inspecter :** informez-vous sur vos opportunités de déploiement des ressources et d'optimisation des coûts. Recevez des notifications (en utilisant Amazon CloudWatch, Amazon SNS ouAmazon SES) pour les déploiements de ressources au niveau de l'organisation et consultez les recommandations d'optimisation des coûts (par exemple, Optimiseur de calcul AWS ou AWS Trusted Advisor).
+ **Tendance : **affichez la variabilité des coûts et de l'utilisation sur la période requise avec la granularité nécessaire.
+ **Prévisions : **affichez les coûts futurs prévus, estimez votre utilisation des ressources et dépensez en fonction des tableaux de bord des prévisions que vous créez.
Vous pouvez utiliser des outils AWS tels qu' [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/), [AWS Billing](https://aws.amazon.com/aws-cost-management/aws-billing/)ou [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) pour les éléments essentiels ou vous pouvez intégrer les données CUR à [Amazon Athena](https://docs.aws.amazon.com/athena/?id=docs_gateway) et [Quick](https://docs.aws.amazon.com/quicksight/?id=docs_gateway) afin de fournir cette fonctionnalité pour des vues plus détaillées. Si vous ne disposez pas des compétences ni de la bande passante nécessaires au sein de votre organisation, vous pouvez utiliser [AWS ProServ](https://aws.amazon.com/professional-services/), [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/)ou les [AWS Partner](https://aws.amazon.com/partners/) et vous servir de leurs outils. Vous pouvez également utiliser des outils tiers, mais vérifiez d'abord que le coût offre de la valeur à votre organisation.
## Étapes d'implémentation
+ **Autorisez l'accès des équipes aux outils :** configurez vos comptes et créez des groupes qui ont accès aux rapports de coûts et d'utilisation requis pour leurs consommations et utilisez [Gestion des identités et des accès AWS](https://aws.amazon.com/iam/) pour [contrôler l'accès](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html) aux outils tels qu'AWS Cost Explorer. Ces groupes doivent inclure des représentants de toutes les équipes qui possèdent ou gèrent une application. Chaque équipe a ainsi accès à ses informations de coût et d'utilisation pour suivre sa consommation.
+ ** Configurez AWS Budgets :** configurez [AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-managing-costs.html) sur tous les comptes de votre charge de travail. Définissez des budgets pour les dépenses globales des comptes et des budgets pour les charges de travail à l'aide de balises. Configurez des notifications dans AWS Budgets pour recevoir des alertes quand vous dépassez vos montants budgétisés ou quand vos coûts estimés dépassent vos budgets.
+ ** Configurez AWS Cost Explorer : **configurez [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) pour votre charge de travail et vos comptes afin de visualiser vos données de coût pour une analyse plus approfondie. Créez un tableau de bord pour la charge de travail qui suit les dépenses globales et les principales métriques d'utilisation de la charge de travail, et qui prévoit les futurs coûts en fonction de vos anciennes données de coût.
+ **Configurez AWS Cost Anomaly Detection :** utilisez [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) pour vos comptes, vos services principaux ou les Catégories de coûts que vous avez créées pour surveiller vos coûts et votre utilisation, et détecter les dépenses inhabituelles. Vous pouvez recevoir des alertes individuelles dans les rapports agrégés, et recevoir des alertes dans un e-mail ou une rubrique Amazon Simple Notification Service qui vous permet d'analyser et de déterminer la cause profonde de l'anomalie et d'identifier le facteur responsable de l'augmentation des coûts.
+ ** Configurez des outils avancés : **si vous voulez, vous pouvez créer des outils personnalisés pour votre organisation, qui fournissent des informations et une granularité supplémentaires. Vous pouvez mettre en œuvre une fonction d'analyse avancée avec [Amazon Athena](https://docs.aws.amazon.com/athena/?id=docs_gateway)et les tableaux de bord avec [Quick](https://docs.aws.amazon.com/quicksight/?id=docs_gateway). Envisagez d'utiliser [Cloud Intelligence Dashboards (CID)](https://www.wellarchitectedlabs.com/cost/200_labs/200_cloud_intelligence/) pour des tableaux de bord avancés préconfigurés. Vous pouvez également collaborer avec [des partenaires AWS](https://aws.amazon.com/marketplace/solutions/business-applications/cloud-cost-management) et adopter leurs solutions de gestion du cloud afin de surveiller et d'optimiser vos factures cloud dans un seul emplacement pratique.
## Ressources
**Documents connexes :**
+ [ Gestion des coûts AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/what-is-costmanagement.html)
+ [Balisage des ressources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)
+ [Analyse des coûts avec AWS Budgets](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)
+ [Analyse des coûts avec Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-explorer-what-is.html)
+ [Gestion des rapports d'utilisation et de coûts AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-reports-costusage-managing.html)
+ [ Catégories de coûts AWS](https://aws.amazon.com/aws-cost-management/aws-cost-categories/)
+ [ Gestion financière du cloud avec AWS](https://aws.amazon.com/aws-cost-management/)
+ [Partenaires APN AWS – Gestion des coûts](https://aws.amazon.com/marketplace/solutions/business-applications/cloud-cost-management)
**Vidéos connexes :**
+ [ Deploying Cloud Intelligence Dashboards ](https://www.youtube.com/watch?v=FhGZwfNJTnc)
+ [ Get Alerts on any FinOps or Cost Optimization Metric or KPI ](https://www.youtube.com/watch?v=dzRKDSXCtAs)
**Exemples connexes :**
+ [Ateliers Well-Architected : configuration de compte AWS](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_1_AWS_Account_Setup/README.html/)
+ [Ateliers Well-Architected : visualisation de la facturation](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_5_Cost_Visualization/README.html)
+ [Ateliers Well-Architected : utilisation des coûts et de la gouvernance](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_2_Cost_and_Usage_Governance/README.html)
+ [Ateliers Well-Architected : utilisation des coûts et de la gouvernance](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_4_Cost_and_Usage_Analysis/README.html)
+ [Ateliers Well-Architected : visualisation des coûts et de l'utilisation](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_5_Cost_Visualization/README.html)
+ [ Ateliers Well-Architected : Cloud Intelligence Dashboards ](https://www.wellarchitectedlabs.com/cost/200_labs/200_cloud_intelligence/)
# COST03-BP06 Répartir les coûts selon les métriques de la charge de travail
Répartissez les coûts de la charge de travail en fonction des métriques d'utilisation ou des résultats économiques afin de mesurer la rentabilité de la charge de travail. Mettez en œuvre un processus pour analyser les données de coût et d'utilisation avec les services d'analytique, ce qui peut fournir des informations et des fonctionnalités de refacturation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
L'optimisation des coûts consiste à obtenir des résultats métier au prix le plus bas, ce qui ne peut être obtenu qu'en allouant les coûts de la charge de travail en fonction des métriques de charge de travail (mesurées par l'efficacité de la charge de travail). Surveillez les métriques de charge de travail définies via des fichiers journaux ou une autre surveillance d'application. Combinez ces données avec les coûts de la charge de travail qui peuvent être obtenus en examinant les coûts avec une valeur de balise spécifique ou un ID de compte. Il est recommandé d'effectuer cette analyse au niveau horaire. Votre efficacité changera généralement si certains composants de coût sont statiques (par exemple, une base de données principale fonctionnant en permanence) avec un taux de demandes variable (par exemple, des pics d'utilisation entre neuf heures et dix-sept heures, avec peu de demandes la nuit). La compréhension de la relation entre les coûts statiques et variables vous aidera à cibler vos activités d'optimisation.
La création de métriques de charge de travail pour les ressources partagées peut s'avérer difficile par rapport à des ressources telles que les applications conteneurisées sur Amazon Elastic Container Service (Amazon ECS) et Amazon API Gateway. Cependant, il existe certains moyens de catégoriser l'utilisation et de suivre les coûts. Si vous avez besoin de suivre Amazon ECS et les ressources partagées AWS Batch, vous pouvez activer le partage des données de répartition des coûts dans AWS Cost Explorer. Grâce au partage des données de répartition des coûts, vous pouvez comprendre et optimiser le coût et l'utilisation de vos applications conteneurisées et répartir les coûts des applications entre les différentes entités commerciales en fonction de la manière dont les ressources de calcul et de mémoire partagées sont consommées. Si vous avez partagé API Gateway et l'utilisation de la fonction AWS Lambda, vous pouvez utiliser [AWS Application Cost Profiler](https://docs.aws.amazon.com/application-cost-profiler/latest/userguide/introduction.html) pour catégoriser leur consommation en fonction de leur `ID locataire` ou `ID client`.
### Étapes d'implémentation
+ **Répartissez les coûts dans les métriques de la charge de travail :** à l'aide des métriques définies et des balises configurées, créez une métrique qui combine la sortie de la charge de travail et son coût. Utilisez les services d'analytique, tels qu'Amazon Athena et Amazon Quick, pour créer un tableau de bord d'efficacité de la charge de travail globale et des composants.
## Ressources
**Documents connexes :**
+ [Balisage des ressources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)
+ [Analyse des coûts avec AWS Budgets](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)
+ [Analyse des coûts avec Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-explorer-what-is.html)
+ [Gestion des rapports d'utilisation et de coûts AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-reports-costusage-managing.html)
**Exemples connexes :**
+ [ Améliorer la visibilité des coûts d'Amazon ECS et de AWS Batch avec les données de répartition des coûts fractionnés AWS](https://aws.amazon.com/blogs/aws-cloud-financial-management/la-improve-cost-visibility-of-containerized-applications-with-aws-split-cost-allocation-data-for-ecs-and-batch-jobs/)
# COST 4 Comment mettre les ressources hors service ?
Mettez en œuvre le contrôle des modifications et la gestion des ressources depuis le début du projet jusqu'à la fin. Cela garantit que vous arrêtiez ou résiliez les ressources inutilisées pour réduire le gaspillage.
**Topics**
+ [COST04-BP01 Suivre les ressources pendant toute leur durée de vie](cost_decomissioning_resources_track.md)
+ [COST04-BP02 Mettre en œuvre un processus de mise hors service](cost_decomissioning_resources_implement_process.md)
+ [COST04-BP03 Mettre hors service des ressources](cost_decomissioning_resources_decommission.md)
+ [COST04-BP04 Mettre hors service des ressources automatiquement](cost_decomissioning_resources_decomm_automated.md)
+ [COST04-BP05 Appliquer les politiques de conservation des données](cost_decomissioning_resources_data_retention.md)
# COST04-BP01 Suivre les ressources pendant toute leur durée de vie
Définissez et mettez en œuvre une méthode pour suivre les ressources et leurs associations avec les systèmes, tout au long de leur durée de vie. Vous pouvez utiliser le balisage pour identifier la charge de travail ou la fonction de la ressource.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Mettez hors service les ressources de charge de travail qui ne sont plus requises. Cela concerne notamment les ressources utilisées pour les tests. Une fois les tests terminés, les ressources peuvent être supprimées. Le suivi des ressources avec des balises (et l'exécution de rapports sur ces balises) peut vous aider à identifier les actifs à mettre hors service, du fait de leur non-utilisation ou de l'expiration de la licence. Les balises constituent un moyen efficace de suivre les ressources, car elles identifient une ressource avec sa fonction ou une date connue à laquelle elle peut être mise hors service. Des rapports sur ces balises peuvent ensuite être exécutés. Par exemple, les valeurs utilisées pour baliser les ressources selon leurs fonctionnalités apparaissent sous la forme `feature-X testing` afin d'identifier l'objectif de la ressource en matière de cycle de vie de la charge de travail. Il est également possible d'utiliser `LifeSpan` ou `TTL` pour les ressources, de même le nom et la valeur la clé de la balise « to-be-deleted » afin de définir la période ou l'heure spécifique de la mise hors service.
**Étapes d'implémentation**
+ ** Mettre en œuvre un schéma de balisage :** mettez en œuvre un schéma de balisage qui identifie la charge de travail à laquelle appartient la ressource, en veillant à ce que toutes les ressources de la charge de travail soient balisées en conséquence. Le balisage vous aide à catégoriser les ressources par objectif, équipe, environnement ou autres critères pertinents pour votre entreprise. Pour plus de détails sur le balisage des cas d'utilisation, des stratégies et des techniques, consultez [Bonnes pratiques de balisage AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html).
+ **Mettre en œuvre la surveillance du débit ou de la réponse de la charge de travail :** mettez en œuvre la surveillance ou les alarmes de contrôle du débit de la charge de travail, qui se déclenchent en fonction des demandes en entrée ou des réponses en sortie. Configurez-la pour envoyer des notifications lorsque les demandes ou les réponses de la charge de travail sont nulles, ce qui indique que ses ressources ne sont plus utilisées. Intégrez un facteur temporel si la charge de travail est régulièrement nulle dans des conditions normales. Pour plus de détails sur les ressources inutilisées ou sous-utilisées, consultez [AWS Trusted Advisor Cost Optimization checks](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html)(Vérifications de l'optimisation des coûts AWS).
+ **Regrouper les ressources AWS :** créez des groupes pour les ressources AWS. Vous pouvez utiliser [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) pour organiser et gérer vos ressources AWS qui se trouvent dans la même Région AWS. Vous pouvez ajouter des balises à la plupart de vos ressources afin d'identifier et de trier plus facilement ces dernières au sein de votre organisation. Utilisez [Tag Editor](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) pour ajouter des balises aux ressources prises en charge en bloc. Envisagez d'utiliser [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/index.html) pour créer, gérer et distribuer des portefeuilles de produits approuvés aux utilisateurs finaux et gérer le cycle de vie des produits.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ [AWS Trusted Advisor Cost Optimization Checks](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html) (Vérifications de l'optimisation des coûts AWS)
+ [Tagging AWS resources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) (Balisage de ressources AWS)
+ [Publication des métriques personnalisées](https://docs.aws.amazon.com/Amazon/latest/monitoring/publishingMetrics.html)
**Vidéos connexes :**
+ [How to optimize costs using AWS Trusted Advisor ?](https://youtu.be/zcQPufNFhgg)
**Exemples connexes :**
+ [Comment organiser mes ressources AWS ?](https://aws.amazon.com/premiumsupport/knowledge-center/resource-groups/)
+ [Comment puis-je optimiser les coûts à l'aide d'AWS Trusted Advisor ?](https://aws.amazon.com/premiumsupport/knowledge-center/trusted-advisor-cost-optimization/)
# COST04-BP02 Mettre en œuvre un processus de mise hors service
Mettez en œuvre un processus pour identifier et mettre hors service les ressources inutilisées.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Mettez en place un processus normalisé dans l'ensemble de votre entreprise pour identifier et supprimer les ressources inutilisées. Ce processus doit définir la fréquence à laquelle les recherches sont effectuées, ainsi que les processus de suppression de la ressource, afin de s'assurer que toutes les exigences de l'organisation sont respectées.
**Étapes d'implémentation**
+ **Créer et mettre en œuvre un processus de mise hors service :** travaillez avec les développeurs et les propriétaires pour créer un processus de mise hors service de la charge de travail et de ses ressources. Le processus doit couvrir la méthode pour vérifier que la charge de travail et chacune de ses ressources sont en cours d'utilisation. Détaillez également les étapes nécessaires à la mise hors service de la ressource, en la supprimant et en garantissant la conformité aux exigences réglementaires. Toutes les ressources associées doivent être incluses, notamment les licences ou le stockage dédié. Notifiez les propriétaires de la charge de travail que le processus de mise hors service a été exécuté.
Suivez les étapes de mise hors service suivantes pour effectuer une à une les vérifications requises dans le cadre de votre processus :
+ **Identifier les ressources à mettre hors service :** identifiez les ressources qui sont éligibles pour la mise hors service dans votre AWS Cloud. Enregistrez toutes les informations nécessaires et planifiez la mise hors service. Dans votre chronologie, assurez-vous d’envisager la survenue de problèmes imprévus et d'identifier les étapes les plus propices à cette éventualité au cours du processus.
+ **Coordonner et communiquer :** collaborez avec les propriétaires de la charge de travail pour confirmer la ressource à mettre hors service.
+ **Enregistrer des métadonnées et créer des sauvegardes :** enregistrez des métadonnées (telles que les IP publiques, la région, la zone de disponibilité, le VPC, le sous-réseau et les groupes de sécurité) et créez des sauvegardes (telles que des instantanés Amazon Elastic Block Store ou des AMI, l'exportation des clés et des certificats) si elles sont nécessaires pour les ressources dans l'environnement de production ou s'il s'agit de ressources essentielles.
+ **Valider l'infrastructure en tant que code :** déterminez si les ressources ont été déployées avec CloudFormation, Terraform, AWS Cloud Development Kit (AWS CDK) ou tout autre outil de déploiement d'infrastructure en tant que code afin de pouvoir les redéployer si nécessaire.
+ **Éviter l'accès :** appliquez des contrôles restrictifs pendant un certain temps, afin d'empêcher l'utilisation des ressources pendant que vous déterminez si la ressource est nécessaire. Vérifiez que l'environnement des ressources peut être rétabli à son état d'origine si nécessaire.
+ **Suivre votre processus de mise hors service interne :** suivez les tâches administratives et le processus de mise hors service de votre organisation, comme le retrait de la ressource du domaine de votre organisation, la suppression de l'enregistrement DNS et la suppression de la ressource de votre outil de gestion de la configuration, de votre outil de surveillance, de votre outil d'automatisation et d'autres outils de sécurité.
Si la ressource est une instance Amazon EC2, consultez la liste suivante. [Pour plus de détails, consultez Comment supprimer ou résilier mes ressources Amazon EC2 ?](https://aws.amazon.com/premiumsupport/knowledge-center/delete-terminate-ec2/)
+ Arrêtez ou résiliez toutes vos instances Amazon EC2 et vos équilibreurs de charge. Les instances Amazon EC2 sont visibles dans la console pendant une courte période après leur résiliation. Vous n'êtes pas facturé pour les instances qui ne sont pas en cours d'exécution
+ Supprimez votre infrastructure Auto Scaling.
+ Libérez tous les hôtes dédiés.
+ Supprimez tous les volumes Amazon EBS et tous les instantanés Amazon EBS.
+ Libérez toutes les adresses Elastic IP.
+ Annulez l'enregistrement de toutes les Amazon Machine Images (AMI).
+ Résiliez tous les environnements AWS Elastic Beanstalk.
Si la ressource est un objet dans le stockage Amazon Glacier et si vous supprimez une archive avant d'atteindre la durée minimale de stockage, vous serez facturé une taxe de suppression anticipée au prorata. La durée minimale de stockage Amazon Glacier dépend de la classe de stockage utilisée. Si vous souhaitez accéder à un résumé de la durée minimale de stockage pour chaque classe de stockage, consultez [Performances des classes de stockage Amazon S3](https://aws.amazon.com/s3/storage-classes/?nc=sn&loc=3#Performance_across_the_S3_Storage_Classes). Pour plus de détails sur les frais de suppression précoce, consultez la section [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).
Le diagramme suivant du processus de mise hors service simple décrit les étapes de la mise hors service. Avant de mettre hors service des ressources, vérifiez que les ressources identifiées pour la mise hors service ne sont pas utilisées par l'organisation.
![\[Flow chart depicting the steps of decommissioning a resource.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/decommissioning-process-flowchart.png)
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
**Vidéos connexes :**
+ [Delete CloudFormation stack but retain some resources](https://www.youtube.com/watch?v=bVmsS8rjuwk)
+ [Find out which user launched Amazon EC2 instance](https://www.youtube.com/watch?v=SlyAHc5Mv2A)
**Exemples connexes :**
+ [Comment supprimer ou résilier mes ressources Amazon EC2 ?](https://aws.amazon.com/premiumsupport/knowledge-center/delete-terminate-ec2/)
+ [Comment savoir quel utilisateur a lancé une instance Amazon EC2 dans mon compte ?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-user-launched-instance/)
# COST04-BP03 Mettre hors service des ressources
Mettez hors service les ressources déclenchées par des événements tels que les audits périodiques ou les modifications d'utilisation. La mise hors service est généralement effectuée régulièrement et elle peut être manuelle ou automatisée.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
La fréquence et l'effort de recherche des ressources inutilisées doivent refléter les économies potentielles, de sorte qu'un compte ayant un faible coût doit être analysé moins fréquemment qu'un compte ayant des coûts plus importants. Les recherches et les événements de mise hors service peuvent être déclenchés par des changements d'état dans la charge de travail, comme un produit en fin de vie ou en cours de remplacement. Les recherches et les événements de mise hors service peuvent également être déclenchés par des événements externes, tels que des changements dans les conditions du marché ou l'arrêt d'un produit.
**Étapes d'implémentation**
+ **Mettre hors service les ressources : **il s'agit de l'étape où les ressources AWS deviennent obsolètes, car elles ne sont plus nécessaires ou car leur contrat de licence a expiré. Effectuez toutes les vérifications finales avant de passer à l'étape de l'élimination et de mettre hors service les ressources afin d'éviter toute perturbation indésirable, comme la réalisation d'instantanés ou de sauvegardes. En utilisant le processus dédié, mettez hors service chaque ressource ayant été identifiée comme inutilisée.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
**Exemples connexes :**
+ [Well-Architected Labs: Decommission resources (Level 100) (Ateliers Well-Architected : mettre hors service des ressources (niveau 100))](https://www.wellarchitectedlabs.com/cost/100_labs/100_goals_and_targets/4_decommission_resources/)
# COST04-BP04 Mettre hors service des ressources automatiquement
Concevez votre charge de travail de manière à gérer proprement l'arrêt des ressources lorsque vous identifiez et mettez hors service des ressources non critiques, des ressources qui ne sont pas nécessaires ou des ressources peu utilisées.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Utilisez l'automatisation pour réduire ou supprimer les coûts associés au processus de mise hors service. La conception de votre charge de travail pour effectuer une mise hors service automatisée réduira le coût global de la charge de travail pendant sa durée de vie. Vous pouvez utiliser [AWS Auto Scaling](https://aws.amazon.com/autoscaling/) pour effectuer le processus de mise hors service. Vous pouvez également implémenter du code personnalisé à l'aide de l'[API ou du SDK](https://aws.amazon.com/developer/tools/) pour mettre automatiquement hors service des ressources de charge de travail.
Les [applications modernes](https://aws.amazon.com/modern-apps/) sont d'abord créées sans serveur, une stratégie qui privilégie l'adoption de services sans serveur. AWS a développé des [services sans serveur](https://aws.amazon.com/serverless/) pour les trois couches de votre pile : calcul, intégration et magasins de données. L'utilisation d'une architecture sans serveur vous permettra de réduire les coûts pendant les périodes de faible trafic avec une mise à l'échelle automatique.
**Étapes d'implémentation**
+ ** Implémenter AWS Auto Scaling : **configurez les ressources prises en charge avec [AWS Auto Scaling](https://aws.amazon.com/autoscaling/). AWS Auto Scaling peut vous aider à optimiser votre efficacité en termes d'utilisation et de coûts lors de l'utilisation des services AWS. Lorsque la demande baisse, AWS Auto Scaling supprime automatiquement toute capacité excédentaire afin d'éviter les dépenses excessives.
+ ** Configurer CloudWatch pour résilier les instances :** les instances peuvent être configurées de façon à être résiliées à l'aide d'[alarmes CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/UsingAlarmActions.html#AddingTerminateActions). En utilisant les métriques du processus de mise hors service, mettez en œuvre une alarme avec une action Amazon Elastic Compute Cloud. Veillez à vérifier l'opération dans un environnement hors production avant le déploiement.
+ **Implémenter du code au sein de la charge de travail :** vous pouvez utiliser AWS SDK ou l'AWS CLI pour mettre hors service les ressources de charge de travail. Mettez en œuvre le code d'application qui s'intègre à AWS et qui résilie ou supprime les ressources qui ne sont plus utilisées.
+ **Utiliser des services sans serveur :** privilégiez la création d'[architectures sans serveur](https://aws.amazon.com/serverless/) et d'une [architecture axée sur les événements ](https://aws.amazon.com/event-driven-architecture/) sur AWS afin de créer et d'exécuter vos applications. AWS offre plusieurs services technologiques sans serveur qui, de façon inhérente, permettent d'optimiser automatiquement l'utilisation des ressources et la mise hors service automatisée (augmentation et diminution de l'échelle). Avec des applications sans serveur, l'utilisation des ressources est optimisée automatiquement et vous ne payez jamais un approvisionnement excessif.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ [Serverless on AWS (Sans serveur sur AWS)](https://aws.amazon.com/serverless/)
+ [Création d'alarmes qui arrêtent, mettent hors service, redémarrent ou récupèrent une instance EC2](https://docs.aws.amazon.com/Amazon/latest/monitoring/UsingAlarmActions.html)
+ [Commencer avec Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/GettingStartedTutorial.html)
+ [Ajouter des actions d'arrêt aux alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/UsingAlarmActions.html#AddingTerminateActions)
**Exemples connexes :**
+ [Scheduling automatic deletion of AWS CloudFormation stacks](https://aws.amazon.com/blogs/infrastructure-and-automation/scheduling-automatic-deletion-of-aws-cloudformation-stacks/)
+ [Well-Architected Labs – Decommission resources automatically (Level 100) (Ateliers Well-Architected : mettre hors service les ressources automatiquement (niveau 100))](https://www.wellarchitectedlabs.com/cost/100_labs/100_goals_and_targets/4_decommission_resources/)
+ [Servian AWS Auto Cleanup (Nettoyage automatique AWS Servian)](https://github.com/servian/aws-auto-cleanup)
# COST04-BP05 Appliquer les politiques de conservation des données
Définissez des politiques de conservation des données sur les ressources prises en charge pour traiter la suppression des objets conformément aux exigences de votre organisation. Identifiez et supprimez les ressources et les objets inutiles ou orphelins qui ne sont plus nécessaires.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
Utilisez des politiques de conservation des données et des politiques de cycle de vie pour réduire les coûts associés au processus de mise hors service et les coûts de stockage des ressources identifiées. Le fait de définir une migration de classe de stockage ainsi qu’une suppression automatisées dans vos politiques de conservation des données et de cycle de vie réduira les frais de stockage généraux pendant leur durée de vie. Vous pouvez utiliser Amazon Data Lifecycle Manager pour automatiser la création et la suppression d'instantanés Amazon Elastic Block Store et d'Amazon Machine Images (AMI) basées sur Amazon EBS, et utiliser Amazon S3 Intelligent-Tiering ou une configuration du cycle de vie Amazon S3 pour gérer le cycle de vie de vos objets Amazon S3. Vous pouvez également mettre en œuvre du code personnalisé avec [l'API ou le kit SDK](https://aws.amazon.com/tools/) pour créer des politiques de cycle de vie et des règles de politique pour des objets à supprimer automatiquement.
**Étapes d'implémentation**
+ **Utiliser Amazon Data Lifecycle Manager :** utilisez des politiques de cycle de vie sur Amazon Data Lifecycle Manager pour automatiser la suppression d'instantanés Amazon EBS et d'AMI basées sur Amazon EBS.
+ **Définir une configuration du cycle de vie sur un compartiment :** utilisez une configuration du cycle de vie Amazon S3 sur un compartiment afin de définir des actions que Amazon S3 doit réaliser au cours du cycle de vie d'un objet, ainsi que la suppression à la fin du cycle de vie de l'objet, selon les exigences de votre entreprise.
## Ressources
**Documents connexes :**
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/dlm/?icmpid=docs_homepage_mgmtgov)
+ [Comment définir la configuration du cycle de vie sur un compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)
**Vidéos connexes :**
+ [Automate Amazon EBS Snapshots with Amazon Data Lifecycle Manager](https://www.youtube.com/watch?v=RJpEjnVSdi4) (Automatiser les instantanés Amazon EBS avec Amazon Data Lifecycle Manager)
+ [Empty an Amazon S3 bucket using a lifecycle configuration rule](https://www.youtube.com/watch?v=JfK9vamen9I) (Vider un compartiment Amazon S3 à l'aide d'une règle de configuration du cycle de vie)
**Exemples connexes :**
+ [Empty an Amazon S3 bucket using a lifecycle configuration rule](https://aws.amazon.com/premiumsupport/knowledge-center/s3-empty-bucket-lifecycle-rule/) (Vider un compartiment Amazon S3 à l'aide d'une règle de configuration du cycle de vie)
+ [Well-Architected Labs: Decommission resources automatically (Level 100)](https://www.wellarchitectedlabs.com/cost/100_labs/100_goals_and_targets/4_decommission_resources/) (Ateliers Well-Architected : mettre hors service les ressources automatiquement (niveau 100))
# Ressources rentables
**Topics**
+ [COST 5 Comment évaluer les coûts lors de la sélection des services ?](cost-05.md)
+ [COST 6 Comment atteindre les objectifs de coût lors de la sélection du type, de la taille et du nombre de ressources ?](cost-06.md)
+ [COST 7 Comment utiliser les modèles de tarification pour réduire les coûts ?](cost-07.md)
+ [COST 8 Comment planifier les frais de transfert de données ?](cost-08.md)
# COST 5 Comment évaluer les coûts lors de la sélection des services ?
Amazon EC2, Amazon EBS et Amazon S3 sont des services fondamentaux d'AWS. Les services gérés, tels que Amazon RDS et Amazon DynamoDB, sont des services AWS de plus haut niveau, ou au niveau de l'application. En sélectionnant les services fondamentaux et les services gérés appropriés, vous pouvez optimiser cette charge de travail en termes de coûts. Par exemple, en utilisant des services gérés, vous pouvez réduire ou supprimer une grande partie de votre traitement administratif et opérationnel, et vous dégagez ainsi du temps pour travailler sur les applications et les activités liées aux activités.
**Topics**
+ [COST05-BP01 Identifier les exigences de l'organisation en matière de coûts](cost_select_service_requirements.md)
+ [COST05-BP02 Analyser tous les composants de cette charge de travail](cost_select_service_analyze_all.md)
+ [COST05-BP03 Effectuer une analyse approfondie de chaque composant](cost_select_service_thorough_analysis.md)
+ [COST05-BP04 Sélectionner des logiciels avec des licences rentables](cost_select_service_licensing.md)
+ [COST05-BP05 Sélectionner les composants de cette charge de travail afin d'optimiser les coûts en fonction des priorités de l'organisation](cost_select_service_select_for_cost.md)
+ [COST05-BP06 Analyser les coûts d'une utilisation différente dans le temps](cost_select_service_analyze_over_time.md)
# COST05-BP01 Identifier les exigences de l'organisation en matière de coûts
Collaborez avec les membres de l'équipe pour définir l'équilibre entre l'optimisation des coûts et les autres piliers, tels que Performance et Fiabilité, pour cette charge de travail.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Lorsque vous sélectionnez des services pour votre charge de travail, il est essentiel que vous compreniez les priorités de votre entreprise. Veillez à équilibrer le coût et les autres piliers Well-Architected, tels que Performance et Fiabilité. Une charge de travail entièrement optimisée en matière de coûts est la solution la plus conforme aux besoins de votre organisation, et pas nécessairement la moins coûteuse. Réunissez-vous avec toutes les équipes de votre organisation pour recueillir des informations, par exemple, telles que les équipes produit, commerciales, techniques et financières.
**Étapes d'implémentation**
+ ** Identifier les exigences de l'organisation en matière de coûts : **Réunissez-vous avec les membres de l'équipe de votre organisation, y compris les personnes chargées de la gestion des produits, les responsables d'application, les équipes de développement et d'exploitation, la direction et les services financiers. Donnez la priorité aux piliers Well-Architected pour cette charge de travail et ses composants. La sortie est une liste chronologique des piliers. Vous pouvez également ajouter une pondération à chacun d'entre eux, ce qui peut aider à indiquer le degré de focalisation supplémentaire d'un pilier ou la similarité de focalisation entre deux piliers.
## Ressources
**Documents connexes :**
+ [Calculateur AWS de coût total de possession (TCO)](https://aws.amazon.com/tco-calculator/)
+ [Classes de stockage de fichiers Amazon S3](https://aws.amazon.com/s3/storage-classes/)
+ [Produits cloud](https://aws.amazon.com/products/)
# COST05-BP02 Analyser tous les composants de cette charge de travail
Assurez-vous que chaque composant de la charge de travail est analysé, peu importe la taille ou les coûts actuels. L'effort de vérification doit tenir compte des avantages potentiels, tels que les coûts actuels et prévus.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Effectuez une analyse approfondie de tous les composants de votre charge de travail. Veiller à l'équilibre entre le coût de l'analyse et les économies potentielles de la charge de travail au cours de son cycle de vie. Vous devez trouver l'impact actuel et l'impact futur potentiel du composant. Par exemple, si le coût de la ressource proposée est de 10 USD par mois et que les charges prévues ne dépassent pas 15 USD par mois, une journée d'effort pour réduire les coûts de 50 % (5 USD par mois) pourrait dépasser le bénéfice potentiel sur la durée de vie du système. L'utilisation d'une estimation plus rapide et plus efficace basée sur des données permet d'obtenir le meilleur résultat global pour cette composante.
Les charges de travail peuvent évoluer dans le temps, et un ensemble de services qui est actuellement adapté peut ne pas être optimal si l'architecture ou l'utilisation de la charge de travail évolue. L'analyse pour la sélection des services doit intégrer les états de charge de travail et les niveaux d'utilisation actuels et futurs. La mise en œuvre d'un service pour un état ou un usage futur de la charge de travail peut réduire les coûts globaux en diminuant ou en supprimant l'effort nécessaire pour effectuer des changements futurs.
[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) et le [AWS Cost and Usage Report](https://aws.amazon.com/aws-cost-management/aws-cost-and-usage-reporting/) permettent d'analyser le coût d'une démonstration de faisabilité (Proof of Concept, PoC) ou d'un environnement en cours d'exécution. Vous pouvez également utiliser [Calculateur de tarification AWS](https://calculator.aws/#/) pour estimer les coûts de la charge de travail.
**Étapes d'implémentation**
+ **Répertorier les composants de la charge de travail : **Créez la liste de tous les composants de la charge de travail afin de vérifier que chaque composant a été analysé. L'effort déployé doit refléter la sévérité de la charge de travail telle que définie par les priorités de l'organisation. Le regroupement fonctionnel des ressources améliore l'efficacité, notamment le stockage des base de données de production, s'il existe plusieurs bases de données.
+ **Donnez la priorité aux la liste des composants :** Priorisez liste des composants chronologiquement en fonction de l’effort nécessaire. Cela repose généralement sur le coût des composants, du plus cher au moins cher, ou de l’importance telle que définie par les priorités de l'organisation.
+ ** Effectuer l'analyse :** Pour chaque élément de la liste, examinez les options et les services disponibles et choisissez l'option qui correspond le mieux à vos priorités organisationnelles.
## Ressources
**Documents connexes :**
+ [Calculateur de tarification AWS](https://calculator.aws/#/)
+ [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)
+ [Classes de stockage de fichiers Amazon S3](https://aws.amazon.com/s3/storage-classes/)
+ [Produits cloud](https://aws.amazon.com/products/)
# COST05-BP03 Effectuer une analyse approfondie de chaque composant
Examinez le coût global de chaque composant pour l'organisation. Calculez le coût total de possession en tenant compte du coût des opérations et de la gestion, en particulier lorsque vous utilisez des services gérés par un fournisseur de cloud. L'effort d'examen doit refléter les avantages potentiels (par exemple, la durée de l'analyse est proportionnelle au coût du composant).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Tenez compte du gain de temps qui permettra à votre équipe de se concentrer sur le remboursement de la dette technique, l'innovation, les fonctionnalités à valeur ajoutée et la création de votre avantage différentiel. Par exemple, il peut être nécessaire de procéder à un lift and shift (également appelé réhébergement) de vos bases de données depuis votre environnement sur site vers le cloud aussi rapidement que possible et de l'optimiser ultérieurement. Il est intéressant d'explorer les économies possibles réalisées en utilisant des services gérés sur AWS qui peuvent supprimer ou réduire les coûts de licence. Les services gérés sur AWS suppriment la charge opérationnelle et administrative liée à la gestion d'un service, comme la correction ou la mise à niveau du système d'exploitation, et vous permettre de vous consacrer à l'innovation et l'entreprise.
Étant donné que les services gérés fonctionnent sur le cloud, ils peuvent réduire le coût par transaction ou par service. Vous pouvez effectuer des optimisations potentielles afin d'obtenir des bénéfices concrets, sans pour autant changer l'architecture de base de l'application. Par exemple, vous pouvez chercher à réduire la quantité de temps passé à gérer les instances de bases de données en migrant vers une plateforme de base de données en tant que service, telle qu'[Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/), ou en procédant à la migration de votre application vers une plateforme entièrement gérée, telle qu'[AWS Elastic Beanstalk](https://aws.amazon.com/elasticbeanstalk/).
En général, les services gérés ont des attributs que vous pouvez définir pour assurer une capacité suffisante. Vous devez définir et surveiller ces attributs afin que votre capacité excédentaire soit réduite au minimum et que vos performances soient maximisées. Vous pouvez modifier les attributs des AWS Managed Services à l'aide d'AWS Management Console ou des API et kits SDK AWS pour aligner les besoins en ressources sur l'évolution de la demande. Par exemple, vous pouvez augmenter ou diminuer le nombre de nœuds sur un cluster Amazon EMR (ou un cluster Amazon Redshift) pour monter ou descendre en puissance.
Vous pouvez également regrouper plusieurs instances sur une ressource AWS pour permettre une utilisation de plus haute densité. Par exemple, vous pouvez mettre en service plusieurs petites bases de données sur une seule instance de base de données Amazon Relational Database Service (Amazon RDS). Alors que l’utilisation augmente, vous pouvez migrer l'une des bases de données vers une instance de base de données Amazon RDS dédiée en utilisant un processus d'instantané et de restauration.
Lors de la mise en service de charges de travail sur des services gérés, vous devez connaître les exigences d'ajustement de la capacité du service. Ces exigences sont généralement le temps, l'effort et toute incidence sur le fonctionnement normal de la charge de travail. La ressource allouée doit laisser le temps à tout changement de se produise, en allouant la surcharge requise pour le permettre. L'effort continu nécessaire pour modifier les services peut être réduit à pratiquement zéro en utilisant des API et des kits SDK intégrés à des outils système et de surveillance, tels qu'Amazon CloudWatch.
[Amazon RDS](https://aws.amazon.com/rds/), [Amazon Redshift](https://aws.amazon.com/redshift/) et [Amazon ElastiCache](https://aws.amazon.com/elasticache/) fournissent un service de base de données géré. [Amazon Athena](https://aws.amazon.com/athena/), [Amazon EMR](https://aws.amazon.com/emr/) et [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) fournissent un service d'analyse géré.
[AMS](https://aws.amazon.com/managed-services/) est un service qui exploite l'infrastructure AWS pour le compte des entreprises clientes et partenaires. Il fournit un environnement sécurisé et conforme sur lequel vous pouvez déployer vos charges de travail. AMS utilise des modèles d'exploitation de cloud d'entreprise avec l'automatisation pour permettre de répondre aux exigences de votre organisation, de migrer plus rapidement vers le cloud et de réduire vos coûts de gestion continue.
**Étapes d'implémentation**
+ **Réaliser une analyse complète : **à l'aide de la liste des composants, examinez chaque composant de la plus haute priorité à la plus basse. Pour les composants les plus prioritaires et les plus coûteux, effectuez une analyse supplémentaire et évaluez toutes les options disponibles et leur impact sur le long terme. Pour les composants de moindre priorité, évaluez si des changements d'utilisation modifieraient la priorité du composant, puis analysez l'effort approprié.
+ **Comparer les ressources gérées et non gérées :** prenez en compte le coût opérationnel des ressources que vous gérez et comparez-le aux ressources gérées par AWS. Par exemple, évaluez vos bases de données s'exécutant sur des instances Amazon EC2 et comparez-les aux options Amazon RDS (un service géré par AWS) ou Amazon EMR par rapport à l'exécution d'Apache Spark sur Amazon EC2. Étudiez soigneusement vos options quand vous passez d'une charge de travail autogérée à une charge de travail entièrement gérée par AWS. Les trois facteurs les plus importants à prendre en compte sont le [type de service géré](https://aws.amazon.com/products/?&aws-products-all.q=managed) que vous voulez utiliser, le processus que vous utiliserez pour [procéder à la migration de vos données](https://aws.amazon.com/big-data/datalakes-and-analytics/migrations/) et le fait de comprendre le [modèle de responsabilité partagée d'AWS](https://aws.amazon.com/compliance/shared-responsibility-model/).
## Ressources
**Documents connexes :**
+ [Calculateur du coût total de possession (TCO) d'AWS](https://aws.amazon.com/tco-calculator/)
+ [Classes de stockage Amazon S3](https://aws.amazon.com/s3/storage-classes/)
+ [Produits AWS Cloud](https://aws.amazon.com/products/)
+ [Modèle de responsabilité partagée d'AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
**Vidéos connexes :**
+ [Why move to a managed database? (Pourquoi déplacer une base de données gérée ?)](https://www.youtube.com/watch?v=VRFdc-MVa4I)
+ [What is Amazon EMR and how can I use it for processing data?](https://www.youtube.com/watch?v=jylp2atrZjc) (Qu'est-ce qu'Amazon EMR et comment l'utiliser pour traiter des données ?)
**Exemples connexes :**
+ [Why move to a managed database?](https://aws.amazon.com/getting-started/hands-on/move-to-managed/why-move-to-a-managed-database/) (Pourquoi déplacer une base de données gérée ?)
+ [Consolidate data from identical SQL Server databases into a single Amazon RDS for SQL Server database using AWS DMS](https://aws.amazon.com/blogs/database/consolidate-data-from-identical-sql-server-databases-into-a-single-amazon-rds-for-sql-server-database-using-aws-dms/) (Consolider des données de bases de données SQL Server identiques en une seule base de données Amazon RDS for SQL Server avec AWS DMS)
+ [Deliver data at scale to Amazon Managed Streaming for Apache Kafka (Amazon MSK)](https://aws.amazon.com/getting-started/hands-on/deliver-data-at-scale-to-amazon-msk-with-iot-core/?ref=gsrchandson) (Livrer des données à grande échelle à Amazon Managed Streaming for Apache Kafka (Amazon MSK))
+ [Migrate an ASP.NET web application to AWS Elastic Beanstalk](https://aws.amazon.com/getting-started/hands-on/migrate-aspnet-web-application-elastic-beanstalk/?ref=gsrchandson&id=itprohandson) (Procédez à la migration d’une application web ASP.NET vers AWS Elastic Beanstalk)
# COST05-BP04 Sélectionner des logiciels avec des licences rentables
Les logiciels open source éliminent les coûts de licences logicielles, qui peuvent entraîner des coûts significatifs pour la charge de travail. Lorsque des logiciels sous licence sont nécessaires, évitez les licences liées à des attributs arbitraires tels que les CPU. Recherchez les licences qui sont liées à des résultats. Le coût de ces licences est plus proche de l’avantage qu’elles procurent.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Le coût des licences logicielles peut être éliminé grâce à l'utilisation de logiciels open source. Cela peut avoir un impact significatif sur les coûts de charge de travail à mesure que la taille de la charge de travail évolue. Mesurez les avantages des logiciels sous licence par rapport au coût total afin de vous assurer que vous disposez de la charge de travail la plus optimisée. Modélisez les modifications apportées aux licences et leur impact sur vos coûts de charge de travail. Si un fournisseur modifie le coût de votre licence de base de données, examinez en quoi cela affecte l'efficacité globale de votre charge de travail. Prenez en compte l'historique des annonces de tarification de vos fournisseurs pour connaître les tendances des changements de licence pour leurs produits. Les coûts de licence peuvent également évoluer indépendamment du débit ou de l'utilisation, comme les licences qui évoluent en fonction du matériel (licences liées à l'UC). Ces licences doivent être évitées, car les coûts peuvent rapidement augmenter sans résultats correspondants.
**Étapes d'implémentation**
+ ** Analyser les options de licence : **Passez en revue les conditions de licence des logiciels disponibles. Recherchez les versions open source qui ont les fonctionnalités requises, et déterminez si les avantages des logiciels sous licence l'emportent sur le coût. Des conditions favorables permettent d'aligner le coût du logiciel sur l'avantage qu'il procure.
+ ** Analyser l'éditeur du logiciel : **Passez en revue les historiques de tarification ou de licence de l’éditeur. Recherchez les changements qui ne s'alignent pas sur les résultats, tels que les conditions pénalisantes de l’exécution sur des matériels ou des plates-formes spécifiques à un fournisseur. Déterminez également comment ils exécutent les audits et les sanctions qui pourraient être imposées.
## Ressources
**Documents connexes :**
+ [Calculateur AWS de coût total de possession (TCO)](https://aws.amazon.com/tco-calculator/)
+ [Classes de stockage de fichiers Amazon S3](https://aws.amazon.com/s3/storage-classes/)
+ [Produits cloud](https://aws.amazon.com/products/)
# COST05-BP05 Sélectionner les composants de cette charge de travail afin d'optimiser les coûts en fonction des priorités de l'organisation
Tenez compte du coût lorsque vous sélectionnez tous les composants de votre charge de travail. Cela inclue l'utilisation de services au niveau des applications et gérés ou sans serveur, de conteneurs ou d'une architecture basée sur les événements pour réduire le coût global. Réduisez les coûts de licence en utilisant des logiciels open source, des logiciels qui ne comportent pas de frais de licence ou des alternatives pour réduire les coûts.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Tenez compte du coût des services et des options lorsque vous sélectionnez tous les composants. Cela inclut l'utilisation de services au niveau des applications et gérés, tels qu'[Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/), [Amazon DynamoDB](https://aws.amazon.com/dynamodb/), [Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns/) et [Amazon Simple Email Service (Amazon SES)](https://aws.amazon.com/ses/) pour réduire le coût global pour l'organisation. Utilisez les technologies sans serveur et les conteneurs pour le calcul, comme [AWS Lambda](https://aws.amazon.com/lambda/) et [Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/s3/) pour les sites web statiques. Placez votre application dans un conteneur, si possible, et utilisez des services de conteneurs gérés AWS, tels qu'[Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) ou [Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/). Réduisez les coûts de licence en utilisant des logiciels open source, ou des logiciels qui n'impliquent pas de frais de licence (par exemple, Amazon Linux pour les charges de travail de calcul ou la migration des bases de données vers Amazon Aurora).
Vous pouvez utiliser des services sans serveur ou au niveau de l'application, tels qu'[AWS Lambda](https://aws.amazon.com/lambda/), [Amazon Simple Queue Service (Amazon SQS)](https://aws.amazon.com/sqs/), [Amazon SNS](https://docs.aws.amazon.com/sns/?id=docs_gateway) et [Amazon SES](https://docs.aws.amazon.com/ses/?id=docs_gateway). Ces services vous dispensent de gérer une ressource et assurent les fonctions d'exécution de code, de mise en file d'attente et de distribution de messages. L'autre avantage est qu'ils évoluent en termes de performances et de coûts en fonction de l'utilisation, ce qui permet une répartir et d'attribuer efficacement les coûts.
Il est également possible d'utiliser une [architecture basée sur les événements (EDA)](https://aws.amazon.com/what-is/eda/) avec des services sans serveur. Les architectures basées sur les événements reposent sur la technologie push, ce qui signifie que tout se passe à la demande au fur et à mesure que l'événement se présente dans le routeur. Ainsi, vous ne payez pas pour qu'une interrogation continue vérifie un événement. Il en résulte moins de consommation de bande passante du réseau, moins d'utilisation du processeur, moins de capacité de flotte inactive ou moins de liaisons SSL/TLS.
Pour plus d'informations sur la technologie sans serveur, consultez le [livre blanc Well-Architected Serverless Application Lens](https://docs.aws.amazon.com/wellarchitected/latest/serverless-applications-lens/welcome.html) (Présentation pratique des applications sans serveur Well-Architected).
**Étapes d'implémentation**
+ **Sélectionner chaque service pour optimiser les coûts : **à l'aide de votre liste de priorités et d'analyse, sélectionnez chaque option qui correspond le mieux à vos priorités organisationnelles. Au lieu d'augmenter la capacité pour répondre à la demande, envisagez d'autres options qui peuvent vous offrir de meilleures performances à moindre coût. Par exemple, vous devez évaluer le trafic attendu pour vos bases de données sur AWS et envisager d'augmenter la taille d'instance ou d'utiliser des services Amazon ElastiCache (Redis ou Memcached) afin de fournir des mécanismes mis en cache à vos bases de données.
+ **Évaluer l'architecture basée sur les événements :** une architecture sans serveur vous permet également de créer une architecture basée sur les événements pour les applications distribuées reposant sur des micro-services, ce qui vous aide à créer des solutions évolutives, résilientes, flexibles et rentables.
## Ressources
**Documents connexes :**
+ [Calculateur du coût total de possession (TCO) d'AWS](https://aws.amazon.com/tco-calculator/)
+ [AWS sans serveur](https://aws.amazon.com/serverless/)
+ [Qu'est-ce qu'une architecture basée sur les événements ?](https://aws.amazon.com/what-is/eda/)
+ [Classes de stockage Amazon S3](https://aws.amazon.com/s3/storage-classes/)
+ [Produits cloud](https://aws.amazon.com/products/)
+ [Amazon ElastiCache (Redis OSS)](https://aws.amazon.com/elasticache/redis/)
**Exemples connexes :**
+ [Getting started with event-driven architecture](https://aws.amazon.com/blogs/compute/getting-started-with-event-driven-architecture/) (Démarrer avec une architecture basée sur les événements)
+ [Qu'est-ce qu'une architecture basée sur les événements ?](https://aws.amazon.com/event-driven-architecture/)
+ [How Statsig runs 100x more cost-effectively using Amazon ElastiCache (Redis OSS)](https://aws.amazon.com/blogs/database/how-statsig-runs-100x-more-cost-effectively-using-amazon-elasticache-for-redis/) (Comment Statsig s'exécute de façon 100 fois plus rentable avec Amazon ElastiCache (Redis OSS))
+ [Best practices for working with AWS Lambda functions](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) (Bonnes pratiques d'utilisation des fonctions AWS Lambda)
# COST05-BP06 Analyser les coûts d'une utilisation différente dans le temps
Les charges de travail peuvent changer au fil du temps. Certains services ou fonctionnalités sont plus rentables à différents niveaux d'utilisation. En analysant chaque composant dans le temps et en fonction de l'utilisation prévue, la charge de travail reste rentable pendant toute sa durée de vie.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Au fur et à mesure qu'AWS lance de nouveaux services et de nouvelles fonctionnalités, les services optimaux pour votre charge de travail peuvent évoluer. L'effort requis doit refléter les avantages potentiels. La fréquence de révision de la charge de travail dépend des exigences de votre organisation. S'il s'agit d'une charge de travail d'un coût important, la mise en œuvre de nouveaux services plus tôt permettra de maximiser les économies, de sorte qu'un examen plus fréquent peut être avantageux. Un autre déclencheur à vérifier est le changement des modèles d'utilisation. D'importants changements d'utilisation peuvent indiquer que d'autres services seraient plus optimaux.
Si vous devez déplacer des données vers AWS Cloud, vous pouvez sélectionner un large éventail de services offerts par AWS et d'outils de partenaires afin de vous aider pour la migration de vos jeux de données, qu'il s'agisse de fichiers, de bases de données, d'images de machine, de volumes en bloc ou même de sauvegardes sur bande. Par exemple, pour déplacer une importante quantité de données vers et depuis AWS ou traiter des données en périphérie, vous pouvez utiliser l'un des appareils sur mesure AWS pour déplacer des données hors ligne de façon rentable. Autre exemple, pour des vitesses de transfert de données plus élevées, un service de connexion directe peut être moins cher qu'un VPN et fournir la connectivité constante requise pour votre entreprise.
Évaluez votre activité de mise à l'échelle en fonction de l'analyse des coûts pour une utilisation différente au fil du temps. Analysez le résultat pour voir si la politique de mise à l'échelle peut être ajustée pour ajouter des instances avec plusieurs types d'instances et d'options d'achat. Vérifiez vos paramètres pour voir si le minimum peut être réduit pour satisfaire les demandes des utilisateurs avec une plus petite taille de flotte et ajouter davantage de ressources pour répondre à la demande élevée attendue.
Analysez les coûts pour une utilisation différente au fil du temps en discutant avec les parties prenantes de votre organisation et utilisez la fonction de prévision d'[AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-forecast.html) pour prédire l'impact possible des changements de service. Surveillez les déclencheurs de niveau d'utilisation avec AWS Budgets, les alarmes de facturation CloudWatch et AWS Cost Anomaly Detection pour identifier et mettre en œuvre les services les plus rentables plus rapidement.
**Étapes d'implémentation**
+ **Définir des modèles d'utilisation prévisibles : **en collaboration avec votre organisation, par exemple, les responsables du marketing et les propriétaires de produit, documentez les modes d'utilisation attendus et prévus de la charge de travail. Discutez avec les parties prenantes de votre entreprise des augmentations de coûts et d'utilisation historiques et prévues et assurez-vous que les augmentations s'alignent sur les exigences de votre entreprise. Identifiez les jours, les semaines ou les mois au cours desquels vous vous attendez à ce que davantage d'utilisateurs utilisent vos ressources AWS, indiquant que vous devriez augmenter la capacité des ressources existantes ou adopter des services supplémentaires pour réduire les coûts et augmenter les performances.
+ **Analyser les coûts au niveau d'utilisation prévue :** à l'aide des modèles d'utilisation définis, analysez chacun de ces points. L'effort d'analyse doit refléter le résultat potentiel. Par exemple, si le changement d'utilisation est important, une analyse approfondie doit être effectuée pour vérifier les coûts et les changements éventuels. En d'autres termes, quand les coûts augmentent, l'utilisation de l'entreprise doit également augmenter.
## Ressources
**Documents connexes :**
+ [Calculateur du coût total de possession (TCO) d'AWS](https://aws.amazon.com/tco-calculator/)
+ [Classes de stockage Amazon S3](https://aws.amazon.com/s3/storage-classes/)
+ [Produits cloud](https://aws.amazon.com/products/)
+ [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
+ [Migration des données dans le cloud](https://aws.amazon.com/cloud-data-migration/)
+ [AWS Snow Family](https://aws.amazon.com/snow/)
**Vidéos connexes :**
+ [AWS OpsHub for Snow Family](https://www.youtube.com/watch?v=0Q7s7JiBCf0)
# COST 6 Comment atteindre les objectifs de coût lors de la sélection du type, de la taille et du nombre de ressources ?
Veillez à choisir la taille et le nombre de ressources qui conviennent pour la tâche à accomplir. En choisissant le type, la taille et le nombre les plus rentables, vous réduisez le gaspillage.
**Topics**
+ [COST06-BP01 Réaliser une modélisation des coûts](cost_type_size_number_resources_cost_modeling.md)
+ [COST06-BP02 Sélectionner le type, la taille et le nombre de ressources en fonction des données](cost_type_size_number_resources_data.md)
+ [COST06-BP03 Sélectionner automatiquement le type, la taille et le nombre de ressources en fonction des métriques](cost_type_size_number_resources_metrics.md)
# COST06-BP01 Réaliser une modélisation des coûts
Identifiez les exigences de l'organisation (telles que les besoins métier et les engagements existants) et réalisez une modélisation des coûts (coût global) de la charge de travail et de chacun de ses composants. Procédez à des évaluation de la charge de travail en fonction de diverses charges prévues et comparez les coûts. L'effort de modélisation doit refléter les avantages potentiels. Par exemple, le temps passé est proportionnel au coût des composants.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Effectuez une modélisation des coûts de votre charge de travail et de chacun de ses composants, afin de comprendre l'équilibre entre les ressources et de déterminer la taille correcte de chaque ressource dans la charge de travail, compte tenu d'un niveau de performance spécifique. Comprendre les considérations relatives aux coûts peut éclairer le cas d'utilisation et le processus de prise de décision de votre organisation lors de l'évaluation des résultats de réalisation de valeur pour le déploiement d'une charge de travail planifié.
Procédez à des évaluation de la charge de travail en fonction de diverses charges prévues et comparez les coûts. L'effort de modélisation doit refléter les avantages potentiels. Par exemple, le temps passé est proportionnel au coût des composants ou aux économies prévues. Pour connaître les bonnes pratiques, consultez la [section Vérifiez du pilier Efficacité des performances du cadre AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/performance-efficiency-pillar/review.html).
Par exemple, afin de créer une modélisation des coûts d’une charge de travail comprenant des ressources de calcul, [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/) peut vous aider à modéliser les coûts pour l'exécution des charges de travail. Il fournit des recommandations de dimensionnement des ressources de calcul basées sur l'utilisation historique. Assurez-vous que des agents CloudWatch sont déployés sur les instances Amazon EC2 pour collecter des métriques de mémoire qui vous offrent des recommandations plus précises au sein d'Optimiseur de calcul AWS. Il s'agit de la source de données idéale pour les ressources de calcul, car c’est un service gratuit qui utilise le machine learning pour faire plusieurs recommandations en fonction des niveaux de risque.
Vous pouvez utiliser [plusieurs services](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-right-sizing/identifying-opportunities-to-right-size.html) avec des journaux personnalisés comme sources de données pour les opérations de dimensionnement d'autres services et composants de charge de travail, tels qu'[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/), [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) et [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html). AWS Trusted Advisor vérifie et signale les ressources peu utilisées, ce qui peut aider à mieux les dimensionner ainsi qu’à créer une modélisation des coûts.
Voici des recommandations pour les données et métriques de modélisation des coûts :
+ Le suivi doit refléter l'expérience utilisateur avec précision. Choisissez le niveau de précision correct pour la période et choisissez judicieusement le maximum ou le 99e centile au lieu de la moyenne.
+ Sélectionnez la granularité appropriée pour la période d'analyse qui couvre tous les cycles de charge de travail. Par exemple, si une analyse de deux semaines est effectuée, vous pourriez négliger un cycle mensuel de forte utilisation, ce qui pourrait conduire à une sous-allocation.
+ Choisissez les bons services AWS pour votre charge de travail prévue en prenant en compte vos engagements existants, les modèles de tarification sélectionnés pour vos autres charges de travail et votre capacité à innover rapidement et à vous concentrer sur votre valeur métier principale.
**Étapes d'implémentation**
+ **Réaliser une modélisation des coûts pour les ressources :** déployez la charge de travail ou une démonstration de faisabilité dans un compte séparé avec les types et tailles de ressources spécifiques à tester. Exécutez la charge de travail avec les données de test et enregistrez les résultats, ainsi que les données de coût pour la période où le test a été effectué. Redéployez ensuite la charge de travail ou modifiez les types et les tailles des ressources et relancez le test. Incluez les frais de licence de tous les produits que vous pourriez utiliser avec ces ressources et les frais d'opérations (main-d'œuvre ou ingénierie) estimés pour le déploiement et la gestion de ces ressources pendant la création de la modélisation des coûts. Envisagez une modélisation des coûts par période (heure, jour, mois, année ou trois ans).
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [Identifying Opportunities to Right Size](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-right-sizing/identifying-opportunities-to-right-size.html) (Identification des opportunités de dimensionnement)
+ [Fonctions d'Amazon CloudWatch](https://aws.amazon.com/cloudwatch/features/)
+ [Cost Optimization: Amazon EC2 Right Sizing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-rightsizing.html) (Optimisation des coûts : dimensionnement Amazon EC2)
+ [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)
+ [Calculateur de tarification AWS](https://calculator.aws/#/)
**Exemples connexes :**
+ [Perform a Data-Driven Cost Modelling ](https://aws.amazon.com/blogs/mt/how-to-use-aws-well-architected-with-aws-trusted-advisor-to-achieve-data-driven-cost-optimization/) (Réaliser une modélisation des coûts axée sur les données)
+ [Estimate the cost of planned AWS resource configurations ](https://aws.amazon.com/premiumsupport/knowledge-center/estimating-aws-resource-costs/) (Estimer le coût des configurations de ressources AWS prévues)
+ [Choose the right AWS tools ](https://www.learnaws.org/2019/09/27/choose-right-aws-tools/) (Choisir les bons outils AWS)
# COST06-BP02 Sélectionner le type, la taille et le nombre de ressources en fonction des données
Sélectionnez la taille ou le type de ressources en fonction des données relatives à la charge de travail et aux caractéristiques des ressources (par exemple, le calcul, la mémoire, le débit ou l'accès intensif en écriture). Cette sélection est généralement effectuée en utilisant une version précédente (sur site) de la charge de travail, en utilisant de la documentation ou d'autres sources d'information sur la charge de travail.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Sélectionnez la taille ou le type de ressources en fonction des caractéristiques de la charge de travail et des ressources, par exemple, le calcul, la mémoire, le débit ou l'accès intensif en écriture. Cette sélection est généralement effectuée à l'aide d'une modélisation des coûts, d'une version antérieure de la charge de travail (comme une version sur site), d'une documentation ou d'autres sources d'information sur la charge de travail (livres blancs, solutions publiées).
**Étapes d'implémentation**
+ **Sélectionner les ressources en fonction des données :** En utilisant vos données de modélisation des coûts, sélectionnez le niveau d'utilisation prévu de la charge de travail, puis sélectionnez le type et la taille de la ressource spécifiée.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [Fonctionnalités d'Amazon CloudWatch](https://aws.amazon.com/cloudwatch/features/)
+ [Optimisation des coûts : dimensionnement EC2](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-rightsizing.html)
# COST06-BP03 Sélectionner automatiquement le type, la taille et le nombre de ressources en fonction des métriques
Utilisez les métriques de la charge de travail en cours pour sélectionner la taille et le type appropriés afin d'optimiser les coûts. Mettez en service de manière appropriée le débit, le dimensionnement et le stockage pour les services de calcul, de stockage, de données et de mise en réseau. Pour ce faire, utilisez une boucle de rétroaction, telle que la mise à l'échelle automatique ou du code personnalisé dans la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Créez une boucle de rétroaction qui utilise des métriques actives de la charge de travail en cours pour apporter des modifications à cette dernière. Vous pouvez utiliser un service géré, comme [AWS Auto Scaling](https://aws.amazon.com/autoscaling/), qui sera configuré pour effectuer les opérations de dimensionnement à votre place. AWS fournit également des [API et SDK](https://aws.amazon.com/developer/tools/), ainsi que des fonctionnalités qui permettent aux ressources d'être modifiées avec un minimum d'effort. Vous pouvez programmer une charge de travail pour arrêter et démarrer une instance Amazon EC2 afin de modifier la taille ou le type d'instance. De cette manière, vous tirez parti des avantages d'un redimensionnement tout en supprimant presque tous les coûts opérationnels nécessaires pour effectuer la modification.
Certains services AWS sont dotés d'une sélection intégrée et automatique de type ou de taille, par exemple [Amazon Simple Storage Service Intelligent-Tiering](https://aws.amazon.com/about-aws/whats-new/2018/11/s3-intelligent-tiering/). Amazon S3 Intelligent-Tiering déplace automatiquement vos données entre deux niveaux d'accès, accès fréquent et accès peu fréquent, en fonction de vos modèles d'utilisation.
**Étapes d'implémentation**
+ **Augmenter votre observabilité en configurant les métriques de la charge de travail :** capturez les métriques clés de la charge de travail. Ces métriques donnent une indication de l'expérience client, comme le rendement de la charge de travail, et s'alignent sur les différences entre les types et les tailles de ressources, comme l'utilisation de l'UC et de la mémoire. Pour calculer les ressources, analysez les données de performances afin d'adapter la taille de vos instances Amazon EC2. Identifiez les instances inactives et celles qui sont sous-utilisées. Les métriques clés à rechercher sont l'utilisation de l'UC et l'utilisation de la mémoire (par exemple, 40 % d'utilisation de l’UC à 90 % du temps, comme expliqué dans [Rightsizing with Optimiseur de calcul AWS and Memory Utilization Enabled (Dimensionnement avec activation d'AWS Compute Optimizer et de l'utilisation de la mémoire](https://www.wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/5_ec2_computer_opt/)). Identifier les instances avec une utilisation maximale de l'UC et une utilisation de la mémoire inférieure à 40 % sur une période de quatre semaines. Ce sont les instances dont la taille doit être adaptée pour réduire les coûts. Pour les ressources de stockage telles que Amazon S3, vous pouvez utiliser [Amazon S3 Storage Lens](https://aws.amazon.com/getting-started/hands-on/amazon-s3-storage-lens/), ce qui vous permet de voir 28 métriques dans différentes catégories au niveau du compartiment et 14 jours de données historiques dans le tableau de bord par défaut. Vous pouvez filtrer votre tableau de bord Amazon S3 Storage Lens par récapitulatif et optimisation des coûts ou événements pour analyser des métriques spécifiques.
+ **Afficher les recommandations de dimensionnement :** utilisez les recommandations de dimensionnement dans Optimiseur de calcul AWS et l'outil de dimensionnement Amazon EC2 dans la console Gestion des coûts ou examinez le redimensionnement de vos ressources par AWS Trusted Advisor afin d'effectuer des ajustements sur votre charge de travail. Il est important d'utiliser les [bons outils](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-right-sizing/identifying-opportunities-to-right-size.html) lors du dimensionnement des différentes ressources et de suivre les [directives de dimensionnement](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-right-sizing/identifying-opportunities-to-right-size.html), qu'il s'agisse d'une instance Amazon EC2, de classes de stockage AWS ou de types d'instance Amazon RDS. Pour les ressources de stockage, vous pouvez utiliser Amazon S3 Storage Lens qui vous donne une visibilité sur l'utilisation du stockage d'objets et les tendances d'activité en plus de faire des recommandations exploitables afin d'optimiser les coûts et d'appliquer les bonnes pratiques en matière de protection des données. À l'aide des recommandations contextuelles déduites par [Amazon S3 Storage Lens](https://aws.amazon.com/getting-started/hands-on/amazon-s3-storage-lens/) de l'analyse des métriques au sein de votre organisation, vous pouvez prendre des mesures immédiates afin d'optimiser votre stockage.
+ **Sélectionner le type de ressources et les dimensionner automatiquement en fonction des métriques :** à l'aide des métriques de la charge de travail, sélectionnez manuellement ou automatiquement vos ressources de charge de travail. Pour les ressources de calcul, la configuration d'AWS Auto Scaling ou la mise en œuvre du code dans votre application peut limiter l'effort requis si des changements fréquents sont nécessaires. De plus, l'application des modifications peut ainsi survenir de manière plus précoce qu'avec un processus manuel. Vous pouvez lancer et mettre à l'échelle automatiquement une flotte d'instances à la demande et d'instances Spot au sein d'un seul groupe Auto Scaling. En plus de recevoir des remises pour l'utilisation des instances Spot, vous pouvez utiliser des instances réservées ou un Savings Plan qui vous permettront de bénéficier de taux réduits par rapport à la tarification standard des instances à la demande. Tous ces facteurs combinés vous aident à optimiser vos économies de coûts pour les instances Amazon EC2 et à déterminer l'échelle et les performances souhaitées pour votre application. Vous pouvez également utiliser une stratégie de [sélection de type d'instance basée sur les attributs (ABS)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-instance-type-requirements.html) dans les [Groupes Auto Scaling (ASG)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-instance-type-requirements.html), afin d'exprimer vos exigences en matière d'instances sous forme d'un ensemble d'attributs, tels que le processeur virtuel, la mémoire et le stockage. Vous pouvez utiliser automatiquement les types d'instance de nouvelle génération lorsqu'ils sont disponibles et accéder à une plus large gamme de capacités avec les instances Spot Amazon EC2. La flotte Amazon EC2 et Amazon EC2 Auto Scaling sélectionnent et lancent les instances qui correspondent aux attributs spécifiés, en éliminant le besoin de sélectionner manuellement les types d'instance. Pour les ressources de stockage, vous pouvez utiliser les fonctionnalités [Amazon S3 Intelligent Tiering](https://aws.amazon.com/s3/storage-classes/intelligent-tiering/) et [Amazon EFS Infrequent Access.](https://aws.amazon.com/efs/features/infrequent-access/) Celles-ci permettent de sélectionner des classes de stockage et de réaliser des économies sur les coûts de stockage de manière automatique chaque fois que les modèles d'accès aux données changent, le tout sans impacter les performances ou les frais généraux opérationnels.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [Dimensionnement approprié AWS](https://aws.amazon.com/aws-cost-management/aws-cost-optimization/right-sizing/)
+ [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)
+ [Fonctions d'Amazon CloudWatch](https://aws.amazon.com/cloudwatch/features/)
+ [Configuration d'CloudWatch](https://docs.aws.amazon.com/Amazon/latest/monitoring/GettingSetup.html)
+ [Publication des métriques personnalisées CloudWatch](https://docs.aws.amazon.com/Amazon/latest/monitoring/publishingMetrics.html)
+ [Premier pas avec Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/GettingStartedTutorial.html)
+ [Amazon S3 Storage Lens](https://aws.amazon.com/getting-started/hands-on/amazon-s3-storage-lens/)
+ [Amazon S3 Intelligent-Tiering](https://aws.amazon.com/about-aws/whats-new/2018/11/s3-intelligent-tiering/)
+ [Amazon EFS Infrequent Access](https://aws.amazon.com/efs/features/infrequent-access/)
+ [Launch an Amazon EC2 Instance Using the SDK](https://docs.aws.amazon.com/sdk-for-net/v2/developer-guide/run-instance.html) (Lancement d'une instance EC2 à l'aide du SDK)
**Vidéos connexes :**
+ [Right Size Your Services](https://www.youtube.com/watch?v=wcp1inFS78A)
**Exemples connexes :**
+ [Attribute based Instance Type Selection for Auto Scaling for Amazon EC2 Fleet](https://aws.amazon.com/blogs/aws/new-attribute-based-instance-type-selection-for-ec2-auto-scaling-and-ec2-fleet/)
+ [Optimizing Amazon Elastic Container Service for cost using scheduled scaling ](https://aws.amazon.com/blogs/containers/optimizing-amazon-elastic-container-service-for-cost-using-scheduled-scaling/)
+ [Mise à l'échelle prédictive pour Amazon EC2 Auto ScalingAmazon EC2 Auto Scaling](https://aws.amazon.com/blogs/compute/introducing-native-support-for-predictive-scaling-with-amazon-ec2-auto-scaling/)
+ [Optimize Costs and Gain Visibility into Usage with Amazon S3 Storage Lens (Optimiser les coûts et gagner de la visibilité sur l'utilisation avec Amazon S3 Storage Lens)](https://aws.amazon.com/getting-started/hands-on/amazon-s3-storage-lens/)
+ [Well-Architected Labs: Rightsizing Recommendations (Level 100) (Ateliers Well-Architected : recommandations en matière de dimensionnement (niveau 100))](https://wellarchitectedlabs.com/cost/100_labs/100_aws_resource_optimization/)
+ [Well-Architected Labs: Rightsizing with Optimiseur de calcul AWS and Memory Utilization Enabled (Level 200) (Ateliers Well-Architected : dimensionnement avec activation de Compute Optimizer et de l'utilisation de la mémoire (niveau 200))](https://www.wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/5_ec2_computer_opt/)
# COST 7 Comment utiliser les modèles de tarification pour réduire les coûts ?
Utilisez le modèle de tarification qui convient le mieux à vos ressources pour réduire les dépenses.
**Topics**
+ [COST07-BP01 Analyser le modèle de tarification](cost_pricing_model_analysis.md)
+ [COST07-BP02 Mettre en œuvre des régions en fonction des coûts](cost_pricing_model_region_cost.md)
+ [COST07-BP03 Sélectionner des accords avec des tiers avec des conditions rentables](cost_pricing_model_third_party.md)
+ [COST07-BP04 Mettre en œuvre des modèles de tarification pour tous les composants de cette charge de travail](cost_pricing_model_implement_models.md)
+ [COST07-BP05 Analyser le modèle de tarification au niveau du compte de gestion](cost_pricing_model_master_analysis.md)
# COST07-BP01 Analyser le modèle de tarification
Analysez chaque composant de la charge de travail. Déterminez si le composant et les ressources fonctionneront pendant des périodes prolongées (pour les réductions d'engagement), ou dynamiques et de courte durée (pour les instances Spot ou à la demande). Effectuez une analyse de la charge de travail à l'aide des recommandations des outils de gestion des coûts et appliquez des règles métier à ces recommandations pour obtenir des rendements élevés.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
AWS dispose de plusieurs [modèles de tarification](https://aws.amazon.com/pricing/) qui permettent de payer vos ressources de la manière la plus rentable qui répond aux besoins de votre organisation. Travaillez avec vos équipes pour déterminer le modèle de tarification le plus approprié. Souvent, votre modèle de tarification consiste en une combinaison de plusieurs options, en fonction de votre disponibilité.
**Les instances à la demande** vous permettent de payer la capacité de calcul ou de base de données à l'heure ou à la seconde (60 secondes minimum) en fonction des instances que vous utilisez, sans engagement à long terme ni avance sur paiement.
**Savings Plans** sont un modèle de tarification flexible qui offre des prix bas sur l'utilisation d'Amazon EC2, de Lambda et de AWS Fargate. En échange, vous vous engagez à un volume d'utilisation régulier (mesuré en dollars par heure) sur un ou trois ans.
**Les instances Spot** sont un mécanisme de tarification Amazon EC2 vous permettant de demander de la capacité de calcul supplémentaire à un taux horaire réduit (jusqu'à 90 % du prix à la demande) sans engagement préalable.
**Les instances réservées** vous permettent d'obtenir jusqu'à 75 % de réduction en payant la capacité à l'avance. Pour plus de détails, consultez [Optimizing costs with reservations](https://docs.aws.amazon.com/whitepapers/latest/how-aws-pricing-works/aws-cost-optimization.html) (Optimisation des coûts avec les réservations).
Vous pouvez choisir d'inclure une Savings Plans pour les ressources associées aux environnements de production, de qualité et de développement. Par ailleurs, les ressources de l'environnement de test (sandbox) n'étant provisionnées qu'en cas de besoin, vous pouvez opter pour un modèle à la demande pour les ressources de cet environnement. Utilisez les [instances Spot](https://docs.aws.amazon.com/whitepapers/latest/how-aws-pricing-works/amazon-elastic-compute-cloud-amazon-ec2.html#spot-instances) d'Amazon pour réduire les coûts Amazon EC2 ou utilisez [les Savings Plans de calcul](https://docs.aws.amazon.com/whitepapers/latest/how-aws-pricing-works/amazon-elastic-compute-cloud-amazon-ec2.html#savings-plans) pour réduire les coûts d'Amazon EC2, de Fargate et de Lambda. L'outil de recommandations [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) offre des possibilités de remises d'engagement avec les Savings Plans.
Si vous avez acheté des [instances réservées](https://aws.amazon.com/aws-cost-management/aws-cost-optimization/reserved-instances/?track=costop) pour Amazon EC2 par le passé ou si vous avez établi des pratiques de répartition des coûts au sein de votre organisation, vous pouvez continuer à utiliser des instances réservées Amazon EC2 pour le moment. Cependant, nous recommandons une stratégie visant à utiliser Savings Plans à l'avenir comme un mécanisme plus flexible de réduction des coûts. Vous pouvez actualiser les recommandations Savings Plans (SP) dans AWS Cost Management pour générer de nouvelles recommandations de Savings Plans à tout moment. Utilisez les instances réservées (RI) pour réduire les coûts de Amazon RDS, de Amazon Redshift, d'Amazon ElastiCache, et d'Amazon OpenSearch Service. Les Savings Plans et les instances réservées sont disponibles en trois options : paiement intégral à l'avance, avance sur le paiement et aucun paiement initial. Utilisez les recommandations fournies dans les recommandations d'achat de RI et SP AWS Cost Explorer.
Pour trouver des opportunités de charges de travail Spot, utilisez une vue horaire de votre utilisation globale et recherchez des périodes régulières d'évolution d'utilisation ou d'élasticité. Vous pouvez utiliser des instances Spot pour diverses applications flexibles et tolérantes aux pannes. Il s'agit par exemple de serveurs Web sans état, de points de terminaison d'API, d'applications de big data et d'analytique, de charges de travail conteneurisées, de CI/CD et d'autres charges de travail flexibles.
Analysez vos instances Amazon EC2 et Amazon RDS pour déterminer si elles peuvent être désactivées lorsque vous ne les utilisez pas (après les heures de travail et le week-end). Cette approche vous permettra de réduire les coûts de 70 % ou plus par rapport à leur utilisation 24 heures sur 24 et 7 jours sur 7. Si vous avez des clusters Amazon Redshift qui ne doivent être disponibles qu'à des moments précis, vous pouvez mettre le cluster en pause et le reprendre plus tard. Lorsque le cluster Amazon Redshift ou l'instance Amazon EC2 et Amazon RDS est arrêté(e), la facturation du calcul s'arrête et seuls les frais de stockage s'appliquent.
Notez que les [réservations de capacité à la demande](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservations-pricing-billing.html) (ODCR) ne constituent pas une réduction de prix. Les réservations de capacité sont facturées au tarif à la demande équivalent, que vous exécutiez des instances en capacité réservée ou non. Pensez à cette option lorsque vous devez fournir une capacité suffisante pour les ressources que vous prévoyez d'exploiter. Les ODCR ne doivent pas nécessairement être liées à des engagements à long terme, puisqu'elles peuvent être annulées lorsque vous n'en avez plus besoin. Cependant, elles peuvent également bénéficier des réductions offertes par les Savings Plans et les instances réservées.
**Étapes d'implémentation**
+ **Analysez l'élasticité de la charge de travail : **en utilisant la granularité horaire dans Cost Explorer ou dans un tableau de bord personnalisé, analysez l'élasticité de votre charge de travail. Recherchez les modifications régulières du nombre d'instances en cours d'exécution. Les instances de courte durée sont de bonnes candidates pour les instances Spot ou les parcs d'instances Spot.
+ [Atelier Well-Architected : Cost Explorer](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_5_Cost_Visualization/Lab_Guide.html#Elasticity)
+ [Atelier Well-Architected : visualisation des coûts](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_5_Cost_Visualization/README.html)
+ **Passer en revue la tarification des contrats existants :** passez en revue les contrats ou engagements actuels pour les besoins à long terme. Analysez ce dont vous disposez actuellement et le degré d'utilisation de ces engagements. Tirez parti des remises contractuelles ou des accords d'entreprise préexistants. Les [accords d'entreprise](https://aws.amazon.com/pricing/enterprise/) donnent aux clients la possibilité de personnaliser les accords qui répondent le mieux à leurs besoins. Pour les engagements à long terme, envisagez des réductions de prix réservées, des instances réservées ou des Savings Plans pour le type d'instance, la famille d'instances, la Région AWS et les zones de disponibilité spécifiques.
+ ** Analyser les réductions pour engagement :** en utilisant Cost Explorer dans votre compte, examinez les recommandations de Savings Plans et d'instances réservées. Pour mettre en œuvre les recommandations correctes avec les réductions et les risques requis, suivez les recommandations des [ateliers Well-Architected](https://wellarchitectedlabs.com/cost/costeffectiveresources/).
## Ressources
**Documents connexes :**
+ [Accessing Reserved Instance recommendations](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-recommendations.html) (Accès aux recommandations des instances réservées)
+ [Options d'achat d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-purchasing-options.html)
+ [AWS Enterprise ](https://aws.amazon.com/pricing/enterprise/)
**Vidéos connexes :**
+ [Save up to 90% and run production workloads on Spot](https://www.youtube.com/watch?v=BlNPZQh2wXs) (Économisez jusqu'à 90 % et exécutez des charges de travail de production sur des instances Spot)
**Exemples connexes :**
+ [Atelier Well-Architected : Cost Explorer](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_5_Cost_Visualization/Lab_Guide.html#Elasticity)
+ [Atelier Well-Architected : visualisation des coûts](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_5_Cost_Visualization/README.html)
+ [Atelier Well-Architected : modèles de tarification](https://wellarchitectedlabs.com/Cost/CostEffectiveResources.html)
# COST07-BP02 Mettre en œuvre des régions en fonction des coûts
La tarification des ressources peut être différente dans chaque région. Identifiez les différences de coûts entre régions et déployez uniquement dans les régions aux coûts plus élevés afin de répondre aux exigences de latence, de résidence des données et de souveraineté des données. En intégrant le coût de la région, vous payez le prix global le plus bas pour cette charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
L'infrastructure [du AWS Cloud](https://aws.amazon.com/about-aws/global-infrastructure/) est mondiale, hébergée dans [plusieurs sites dans le monde](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)et créée autour de Régions AWS, de zones de disponibilité, de zones locales, d'AWS Outposts et de zones Wavelength. Une région est un emplacement physique dans le monde et chaque région représente une zone géographique distincte dans laquelle AWS a plusieurs zones de disponibilité. Les zones de disponibilité, qui sont plusieurs emplacements isolés dans chaque région, consistent en un ou plusieurs centres de données discrets, chacun disposant d'une alimentation, d'un réseau et d'une connectivité redondants.
Chaque Région AWS fonctionne selon les conditions du marché local et la tarification des ressources est différente dans chaque région compte tenu des différences de coûts des terrains, de la fibre, de l'électricité et des taxes, par exemple. Choisissez une région spécifique pour exploiter un composant ou l'ensemble de votre solution afin que vous puissiez fonctionner au prix le plus bas possible au niveau mondial. Utilisez [le calculateur AWS](https://calculator.aws/#/) pour estimer les coûts de votre charge de travail dans différentes régions en cherchant des services par type d'emplacement (région, zone Wavelength et zone locale) et par région.
Lorsque vous concevez vos solutions, une bonne pratique consiste à placer les ressources de calcul au plus près de l'utilisateur pour fournir une latence plus faible et une importante souveraineté des données. Sélectionner le lieu géographique en fonction de votre entreprise, votre confidentialité des données, vos performances et vos exigences en matière de sécurité. Pour les applications avec utilisateurs finaux internationaux, utilisez plusieurs emplacements.
Utilisez les régions qui offrent des services AWS à plus bas prix pour déployer vos charges de travail si vous n'avez aucune obligation en termes de confidentialité des données, de sécurité et d'exigences au niveau de l'entreprise. Par exemple, si votre région par défaut est ap-southeasth-2 (Sydney) et qu'il n'existe aucune restriction (par exemple, confidentialité des données ou sécurité) liée à l'utilisation d'autres régions, le déploiement d'instances Amazon EC2 non critiques (développement et test) dans la région north-east-1 (Virginie du Nord) vous coûtera moins d'argent.
![\[Graphique montrant les différentes régions en termes de conformité, de latence, de coûts, de services et de fonctionnalités.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/region-feature-matrix.png)
Le tableau matriciel précédent nous montre que la région 4 est la meilleure option pour ce scénario donné car la latence y est faible comparé aux autres régions, le service y est disponible et il s'agit de la région la moins chère.
## Étapes d'implémentation
+ ** Passez en revue la tarification de la Région AWS : **analysez les coûts de charge de travail dans la région actuelle. En commençant par les coûts les plus élevés par service et par type d'utilisation, calculez les coûts dans les autres régions disponibles. Si l'économie prévue est supérieure au coût du déplacement du composant ou de la charge de travail, migrez vers la nouvelle région.
+ **Vérifiez les exigences pour les déploiements sur plusieurs régions :** analysez les exigences et les obligations de votre entreprise (confidentialité des données, sécurité ou performances) pour découvrir s'il existe des restrictions vous empêchant d'utiliser plusieurs régions. Si aucune obligation ne vous restreint à utiliser une seule région, alors utilisez-en plusieurs.
+ **Analysez le transfert de données requis :** tenez compte des coûts de transfert de données lors de la sélection des régions. Rapprochez vos données de votre client et des ressources. Sélectionnez des Régions AWS moins coûteuses où les données circulent et où il existe un transfert de données minimum. En fonction des besoins de votre entreprise en matière de transfert de données, vous pouvez utiliser [Amazon CloudFront](https://aws.amazon.com/cloudfront/), [AWS PrivateLink](https://aws.amazon.com/privatelink/), [AWS Direct Connect](https://aws.amazon.com/directconnect/)et [AWS Virtual Private Network](https://aws.amazon.com/vpn/) pour réduire vos coûts de mise en réseau, améliorer les performances et renforcer la sécurité.
## Ressources
**Documents connexes :**
+ [Accès aux recommandations des instances réservées](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-recommendations.html)
+ [Tarification Amazon EC2](https://aws.amazon.com/ec2/pricing/)
+ [Options d'achat d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-purchasing-options.html)
+ [Tableau des régions](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
**Vidéos connexes :**
+ [Économisez jusqu'à 90 % et exécutez des charges de travail de production sur des instances Spot](https://www.youtube.com/watch?v=BlNPZQh2wXs)
**Exemples connexes :**
+ [ Présentation des coûts de transfert des données pour les architectures courantes ](https://aws.amazon.com/blogs/architecture/overview-of-data-transfer-costs-for-common-architectures/)
+ [ Considérations des coûts pour les déploiements mondiaux ](https://aws.amazon.com/blogs/aws-cloud-financial-management/cost-considerations-for-global-deployments/)
+ [ Éléments à prendre en compte lors de la sélection d'une région pour vos charges de travail ](https://aws.amazon.com/blogs/architecture/what-to-consider-when-selecting-a-region-for-your-workloads/)
+ [ Ateliers Well-Architected : restreindre l'utilisation d'un service par région (niveau 200) ](https://www.wellarchitectedlabs.com/cost/200_labs/200_2_cost_and_usage_governance/2_ec2_restrict_region/)
# COST07-BP03 Sélectionner des accords avec des tiers avec des conditions rentables
Les accords et conditions rentables garantissent que le coût de ces services évolue en fonction des avantages qu'ils offrent. Choisissez des accords et une tarification qui évoluent lorsqu'ils apportent des avantages supplémentaires à votre organisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Lorsque vous utilisez des solutions ou des services tiers dans le cloud, il est important que les structures de tarification soient alignées sur les résultats de l'optimisation des coûts. La tarification doit évoluer en fonction des résultats et de la valeur qu'elle fournit. Un exemple est un logiciel qui prend un pourcentage des économies qu'il fournit : plus vous économisez (résultat), plus il facture. Les accords qui évoluent avec votre facture ne sont généralement pas alignés sur l'optimisation des coûts, sauf s'ils fournissent des résultats pour chaque partie de votre facture. Par exemple, une solution qui fournit des recommandations pour Amazon Elastic Compute Cloud (Amazon EC2) et facture un pourcentage de votre facture totale augmentera si vous utilisez d'autres services pour lesquels elle ne fournit aucun avantage. Un autre exemple est un service géré qui est facturé à un pourcentage du coût des ressources gérées. Une plus grande taille d'instance peut ne pas nécessiter nécessairement davantage d'efforts de gestion, mais elle sera facturée plus cher. Veillez à ce que ces accords de tarification de service incluent un programme ou des fonctions d'optimisation des coûts dans le service afin d'accroître l'efficacité.
**Étapes d'implémentation**
+ ** Analyser les accords et conditions des tiers :** Vérifiez la tarification des accords avec des tiers. Effectuez une modélisation pour différents niveaux d'utilisation et tenez compte des nouveaux coûts tels que l'utilisation de nouveaux services ou l'augmentation des services actuels en raison de la croissance de la charge de travail. Déterminez si les coûts supplémentaires apportent les avantages requis à votre entreprise.
## Ressources
**Documents connexes :**
+ [Accès aux recommandations des instances réservées](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-recommendations.html)
+ [Options d'achat d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-purchasing-options.html)
**Vidéos connexes :**
+ [Économisez jusqu'à 90 % et exécutez des charges de travail de production sur des instances Spot](https://www.youtube.com/watch?v=BlNPZQh2wXs)
# COST07-BP04 Mettre en œuvre des modèles de tarification pour tous les composants de cette charge de travail
Les ressources fonctionnant en permanence doivent utiliser des capacités réservées telles que des Savings Plans ou des instances réservées. La capacité à court terme est configurée pour utiliser des instances Spot ou un parc d'instances Spot. Les instances à la demande ne sont utilisées que pour les charges de travail de courte durée qui ne peuvent pas être interrompues et qui ne durent pas assez longtemps pour la capacité réservée, entre 25 et 75 % de la période, selon le type de ressource.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Tenez compte des exigences des composants de la charge de travail et comprenez les modèles de tarification potentiels. Définissez les exigences de disponibilité du composant. Déterminez s'il existe plusieurs ressources indépendantes qui remplissent la fonction dans la charge de travail, et quelles sont les exigences de la charge de travail au fil du temps. Comparez le coût des ressources à l'aide du modèle de tarification à la demande par défaut et à celui des autres modèles applicables. Tenez compte de toute modification éventuelle des ressources ou des éléments de la charge de travail.
**Étapes d'implémentation**
+ **Mettre en œuvre des modèles de tarification : **En utilisant les résultats de votre analyse, achetez des Savings Plans (SP), des instances réservées (RI) ou mettez en œuvre des instances Spot. S'il s'agit de votre premier achat d’instance réservée, choisissez les 5 ou 10 premières recommandations de la liste, puis surveillez et analysez les résultats au cours du mois ou des deux mois suivants. Achetez un petit nombre de réductions pour engagement selon des cycles réguliers, par exemple toutes les deux semaines ou tous les mois. Mettez en œuvre des instances Spot pour les charges de travail qui peuvent être interrompues ou qui sont sans état.
+ **Cycle de vérification de la charge de travail :** Mettre en œuvre un cycle de vérification de la charge de travail, qui analyse spécifiquement la couverture du modèle de tarification. Une fois que la charge de travail dispose de la couverture requise, achetez des réductions pour engagement supplémentaires toutes les 2 à 4 semaines ou lorsque l'utilisation de votre organisation change.
## Ressources
**Documents connexes :**
+ [Accès aux recommandations des instances réservées](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-recommendations.html)
+ [Parc EC2](https://aws.amazon.com/blogs/aws/ec2-fleet-manage-thousands-of-on-demand-and-spot-instances-with-one-request/)
+ [Comment acheter des instances réservées](https://aws.amazon.com/ec2/pricing/reserved-instances/buyer/)
+ [Options d'achat d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-purchasing-options.html)
+ [Instances Spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-spot-instances.html)
**Vidéos connexes :**
+ [Économisez jusqu'à 90 % et exécutez des charges de travail de production sur des instances Spot](https://www.youtube.com/watch?v=BlNPZQh2wXs)
# COST07-BP05 Analyser le modèle de tarification au niveau du compte de gestion
Vérifiez les outils de facturation et de gestion des coûts et consultez les remises recommandées avec les engagements et les réservations pour mener une analyse régulière au niveau du compte de gestion.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
La modélisation régulière des coûts vous aide à mettre en œuvre les possibilités d'optimisation sur plusieurs charges de travail. Par exemple, si plusieurs charges de travail utilisent le service à la demande au niveau agrégé, le risque de changement est moindre, et la mise en œuvre d'une réduction basée sur un engagement permet d'obtenir un coût global plus faible. Il est recommandé d'effectuer les analyses selon des cycles réguliers de deux semaines à un mois. Cela vous permet de faire de petits achats d'ajustement, de sorte que la couverture de vos modèles de tarification continue à évoluer en fonction de l'évolution de vos charges de travail et de leurs composants.
Utilisez l'outil de recommandations [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) pour identifier des opportunités de remises sur engagement dans votre compte de gestion. Les recommandations au niveau du compte de gestion sont calculées en tenant compte de l'utilisation de tous les comptes de votre organisation AWS pour lesquels le partage des remises sur les instances réservées ou les Savings Plans (SP) est activé, afin de recommander un engagement qui maximise les économies sur tous les comptes.
Bien que les achats au niveau du compte de gestion permettent de réaliser des économies maximales dans de nombreux cas, il peut arriver que vous envisagiez d'acheter des SP au niveau du compte associé, par exemple lorsque vous souhaitez que les remises s'appliquent d'abord à l'utilisation sur ce compte associé en particulier. Les recommandations pour les comptes des membres sont calculées au niveau du compte individuel, afin de maximiser les économies pour chaque compte isolé. Si votre compte contient à la fois des engagements RI et SP, ils seront appliqués dans cet ordre :
*RI zonale > RI standard > RI convertible > Savings Plan d'instances > Savings Plan de calcul*
Si vous achetez un SP au niveau du compte de gestion, les économies seront appliquées en fonction du pourcentage de remise du plus élevé au plus bas. Au niveau des comptes de gestion, les SP examinent tous les comptes liés et appliquent les économies là où la remise sera la plus élevée. Si vous souhaitez limiter les domaines dans lesquels les économies sont appliquées, vous pouvez souscrire à un Savings Plan au niveau du compte associé. Dans ce cas, chaque fois que ce compte utilisera des services de calcul éligibles, la réduction sera appliquée en premier sur ce compte. Lorsque le compte n'exécute pas de services informatiques éligibles, la réduction est partagée entre les autres comptes liés sous le même compte de gestion. Le partage des remises est activé par défaut, mais il peut être désactivé si nécessaire.
Dans une famille de facturation consolidée, les Savings Plans s'appliquent d'abord à l'utilisation du compte du propriétaire, puis à l'utilisation des autres comptes. Cela se produit uniquement si le partage est activé. Vos Savings Plans sont d'abord appliqués à votre pourcentage d'économies le plus élevé. S'il existe plusieurs utilisations avec des pourcentages d'économies identiques, les Savings Plans sont appliqués à la première utilisation avec le taux de Savings Plans le plus bas. Les Savings Plans continuent de s'appliquer jusqu'à ce qu'il n'y ait plus d'utilisations restantes ou que votre engagement soit épuisé. Toute utilisation restante est facturée aux taux à la demande. Vous pouvez actualiser les recommandations de Savings Plans dans AWS Cost Management pour générer de nouvelles recommandations de Savings Plans à tout moment.
Après avoir analysé la flexibilité des instances, choisissez un niveau d'engagement selon les recommandations. Créez une modélisation des coûts en analysant les coûts à court terme de la charge de travail avec différentes options de ressources potentielles, en analysant les modèles de tarification AWS et en les alignant sur vos exigences métier pour mettre en lumière le coût total de possession et [les possibilités](https://docs.aws.amazon.com/whitepapers/latest/how-aws-pricing-works/aws-cost-optimization.html) d'optimisation des coûts.
## Étapes d'implémentation
+ ** Analyser les réductions pour engagement : **En utilisant Cost Explorer dans votre compte, examinez les recommandations de Savings Plans et d'instances réservées. Assurez-vous de comprendre les recommandations du Saving Plan, d'estimer vos dépenses mensuelles et d'estimer les économies réalisées tous les mois. Examinez les recommandations au niveau du compte de gestion, qui sont calculées en tenant compte de l'utilisation de tous les comptes membres de votre organisation AWS qui comportent des instances réservées ou des Savings Plans pour lesquelles le partage des remises est activé. Ainsi, vous réaliserez un maximum d'économies sur tous les comptes. Vous pouvez vous assurer que vous avez mis en œuvre les bonnes recommandations avec les remises et les risques requis en suivant les ateliers Well-Architected.
## Ressources
**Documents connexes :**
+ [ Comment fonctionne la tarification AWS ? ](https://aws.amazon.com/pricing/)
+ [Options d'achat d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-purchasing-options.html)
+ [ Présentation du Saving Plan ](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html)
+ [ Recommandations en matière de Saving Plan ](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-recommendations.html)
+ [Accès aux recommandations des instances réservées](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-recommendations.html)
+ [ Comment les Savings Plans s'appliquent-ils à votre utilisation AWS ? ](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-applying.html)
+ [ Savings Plans avec la facturation consolidée ](https://aws.amazon.com/premiumsupport/knowledge-center/savings-plans-consolidated-billing/)
+ [ Activation des instances réservées partagées et des remises Savings Plans ](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-turn-on-process.html)
**Vidéos connexes :**
+ [Save up to 90% and run production workloads on Spot](https://www.youtube.com/watch?v=BlNPZQh2wXs)
**Exemples connexes :**
+ [Atelier Well-Architected : modèles de tarification (niveau 200)](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_3_Pricing_Models/README.html)
+ [ Ateliers Well-Architected : analyse du modèle de tarification (niveau 200) ](https://www.wellarchitectedlabs.com/cost/200_labs/200_pricing_model_analysis/)
+ [ Que dois-je prendre en compte avant d'acheter un Savings Plans ? ](https://aws.amazon.com/premiumsupport/knowledge-center/savings-plans-considerations/)
+ [ Comment puis-je utiliser le déploiement des Savings Plans pour réduire le risque d'engagement ? ](https://aws.amazon.com/blogs/aws-cloud-financial-management/how-can-i-use-rolling-savings-plans-to-reduce-commitment-risk/)
+ [ Quand utiliser les instances Spot ? ](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-leveraging-ec2-spot-instances/when-to-use-spot-instances.html)
# COST 8 Comment planifier les frais de transfert de données ?
Veillez à planifier et à surveiller les frais de transfert de données afin de pouvoir prendre des décisions architecturales pour minimiser les coûts. Une modification architecturale minime, mais efficace, peut réduire de façon spectaculaire vos coûts d'exploitation.
**Topics**
+ [COST08-BP01 Modéliser le transfert de données](cost_data_transfer_modeling.md)
+ [COST08-BP02 Sélectionner des composants pour optimiser les coûts de transfert de données](cost_data_transfer_optimized_components.md)
+ [COST08-BP03 Mettre en œuvre des services pour réduire les coûts de transfert de données](cost_data_transfer_implement_services.md)
# COST08-BP01 Modéliser le transfert de données
Recueillez les exigences de l'organisation et procédez à la modélisation du transfert de données de la charge de travail et de chacun de ses composants. Vous identifiez ainsi le coût le plus bas pour ses besoins de transfert de données actuels.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Déterminez où a lieu le transfert de données dans votre charge de travail, le coût du transfert et le bénéfice qui lui est associé. Cela vous permet de prendre une décision avisée pour modifier ou accepter la décision architecturale. Par exemple, vous pouvez avoir une configuration multi-zones de disponibilité dans laquelle vous répliquez les données entre les zones de disponibilité. Vous modélisez le coût de la structure et décidez qu'il s'agit d'un coût acceptable (similaire au paiement du calcul et du stockage dans les deux zones de disponibilité) pour obtenir la fiabilité et la résilience requises.
Modélisez les coûts sur différents niveaux d'utilisation. L'utilisation de la charge de travail peut changer dans le temps, et différents services peuvent être plus rentables à différents niveaux.
Utilisez [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) ou le [AWS Cost and Usage Report](https://aws.amazon.com/aws-cost-management/aws-cost-and-usage-reporting/) (CUR) pour comprendre et modéliser vos coûts de transfert de données. Configurez une preuve de concept (PoC) ou testez votre charge de travail et exécutez un test avec une charge simulée réaliste. Vous pouvez modéliser vos coûts selon différentes demandes de charge de travail.
**Étapes d'implémentation**
+ ** Calculer les coûts de transfert de données : **Utilisez la boîte à outils [pages de tarification AWS](https://aws.amazon.com/pricing/) et calculez les coûts de transfert de données de la charge de travail. Calculez les coûts de transfert de données à différents niveaux d'utilisation, tant pour l'augmentation que pour la réduction de la charge de travail. Lorsqu'il existe plusieurs options pour l'architecture de la charge de travail, calculez le coût de chaque option à titre de comparaison.
+ ** Lier les coûts aux résultats :** Pour chaque coût de transfert de données, précisez le résultat qu'il permet d'atteindre pour la charge de travail. S'il s'agit d'un transfert entre composants, ce peut être pour le découplage. S'il s'agit d'un transfert entre zones de disponibilité, ce peut être pour la redondance.
## Ressources
**Documents connexes :**
+ [Solutions de mise en cache AWS](https://aws.amazon.com/caching/aws-caching/)
+ [Tarification AWS](https://aws.amazon.com/pricing/)
+ [Tarification Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/)
+ [Tarification Amazon VPC](https://aws.amazon.com/vpc/pricing/)
+ [Diffuser le contenu plus rapidement avec Amazon CloudFront](https://aws.amazon.com/getting-started/tutorials/deliver-content-faster/)
# COST08-BP02 Sélectionner des composants pour optimiser les coûts de transfert de données
Tous les composants sont sélectionnés, et l'architecture est conçue pour réduire les coûts de transfert des données. Cela inclut l'utilisation de composants tels que l'optimisation WAN et les configurations Multi-AZ
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
L'architecture pour le transfert de données s'assure que vous avez minimisé les coûts liés au transfert de données. Cela peut impliquer l'utilisation de réseaux de diffusion de contenu pour localiser les données plus près des utilisateurs, ou l'utilisation de liaisons réseau dédiées depuis vos sites vers AWS. Vous pouvez également utiliser l'optimisation WAN et l'optimisation des applications pour réduire la quantité de données transférée entre les composants.
**Étapes d'implémentation**
+ **Sélectionner les composants pour le transfert de données : **En utilisant la modélisation du transfert de données, concentrez-vous sur les coûts de transfert de données les plus importants ou sur ce qu'ils seraient si l'utilisation de la charge de travail changeait. Recherchez des architectures alternatives ou des composants supplémentaires qui suppriment ou réduisent la nécessité du transfert de données, ou en diminuent le coût.
## Ressources
**Documents connexes :**
+ [Solutions de mise en cache AWS](https://aws.amazon.com/caching/aws-caching/)
+ [Diffuser le contenu plus rapidement avec Amazon CloudFront](https://aws.amazon.com/getting-started/tutorials/deliver-content-faster/)
# COST08-BP03 Mettre en œuvre des services pour réduire les coûts de transfert de données
Mettez en œuvre des services pour réduire le transfert de données. Par exemple, utilisez un réseau de diffusion de contenu (CDN) tel qu'Amazon CloudFront pour diffuser du contenu aux utilisateurs finaux, mettez en cache des couches avec Amazon ElastiCache, ou utilisez AWS Direct Connect au lieu d'un VPN pour la connectivité à AWS.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
[Amazon CloudFront](https://aws.amazon.com/cloudfront/) est un réseau mondial de diffusion de contenu qui fournit des données avec une faible latence et des vitesses de transfert élevées. Il place les données en cache au niveau des emplacements périphériques dans le monde entier, ce qui réduit la charge sur vos ressources. En utilisant CloudFront, vous pouvez réduire les tâches d'administration liées à la diffusion du contenu à un grand nombre d'utilisateurs dans le monde entier, avec une latence minimale.
[Direct Connect](https://aws.amazon.com/directconnect/) facilite la mise en place d'une connexion réseau dédiée depuis vos sites vers AWS. Cela peut réduire les coûts de réseau, augmenter la bande passante et fournir une expérience réseau plus constante que les connexions Internet.
[Site-to-Site VPN](https://aws.amazon.com/vpn/) permet d'établir une connexion sécurisée et privée entre votre réseau privé et le réseau mondial AWS. Il est idéal pour les petits bureaux ou les partenaires commerciaux, car il fournit une connectivité rapide et facile, et il s'agit d'un service entièrement géré et Elastic.
[Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html) permettent la connectivité entre les services AWS sur une mise en réseau privée et peuvent être utilisés pour réduire les coûts de transfert de données publiques et de [Passerelles NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) coûts. [Les points de terminaison d'un VPC de passerelle](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html) n'ont pas de frais horaires et prennent en charge Amazon Simple Storage Service(Amazon S3) et Amazon DynamoDB. [Les points de terminaison de VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) sont fournis par [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) et ont un tarif horaire et un coût d'utilisation par Go.
**Étapes d'implémentation**
+ ** Mettre en œuvre des services : **En utilisant la modélisation du transfert de données, recherchez où se trouvent les coûts les plus élevés et les flux de volume les plus importants. Examinez les services AWS et évaluez s'il existe un service qui réduit ou supprime le transfert, en particulier, la mise en réseau et la diffusion de contenu. Recherchez également les services de mise en cache où il existe une répétition d’accès aux données, ou de grands volumes de données.
## Ressources
**Documents connexes :**
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/)
+ [Explorer les produits AWS](https://aws.amazon.com/)
+ [Solutions de mise en cache AWS](https://aws.amazon.com/caching/aws-caching/)
+ [Amazon CloudFront](https://aws.amazon.com/cloudfront/)
+ [Diffuser le contenu plus rapidement avec Amazon CloudFront](https://aws.amazon.com/getting-started/tutorials/deliver-content-faster/)
# Gérer la demande et les sources d'approvisionnement
**Topics**
+ [COST 9 Comment gérer les ressources de demande et d'offre ?](cost-09.md)
# COST 9 Comment gérer les ressources de demande et d'offre ?
Pour une charge de travail dont les dépenses et les performances sont équilibrées, assurez-vous que tout ce que vous payez est utilisé et évitez une sous-utilisation importante des instances. Une métrique d'utilisation faussée dans un sens ou dans l'autre a un impact négatif sur votre organisation, que ce soit en termes de coûts d'exploitation (dégradation des performances due à une sur-utilisation) ou de gaspillage de dépenses AWS (en raison d'une sur-allocation).
**Topics**
+ [COST09-BP01 Effectuer une analyse de la demande de charge de travail](cost_manage_demand_resources_cost_analysis.md)
+ [COST09-BP02 Mettre en œuvre une mémoire tampon ou une limitation pour gérer la demande](cost_manage_demand_resources_buffer_throttle.md)
+ [COST09-BP03 Fournir dynamiquement les ressources](cost_manage_demand_resources_dynamic.md)
# COST09-BP01 Effectuer une analyse de la demande de charge de travail
Analysez la demande sur la charge de travail au fil du temps. Veillez à ce que l'analyse couvre les tendances saisonnières et représente avec précision les conditions d'exploitation pendant toute la durée de la charge de travail. L'effort d'analyse doit refléter les avantages potentiels : par exemple, le temps passé est proportionnel au coût de la charge de travail.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
Ayez connaissance des exigences de la charge de travail. Les exigences de l'organisation doivent indiquer les délais de réponse de la charge de travail aux demandes. Le temps de réponse peut être utilisé pour déterminer si la demande est gérée, ou si l'offre de ressources va changer pour répondre à la demande.
L'analyse doit inclure la prévisibilité et la répétabilité de la demande ainsi que le taux et l'ampleur de variation de la demande. Assurez-vous que l'analyse est effectuée sur une période suffisamment longue pour intégrer toute variance saisonnière, telle que le traitement en fin de mois ou les pics de vacances.
Assurez-vous que l'effort d'analyse reflète les avantages potentiels de l'implémentation de la mise à l'échelle. Examinez le coût total attendu du composant, ainsi que les augmentations ou diminutions d'utilisation et de coût au cours de la durée de vie de la charge de travail.
Vous pouvez utiliser [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) ou [Amazon Quick](https://aws.amazon.com/quicksight/) avec le AWS Cost and Usage Report (CUR) ou les journaux de votre application pour effectuer une analyse graphique de la demande de charge de travail.
**Étapes d'implémentation**
+ ** Analyser les données de charge de travail existantes : **Analysez les données de la charge de travail existante, des versions précédentes de la charge de travail ou des modèles d'utilisation prévus. Utilisez les fichiers journaux et les données de suivi pour mieux comprendre comment les clients utilisent la charge de travail. Les métriques types sont la demande réelle, en demandes par seconde, les moments où le taux de demande change ou lorsqu'il est à des niveaux différents, et le taux de variation de la demande. Veillez à analyser un cycle complet de la charge de travail, en vous assurant de recueillir des données pour tout changement saisonnier tel que les événements de fin de mois ou de fin d'année. L'effort reflété dans l'analyse doit refléter les caractéristiques de la charge de travail. L'effort le plus important doit porter sur les charges de travail à forte valeur ajoutée qui subissent les plus grandes variations dans la demande. Le moindre effort doit porter sur les charges de travail de faible valeur ajoutée qui subissent des variations minimes dans la demande. Les métriques courantes de la valeur ajoutée sont le risque, la notoriété de la marque, le chiffre d’affaires ou le coût de la charge de travail.
+ ** Prévoir l'influence extérieure : **Rencontrez les membres des équipes de toute l'organisation qui peuvent influencer ou modifier la demande dans la charge de travail. Les équipes communes sont celles des ventes, du marketing ou du développement commercial. Collaborez avec elles pour connaître les cycles qu’elles appliquent et déterminer s'il existe des événements susceptibles de modifier la demande de la charge de travail. Prévoyez la demande de la charge de travail à l'aide de ces données.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [AWS Instance Scheduler](https://aws.amazon.com/answers/infrastructure-management/instance-scheduler/)
+ [Démarrer avec Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-getting-started.html)
+ [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)
+ [Amazon Quick](https://aws.amazon.com/quicksight/)
# COST09-BP02 Mettre en œuvre une mémoire tampon ou une limitation pour gérer la demande
La mise en mémoire tampon et la limitation modifient la charge de travail en atténuant les pics éventuels. Mettez en œuvre une limitation lorsque vos clients effectuent de nouveaux essais. Mettez en œuvre une mémoire tampon pour stocker la demande et reporter le traitement. Veillez à ce que vos limitations et mémoires tampon soient conçues de manière à ce que les clients reçoivent une réponse dans les délais requis.
**Niveau d’exposition au risque si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
**Limitation :** Si la source de la demande peut exécuter de nouvelles tentatives, alors vous pouvez mettre en place une limitation. La limitation indique à la source que si elle ne peut répondre à la demande actuellement, elle doit réessayer ultérieurement. La source attend un certain temps, puis réessaie la demande. L'implémentation de la limitation a l'avantage de limiter la quantité maximale de ressources et les coûts maximaux de la charge de travail. Sur AWS, vous pouvez utiliser [Amazon API Gateway](https://aws.amazon.com/api-gateway/) pour mettre en place une limitation. Reportez-vous au [livre blanc du pilier Fiabilité du cadre Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html) pour plus d'informations sur la mise en place de la limitation.
**Mise en mémoire tampon : **Tout comme la limitation, un tampon diffère le traitement des demandes, ce qui permet aux applications qui s'exécutent à différents débits de communiquer efficacement. La mise en mémoire tampon utilise une file d'attente pour accepter les messages (unités de travail) envoyés par les producteurs. Les messages sont lus par les consommateurs et traités, ce qui permet aux messages de fonctionner au rythme qui répond aux besoins des entreprises. Vous n'avez pas à vous soucier des problèmes de limitation des producteurs, tels que la durabilité des données et l’ajustement (lorsque les producteurs ralentissent parce que leur consommateur est lent).
Dans AWS, vous pouvez choisir parmi plusieurs services pour mettre en place une approche de mise en mémoire tampon. [Amazon Simple Queue Service(Amazon SQS)](https://aws.amazon.com/sqs/) est un service géré qui fournit des files d'attente permettant à un seul consommateur de lire des messages individuels. [Amazon Kinesis](https://aws.amazon.com/kinesis/) fournit un flux de données qui permet à de nombreux consommateurs de lire les mêmes messages.
Lorsque vous utilisez une approche basée sur la mémoire tampon, veillez à ce que votre charge de travail soit conçue de manière à répondre à la demande dans les délais requis et assurez-vous que vous êtes en mesure de traiter les demandes de travail en double.
**Étapes d'implémentation**
+ ** Analyser les besoins du client : **Analysez les demandes des clients afin de déterminer s'ils sont capables d'effectuer de nouveaux essais. Pour les clients qui ne peuvent pas effectuer de nouveaux essais, des mémoires tampon doivent être mises en œuvre. Analysez la demande globale, le taux de variation et le temps de réponse requis pour déterminer la taille de limitation ou de mémoire tampon nécessaire.
+ ** Mettre en œuvre une mémoire tampon ou une limitation :** Mettez en œuvre une mémoire tampon ou une limitation dans la charge de travail. Une file d'attente comme Amazon Simple Queue Service (Amazon SQS) peut fournir une mémoire tampon à vos composants de charge de travail. Amazon API Gateway peut fournir une limitation pour vos composants de charge de travail.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [AWS Instance Scheduler](https://aws.amazon.com/answers/infrastructure-management/instance-scheduler/)
+ [Amazon API Gateway](https://aws.amazon.com/api-gateway/)
+ [Amazon Simple Queue Service](https://aws.amazon.com/sqs/)
+ [Démarrer avec Amazon SQS](https://aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-getting-started.html)
+ [Amazon Kinesis](https://aws.amazon.com/kinesis/)
# COST09-BP03 Fournir dynamiquement les ressources
Les ressources sont allouées de façon planifiée. Cela peut reposer sur la demande, par exemple, via une mise à l'échelle automatique, ou sur le temps, lorsque la demande est prévisible et que les ressources sont fournies en fonction de la durée. Ces méthodes permettent de réduire au minimum la sur- ou sous-allocation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Les clients AWS peuvent augmenter les ressources disponibles pour leurs applications et fournir des ressources pour répondre à la demande de plusieurs manières. L'une de ces options consiste à utiliser AWS Instance Scheduler, qui automatise le démarrage et l'arrêt des instances Amazon Elastic Compute Cloud (Amazon EC2) et Amazon Relational Database Service (Amazon RDS). L'autre option consiste à utiliser AWS Auto Scaling, ce qui vous permet de dimensionner automatiquement vos ressources informatiques en fonction de la demande de votre application ou de votre service. La fourniture de ressources en fonction de la demande vous permettra de payer uniquement les ressources que vous utilisez, de réduire les coûts en lançant des ressources lorsqu'elles sont nécessaires et d'y mettre fin lorsqu'elles ne le sont pas.
[AWS Instance Scheduler](https://aws.amazon.com/solutions/implementations/instance-scheduler-on-aws/) vous permet de configurer l'arrêt et le redémarrage de vos instances Amazon EC2 et Amazon RDS à des moments précis afin que vous puissiez répondre à la demande pour les mêmes ressources au sein d'un modèle de temps constant, comme le fait que des utilisateurs quotidiens accèdent à des instances Amazon EC2 à 8 h pour ne plus en avoir besoin après 18 h. Cette solution permet de réduire les coûts opérationnels en arrêtant des ressources qui ne sont pas utilisées et en les redémarrant quand il le faut.
![\[Schéma illustrant l'optimisation des coûts à l'aide d'AWS Instance Scheduler.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/instance-scheduler-diagram.png)
Vous pouvez également configurer facilement les planifications pour vos instances Amazon EC2 sur l'ensemble de vos comptes et régions avec une interface utilisateur (UI) simple à l'aide de la configuration AWS Systems Manager rapide. Vous pouvez planifier des instances Amazon EC2 ou Amazon RDS avec AWS Instance Scheduler et vous pouvez arrêter et démarrer des instances existantes. Cependant, vous ne pouvez pas arrêter et démarrer des instances qui font partie de votre groupe Auto Scaling (ASG) ou qui gèrent des services comme Amazon Redshift ou Amazon OpenSearch Service. Les groupes Auto Scaling disposent de leur propre planification pour les instances du groupe et ces instances sont créées.
[AWS Auto Scaling](https://aws.amazon.com/autoscaling/) vous permet d'ajuster votre capacité pour maintenir des performances stables et prévisibles au coût le plus bas possible. Il s'agit d'un service gratuit et entièrement géré permettant de mettre à l'échelle la capacité de votre application et qui s'intègre avec les instances Amazon EC2 et les parc d'instances Spot, Amazon ECS, Amazon DynamoDB et Amazon Aurora. Auto Scaling permet de découvrir automatiquement les ressources de votre charge de travail qui peuvent être configurées. Le service est doté de stratégies de mise à l'échelle intégrées pour optimiser les performances, les coûts ou un équilibre entre les deux et offre une mise à l'échelle prédictive pour faire face aux pics réguliers.
Plusieurs options de mise à l'échelle sont disponibles pour redimensionner votre groupe Auto Scaling :
+ Maintien des niveaux d'instance actuels à tout moment
+ Mise à l'échelle manuelle
+ Mise à l'échelle basée sur un calendrier
+ Mise à l'échelle basée sur la demande
+ Utilisation de la mise à l'échelle prédictive
Les politiques Auto Scaling diffèrent et peuvent être classées dans la catégorie des politiques de mise à l'échelle dynamiques et planifiées. Les politiques dynamiques sont une mise à l'échelle manuelle ou dynamique, une mise à l'échelle planifiée ou prédictive. Vous pouvez utiliser des politiques de mise à l'échelle pour une mise à l'échelle dynamique, planifiée et prédictive. Vous pouvez également utiliser les métriques et les alarmes d' [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) pour déclencher des événements de mise à l'échelle pour votre charge de travail. Nous vous recommandons d'utiliser [des modèles de lancement](https://docs.aws.amazon.com/autoscaling/ec2/userguide/launch-templates.html), qui vous permettent d'accéder aux dernières fonctionnalités et améliorations. Toutes les fonctionnalités Auto Scaling ne sont pas disponibles lorsque vous utilisez les configurations de lancement. Par exemple, vous ne pouvez pas créer de groupe Auto Scaling qui lance à la fois des instances Spot et à la demande ou qui spécifie plusieurs types d'instances. Vous devez utiliser un modèle de lancement pour configurer ces fonctionnalités. Lorsque vous utilisez des modèles de lancement, nous vous recommandons de créer une version pour chacun d'entre eux. La gestion des versions des modèles de lancement vous permet de créer un sous-ensemble de l'ensemble complet de paramètres. Vous pouvez ensuite le réutiliser pour créer d'autres versions du même modèle de lancement.
Vous pouvez utiliser AWS Auto Scaling ou intégrer la mise à l'échelle dans votre code avec [les API ou kits AWS SDK](https://aws.amazon.com/developer/tools/). Cela réduit le coût global de votre charge de travail en supprimant le coût opérationnel lié à la modification manuelle de votre environnement et les modifications peuvent être réalisées beaucoup plus rapidement. Cela adapte également les ressources de votre charge de travail à votre demande à tout moment. Afin de suivre cette bonne pratique et de fournir des ressources de façon dynamique à votre organisation, vous devez comprendre la mise à l'échelle horizontale et verticale dans le AWS Cloud, ainsi que la nature des applications exécutées sur des instances Amazon EC2. Il est préférable que votre équipe de gestion financière du cloud travaille avec les équipes techniques afin de suivre cette bonne pratique.
[Elastic Load Balancing (Elastic Load Balancing)](https://aws.amazon.com/elasticloadbalancing/) vous aide à mettre à l'échelle en répartissant la demande sur plusieurs ressources. En utilisant ASG et Elastic Load Balancing, vous pouvez gérer les demandes entrantes en acheminant le trafic de manière optimale afin qu'aucune instance ne soit surchargée au sein d'un groupe Auto Scaling. Les demandes seraient réparties entre toutes les cibles d'un groupe cible selon une procédure circulaire sans tenir compte de la capacité ou de l'utilisation.
Les métriques types peuvent être des métriques Amazon EC2 standard, telles que l'utilisation du processeur, le débit réseau et la latence de demande/réponse observée par Elastic Load Balancing. Dans la mesure du possible, vous devez utiliser une métrique qui indique l'expérience du client, généralement une métrique personnalisée qui peut provenir du code d'application au sein de votre charge de travail. Pour expliquer comment répondre à la demande de manière dynamique dans ce document, nous allons les regrouper en deux catégories Auto Scaling, à savoir les modèles d'approvisionnement basés sur la demande et les modèles d'approvisionnement basés sur le temps, et nous allons approfondir chacune d'entre elles.
**Offre basée sur la demande :** tirez parti de l'élasticité du cloud pour fournir les ressources nécessaires à l'évolution de la demande en vous appuyant sur l'état de la demande en temps quasi réel. Pour l'offre basée sur la demande, utilisez des API ou des fonctions de service pour faire varier par programmation et de façon dynamique la quantité de ressources cloud dans votre architecture. Cela vous permet de mettre à l'échelle les composants de votre architecture, d'augmenter le nombre de ressources pendant les pics de demande pour maintenir les performances, et de diminuer la capacité lorsque la demande diminue pour réduire les coûts.
![\[Schéma décrivant les politiques de mise à l'échelle basées sur la demande, telles que la mise à l'échelle simple/par étapes et le suivi des cibles.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/demand-based-supply.png)
+ **Mise à l'échelle simple/par étapes :** surveille les métriques et ajoute/supprime des instances selon les étapes définies manuellement par les clients.
+ **Suivi des cibles :** mécanisme de contrôle semblable à un thermostat qui ajoute ou supprime automatiquement des instances afin de maintenir les métriques à un objectif défini par le client.
Lorsque vous concevez une architecture en adoptant une approche basée sur la demande, gardez à l'esprit deux considérations clés. Premièrement, vous devez comprendre à quelle vitesse vous devez fournir de nouvelles ressources. Deuxièmement, vous devez comprendre que l'importance de la marge entre l'offre et la demande variera. Vous devez être prêt à faire face au taux de variation de la demande, ainsi qu'aux défaillances de ressources.
**Offre basée sur le temps :** Une approche basée sur le temps aligne la capacité des ressources avec une demande prévisible ou bien définie en fonction du temps. Cette approche ne dépend généralement pas des niveaux d'utilisation des ressources. Une approche basée sur le temps garantit que les ressources sont disponibles au moment précis où elles sont nécessaires et peuvent être fournies sans aucun retard dû à des procédures de démarrage et aux vérifications du système ou de la cohérence. Grâce à une approche basée sur le temps, vous pouvez fournir des ressources supplémentaires ou augmenter la capacité pendant les périodes de pointe.
![\[Schéma décrivant les politiques de mise à l'échelle basées sur le temps, telles que la mise à l'échelle planifiée et prédictive.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/time-based-supply.png)
Vous pouvez utiliser l'autoscaling planifié pour mettre en place une approche basée sur le temps. Les charges de travail peuvent être programmées de manière à être réduites ou augmentées à des moments définis (par exemple, au début des heures de travail), ce qui rend les ressources disponibles lorsque les utilisateurs arrivent ou que la demande augmente. La mise à l'échelle prédictive utilise des modèles pour monter en puissance, tandis que la mise à l'échelle planifiée utilise des heures prédéfinies pour monter en puissance. Vous pouvez également utiliser [la stratégie de sélection du type d'instance basée sur les attributs (ABS)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-instance-type-requirements.html) dans les groupes Auto Scaling, ce qui vous permet d'exprimer les besoins de votre instance sous la forme d'un ensemble d'attributs, tels que le processeur virtuel, la mémoire et le stockage. Cela vous permet d'utiliser automatiquement les types d'instance de nouvelle génération lorsqu'ils sont disponibles et d'accéder à une plus large gamme de capacités avec les instances Spot Amazon EC2. La flotte Amazon EC2 et Amazon EC2 Auto Scaling sélectionnent et lancent les instances qui correspondent aux attributs spécifiés, en éliminant le besoin de sélectionner manuellement les types d'instance.
Vous pouvez également tirer parti des [API et des kits SDK AWS](https://aws.amazon.com/developer/tools/) et [AWS CloudFormation](https://aws.amazon.com/cloudformation/) pour automatiquement mettre en service ou hors service des environnements complets, selon vos besoins. Cette approche est idéale pour les environnements de développement ou de test qui s'exécutent uniquement pendant des heures ou des périodes de travail définies. Vous pouvez utiliser les API pour mettre à l'échelle la taille des ressources au sein d'un environnement (mise à l'échelle verticale). Par exemple, vous pouvez monter en charge une charge de travail de production en modifiant la taille ou la catégorie d'instance. Cela peut être réalisé en arrêtant et en redémarrant l'instance, puis en sélectionnant une taille ou une catégorie différente. Cette technique peut être également appliquée à d'autres ressources, telles que les volumes Amazon EBS Elastic, qui peuvent être modifiés pour augmenter la taille, ajuster les performances (IOPS) ou changer le type de volume en cours d'utilisation.
Lorsque vous concevez une architecture en adoptant une approche basée sur le temps, gardez à l'esprit deux considérations clés. Premièrement, dans quelle mesure le modèle d'utilisation est-il cohérent ? Deuxièmement, quel est l'impact d'un changement de modèle ? Vous pouvez augmenter la précision des prédictions en surveillant vos charges de travail et en utilisant l'informatique décisionnelle. Si vous constatez des modifications importantes dans le modèle d'utilisation, vous pouvez ajuster les heures pour vous assurer que la couverture est fournie.
## Étapes d'implémentation
+ ** Configurez la mise à l'échelle planifiée : **pour des changements prévisibles de la demande, une mise à l'échelle temporelle peut fournir le nombre correct de ressources en temps utile. Elle est également utile si la création et la configuration des ressources ne sont pas assez rapides pour répondre à l'évolution de la demande. À l'aide de l'analyse de la charge de travail, configurez la mise à l'échelle programmée via AWS Auto Scaling. Pour configurer une planification temporelle, vous pouvez utiliser la mise à l'échelle prédictive ou la mise à l'échelle planifiée pour augmenter le nombre d'instances Amazon EC2 dans votre groupe Auto Scaling à l'avance en fonction des changements de charge attendus ou prévisibles.
+ **Configurez la mise à l'échelle prédictive :** la mise à l'échelle prédictive vous permet d'augmenter le nombre d'instances Amazon EC2 dans votre groupe Auto Scaling avant les modèles quotidiens ou hebdomadaires dans les flux de trafic. Si vous avez des pics de trafic réguliers et des applications lentes au démarrage, vous devez envisager la mise à l'échelle prédictive. La mise à l'échelle prédictive vous permet d'évoluer plus rapidement en initialisant de la capacité avant d'atteindre la charge projetée par comparaison avec la mise à l'échelle dynamique seule, qui est réactive par nature. Par exemple, si les utilisateurs commencent à utiliser votre charge de travail au début des heures de bureau mais pas pendant les heures qui suivent, la mise à l'échelle prédictive peut ajouter de la capacité avant le début des heures de bureau, ce qui supprime le retard lié au fait d'attendre que la mise à l'échelle dynamique réagisse au changement de trafic.
+ ** Configurez la mise à l'échelle automatique dynamique : **pour configurer la mise à l'échelle en fonction des métriques de charge de travail actives, utilisez Auto Scaling. Utilisez l'analyse et configurez Auto Scaling pour déclencher les bons niveaux de ressources, et vérifiez que la charge de travail est mise à l'échelle dans les délais requis. Vous pouvez lancer et mettre à l'échelle automatiquement une flotte d'instances à la demande et d'instances Spot au sein d'un seul groupe Auto Scaling. En plus de recevoir des remises pour l'utilisation d'instances Spot, vous pouvez utiliser des instances réservées ou un Savings Plan qui vous permettront de bénéficier de taux réduits par rapport à la tarification standard des instances à la demande. Tous ces facteurs combinés vous aident à optimiser vos économies de coûts pour les instances Amazon EC2 et à obtenir l'échelle et les performances souhaitées pour votre application.
## Ressources
**Documents connexes :**
+ [AWS Auto Scaling](https://aws.amazon.com/autoscaling/)
+ [AWS Instance Scheduler](https://aws.amazon.com/answers/infrastructure-management/instance-scheduler/)
+ Mettre à l'échelle la taille de votre groupe Auto Scaling
+ [Démarrer avec Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/GettingStartedTutorial.html)
+ [Démarrer avec Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-getting-started.html)
+ [Mise à l'échelle planifiée pour Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/schedule_time.html)
+ [ Mise à l'échelle prédictive pour Amazon EC2 Auto Scaling ](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-predictive-scaling.html)
**Vidéos connexes :**
+ [ Target Tracking Scaling Policies for Auto Scaling ](https://www.youtube.com/watch?v=-RumeaoPB2M)
+ [AWS Instance Scheduler ](https://www.youtube.com/watch?v=nTLEyo2NzUs)
**Exemples connexes :**
+ [ Sélection du type d'instance basée sur les attributs pour Auto Scaling pour la flotte Amazon EC2 ](https://aws.amazon.com/blogs/aws/new-attribute-based-instance-type-selection-for-ec2-auto-scaling-and-ec2-fleet/)
+ [ Optimisation d'Amazon Elastic Container Service pour les coûts à l'aide de la mise à l'échelle planifiée ](https://aws.amazon.com/blogs/containers/optimizing-amazon-elastic-container-service-for-cost-using-scheduled-scaling/)
+ [ Mise à l'échelle prédictive avec Amazon EC2 Auto Scaling ](https://aws.amazon.com/blogs/compute/introducing-native-support-for-predictive-scaling-with-amazon-ec2-auto-scaling/)
+ [ Comment utiliser Instance Scheduler avec CloudFormation pour planifier des instances Amazon EC2 ? ](https://aws.amazon.com/premiumsupport/knowledge-center/stop-start-instance-scheduler/)
# Optimiser dans le temps
**Topics**
+ [COST 10 Comment évaluer les nouveaux services ?](cost-10.md)
+ [COST 11 Comment évaluer le coût de l'effort ?](cost-11.md)
# COST 10 Comment évaluer les nouveaux services ?
Tandis qu'AWS propose de nouveaux services et de nouvelles fonctionnalités, une bonne pratique consiste à vérifier vos choix architecturaux existants afin d'être sûr qu'ils continuent à être les plus rentables.
**Topics**
+ [COST10-BP01 Développer un processus de révision de charge de travail](cost_evaluate_new_services_review_process.md)
+ [COST10-BP02 Vérifier et analyser régulièrement cette charge de travail](cost_evaluate_new_services_review_workload.md)
# COST10-BP01 Développer un processus de révision de charge de travail
Développez un processus qui définit les critères et le processus de révision de la charge de travail. La révision doit refléter les bénéfices potentiels. Par exemple, les charges de travail principales ou celles qui représentent plus de 10 % de la facture sont analysées chaque trimestre ou semestre, tandis que les charges de travail qui comptent pour moins de 10 % des frais sont examinées une fois par an.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** élevé
## Directives d'implémentation
Pour avoir la charge de travail la plus rentable, vous devez régulièrement la vérifier pour déterminer s'il existe des possibilités de mettre en œuvre de nouveaux services, fonctionnalités et composants. Pour réduire globalement les coûts, le processus doit être proportionnel au montant potentiel des économies. Par exemple, les charges de travail qui représentent 50 % de vos dépenses totales doivent être examinées plus régulièrement et plus en profondeur que les charges de travail qui représentent 5 % de vos dépenses totales. Facteur dans tous les facteurs externes ou volatilité. Si la charge de travail dessert une région géographique ou un segment de marché spécifique, et que l'on prévoit des changements dans ce domaine, des révisions plus fréquentes peuvent permettre de réaliser des économies. Un autre facteur à prendre en compte est l'effort de mise en œuvre des modifications. Si des coûts importants sont associés au test et à la validation des modifications, les révisions doivent être moins fréquentes.
Tenez compte du coût à long terme de la maintenance des composants et ressources obsolètes et hérités ainsi que de l'impossibilité d'y intégrer de nouvelles fonctionnalités. Le coût actuel des tests et de la validation peut dépasser l'avantage proposé. Toutefois, au fil du temps, le coût du changement peut augmenter de manière significative, car l'écart entre la charge de travail et les technologies actuelles s'accroît, ce qui entraîne des coûts encore plus élevés. Par exemple, le coût du passage à un nouveau langage de programmation peut ne pas être actuellement rentable. Toutefois, en cinq ans, le coût des personnes compétentes dans cette langue pourrait augmenter et, en raison de l'accroissement de la charge de travail, vous transféreriez un système encore plus important vers la nouvelle langue, ce qui nécessiterait encore plus d'efforts qu'auparavant.
Décomposez votre charge de travail en composants, attribuez le coût du composant (une estimation est suffisante), puis énumérez les facteurs (par exemple, l'effort et les marchés extérieurs) à côté de chaque composant. Utilisez ces indicateurs pour déterminer une fréquence de révision pour chaque charge de travail. Par exemple, vous pouvez avoir des serveurs Web représentant un coût élevé, un faible effort de changement et des facteurs externes élevés, ce qui entraîne une fréquence de vérification révision. Une base de données centrale peut être un coût moyen, impliquer un effort de modification élevé et représenter des facteurs externes faibles, ce qui se traduit par une fréquence de révision moyenne.
Définissez un processus d'évaluation de nouveaux services, les modèles de conception, les types de ressources et les configurations pour optimiser le coût de votre charge de travail au fur et à mesure qu'elles deviennent disponibles. Comme pour les processus [Vérifiez du pilier Performances](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf-06.html) et [Vérifiez du pilier Fiabilité](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_review_monitoring.html), identifiez, validez et priorisez l'optimisation et l'amélioration des activités et la résolution des problèmes, et intégrez-les à votre liste de suivi (backlog).
**Étapes d'implémentation**
+ **Définir la fréquence de vérification : **définissez la fréquence à laquelle la charge de travail et ses composants doivent être vérifiés. Allouez du temps et des ressources pour une amélioration continue et une fréquence de vérification afin d'améliorer l'efficacité et l'optimisation de votre charge de travail. Il s'agit d'une combinaison de facteurs qui peut varier en fonction de la charge de travail dans votre organisation et d'un composant à l'autre dans la charge de travail. Les facteurs courants incluent l'importance pour l'organisation mesurée en termes de chiffre d'affaires ou de marque, le coût total d'exécution de la charge de travail (y compris les coûts d'exploitation et des ressources), la complexité de la charge de travail, la facilité de mise en œuvre d'un changement, les contrats de licence de logiciel et l'augmentation significative des coûts de licences pénalisants en cas de changement. Les composants peuvent être définis de manière fonctionnelle ou technique, tels que les serveurs Web et les bases de données, ou les ressources de calcul et de stockage. Équilibrez les facteurs en conséquence et développez une période pour la charge de travail et ses composants. Vous pouvez décider de vérifier la charge de travail complète tous les 18 mois, les serveurs web tous les 6 mois, la base de données tous les 12 mois, le stockage de calcul et de courte durée tous les 6 mois et le stockage de longue durée tous les 12 mois.
+ **Définir la rigueur de l'examen : **définissez les efforts consacrés à l'examen de la charge de travail ou des composants de la charge de travail. Similaire à la fréquence de vérification, il s'agit d'un équilibre entre plusieurs facteurs. Évaluez et hiérarchisez vos possibilités d'amélioration afin de concentrer les efforts là où ils permettent d'obtenir les plus grands avantages, tout en estimant la quantité d'efforts nécessaire pour ces activités. Si les résultats attendus sont en deçà des objectifs et que les efforts requis sont plus coûteux, itérez alors avec d'autres plans d'action. Vos processus de vérification doivent dédier du temps et des ressources pour permettre d'effectuer des améliorations progressives continues. Par exemple, vous pouvez décider d'analyser le composant de base de données pendant une semaine, les ressources de calcul pendant une semaine et le stockage pendant quatre heures.
## Ressources
**Documents connexes :**
+ [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/)
+ [Types de cloud computing](https://aws.amazon.com/types-of-cloud-computing/)
+ [Quelles sont les nouveautés AWS ?](https://aws.amazon.com/new/)
**Exemples connexes :**
+ [AWS Support Proactive Services (Services d’assistance proactifs) ](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/)
+ [Regular workload reviews for SAP workloads](https://docs.aws.amazon.com/wellarchitected/latest/sap-lens/best-practice-4-4.html) (Vérifications régulières des charges de travail SAP)
# COST10-BP02 Vérifier et analyser régulièrement cette charge de travail
Les charges de travail existantes sont régulièrement passées en revue sur la base de chaque processus défini afin de déterminer si de nouveaux services peuvent être adoptés, si les services existants peuvent être remplacés ou si les charges de travail peuvent être réarchitecturées.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
AWS ajoute constamment de nouvelles fonctionnalités afin que vous puissiez expérimenter et innover plus rapidement avec les dernières technologies. Le blog [Nouveautés AWS](https://aws.amazon.com/new/) détaille la manière dont AWS procède et fournit un aperçu rapide des services, des fonctionnalités et des annonces d'expansion régionale d'AWS au fur et à mesure de leur publication. Consultez les lancements annoncés et utilisez-les pour examiner et analyser vos charges de travail existantes. Pour profiter des avantages des nouveaux services et fonctionnalités d'AWS, vous devez passer en revue vos charges de travail et mettre en œuvre de nouveaux services et fonctionnalités selon les besoins. Cela signifie que vous devrez peut-être remplacer les services existants que vous utilisez pour votre charge de travail, ou moderniser votre charge de travail pour adopter ces nouveaux services AWS. Par exemple, vous pouvez vérifier vos charges de travail et remplacer le composant de messagerie par Amazon Simple Email Service. Cela élimine le coût d'exploitation et de maintenance d'un parc d'instances, tout en fournissant toutes les fonctionnalités à un coût réduit.
Pour analyser votre charge de travail et mettre en évidence les opportunités potentielles, vous devez envisager non seulement de nouveaux services mais aussi de nouvelles façons de construire des solutions. Consultez la série de vidéos [This is My Architecture](https://aws.amazon.com/architecture/this-is-my-architecture) (Voici mon architecture) sur AWS pour découvrir les conceptions architecturales d'autres clients, leurs défis et leurs solutions. Consultez [All-In series](https://aws.amazon.com/architecture/all-in-series/) pour découvrir les applications concrètes des services AWS et les témoignages de clients. Vous pouvez également regarder la série de vidéos [Back to Basics](https://aws.amazon.com/architecture/back-to-basics/) (Retour à l'essentiel) qui explique, examine et décompose les bonnes pratiques de base en matière de modèles d'architecture de cloud. Autre source, les vidéos [How to Build This](https://aws.amazon.com/architecture/how-to-build-this/) (Comment construire ça) sont conçues pour aider les personnes ayant de grandes idées à donner vie à leur produit minimum viable (MVP) à l'aide des services AWS. Cela permet aux créateurs du monde entier ayant une idée forte de bénéficier des conseils d'architectes de solutions AWS expérimentés. Enfin, vous pouvez consulter les ressources documentaires de la page [Démarrer avec AWS](https://aws.amazon.com/getting-started/), qui contient des tutoriels étape par étape.
Avant de passer en revue votre architecture, suivez les exigences de votre entreprise en matière de charge de travail, de sécurité et de confidentialité des données afin d'utiliser un service ou une région spécifique, et les exigences de performance tout en déroulant votre processus d'examen.
**Étapes d'implémentation**
+ ** Passer régulièrement en revue la charge de travail : **en utilisant votre processus défini, effectuez des révisions à la fréquence spécifiée. Veillez à passer le temps approprié sur chaque composant. Ce processus est similaire au processus de conception initial dans lequel vous avez sélectionné des services pour l'optimisation des coûts. Analysez les services et les avantages qu'ils apporteraient, cette fois-ci en tenant compte du coût du changement, et pas seulement des avantages à long terme.
+ ** Mettre en œuvre de nouveaux services :** si le résultat de l'analyse consiste à mettre en œuvre des modifications, effectuez d'abord une analyse de base de la charge de travail pour connaître le coût actuel de chaque sortie. Mettez en œuvre les modifications, puis effectuez une analyse pour vérifier le nouveau coût de chaque sortie.
## Ressources
**Documents connexes :**
+ [Blog des actualités AWS](https://aws.amazon.com/blogs/aws/)
+ [Quelles sont les nouveautés AWS ?](https://aws.amazon.com/new/)
+ [ Documentation AWS](https://docs.aws.amazon.com/)
+ [ Démarrer avec AWS](https://aws.amazon.com/getting-started/)
+ [ Ressources générales AWS](https://docs.aws.amazon.com/#general_resources)
**Vidéos connexes :**
+ [AWS - This is My Architecture](https://aws.amazon.com/architecture/this-is-my-architecture) (Voici mon architecture)
+ [AWS - Back to Basics](https://aws.amazon.com/architecture/back-to-basics/) (Retour à l'essentiel)
+ [AWS - All-In series](https://aws.amazon.com/architecture/all-in-series/)
+ [How to Build This](https://aws.amazon.com/architecture/how-to-build-this/) (Comment construire ça)
# COST 11 Comment évaluer le coût de l'effort ?
**Topics**
+ [COST11-BP01 Réaliser des automatisations pour les opérations](cost_evaluate_cost_effort_automations_operations.md)
# COST11-BP01 Réaliser des automatisations pour les opérations
Évaluer le coût de l'effort pour les opérations sur le cloud. Quantifier la réduction du temps et des efforts consacrés aux tâches administratives, au déploiement et à d'autres opérations grâce à l'automatisation. Évaluer le temps et le coût nécessaires à l'effort d'exploitation et automatiser les tâches administratives pour réduire l'effort humain lorsque cela est possible.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
L'automatisation des opérations améliore la cohérence et la capacité de mise à l'échelle, offre davantage de visibilité, de fiabilité et de flexibilité, réduit les coûts et accélère l'innovation en libérant des ressources humaines tout en améliorant les métriques. Elle réduit la fréquence des tâches manuelles, améliore l'efficacité et profite aux entreprises en offrant une expérience cohérente et fiable lors du déploiement, de l'administration ou de l'exploitation des charges de travail. Vous pouvez libérer les ressources d'infrastructure des tâches opérationnelles manuelles et les utiliser pour des tâches et des innovations de plus grande valeur, améliorant ainsi les résultats opérationnels. Les entreprises ont besoin d'un moyen éprouvé et testé pour gérer leurs charges de travail dans le cloud. Cette solution doit être sûre, rapide et rentable, affichant un niveau de risque minimal et une fiabilité maximale.
Commencez par hiérarchiser vos opérations en fonction de l'effort requis en examinant le coût global des opérations dans le cloud. Par exemple, combien de temps faut-il pour déployer de nouvelles ressources dans le cloud, apporter des modifications d'optimisation aux ressources existantes ou mettre en œuvre les configurations nécessaires ? Examinez le coût total des actions humaines en tenant compte du coût des opérations et de la gestion. Privilégiez l'automatisation des tâches administratives afin de réduire l'effort humain. L'effort de révision doit refléter le bénéfice potentiel. Par exemple, le temps passé à effectuer des tâches manuellement plutôt qu'automatiquement. Donnez la priorité à l'automatisation des activités répétitives à forte valeur ajoutée. Les activités qui présentent un risque élevé d'erreur humaine sont généralement celles qu'il vaut mieux commencer à automatiser, car le risque représente souvent un coût opérationnel supplémentaire non souhaité (par exemple, l'équipe chargée des opérations fait des heures supplémentaires).
En utilisant des services AWS, des outils ou des produits tiers, vous pouvez choisir les automatisations AWS à mettre en œuvre et les adapter à vos besoins spécifiques. Le tableau suivant présente certaines des fonctions et des capacités d'exploitation de base que vous pouvez réaliser avec des services AWS pour automatiser l'administration et l'exploitation :
+ [AWS Audit Manager](https://aws.amazon.com/audit-manager/) : auditez en permanence votre utilisation AWS pour simplifier l'appréciation du risque et de la conformité.
+ [AWS Backup](https://aws.amazon.com/backup/) : gérez et automatisez la protection des données de manière centralisée.
+ [AWS Config](https://aws.amazon.com/config/) : configurez les ressources de calcul, évaluez, auditez et évaluez les configurations et l'inventaire des ressources.
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/) : lancez des ressources hautement disponibles avec l'infrastructure en tant que code.
+ [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) : gérez les modifications, la conformité et le contrôle des ressources informatiques.
+ [Amazon EventBridge](https://aws.amazon.com/eventbridge/) : planifiez des événements et déclenchez des actions AWS Lambda.
+ [AWS Lambda](https://aws.amazon.com/lambda/) : automatisez les processus répétitifs en les déclenchant avec des événements ou en les exécutant selon un calendrier fixe avec Amazon EventBridge.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/) : démarrez et arrêtez les charges de travail, corrigez les systèmes d'exploitation, automatisez la configuration et assurez la gestion continue.
+ [AWS Step Functions](https://aws.amazon.com/step-functions/) : planifiez les tâches et automatisez les flux de travail.
+ [AWS Service Catalog](https://aws.amazon.com/servicecatalog/) : utilisez des modèles et l'infrastructure en tant que code en bénéficiant de capacités de conformité et contrôle.
Tenez compte du gain de temps qui permettra à votre équipe de se concentrer sur le remboursement de la dette technique, l'innovation et les fonctionnalités à valeur ajoutée. Par exemple, il peut être nécessaire de procéder à un lift and shift de votre environnement sur site dans le cloud aussi rapidement que possible et de l'optimiser ultérieurement. Il est judicieux d'étudier les économies que vous pourriez réaliser en utilisant des services entièrement gérés par AWS qui suppriment ou réduisent les coûts de licence tels que [Amazon Relational Database Service](https://aws.amazon.com/rds/), [Amazon EMR](https://aws.amazon.com/emr/), [Amazon WorkSpaces](https://aws.amazon.com/workspaces/) et [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/). Les services gérés suppriment la charge opérationnelle et administrative liée à la gestion d'un service pour vous permettre de vous dédier à l'innovation. En outre, comme les services gérés interviennent à l'échelle du cloud, ils peuvent offrir un coût moindre par transaction ou service.
Si vous souhaitez adopter immédiatement des automatisations en utilisant des produits et des services AWS et si vous ne disposez pas des compétences nécessaires dans votre organisation, contactez [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/), les [Services professionnels AWS](https://aws.amazon.com/professional-services/) ou les [Partenaires AWS](https://aws.amazon.com/partners/work-with-partners/) pour accroître l'adoption de l'automatisation et améliorer votre excellence opérationnelle dans le cloud.
[AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/) est un service qui exploite l'infrastructure AWS pour le compte des entreprises clientes et partenaires. Il fournit un environnement sécurisé et conforme sur lequel vous pouvez déployer vos charges de travail. AMS utilise des modèles d'exploitation de cloud d'entreprise avec l'automatisation pour permettre de répondre aux exigences de votre organisation, de migrer plus rapidement vers le cloud et de réduire vos coûts de gestion continue.
Les [Services professionnels AWS](https://aws.amazon.com/professional-services/) peuvent également vous aider à atteindre les résultats opérationnels souhaités et à automatiser les opérations avec AWS. Les services professionnels AWS proposent des pratiques spécialisées mondiales pour soutenir vos efforts dans des domaines ciblés du cloud computing d'entreprise. Les pratiques spécialisées fournissent des conseils ciblés par le biais de bonnes pratiques, de cadres, d'outils et de services dans les domaines des solutions, des technologies et des secteurs d'activité. Elles aident les clients à déployer des activités informatiques automatisées, robustes, agiles et des capacités de gouvernance optimisées pour le centre cloud.
**Étapes d'implémentation**
+ **Créer une seule fois et déployer à grande échelle :** utilisez l'infrastructure en tant que code, comme AWS CloudFormation, le kit AWS SDK ou AWS Command Line Interface (AWS CLI), pour déployer une seule fois et utiliser votre modèle plusieurs fois dans le même environnement ou pour des scénarios de reprise après sinistre. Balisez lors du déploiement pour suivre votre consommation comme défini dans d'autres bonnes pratiques. Utilisez [AWS Launch Wizard](https://aws.amazon.com/launchwizard/) pour réduire la durée de déploiement de nombreuses charges de travail professionnelles populaires. AWS Launch Wizard vous guide dans le dimensionnement, la configuration et le déploiement de charges de travail professionnelles en suivant les bonnes pratiques AWS. Vous pouvez également utiliser [AWS Service Catalog](https://aws.amazon.com/servicecatalog/), qui vous aide à créer et à gérer des modèles approuvés d'infrastructure en tant que code à utiliser sur AWS, afin que tous les utilisateurs puissent découvrir des ressources approuvées en libre-service.
+ **Automatisez les opérations** : exécutez les opérations de routine automatiquement sans intervention humaine. Grâce aux services et aux outils AWS, vous pouvez choisir les automatisations AWS à mettre en œuvre et les adapter à vos besoins spécifiques. Par exemple, utilisez [EC2 Image Builder](https://aws.amazon.com/image-builder/) pour la création, le test et le déploiement d'images de machines virtuelles et de conteneurs pour une utilisation sur AWS ou sur site. Si l'action souhaitée ne peut pas être réalisée avec les services AWS ou si vous avez besoin de tâches plus complexes avec des ressources de filtrage, alors automatisez vos opérations en utilisant les outils [AWS CLI](https://aws.amazon.com/cli/index.html) ou le kit AWS SDK. AWS CLI permet d'automatiser l'ensemble du processus de contrôle et de gestion des services AWS via des scripts sans utiliser la console AWS. Sélectionnez vos kits AWS SDK préférés pour interagir avec les services AWS. Pour obtenir d'autres exemples de code, consultez le [référentiel d'exemples de code du kit AWS SDK](https://github.com/awsdocs/aws-doc-sdk-examples).
## Ressources
**Documents connexes :**
+ [ Modernizing operations in the AWS Cloud](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-operations-integration/welcome.html) (Modernisation des opérations dans le cloud AWS)
+ [AWS Services for Automation ](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-operations-integration/aws-services-for-automation.html) (Services AWS pour l'automatisation)
+ [ Automatisation AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS automations for SAP administration and operations ](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-sap-automation/automations.html) (Automatisations AWS pour l'administration et les opérations SAP)
+ [AWS Managed Services](https://aws.amazon.com/managedservices/index.html)
+ [ Services professionnels AWS](https://aws.amazon.com/professional-services/)
+ [ Infrastructure et automatisation ](https://aws.amazon.com/blogs/infrastructure-and-automation/)
**Exemples connexes :**
+ [ Reinventing automated operations (Part I) ](https://aws.amazon.com/blogs/mt/reinventing-automated-operations-part-i/) [Réinventer les opérations automatisées (1ère partie)]
+ [ Reinventing automated operations (Part II) ](https://aws.amazon.com/blogs/mt/reinventing-automated-operations-part-ii/) [Réinventer les opérations automatisées (2ème partie)]
+ [AWS automations for SAP administration and operations ](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-sap-automation/automations.html) (Automatisations AWS pour l'administration et les opérations SAP)
+ [ Automatisations informatiques avec AWS Lambda](https://aws.amazon.com/lambda/it-automation/)
+ [ Référentiel d'exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
+ [ Exemples AWS](https://github.com/aws-samples)
# Durabilité
Lorsque des charges de travail sont créées dans le cloud, le pilier Durabilité consiste à comprendre les impacts des services utilisés, à mesurer les impacts tout au long du cycle de vie de la totalité de la charge de travail et à appliquer des principes de conception et de bonnes pratiques afin de réduire ces impacts. Vous trouverez des recommandations sur l'implémentation dans le [livre blanc Pilier Durabilité](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/sustainability-pillar.html?ref=wellarchitected-wp).
**Topics**
+ [Choix de la région](a-region-selection.md)
+ [Alignement sur la demande](a-alignment-to-demand.md)
+ [Logiciels et architecture](a-sus-software-architecture.md)
+ [Données](a-sus-data.md)
+ [Matériel et services](a-sus-hardware-and-services.md)
+ [Processus et culture](a-sus-process-and-culture.md)
# Choix de la région
**Topics**
+ [SUS 1 Comment choisissez-vous les régions pour votre charge de travail ?](w2aac19c17b7b5.md)
# SUS 1 Comment choisissez-vous les régions pour votre charge de travail ?
Le choix de la région en fonction de votre charge de travail influe considérablement sur ses indicateurs de performance clés, y compris les performances, les coûts et l'empreinte carbone. Pour améliorer efficacement ces indicateurs de performance clés, vous devez choisir les régions pour vos charges de travail en fonction des exigences et des objectifs de durabilité de votre entreprise.
**Topics**
+ [SUS01-BP01 Choisir une région en fonction des exigences et des objectifs de durabilité de l'entreprise](sus_sus_region_a2.md)
# SUS01-BP01 Choisir une région en fonction des exigences et des objectifs de durabilité de l'entreprise
Choisissez une région pour votre charge de travail en fonction des exigences et des objectifs de durabilité de votre entreprise afin d'optimiser ses KPI, dont les performances, les coûts et l'empreinte carbone.
**Anti-modèles courants :**
+ Vous sélectionnez la région de la charge de travail en fonction de votre propre emplacement.
+ Vous regroupez toutes les ressources de charge de travail dans un seul emplacement géographique.
**Avantages liés au respect de cette bonne pratique :** une charge de travail placée à proximité des projets d'énergie renouvelable d'Amazon ou des régions reconnues à faible intensité de carbone peut contribuer à la réduction de l'empreinte carbone d'une charge de travail cloud.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Le AWS Cloud est un réseau en constante expansion de régions et de points de présence (PoP), avec une infrastructure de réseau mondiale les reliant entre eux. Le choix de la région en fonction de votre charge de travail influe considérablement sur ses indicateurs de performance clés, y compris les performances, les coûts et l'empreinte carbone. Pour améliorer efficacement ces indicateurs de performance clés, vous devez choisir les régions pour votre charge de travail en fonction des exigences et des objectifs de durabilité de votre entreprise.
**Étapes d'implémentation**
+ Suivez ces étapes pour évaluer et présélectionner les régions potentielles pour votre charge de travail en fonction des exigences de votre entreprise, y compris la conformité, les fonctionnalités disponibles, le coût et la latence :
+ Vérifiez que ces régions sont conformes, en fonction des réglementations locales à respecter.
+ Utilisez les [listes de services régionaux AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) afin de vérifier si les régions proposent les services et fonctionnalités dont vous avez besoin pour exécuter votre charge de travail.
+ Calculez le coût de la charge de travail dans chaque région en utilisant [Calculateur de tarification AWS](https://calculator.aws/).
+ Testez la latence du réseau entre les emplacements des utilisateurs finaux et chaque Région AWS.
+ Choisissez des régions proches des projets d'énergie renouvelable d'Amazon et des régions où le réseau a une intensité en carbone publique inférieure aux autres sites (ou régions).
+ Identifiez vos lignes directrices pertinentes en matière de durabilité pour suivre et comparer les émissions de carbone d'une année à l'autre en fonction du [Protocole des GES](https://ghgprotocol.org/) (méthodes basées sur le marché et sur l'emplacement).
+ Choisissez une région en fonction de la méthode que vous utilisez pour suivre les émissions de carbone. Pour plus de détails sur le choix d'une région en fonction de vos directives de durabilité, consultez [How to select a Region for your workload based on sustainability goals (Comment sélectionner une région pour votre charge de travail en fonction de vos objectifs de durabilité)](https://aws.amazon.com/blogs/architecture/how-to-select-a-region-for-your-workload-based-on-sustainability-goals/).
## Ressources
**Documents connexes :**
+ [Comprendre les estimations de vos émissions de carbone](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ccft-estimation.html)
+ [Amazon à travers le monde](https://sustainability.aboutamazon.com/about/around-the-globe?energyType=true)
+ [Renewable Energy Methodology](https://sustainability.aboutamazon.com/amazon-renewable-energy-methodology)(Méthodologie de l'énergie renouvelable)
+ [What to Consider when Selecting a Region for your Workloads](https://aws.amazon.com/blogs/architecture/what-to-consider-when-selecting-a-region-for-your-workloads/)
**Vidéos connexes :**
+ [Architecting sustainably and reducing your AWS carbon footprint](https://www.youtube.com/watch?v=jsbamOLpCr8)
# Alignement sur la demande
**Topics**
+ [SUS 2 Comment aligner les ressources du cloud sur votre demande ?](sus-02.md)
# SUS 2 Comment aligner les ressources du cloud sur votre demande ?
La façon dont les utilisateurs et les applications consomment vos charges de travail et d'autres ressources peut vous aider à identifier les améliorations nécessaires pour atteindre vos objectifs de durabilité. Faites évoluer l'infrastructure pour répondre en permanence à la demande et vérifiez que vous n'utilisez que les ressources minimales requises pour prendre en charge vos utilisateurs. Alignez les niveaux de service sur les besoins des clients. Positionnez les ressources afin de limiter la connexion réseau nécessaire aux utilisateurs et aux applications qui les utilisent. Supprimez les ressources inutilisées. Fournissez aux membres de votre équipe des appareils qui répondent à leurs besoins et minimisent leur impact en matière de durabilité.
**Topics**
+ [SUS02-BP01 Mettre à l'échelle l'infrastructure de la charge de travail de façon dynamique](sus_sus_user_a2.md)
+ [SUS02-BP02 Aligner les SLA sur vos objectifs de durabilité](sus_sus_user_a3.md)
+ [SUS02-BP03 Arrêter la création et la maintenance des ressources inutilisées](sus_sus_user_a4.md)
+ [SUS02-BP04 Optimiser le placement géographique des charges de travail en fonction de leurs exigences réseau](sus_sus_user_a5.md)
+ [SUS02-BP05 Optimiser les ressources des membres de l'équipe pour les activités réalisées](sus_sus_user_a6.md)
+ [SUS02-BP06 Mise en œuvre de la mise en mémoire tampon ou de la limitation pour aplanir la courbe de la demande](sus_sus_user_a7.md)
# SUS02-BP01 Mettre à l'échelle l'infrastructure de la charge de travail de façon dynamique
Utilisez l'élasticité du cloud et mettez à l'échelle votre infrastructure de façon dynamique afin de rapprocher l'offre de ressources cloud de la demande et d'éviter de surprovisionner une capacité dans votre charge de travail.
**Anti-modèles courants :**
+ Vous ne mettez pas à l'échelle votre infrastructure avec la charge de l'utilisateur.
+ Vous mettez à l'échelle manuellement votre infrastructure en permanence.
+ Vous conservez une capacité accrue après un événement de mise à l'échelle au lieu de la réduire.
**Avantages à établir cette meilleure pratique :** configurer et tester l'élasticité de la charge de travail permet de rapprocher de façon efficace l'offre des ressources cloud de la demande et d'éviter de surprovisionner une capacité. Vous pouvez profiter de l'élasticité du cloud pour mettre à l'échelle automatiquement la capacité pendant et après les pics de demande, afin d'utiliser uniquement le bon nombre de ressources nécessaires pour répondre aux exigences de votre entreprise.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Le cloud vous apporte la flexibilité dont vous avez besoin pour développer ou réduire vos ressources de manière dynamique via une grande variété de mécanismes afin de répondre aux fluctuations de la demande. Rapprocher de façon optimale l'offre de la demande a le plus faible impact environnemental pour une charge de travail.
La demande peut être fixe ou variable, ce qui nécessite des métriques et une automatisation pour que la gestion ne devienne pas contraignante. Les applications peuvent se mettre à l'échelle de façon verticale (dans les deux sens) en modifiant la taille de l'instance, de façon horizontale (dans les deux sens) en modifiant le nombre d'instances, ou une combinaison des deux.
Vous pouvez utiliser plusieurs approches pour rapprocher l'offre de ressources de la demande.
+ **Approche visant à suivre les cibles :** surveillez votre métrique de capacité de mise à l'échelle et augmentez ou réduisez automatiquement votre capacité selon vos besoins.
+ **Mise à l'échelle prédictive :** mettez à l'échelle en prévision des tendances quotidiennes et hebdomadaires.
+ **Approche basée sur un calendrier :** planifiez votre propre calendrier de mise à l'échelle en fonction de changements de charge prévisibles.
+ **Mise à l'échelle des services :** sélectionnez des services (par exemple sans serveur) conçus pour se mettre à l'échelle ou fournissez une fonction de mise à l'échelle automatique.
Identifiez les périodes d'utilisation faible ou nulle, et mettez vos ressources à l'échelle afin de supprimer toute capacité excédentaire et améliorer l'efficacité.
## Étapes d'implémentation
+ L'élasticité correspond à l'offre de ressources dont vous disposez et à la demande pour ces ressources. Les instances, les conteneurs et les fonctions fournissent les mécanismes pour l'élasticité, soit en combinaison avec la mise à l'échelle automatique, soit en tant que fonction du service. AWS fournit une gamme de mécanismes de mise à l'échelle automatique pour veiller à ce que les charges de travail puissent réduire rapidement et facilement pendant les périodes de faible charge utilisateur. Voici des exemples de mécanismes de mise à l'échelle automatique :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_user_a2.html)
+ La mise à l'échelle est souvent discutée pour les services de calcul, tels que les instances Amazon EC2 ou les fonctions AWS Lambda. Envisagez la configuration de services non liés au calcul, tels que les unités de capacité de lecture et d'écriture [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) ou les partitions [Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/) pour rapprocher la demande.
+ Vérifiez que les métriques de l'augmentation ou de la diminution sont validées par rapport au type de charge de travail déployée. Si vous déployez une application de transcodage vidéo, une utilisation de 100 % du processeur est attendue. N'en faites pas votre métrique principale. Vous pouvez utiliser une [métrique personnalisée](https://aws.amazon.com/blogs/mt/create-amazon-ec2-auto-scaling-policy-memory-utilization-metric-linux/) (telle que l'utilisation de la mémoire) pour votre politique de mise à l'échelle, le cas échéant. Pour choisir les bonnes métriques, tenez compte des conseils suivants pour Amazon EC2 :
+ La métrique doit être une métrique d'utilisation valide et décrire à quel point l'instance est occupée.
+ La valeur de la métrique doit augmenter ou diminuer proportionnellement au nombre d'instances dans le groupe Auto Scaling.
+ Utilisez la [mise à l'échelle dynamique](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html) au lieu de la [mise à l'échelle manuelle](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-manual-scaling.html) pour votre groupe Auto Scaling. Nous vous recommandons également d'utiliser des [politiques de mise à l'échelle en suivant les cibles](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scaling-target-tracking.html) pour votre mise à l'échelle dynamique.
+ Vérifiez que les déploiements de charges de travail peuvent gérer à la fois les événements d'augmentation et de diminution des charges de travail. Créez des scénarios de test pour les événements de diminution afin de vérifier que la charge de travail se comporte comme prévu et n'a aucun impact sur l'expérience utilisateur (comme la perte de sessions permanentes). Vous pouvez utiliser [Activity history](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-verify-scaling-activity.html) (Historique de l'activité) pour vérifier une activité de mise à l'échelle pour un groupe Auto Scaling.
+ Évaluez votre charge de travail pour les modèles prédictifs et mettez-la à l'échelle de manière proactive pour anticiper les changements prévisibles et prévus de la demande. Avec la mise à l'échelle prédictive, vous pouvez supprimer le besoin de surprovisionner de la capacité. Pour plus de détails, consultez [Predictive Scaling with Amazon EC2 Auto Scaling](https://aws.amazon.com/blogs/compute/introducing-native-support-for-predictive-scaling-with-amazon-ec2-auto-scaling/) (Mise à l'échelle prédictive avec Amazon EC2 Auto Scaling).
## Ressources
**Documents connexes :**
+ [Démarrer avec Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/GettingStartedTutorial.html)
+ [Scalabilité prédictive pour EC2 alimentée par le machine learning](https://aws.amazon.com/blogs/aws/new-predictive-scaling-for-ec2-powered-by-machine-learning/)
+ [Analyser le comportement des utilisateurs avec Amazon OpenSearch Service, Amazon Data Firehose et Kibana](https://aws.amazon.com/blogs/database/analyze-user-behavior-using-amazon-elasticsearch-service-amazon-kinesis-data-firehose-and-kibana/)
+ [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/Amazon/latest/monitoring/WhatIs.html)
+ [Surveillance de la charge de base de données avec Performance Insights sur Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)
+ [Présentation de la prise en charge native pour la mise à l'échelle prédictive avec Amazon EC2 Auto Scaling](https://aws.amazon.com/blogs/compute/introducing-native-support-for-predictive-scaling-with-amazon-ec2-auto-scaling/)
+ [Présentation de Karpenter, un Kubernetes Cluster Autoscaler hautement performant et open source](https://aws.amazon.com/blogs/aws/introducing-karpenter-an-open-source-high-performance-kubernetes-cluster-autoscaler/)
+ [En savoir plus sur la Auto Scaling d'un cluster Amazon ECS](https://aws.amazon.com/blogs/containers/deep-dive-on-amazon-ecs-cluster-auto-scaling/)
**Vidéos connexes :**
+ [Concevoir un environnement de calcul rentable, économe en énergie et en ressources](https://www.youtube.com/watch?v=8zsC5e1eLCg)
+ [Un calcul de meilleure qualité, plus rapide et moins cher : rentabiliser Amazon EC2 (CMP202-R1)](https://www.youtube.com/watch?v=_dvh4P2FVbw)
**Exemples connexes :**
+ [Atelier : exemples de groupes Amazon EC2 Auto Scaling](https://github.com/aws-samples/amazon-ec2-auto-scaling-group-examples)
+ [Atelier : implémenter la mise à l'échelle automatique avec Karpenter](https://www.eksworkshop.com/beginner/085_scaling_karpenter/)
# SUS02-BP02 Aligner les SLA sur vos objectifs de durabilité
Vérifiez et optimisez les contrats de niveau de service (SLA) de la charge de travail en fonction de vos objectifs de durabilité pour réduire les ressources nécessaires afin de prendre en charge votre charge de travail tout en continuant à répondre aux besoins de l'entreprise.
**Anti-modèles courants :**
+ Les contrats de niveau de service (SLA) de la charge de travail ne sont pas connus ou ambigus.
+ Vous définissez votre contrat de niveau de service (SLA) uniquement pour la disponibilité et les performances.
+ Vous utilisez le même modèle de conception (comme une architecture multi-AZ) pour toutes vos charges de travail.
**Avantages liés au respect de cette bonne pratique :** l'alignement des contrats de niveau de service (SLA) sur les objectifs de durabilité entraîne une utilisation optimale des ressources tout en répondant aux besoins métier.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Les contrats de niveau de service (SLA) définissent le niveau de service attendu d'une charge de travail sur le cloud, comme le temps de réponse, la disponibilité et la conservation des données. Ils influencent l'architecture, l'utilisation des ressources et l'impact environnemental d'une charge de travail sur le cloud. À intervalles réguliers, vérifiez les contrats de niveau de service (SLA) et faites des compromis qui réduisent grandement l'utilisation des ressources en échange de baisses acceptables des niveaux de service.
**Étapes d'implémentation**
+ Définissez ou rétablissez des contrats de niveau de service (SLA) qui soutiennent vos objectifs de durabilité tout en répondant aux exigences de l'entreprise, sans les dépasser.
+ Faites des compromis qui réduisent grandement les impacts sur la durabilité en échange de baisses acceptables des niveaux de service.
+ **Durabilité et fiabilité :** les charges de travail hautement disponibles ont tendance à consommer plus de ressources.
+ **Durabilité et performances :** l'utilisation de plus de ressources pour booster les performances pourrait avoir un impact environnemental plus important.
+ **Durabilité et sécurité :** la sécurité trop importante des charges de travail pourrait avoir un impact environnemental plus important.
+ Utilisez des modèles de conception, tels que des [microservices sur AWS](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/microservices-on-aws.html) qui privilégient les fonctions essentielles à l'entreprise et permettent des niveaux de service inférieurs (tels que le temps de réponse ou les objectifs de temps pour la récupération) pour les fonctions non essentielles.
## Ressources
**Documents connexes :**
+ [Accords de niveau de service (SLA) AWS](https://aws.amazon.com/legal/service-level-agreements/?aws-sla-cards.sort-by=item.additionalFields.serviceNameLower&aws-sla-cards.sort-order=asc&awsf.tech-category-filter=*all)
+ [Importance du contrat de niveau de service pour les fournisseurs de SaaS](https://aws.amazon.com/blogs/apn/importance-of-service-level-agreement-for-saas-providers/)
**Vidéos connexes :**
+ [Delivering sustainable, high-performing architectures](https://www.youtube.com/watch?v=FBc9hXQfat0) (Offre d'architectures durables hautement performantes)
+ [Concevoir un environnement de calcul rentable, économe en énergie et en ressources](https://www.youtube.com/watch?v=8zsC5e1eLCg)
# SUS02-BP03 Arrêter la création et la maintenance des ressources inutilisées
Mettez hors service les ressources inutilisées de votre charge de travail afin de réduire le nombre de ressources cloud nécessaires pour répondre à votre demande et minimiser le gaspillage.
**Anti-modèles courants :**
+ Vous n'analysez pas votre application pour détecter les ressources redondantes ou qui ne sont plus nécessaires.
+ Vous ne supprimez pas les ressources redondantes ou qui ne sont plus nécessaires.
**Avantages liés au respect de cette bonne pratique :** la suppression des éléments inutilisés libère des ressources et améliore l'efficacité globale de la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Les ressources inutilisées consomment les ressources du cloud telles que l'espace de stockage et la puissance de calcul. En identifiant et en éliminant ces ressources, vous pouvez les libérer, ce qui se traduit par une architecture cloud plus efficace. Analysez régulièrement les ressources de l'application telles que les rapports pré-compilés, les jeux de données, les images statiques et les modèles d'accès aux ressources pour identifier des redondances, une sous-utilisation et d'éventuelles cibles de mise hors service. Supprimez ces ressources redondantes pour réduire le gaspillage de ressources dans votre charge de travail.
**Étapes d'implémentation**
+ Utilisez des outils de surveillance pour identifier les ressources statiques qui ne sont plus nécessaires.
+ Avant de supprimer une ressource, évaluez l'impact de sa suppression sur l'architecture.
+ Élaborez un plan et supprimez les ressources qui ne sont plus nécessaires.
+ Consolidez les ressources générées qui se chevauchent afin de supprimer tout traitement redondant.
+ Mettez à jour vos applications pour ne plus produire et stocker les ressources qui ne sont pas nécessaires.
+ Demandez aux tiers d'arrêter de produire et de stocker les ressources gérées en votre nom qui ne sont plus nécessaires.
+ Demandez aux tiers d'arrêter de consolider les ressources redondantes produites en votre nom.
+ Examinez régulièrement votre charge de travail pour identifier et supprimer les ressources inutilisées.
## Ressources
**Documents connexes :**
+ [Optimisation de votre infrastructure AWS pour la durabilité, partie 2 : stockage](https://aws.amazon.com/blogs/architecture/optimizing-your-aws-infrastructure-for-sustainability-part-ii-storage/)
+ [ Comment résilier les ressources actives dont je n'ai plus besoin sur mon Compte AWS ? ](https://aws.amazon.com/premiumsupport/knowledge-center/terminate-resources-account-closure/)
**Vidéos connexes :**
+ [ Comment vérifier et supprimer les ressources actives dont je n'ai plus besoin sur mon Compte AWS ? ](https://www.youtube.com/watch?v=pqg9AqESRlg)
# SUS02-BP04 Optimiser le placement géographique des charges de travail en fonction de leurs exigences réseau
Pour votre charge de travail, sélectionnez un emplacement et des services cloud qui réduisent la distance que le trafic réseau doit parcourir et diminuent les ressources réseau totales requises pour gérer votre charge de travail.
** Anti-modèles courants : **
+ Vous sélectionnez la région de la charge de travail en fonction de votre propre emplacement.
+ Vous regroupez toutes les ressources de charge de travail dans un seul emplacement géographique.
+ Tout le trafic passe par vos centres de données existants.
**Avantages liés au respect de cette bonne pratique :** placer une charge de travail à proximité de ses clients fournit une faible latence, tout en réduisant les mouvements de données sur le réseau ainsi que l'impact sur l'environnement.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
L'infrastructure AWS Cloud est conçue autour d'options d'emplacement telles que les régions, les zones de disponibilité, les groupes de placement et les emplacements périphériques comme [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) et [les zones locales AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/). Ces options d'emplacement sont responsables de la connectivité entre les composants d'application, les services cloud, les réseaux périphériques et les centres de données sur site.
Analysez les modèles d'accès au réseau dans votre charge de travail pour identifier comment utiliser ces options de localisation dans le cloud et réduire la distance que le trafic réseau doit parcourir.
## Étapes d'implémentation
+ Analysez les modèles d'accès au réseau dans votre charge de travail afin d'identifier comment les utilisateurs utilisent votre application.
+ Utilisez des outils de surveillance, comme [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) et [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), pour recueillir des données sur les activités du réseau.
+ Analysez les données pour identifier le modèle d'accès au réseau.
+ Choisissez les régions pour votre déploiement de charge de travail en fonction des éléments clés suivants :
+ **Objectif de durabilité** comme indiqué dans [Choix de la région](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/region-selection.html).
+ **Emplacement de vos données :** pour les applications utilisant de grandes quantités de données (telles que le big data et le machine learning). Le code de l'application doit s'exécuter aussi près que possible des données.
+ **Emplacement de vos utilisateurs :** pour les applications orientées utilisateur, choisissez une région ou des régions proches des utilisateurs de votre charge de travail.
+ **Autres contraintes :** tenez compte de contraintes telles que le coût et la conformité comme indiqué dans [Éléments à prendre en compte lors de la sélection d'une région pour vos charges de travail](https://aws.amazon.com/blogs/architecture/what-to-consider-when-selecting-a-region-for-your-workloads/).
+ Utilisez la mise en cache locale ou des [solutions de mise en cache AWS](https://aws.amazon.com/caching/aws-caching/) pour les ressources fréquemment utilisées afin d'améliorer les performances, de limiter les mouvements de données et de réduire l'impact sur l'environnement.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_user_a5.html)
+ Utilisez des services capables de vous aider à exécuter du code plus proche des utilisateurs de votre charge de travail :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_user_a5.html)
+ Utilisez le regroupement de connexions afin de pouvoir réutiliser les connexions et réduire les ressources nécessaires.
+ Utilisez des magasins de données distribués qui ne s'appuient pas sur des connexions persistantes ni sur des mises à jour synchrones pour des raisons de cohérence afin de servir les populations régionales.
+ Remplacez la capacité du réseau statique pré-allouée par une capacité dynamique partagée, et partagez l'impact en matière de durabilité de la capacité du réseau avec d'autres abonnés.
## Ressources
**Documents connexes :**
+ [Optimisation de votre infrastructure AWS pour la durabilité, partie 3 : mise en réseau](https://aws.amazon.com/blogs/architecture/optimizing-your-aws-infrastructure-for-sustainability-part-iii-networking/)
+ [Documentation Amazon ElastiCache](https://docs.aws.amazon.com/elasticache/index.html)
+ [Qu'est-ce que Amazon CloudFront ?](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html)
+ [Fonctionnalités clés d'Amazon CloudFront](https://aws.amazon.com/cloudfront/features/)
**Vidéos connexes :**
+ [Demystifying data transfer on AWS](https://www.youtube.com/watch?v=-MqXgzw1IGA)
+ [ Scaling network performance on next-gen Amazon EC2 instances ](https://www.youtube.com/watch?v=jNYpWa7gf1A)
**Exemples connexes :**
+ [Ateliers sur la mise en réseau AWS](https://catalog.workshops.aws/networking/en-US)
+ [ Une architecture axée sur la durabilité : réduisez les mouvements de données sur les réseaux ](https://catalog.us-east-1.prod.workshops.aws/workshops/7c4f8394-8081-4737-aa1b-6ae811d46e0a/en-US)
# SUS02-BP05 Optimiser les ressources des membres de l'équipe pour les activités réalisées
Optimisez les ressources fournies aux membres de l'équipe pour réduire l'impact sur la durabilité environnementale tout en répondant à leurs besoins.
**Anti-modèles courants :**
+ Vous ignorez l'impact des appareils utilisés par les membres de votre équipe sur l'efficacité globale de votre application cloud.
+ Vous gérez et mettez à jour manuellement les ressources utilisées par les membres de l'équipe.
**Avantages liés au respect de cette bonne pratique :** l'optimisation des ressources des membres de l'équipe améliore l'efficacité globale des applications basées sur le cloud.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Comprenez les ressources que les membres de votre équipe utilisent pour consommer vos services, leur cycle de vie prévu et l'impact financier et sur la durabilité. Mettez en œuvre des stratégies pour optimiser ces ressources. Par exemple, effectuez des opérations complexes, telles que le rendu et la compilation, sur une infrastructure évolutive hautement utilisée plutôt que sur des systèmes mono-utilisateurs puissants et sous-utilisés.
**Étapes d'implémentation**
+ Allouez des postes de travail et d'autres appareils conformément à leur utilisation.
+ Utilisez des bureaux virtuels et le streaming d'applications pour limiter les exigences liées aux mises à niveau et aux appareils.
+ Déplacez les tâches gourmandes en processeur ou en mémoire vers le cloud pour profiter de son élasticité.
+ Évaluez l'impact des processus et des systèmes sur le cycle de vie de votre appareil et choisissez des solutions qui réduisent au minimum le besoin de remplacer celui-ci tout en répondant aux exigences de l'entreprise.
+ Intégrez la gestion à distance des appareils afin de réduire les déplacements professionnels nécessaires.
+ [AWS Systems Manager Fleet Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet.html) est une interface utilisateur (IU) unifiée qui vous aide à gérer à distance vos nœuds fonctionnant sur site ou dans AWS.
## Ressources
**Documents connexes :**
+ [Qu'est-ce qu'Amazon WorkSpaces ?](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html)
+ [ Cost Optimizer for Amazon WorkSpaces ](https://docs.aws.amazon.com/solutions/latest/cost-optimizer-for-workspaces/overview.html) (Optimiseur de coûts pour Amazon WorkSpaces)
+ [Documentation Amazon AppStream 2.0](https://docs.aws.amazon.com/appstream2/)
+ [NICE DCV](https://docs.aws.amazon.com/dcv/)
**Vidéos connexes :**
+ [Managing cost for Amazon WorkSpaces on AWS](https://www.youtube.com/watch?v=0MoY31hZQuE) (Gestion des coûts pour Amazon WorkSpaces sur AWS)
# SUS02-BP06 Mise en œuvre de la mise en mémoire tampon ou de la limitation pour aplanir la courbe de la demande
La mise en mémoire tampon et la limitation aplatissent la courbe de la demande et réduisent la capacité provisionnée requise pour votre charge de travail.
**Anti-modèles courants :**
+ Vous traitez les demandes des clients immédiatement alors que ce n'est pas nécessaire.
+ Vous n'analysez pas les exigences des demandes des clients.
**Avantages liés au respect de cette bonne pratique :** l'aplatissement de la courbe de la demande réduit la capacité provisionnée requise pour la charge de travail. En réduisant la capacité provisionnée, on réduit la consommation d'énergie et l'impact environnemental.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
L'aplatissement de la courbe de demande de la charge de travail peut vous aider à réduire la capacité provisionnée pour une charge de travail et à réduire son impact environnemental. Prenons l'exemple une charge de travail dont la courbe de demande est représentée dans la figure ci-dessous. Cette charge de travail a deux pics, et pour gérer ces pics, la capacité des ressources comme indiqué par la ligne orange est provisionnée. Les ressources et l'énergie utilisées pour cette charge de travail ne sont pas indiquées par la zone sous la courbe de la demande, mais par la zone sous la ligne de la capacité provisionnée, car la capacité provisionnée est nécessaire pour gérer ces deux pics.
![\[Forme d'onde de la capacité provisionnée avec deux pics distincts qui nécessitent une capacité provisionnée élevée.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/provisioned-capacity-1.png)
Vous pouvez utiliser la mise en mémoire tampon ou la limitation pour modifier la courbe de la demande et lisser les pics, ce qui signifie moins de capacité provisionnée et moins d'énergie consommée. Mettez en œuvre la limitation lorsque vos clients peuvent effectuer de nouvelles tentatives. Mettez en œuvre une mémoire tampon pour stocker la demande et reporter le traitement.
![\[Diagramme de forme d'onde affichant une charge de travail avec des pics lissés créés à l'aide de la mise en mémoire tampon ou de la limitation.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/images/provisioned-capacity-2.png)
**Étapes d'implémentation**
+ Analysez les demandes des clients pour déterminer comment y répondre. Les questions à se poser sont les suivantes :
+ Cette demande peut-elle être traitée de manière asynchrone ?
+ Le client a-t-il la possibilité de lancer de nouvelles tentatives ?
+ Si le client a la possibilité de lancer de nouvelles tentatives, vous pouvez mettre en œuvre un système de limitation, qui indique à la source que si elle ne peut pas répondre à la demande au moment même, elle doit réessayer plus tard.
+ Vous pouvez utiliser [Amazon API Gateway](https://aws.amazon.com/api-gateway/) pour la mise en œuvre de la limitation.
+ Pour les clients qui ne peuvent pas effectuer de nouvelles tentatives, il faut mettre en œuvre un tampon pour aplanir la courbe de demande. Un tampon diffère le traitement des demandes, ce qui permet aux applications qui s'exécutent à différents débits de communiquer efficacement. Une approche basée sur la mémoire tampon utilise une file d'attente ou un flux pour accepter les messages des producteurs. Les messages sont lus par les consommateurs et traités, ce qui permet aux messages de fonctionner au rythme qui répond aux besoins des entreprises.
+ [Amazon Simple Queue Service (Amazon SQS)](https://aws.amazon.com/sqs/) est un service géré qui fournit des files d'attente permettant à un seul consommateur de lire des messages individuels.
+ [Amazon Kinesis](https://aws.amazon.com/kinesis/) fournit un flux de données qui permet à de nombreux consommateurs de lire les mêmes messages.
+ Analysez la demande globale, le taux de variation et le temps de réponse requis pour dimensionner correctement la limitation ou le tampon nécessaire.
## Ressources
**Documents connexes :**
+ [Getting started with Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-getting-started.html) (Démarrer avec Amazon SQS)
+ [ Application integration Using Queues and Messages ](https://aws.amazon.com/blogs/architecture/application-integration-using-queues-and-messages/) (Intégration des applications à l'aide de files d'attente et de messages)
**Vidéos connexes :**
+ [ Choosing the Right Messaging Service for Your Distributed App ](https://www.youtube.com/watch?v=4-JmX6MIDDI) (Choisir le bon service de messagerie pour votre application distribuée)
# Logiciels et architecture
**Topics**
+ [SUS 3 Comment tirer parti des modèles logiciels et d'architecture afin de soutenir vos objectifs de durabilité ?](sus-03.md)
# SUS 3 Comment tirer parti des modèles logiciels et d'architecture afin de soutenir vos objectifs de durabilité ?
Mettez en œuvre des modèles permettant de lisser les charges et de conserver une haute utilisation constante des ressources déployées afin de réduire les ressources consommées. Les composants peuvent devenir inactifs s'ils ne sont pas utilisés à la suite de changements de comportement des utilisateurs dans le temps. Révisez les modèles et l'architecture afin de consolider les composants sous-utilisés et d'augmenter l'utilisation globale. Mettez hors service les composants qui ne sont plus nécessaires. Comprenez les performances des composants de vos charges de travail et optimisez les composants qui consomment le plus de ressources. Soyez au courant des appareils que vos clients utilisent pour accéder à vos services et mettez en œuvre des modèles qui réduisent le besoin de mettre à niveau les appareils.
**Topics**
+ [SUS03-BP01 Optimiser les logiciels et l'architecture pour les tâches asynchrones et planifiées](sus_sus_software_a2.md)
+ [SUS03-BP02 Supprimer ou refactoriser les composants de charges de travail faiblement utilisés ou inutilisés](sus_sus_software_a3.md)
+ [SUS03-BP03 Optimiser les sections de votre code qui consomment le plus de temps ou de ressources](sus_sus_software_a4.md)
+ [SUS03-BP04 Optimiser l'impact sur les appareils et les équipements](sus_sus_software_a5.md)
+ [SUS03-BP05 Utiliser des modèles logiciels et des architectures qui soutiennent au mieux l'accès aux données et les modèles de stockage.](sus_sus_software_a6.md)
# SUS03-BP01 Optimiser les logiciels et l'architecture pour les tâches asynchrones et planifiées
Utilisez des modèles d'architecture et de logiciels efficaces comme ceux axés sur les files d'attente afin de maintenir une utilisation élevée et constante des ressources déployées.
**Anti-modèles courants :**
+ Vous mettez en service trop de ressources dans votre charge de travail cloud pour répondre aux pics imprévus de la demande.
+ Votre architecture ne découple pas les expéditeurs et les destinataires de messages asynchrones par un composant de messagerie.
**Avantages liés au respect de cette bonne pratique :**
+ Des modèles de logiciels et d'architecture efficaces réduisent les ressources inutilisées dans votre charge de travail et améliorent l'efficacité globale.
+ Vous pouvez mettre à l'échelle le traitement indépendamment de la réception de messages asynchrones.
+ Par le biais d'un composant de messagerie, vous avez assoupli les exigences de disponibilité auxquelles vous pouvez répondre avec moins de ressources.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Utilisez des modèles d'architecture efficaces tels que [l'architecture axée sur les événements](https://aws.amazon.com/event-driven-architecture/) afin de bénéficier d'une utilisation uniforme des composants et réduire autant que possible le surprovisionnement dans votre charge de travail. L'utilisation de modèles d'architecture efficaces réduit au minimum les ressources inutilisées en raison des changements de la demande au fil du temps.
Comprenez les exigences des composants de votre charge de travail et adoptez des modèles d'architecture qui augmentent l'utilisation globale des ressources. Retirez les composants qui ne sont plus nécessaires.
**Étapes d'implémentation**
+ Analysez la demande pour votre charge de travail afin de déterminer comment y répondre.
+ Pour les demandes ou les tâches qui ne nécessitent pas de réponses synchrones, utilisez des architectures axées sur les files d'attente et des agents de travail de mise à l'échelle automatique afin de maximiser l'utilisation. Voici quelques exemples de situations où vous pourriez envisager une architecture axée sur les files d'attente :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_software_a2.html)
+ Pour les demandes ou les tâches qui peuvent être traitées à tout moment, utilisez les mécanismes de planification afin de traiter les tâches par lots pour plus d'efficacité. Voici quelques exemples de planification des mécanismes sur AWS :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_software_a2.html)
+ Si vous utilisez des mécanismes d'interrogation et de webhooks dans votre architecture, remplacez-les par des événements. Utilisez des [architectures axées sur les événements](https://docs.aws.amazon.com/lambda/latest/operatorguide/event-driven-architectures.html) pour créer des charges de travail hautement efficaces.
+ Utilisez le [sans serveur sur AWS](https://aws.amazon.com/serverless/) afin d'éliminer une infrastructure surprovisionnée.
+ Dimensionnez les composants individuels afin d'éviter les ressources inactives attendant une entrée.
## Ressources
**Documents connexes :**
+ [Qu'est-ce qu'Amazon Simple Queue Service ?](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html)
+ [Qu'est-ce qu'Amazon MQ ?](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)
+ [Mise à l'échelle basée sur Amazon SQS](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-using-sqs-queue.html)
+ [Qu'est-ce qu'AWS Step Functions ?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [Qu'est-ce qu'AWS Lambda ?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ [Utilisation d'AWS Lambda avec Amazon SQS](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html)
+ [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
**Vidéos connexes :**
+ [Moving to event-driven architectures](https://www.youtube.com/watch?v=h46IquqjF3E)
# SUS03-BP02 Supprimer ou refactoriser les composants de charges de travail faiblement utilisés ou inutilisés
Supprimez les composants inutilisés et devenus inutiles, et refactorisez les composants peu utilisés afin de minimiser le gaspillage dans votre charge de travail.
**Anti-modèles courants :**
+ Vous ne vérifiez pas régulièrement le niveau d'utilisation des différents composants de votre charge de travail.
+ Vous ne vérifiez pas et n'analysez pas les recommandations des outils de redimensionnement AWS tels que [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/).
**Avantages liés au respect de cette bonne pratique :** la suppression des composants inutilisés minimise le gaspillage et améliore l'efficacité globale de votre charge de travail dans le cloud.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Passez en revue votre charge de travail pour identifier les composants inutilisés. Il s'agit d'un processus d'amélioration itératif qui peut être déclenché par l'évolution de la demande ou le lancement d'un nouveau service de cloud. Par exemple, une baisse significative du temps d'exécution des fonctions [AWS Lambda](https://docs.aws.amazon.com/lambda/) peut être un indicateur de la nécessité de réduire la taille de la mémoire. De plus, à mesure que AWS publie de nouveaux services et de nouvelles fonctionnalités, les services et l'architecture optimaux pour votre charge de travail peuvent changer.
Surveillez en permanence l'activité de la charge de travail et recherchez les possibilités d'améliorer le niveau d'utilisation des différents composants. En supprimant les composants inutilisés et en effectuant des activités de redimensionnement, vous répondez aux besoins de votre entreprise avec le moins de ressources cloud possible.
**Étapes d'implémentation**
+ Surveillez et capturez les métriques d'utilisation des composants critiques de votre charge de travail (comme l'utilisation du CPU, l'utilisation de la mémoire ou le débit du réseau dans les [métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)).
+ Pour les charges de travail stables, vérifiez les outils de redimensionnement AWS tels que [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/) à intervalles réguliers pour identifier les composants inactifs, inutilisés ou sous-utilisés.
+ Pour les charges de travail éphémères, évaluez les métriques d'utilisation pour identifier les composants inactifs, inutilisés ou sous-utilisés.
+ Retirez les composants et les ressources associées (comme les images Amazon ECR) qui ne sont plus nécessaires.
+ Refactorisez ou consolidez les composants sous-utilisés avec d'autres ressources pour améliorer l'efficacité de l'utilisation. Par exemple, vous pouvez provisionner plusieurs petites bases de données sur une seule instance de base de données [Amazon RDS](https://aws.amazon.com/rds/) au lieu d'exécuter des bases de données sur des instances individuelles sous-utilisées.
+ Identifiez les [ressources provisionnées par votre charge de travail pour mener à bien une unité de travail](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/evaluate-specific-improvements.html).
## Ressources
**Documents connexes :**
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/Amazon/latest/monitoring/WhatIs.html)
+ [Automated Cleanup of Unused Images in Amazon ECR](https://aws.amazon.com/blogs/compute/automated-cleanup-of-unused-images-in-amazon-ecr/) (Nettoyage automatisé des images inutilisées dans Amazon ECR)
**Exemples connexes :**
+ [ Atelier Well-Architected : redimensionnement avec Optimiseur de calcul AWS](https://wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/)
+ [ Atelier Well-Architected : optimiser les modèles matériels et observer les indicateurs de performance clés de durabilité ](https://wellarchitectedlabs.com/sustainability/200_labs/200_optimize_hardware_patterns_observe_sustainability_kpis/)
# SUS03-BP03 Optimiser les sections de votre code qui consomment le plus de temps ou de ressources
Optimisez votre code qui s'exécute dans les différents composants de votre architecture afin de minimiser l'utilisation des ressources tout en maximisant les performances.
**Anti-modèles courants :**
+ Vous ignorez l'optimisation de votre code pour l'utilisation des ressources.
+ Vous répondez généralement aux problèmes de performance en augmentant les ressources.
+ Votre processus de révision et de développement du code ne permet pas de suivre les variations de performance.
**Avantages liés au respect de cette bonne pratique :** l'utilisation d'un code efficace permet de minimiser l'utilisation des ressources et d'améliorer les performances.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Il est essentiel d'examiner chaque domaine fonctionnel, y compris le code d'une application conçue dans le cloud, pour optimiser l'utilisation des ressources et les performances. Surveillez en permanence les performances de votre charge de travail dans les environnements de construction et de production et identifiez les possibilités d'améliorer les extraits de code qui utilisent particulièrement bien les ressources. Adoptez un processus de révision régulier pour identifier les bogues ou les anti-modèles dans votre code qui utilisent les ressources de manière inefficace. Exploitez des algorithmes simples et efficaces qui produisent les mêmes résultats pour votre cas d'utilisation.
## Étapes d'implémentation
+ Pendant le développement de vos charges de travail, adoptez un processus de révision automatique du code pour améliorer la qualité et identifier les bogues et les anti-modèles.
+ [ Automatiser les révisions de code avec Amazon CodeGuru Reviewer ](https://aws.amazon.com/blogs/devops/automate-code-reviews-with-amazon-codeguru-reviewer/)
+ [ Détection des bogues de concurrence avec Amazon CodeGuru ](https://aws.amazon.com/blogs/devops/detecting-concurrency-bugs-with-amazon-codeguru/)
+ [ Améliorer la qualité du code des applications Python grâce à Amazon CodeGuru ](https://aws.amazon.com/blogs/devops/raising-code-quality-for-python-applications-using-amazon-codeguru/)
+ Au fur et à mesure que vous exécutez vos charges de travail, surveillez les ressources afin d'identifier les composants dont les besoins en ressources par unité de travail sont élevés et qui peuvent faire l'objet d'une révision du code.
+ Pour les révisions de code, utilisez un profileur de code pour identifier les sections du code les plus longues ou qui consomment le plus de ressources dans le but de les optimiser.
+ [ Réduire l'empreinte carbone de votre organisation avec Amazon CodeGuru Profiler ](https://aws.amazon.com/blogs/devops/reducing-your-organizations-carbon-footprint-with-codeguru-profiler/)
+ [ Comprendre l'utilisation de la mémoire dans votre application Java avec Amazon CodeGuru Profiler ](https://aws.amazon.com/blogs/devops/understanding-memory-usage-in-your-java-application-with-amazon-codeguru-profiler/)
+ [ Améliorer l'expérience client et réduire les coûts avec Amazon CodeGuru Profiler ](https://aws.amazon.com/blogs/devops/improving-customer-experience-and-reducing-cost-with-codeguru-profiler/)
+ Utilisez le système d'exploitation et le langage de programmation les plus efficaces pour la charge de travail. Pour plus de détails sur les langages de programmation économes en énergie (y compris Rust), consultez [Durabilité avec Rust](https://aws.amazon.com/blogs/opensource/sustainability-with-rust/).
+ Remplacez les algorithmes à forte intensité de calcul par des versions plus simples et plus efficaces qui produisent le même résultat.
+ Supprimez le code inutile tel que le tri et le formatage.
## Ressources
**Documents connexes :**
+ [Qu'est-ce qu'Amazon CodeGuru Profiler ?](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/what-is-codeguru-profiler.html)
+ [Instances FPGA](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/fpga-getting-started.html)
+ [Les kits de développement logiciel (SDK) AWS sur les outils pour créer sur AWS](https://aws.amazon.com/tools/)
**Vidéos connexes :**
+ [ Improve Code Efficiency Using Amazon CodeGuru Profiler ](https://www.youtube.com/watch?v=1pU4VddsBRw)
+ [ Automate Code Reviews and Application Performance Recommendations with Amazon CodeGuru ](https://www.youtube.com/watch?v=OD8H63C0E0I)
# SUS03-BP04 Optimiser l'impact sur les appareils et les équipements
Comprenez les appareils et les équipements utilisés dans votre architecture et employez des stratégies pour réduire leur utilisation. Cela peut minimiser l'impact environnemental global de votre charge de travail dans le cloud.
**Anti-modèles courants :**
+ Vous ignorez l'impact environnemental des appareils utilisés par vos clients.
+ Vous gérez et mettez à jour manuellement les ressources utilisées par les clients.
**Avantages liés au respect de cette bonne pratique :** la mise en œuvre de modèles et de fonctionnalités logicielles optimisés pour l'appareil du client peut réduire l'impact environnemental global de la charge de travail dans le cloud.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
La mise en œuvre de modèles et de fonctionnalités logicielles optimisés pour les appareils des clients peut réduire l'impact environnemental de plusieurs façons :
+ La mise en œuvre de nouvelles fonctionnalités qui sont rétrocompatibles peut réduire le nombre de remplacements de matériel.
+ L'optimisation d'une application pour qu'elle fonctionne efficacement sur les appareils peut contribuer à réduire leur consommation d'énergie et à prolonger leur durée de vie (s'ils sont alimentés par une batterie).
+ L'optimisation d'une application pour les appareils peut également réduire le transfert de données sur le réseau.
Comprenez les appareils et les équipements utilisés dans votre architecture, leur cycle de vie prévu et l'impact du remplacement de ces composants. Mettez en œuvre des modèles et des fonctionnalités logicielles qui minimisent la consommation d'énergie de l'appareil, réduisent la nécessité pour les clients de remplacer l'appareil et aussi de le mettre à niveau manuellement.
**Étapes d'implémentation**
+ Dressez l'inventaire des appareils utilisés dans votre architecture. Il peut s'agir d'appareils mobiles, de tablettes, d'appareils IoT, de lampes intelligentes ou même d'appareils intelligents dans une usine.
+ Optimisez l'application fonctionnant sur les appareils :
+ utilisez des stratégies telles que l'exécution de tâches en arrière-plan pour réduire leur consommation d'énergie.
+ Prenez en compte la bande passante et la latence du réseau lorsque vous créez des charges utiles et intégrez des capacités qui aident vos applications à fonctionner correctement sur des liens à faible bande passante et à latence élevée.
+ Convertissez les charges utiles et les fichiers dans les formats optimisés requis par les appareils. Par exemple, vous pouvez utiliser [Amazon Elastic Transcoder](https://docs.aws.amazon.com/elastic-transcoder/) ou [AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/) pour convertir des fichiers multimédias numériques volumineux et de haute qualité dans des formats que les utilisateurs peuvent lire sur des appareils mobiles, des tablettes, des navigateurs Web et des téléviseurs connectés.
+ Réalisez des activités gourmandes en calcul côté serveur (comme le rendu d'images) ou utilisez le streaming d'applications pour améliorer l'expérience utilisateur sur des appareils plus anciens.
+ Segmentez et paginez la sortie, en particulier, pour les séances interactives, afin de gérer les charges utiles et limiter les exigences en matière de stockage local.
+ Utilisez le mécanisme automatisé par voie hertzienne (OTA) pour déployer les mises à jour sur un ou plusieurs appareils.
+ Vous pouvez utiliser un [pipeline CI/CD](https://aws.amazon.com/blogs/mobile/build-a-cicd-pipeline-for-your-android-app-with-aws-services/) pour mettre à jour les applications mobiles.
+ Vous pouvez utiliser [AWS IoT Device Management](https://aws.amazon.com/iot-device-management/) pour gérer à distance les appareils connectés à grande échelle.
+ Pour tester les nouvelles fonctionnalités et les mises à jour, utilisez AWS Device Farm avec des ensembles représentatifs de matériel et itérez le développement pour maximiser les dispositifs pris en charge. Pour en savoir plus, consultez [SUS06-BP04 Utiliser des tests Device Farms gérés](sus_sus_dev_a5.md).
## Ressources
**Documents connexes :**
+ [Qu'est-ce qu'AWS Device Farm ?](https://docs.aws.amazon.com/devicefarm/latest/developerguide/welcome.html)
+ [Documentation Amazon AppStream 2.0](https://docs.aws.amazon.com/appstream2/)
+ [NICE DCV](https://docs.aws.amazon.com/dcv/)
+ [ OTA tutorial for updating firmware on devices running FreeRTOS ](https://docs.aws.amazon.com/freertos/latest/userguide/dev-guide-ota-workflow.html) (Tutoriel OTA pour la mise à jour du firmware sur les appareils fonctionnant sous FreeRTOS)
**Vidéos connexes :**
+ [Présentation d'AWS Device Farm](https://www.youtube.com/watch?v=UiJo_PEZkD4)
# SUS03-BP05 Utiliser des modèles logiciels et des architectures qui soutiennent au mieux l'accès aux données et les modèles de stockage.
Comprenez comment les données sont utilisées au sein de votre charge de travail, comment elles sont consommées par vos utilisateurs, transférées et stockées. Utilisez des modèles et des architectures logicielles qui prennent le mieux en charge l'accès et le stockage des données afin de minimiser les ressources de calcul, de mise en réseau et de stockage nécessaires pour supporter la charge de travail.
**Anti-modèles courants :**
+ Vous partez du principe que toutes les charges de travail ont des modèles de stockage de données et d'accès similaires.
+ Vous n'utilisez qu'un seul niveau de stockage, partant du principe que toutes les charges de travail s'intègrent dans ce niveau.
+ Vous partez du principe que les modèles d'accès aux données n'évolueront pas dans le temps.
+ Votre architecture prend en charge un potentiel pic important d'accès aux données, ce qui fait que les ressources restent inactives la plupart du temps.
**Avantages liés au respect de cette bonne pratique :** la sélection et l'optimisation de votre architecture en fonction des modèles d'accès et de stockage des données permettront de réduire la complexité du développement et d'augmenter l'utilisation globale. Savoir quand utiliser les tables globales, le partitionnement des données et la mise en cache vous aidera à réduire les frais généraux opérationnels et à évoluer en fonction des besoins de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Utilisez les modèles de logiciels et d'architecture qui correspondent le mieux aux caractéristiques de vos données et à vos modèles d'accès. Par exemple, utilisez [une architecture de données moderne sur AWS](https://aws.amazon.com/big-data/datalakes-and-analytics/modern-data-architecture/) qui vous permet d'utiliser des services spécialisés optimisés pour vos cas d'utilisation analytiques uniques. Ces modèles d'architecture permettent un traitement efficace des données et réduisent l'utilisation des ressources.
**Étapes d'implémentation**
+ Analysez les caractéristiques de vos données et les modèles d'accès afin d'identifier la bonne configuration pour vos ressources cloud. Les caractéristiques clés à prendre en considération sont les suivantes :
+ **Type de données :** structuré, semi-structuré, non structuré
+ **Croissance des données :** limitée, illimitée
+ **Durabilité des données :** persistantes, éphémères, temporaires
+ **Modèles d'accès** en lecture ou écriture, fréquence de mise à jour, irrégularité, constance
+ Utilisez les modèles d'architecture qui prennent le mieux en charge les modèles d'accès et de stockage des données.
+ [ Let's Architect\$1 Architectures de données modernes ](https://aws.amazon.com/blogs/architecture/lets-architect-modern-data-architectures/)
+ [ Bases de données sur AWS : le bon outil pour la bonne tâche ](https://www.youtube.com/watch?v=-pb-DkD6cWg)
+ Utilisez des technologies qui peuvent fonctionner en natif avec les données compressées.
+ Utilisez des [services d'analytique spécialisés](https://aws.amazon.com/big-data/datalakes-and-analytics/?nc2=h_ql_prod_an_a) pour le traitement des données dans votre architecture.
+ Utilisez le moteur de base de données qui prend le mieux en charge votre modèle de requête dominant. Gérez vos index de bases de données afin de garantir l'exécution efficace de vos requêtes. Pour plus de détails, consultez [Bases de données AWS](https://aws.amazon.com/products/databases/).
+ Sélectionnez des protocoles réseaux qui réduisent la quantité de capacité réseau consommée dans votre architecture.
## Ressources
**Documents connexes :**
+ [Formats de fichiers prenant en charge la compression Athena](https://docs.aws.amazon.com/athena/latest/ug/compression-formats.html)
+ [COPIE de formats de données en colonnes avec Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-copy-from-columnar.html)
+ [Conversion de votre format de registre d'entrée dans Firehose](https://docs.aws.amazon.com/firehose/latest/dev/record-format-conversion.html)
+ [Options de format pour les entrées et les sorties ETL dans AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-programming-etl-format.html)
+ [Améliorer la performance des requêtes sur Amazon Athena grâce à une conversion en formats de colonnes](https://docs.aws.amazon.com/athena/latest/ug/convert-to-columnar.html)
+ [Chargement de fichiers de données compressés depuis Amazon S3 vers Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/t_loading-gzip-compressed-data-files-from-S3.html)
+ [Surveillance de la charge de base de données avec Performance Insights sur Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)
+ [Surveillance de la charge de base de données avec Performance Insights sur Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)
+ [ Amazon S3 Intelligent-Tiering storage class ](https://aws.amazon.com/s3/storage-classes/intelligent-tiering/) (Classe de stockage Amazon S3 Intelligent-Tiering)
**Vidéos connexes :**
+ [ Building modern data architectures on AWS](https://www.youtube.com/watch?v=Uk2CqEt5f0o)
# Données
**Topics**
+ [SUS 4 Comment tirez-vous parti des politiques et des modèles de gestion des données pour soutenir vos objectifs de durabilité ?](sus-04.md)
# SUS 4 Comment tirez-vous parti des politiques et des modèles de gestion des données pour soutenir vos objectifs de durabilité ?
Mettez en œuvre des pratiques de gestion des données afin de réduire le stockage alloué nécessaire pour assurer votre charge de travail et les ressources nécessaires à son utilisation. Comprenez vos données et utilisez des technologies et des configurations de stockage qui soutiennent au mieux la valeur opérationnelle des données et leur utilisation. Adoptez un cycle de vie des données offrant un stockage plus efficace et moins performant quand les exigences baissent et supprimez les données qui ne sont plus nécessaires.
**Topics**
+ [SUS04-BP01 Mettre en œuvre une politique de classification des données](sus_sus_data_a2.md)
+ [SUS04-BP02 Utiliser les technologies qui prennent en charge les modèles d'accès aux données et les modèles de stockage](sus_sus_data_a3.md)
+ [SUS04-BP03 Utiliser des politiques pour gérer le cycle de vie de vos ensembles de données](sus_sus_data_a4.md)
+ [SUS04-BP04 Utiliser l'élasticité et l'automatisation pour étendre le stockage par blocs ou le système de fichiers](sus_sus_data_a5.md)
+ [SUS04-BP05 Supprimer les données inutiles ou redondantes](sus_sus_data_a6.md)
+ [SUS04-BP06 Utiliser des systèmes de fichiers partagés ou le stockage pour accéder aux données courantes](sus_sus_data_a7.md)
+ [SUS04-BP07 Réduire le mouvement des données entre les réseaux](sus_sus_data_a8.md)
+ [SUS04-BP08 Sauvegarder des données uniquement lorsqu'elles sont difficiles à recréer](sus_sus_data_a9.md)
# SUS04-BP01 Mettre en œuvre une politique de classification des données
Classifiez les données pour identifier leur criticité vis-à-vis des résultats opérationnels, et choisissez le niveau de stockage économe en énergie approprié pour stocker les données.
**Anti-modèles courants :**
+ Vous n'identifiez pas les ressources de données actuellement traitées ou stockées ayant des caractéristiques similaires (comme la sensibilité, la criticité métier ou les exigences réglementaires).
+ Vous n'avez pas implémentée de catalogue de données pour inventorier vos ressources de données.
**Avantages liés au respect de cette bonne pratique :** La mise en œuvre d'une politique de classification des données vous permet d'identifier le niveau de stockage le plus économe en énergie pour les données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
La classification des données implique d'identifier les types de données actuellement traitées ou stockées dans un système d'information détenu ou exploité par une organisation. Elle implique également de déterminer la criticité des données et l'impact possible d'une compromission, d'une perte ou d'une mauvaise utilisation de ces données.
Mettez en œuvre la politique de classification des données en partant de l'utilisation contextuelle des données et en créant un schéma de catégorisation qui prend en compte le niveau de criticité d'un jeu de données déterminé vis-à-vis des opérations d'une organisation.
**Étapes d'implémentation**
+ Procédez à l'inventaire des différents types de données qui existent pour votre charge de travail.
+ Pour en savoir plus sur les catégories de classification des données, consultez le [livre blanc Classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html).
+ Déterminez la criticité, la confidentialité, l'intégrité et la disponibilité des données en fonction du risque vis-à-vis de l'organisation. Prenez en compte ces exigences pour regrouper les données dans l'un des niveaux de classification des données que vous adoptez.
+ En guise d'exemple, consultez [Four simple steps to classify your data and secure your startup](https://aws.amazon.com/blogs/startups/four-simple-steps-to-classify-your-data-and-secure-your-startup/).
+ Auditez régulièrement votre environnement pour identifier les données non identifiées et non classifiées, puis classifiez et identifiez-les correctement.
+ En guise d'exemple, consultez [Catalogue de données et crawlers (logiciels d’indexation) dans AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html).
+ Établissez un catalogue de données qui propose des capacités d'audit et de gouvernance.
+ Déterminez et documentez les procédures de gestion pour chaque classe de données.
+ Faites appel à l'automatisation pour auditer de façon continue votre environnement à la recherche de données non identifiées et non classifiées, puis classifiez et identifiez ces données en bonne et due forme.
## Ressources
**Documents connexes :**
+ [Utilisation du AWS Cloud pour la prise en charge de la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/leveraging-aws-cloud-to-support-data-classification.html)
+ [Politiques de balises d'AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)
**Vidéos connexes :**
+ [ Enabling agility with data governance on AWS](https://www.youtube.com/watch?v=vznDgJkoH7k)
# SUS04-BP02 Utiliser les technologies qui prennent en charge les modèles d'accès aux données et les modèles de stockage
Utilisez les technologies de stockage qui prennent le mieux en charge l'accès à vos données et leur stockage pour limiter le provisionnement de ressources tout en soutenant votre charge de travail.
**Anti-modèles courants :**
+ Vous partez du principe que toutes les charges de travail ont des modèles de stockage de données et d'accès similaires.
+ Vous n'utilisez qu'un seul niveau de stockage, partant du principe que toutes les charges de travail s'intègrent dans ce niveau.
+ Vous partez du principe que les modèles d'accès aux données n'évolueront pas dans le temps.
**Avantages liés au respect de cette bonne pratique :** en choisissant et en optimisant vos technologies de stockage en fonction des modèles d'accès aux données et de stockage, vos besoins métier demanderont moins de ressources cloud et vous améliorerez l'efficace globale de votre charge de travail cloud.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Choisissez la solution de stockage la mieux adaptée à vos modèles d'accès ou envisagez de changer vos modèles d'accès en fonction de la solution de stockage pour optimiser les performances.
+ Évaluez les caractéristiques de vos données et votre modèle d'accès pour déterminer les caractéristiques clés de vos besoins de stockage. Les caractéristiques clés à prendre en considération sont les suivantes :
+ **Type de données :** structurées, semi-structurées, non structurées
+ **Croissance des données :** limitée, illimitée
+ **Durabilité des données :** persistantes, éphémères, transitoires
+ **Modèles d'accès :** lecture ou écriture, fréquence, irrégularité, constance
+ Procédez à la migration des données vers une technologie de stockage appropriée prenant en charge les caractéristiques de vos données ainsi que votre modèle d'accès. Voici quelques exemples de technologies de stockage AWS et leurs caractéristiques clés :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_data_a3.html)
+ Pour les systèmes de stockage à taille fixe, comme Amazon EBS ou Amazon FSx, surveillez l'espace de stockage disponible et automatisez l'allocation de stockage dès qu'un seuil est atteint. Vous pouvez utiliser Amazon CloudWatch pour collecter et analyser différentes métriques pour [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using_cloudwatch_ebs.html) et [Amazon FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/monitoring-cloudwatch.html).
+ Il est possible de configurer les classes de stockage Amazon S3 au niveau de l'objet, et un même compartiment peut contenir des objets stockés dans toutes les classes de stockage.
+ Vous pouvez également utiliser des stratégies de cycle de vie Amazon S3 pour faire passer automatiquement des objets d'une classe de stockage vers une autre ou supprimer des données sans aucune modification au niveau de l'application. Ces mécanismes de stockage vous imposent généralement de faire un compromis entre l'efficacité des ressources, la latence d'accès et la fiabilité.
## Ressources
**Documents connexes :**
+ [Types de volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html)
+ [Stockage d'instance Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html)
+ [Amazon S3 Intelligent-Tiering](https://docs.aws.amazon.com/AmazonS3/latest/userguide/intelligent-tiering.html)
+ [ Caractéristiques d'E/S Amazon EBS ](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ebs-io-characteristics.html)
+ [ Utilisation des classes de stockage Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)
+ [Qu'est-ce qu'Amazon Glacier ?](https://docs.aws.amazon.com/amazonglacier/latest/dev/introduction.html)
**Vidéos connexes :**
+ [Architectural Patterns for Data Lakes on AWS](https://www.youtube.com/watch?v=XpTly4XHmqc&ab_channel=AWSEvents)
+ [ Deep dive on Amazon EBS (STG303-R1) ](https://www.youtube.com/watch?v=wsMWANWNoqQ)
+ [ Optimize your storage performance with Amazon S3 (STG343) ](https://www.youtube.com/watch?v=54AhwfME6wI)
+ [ Building modern data architectures on AWS](https://www.youtube.com/watch?v=Uk2CqEt5f0o)
**Exemples connexes :**
+ [ Pilote CSI Amazon EFS ](https://github.com/kubernetes-sigs/aws-efs-csi-driver)
+ [ Pilote CSI Amazon EBS ](https://github.com/kubernetes-sigs/aws-ebs-csi-driver)
+ [ Utilitaires Amazon EFS ](https://github.com/aws/efs-utils)
+ [ Amazon EBS Autoscale ](https://github.com/awslabs/amazon-ebs-autoscale)
+ [ Exemples Amazon S3 ](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/s3-examples.html)
# SUS04-BP03 Utiliser des politiques pour gérer le cycle de vie de vos ensembles de données
Gérez le cycle de vie de toutes vos données et appliquez automatiquement la suppression pour réduire au minimum le stockage total requis pour votre charge de travail.
**Anti-modèles courants :**
+ Vous supprimez manuellement les données.
+ Vous ne supprimez aucune donnée de vos charges de travail.
+ Vous ne déplacez pas les données vers des niveaux de stockage plus écoénergétiques en fonction de leurs exigences de conservation et d'accès.
**Avantages liés au respect de cette bonne pratique :** l'utilisation de politiques de cycle de vie des données assure un accès et une conservation efficaces des données dans une charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Les exigences en matière de conservation et d'accès des jeux de données varient généralement au cours de leur cycle de vie. Par exemple, votre application peut nécessiter un accès fréquent à certains jeux de données pendant une période limitée. Après cela, ces jeux de données sont rarement consultés.
Pour gérer efficacement vos jeux de données tout au long de leur cycle de vie, configurez les politiques de cycle de vie, des règles qui définissent la gestion de vos jeux de données.
Avec les règles de configuration du cycle de vie, vous pouvez demander au service de stockage spécifique de transférer un jeu de données vers des niveaux de stockage plus écoénergétiques, de l'archiver ou de le supprimer.
**Étapes d'implémentation**
+ [Classifiez les jeux de données dans votre charge de travail.](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/sus_sus_data_a2.html)
+ Définissez les procédures de gestion pour chaque classe de données.
+ Définissez des politiques de cycle de vie automatisées pour appliquer des règles de cycle de vie. Voici quelques exemples de la configuration des politiques de cycle de vie automatisé pour différents services de stockage AWS :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_data_a4.html)
+ Supprimez les volumes, les instantanés et les données inutilisés qui dépassent leur période de conservation. Utilisez des fonctionnalités de service natives telles que la durée de vie Amazon DynamoDB ou la conservation de journal Amazon CloudWatch pour la suppression.
+ Regroupez et compressez les données le cas échéant en fonction des règles de cycle de vie.
## Ressources
**Documents connexes :**
+ [Optimize your Amazon S3 Lifecycle rules with Amazon S3 Storage Class Analysis (Optimiser vos règles de cycle de vie Amazon S3 avec Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/analytics-storage-class.html)
+ [Evaluating Resources with AWS Config Rules (Évaluation des ressources avec les règles AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
**Vidéos connexes :**
+ [Simplify Your Data Lifecycle and Optimize Storage Costs With Amazon S3 Lifecycle](https://www.youtube.com/watch?v=53eHNSpaMJI)
+ [ Reduce Your Storage Costs Using Amazon S3 Storage Lens ](https://www.youtube.com/watch?v=A8qOBLM6ITY)
# SUS04-BP04 Utiliser l'élasticité et l'automatisation pour étendre le stockage par blocs ou le système de fichiers
Utilisez l'élasticité et l'automatisation pour étendre le stockage par blocs ou le système de fichiers au fur et à mesure que le volume de données augmente afin de minimiser le stockage total provisionné.
**Anti-modèles courants :**
+ Vous provisionnez un grand bloc de stockage ou un grand système de fichiers pour vos besoins futurs.
+ Vous surprovisionnez les opérations d'entrée et de sortie par seconde (IOPS) de votre système de fichiers.
+ Vous ne contrôlez pas l'utilisation de vos volumes de données.
**Avantages liés au respect de cette bonne pratique :** minimiser le provisionnement excessif du système de stockage réduit les ressources inutilisées et améliore l'efficacité globale de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Créez des systèmes de stockage par blocs et des systèmes de fichiers avec une allocation de taille, un débit et une latence adaptés à votre charge de travail. Utilisez l'élasticité et l'automatisation pour étendre le stockage par blocs ou le système de fichiers en fonction de la croissance des données sans avoir à provisionner ces services de stockage de manière excessive.
**Étapes d'implémentation**
+ Pour le stockage à taille fixe, comme par exemple [Amazon EBS](https://aws.amazon.com/ebs/), vérifiez que vous surveillez la quantité de stockage utilisée par rapport à la taille globale du stockage et créez une automatisation, si possible, pour augmenter la taille du stockage lorsqu'un seuil est atteint.
+ Utilisez des volumes Elastic et des services de données par bloc gérés pour automatiser l'allocation de stockage supplémentaire à mesure que vos données persistantes augmentent. Par exemple, vous pouvez utiliser les[Volumes Amazon EBS Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modify-volume.html) pour modifier la taille et le type de volume, ou ajuster les performances de vos volumes Amazon EBS.
+ Choisissez la bonne classe de stockage, le bon mode de performance et le mode de débit adapté à votre système de fichiers afin de répondre aux besoins de votre entreprise, sans les dépasser.
+ [Performances Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/performance.html)
+ [ Performances des volumes Amazon EBS sur les instances Linux ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSPerformance.html)
+ Définissez des niveaux cibles d'utilisation des volumes de données et redimensionnez les volumes en dehors des plages attendues.
+ Dimensionnez correctement les volumes en lecture seule en fonction des données.
+ Migrez les données vers des magasins d'objets pour éviter d'allouer la capacité excédentaire des tailles de volume fixes vers le stockage par bloc.
+ Examinez régulièrement les volumes Elastic et les systèmes de fichiers pour mettre fin aux volumes inutilisés et réduire les ressources surprovisionnées pour les adapter à la taille actuelle des données.
## Ressources
**Documents connexes :**
+ [Documentation Amazon FSx](https://docs.aws.amazon.com/fsx/index.html)
+ [Qu'est-ce qu'Amazon Elastic File System ?](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html)
**Vidéos connexes :**
+ [ Deep Dive on Amazon EBS Elastic Volumes ](https://www.youtube.com/watch?v=Vi_1Or7QuOg) [Découverte approfondie d'Elastic Block Storage (Amazon EBS)]
+ [ Amazon EBS and Snapshot Optimization Strategies for Better Performance and Cost Savings ](https://www.youtube.com/watch?v=h1hzRCsJefs) (Stratégies d'optimisation d'Amazon EBS et des instantanés pour de meilleures performances et des économies de coûts)
+ [ Optimiser Amazon EFS en matière de coût et de performance, à l'aide des bonnes pratiques ](https://www.youtube.com/watch?v=9kfeh6_uZY8)
# SUS04-BP05 Supprimer les données inutiles ou redondantes
Supprimez les données inutiles ou redondantes pour minimiser les ressources de stockage requises pour stocker vos jeux de données.
**Anti-modèles courants :**
+ Vous dupliquez des données qui peuvent être facilement obtenues ou recréées.
+ Vous sauvegardez toutes les données sans tenir compte de leur criticité.
+ Vous ne supprimez les données que de façon irrégulière, sur les événements opérationnels ou pas du tout.
+ Vous stockez les données de manière redondante, quelle que soit la durabilité du service de stockage.
+ Vous activez la gestion des versions Amazon S3 sans justification professionnelle.
**Avantages liés au respect de cette pratique :** la suppression des données inutiles réduit la taille de stockage requise pour votre charge de travail et l'impact environnemental de la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Ne stockez pas les données dont vous n'avez pas besoin. Automatisez la suppression des données inutiles. Utilisez des technologies qui dédupliquent les données au niveau du fichier et du bloc. Utilisez la réplication des données native et les fonctionnalités de redondance des services.
**Étapes d'implémentation**
+ Évaluez si vous pouvez éviter de stocker les données en utilisant des jeux de données disponibles pour le public dans [AWS Data Exchange](https://aws.amazon.com/data-exchange/) et [des données ouvertes sur AWS](https://registry.opendata.aws/).
+ Utilisez des mécanismes qui peuvent dédupliquer les données au niveau du bloc et de l'objet. Voici quelques exemples de déduplication des données sur AWS :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_data_a6.html)
+ Analysez l'accès aux données pour identifier les données inutiles. Automatisez les politiques de cycle de vie. Utilisez des fonctionnalités de service natives telles que [la durée de vie Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html), [le cycle de vie Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) ou [la conservation des journaux Amazon CloudWatch](https://docs.aws.amazon.com/managedservices/latest/userguide/log-customize-retention.html) pour la suppression.
+ Utilisez les capacités de virtualisation des données sur AWS afin de maintenir les données à leur source et d'éviter leur duplication.
+ [Virtualisation des données natives du cloud sur AWS](https://www.youtube.com/watch?v=BM6sMreBzoA)
+ [Lab: Optimize Data Pattern Using Amazon Redshift Data Sharing (Atelier : optimiser le modèle de données à l'aide du partage de données)](https://wellarchitectedlabs.com/sustainability/300_labs/300_optimize_data_pattern_using_redshift_data_sharing/)
+ Utilisez une technologie de sauvegarde qui peut réaliser des sauvegardes incrémentielles.
+ Utilisez la durabilité de [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) et [la réplication d'Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volumes.html) pour atteindre vos objectifs de durabilité au lieu des technologies autogérées (comme un tableau redondant de disques indépendants (RAID)).
+ Centralisez les données de journalisation et de suivi, dédupliquez les entrées de journal identiques et établissez des mécanismes pour ajuster le niveau d'informations transmises, le cas échéant.
+ Préremplissez les caches uniquement lorsque cela est justifié.
+ Établissez la surveillance et l'automatisation des caches pour redimensionner correctement les caches.
+ Supprimez les déploiements et les ressources obsolètes des magasins d'objets et des caches périphériques lors de la transmission des nouvelles versions de votre charge de travail.
## Ressources
**Documents connexes :**
+ [Modification de la conservation des données de journaux dans CloudWatch Logs](https://docs.aws.amazon.com/Amazon/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)
+ [Data deduplication on Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/using-data-dedup.html)(Déduplication des données sur Amazon Fsx for Windows File Server)
+ [Features of Amazon FSx for ONTAP including data deduplication (Fonctions d'Amazon FSx pour ONTAP qui incluent la déduplication des données)](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html#features-overview)
+ [Invalidation de fichiers sur Amazon CloudFront](https://docs.aws.amazon.com/Amazon/latest/DeveloperGuide/Invalidation.html)
+ [Using AWS Backup to back up and restore Amazon EFS file systems (Utilisation d'AWS Backup pour sauvegarder et restaurer les systèmes de fichiers Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)
+ [Qu'est-ce qu'Amazon CloudWatch Logs ?](https://docs.aws.amazon.com/Amazon/latest/logs/WhatIsLogs.html)
+ [Utilisation des sauvegardes sur Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)
**Vidéos connexes :**
+ [Fuzzy Matching and Deduplicating Data with ML Transforms for AWS Lake Formation](https://www.youtube.com/watch?v=g34xUaJ4WI4)
**Exemples connexes :**
+ [Comment analyser les journaux d'accès au serveur Amazon S3 à l'aide d'Amazon Athena ?](https://aws.amazon.com/premiumsupport/knowledge-center/analyze-logs-athena/)
# SUS04-BP06 Utiliser des systèmes de fichiers partagés ou le stockage pour accéder aux données courantes
Adoptez des systèmes de fichiers ou de stockage partagés pour éviter la duplication des données et permettre une infrastructure plus efficace pour votre charge de travail.
**Anti-modèles courants :**
+ Vous mettez en service le stockage pour chaque client individuel.
+ Vous ne détachez pas le volume de données des clients inactifs.
+ Vous ne fournissez pas d'accès au stockage pour les plateformes et les systèmes.
**Avantages liés au respect de cette bonne pratique :** l'utilisation de systèmes de fichiers ou de stockage partagés permet de partager des données à un ou plusieurs consommateurs sans avoir à copier les données. Cela permet de réduire les ressources de stockage nécessaires à la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Si plusieurs utilisateurs ou applications accèdent aux mêmes jeux de données, l'utilisation de la technologie de stockage partagé est cruciale pour mettre en œuvre une infrastructure efficace pour votre charge de travail. La technologie de stockage partagé fournit un emplacement central pour stocker et gérer les jeux de données et éviter la duplication des données. Elle assure également la cohérence des données entre les différents systèmes. En outre, la technologie de stockage partagé permet d'utiliser plus efficacement la puissance de calcul, car plusieurs ressources informatiques peuvent accéder aux données et les traiter simultanément en parallèle.
Ne récupérez les données de ces services de stockage partagé qu'en fonction des besoins et détachez les volumes inutilisés pour libérer des ressources.
**Étapes d'implémentation**
+ Migrez les données vers le stockage partagé lorsque les données ont plusieurs consommateurs. Voici quelques exemples de technologie de stockage partagé sur AWS :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_data_a7.html)
+ Copiez des données vers ou récupérez des données depuis des systèmes de fichiers partagés uniquement si nécessaire. Par exemple, vous pouvez créer un [système de fichiers Amazon FSx for Lustre soutenu par Amazon S3](https://aws.amazon.com/blogs/storage/new-enhancements-for-moving-data-between-amazon-fsx-for-lustre-and-amazon-s3/) et ne charger que le sous-ensemble de données nécessaires au traitement des tâches vers Amazon FSx.
+ Supprimez les données selon vos modèles d'utilisation, comme indiqué dans [SUS04-BP03 Utiliser des politiques pour gérer le cycle de vie de vos ensembles de données](sus_sus_data_a4.md).
+ Détachez les volumes des clients qui ne les utilisent pas activement.
## Ressources
**Documents connexes :**
+ [ Linking your file system to an Amazon S3 bucket ](https://docs.aws.amazon.com/fsx/latest/LustreGuide/create-dra-linked-data-repo.html) (Liaison de votre système de fichiers à un compartiment S3)
+ [ Using Amazon EFS for AWS Lambda in your serverless applications ](https://aws.amazon.com/blogs/compute/using-amazon-efs-for-aws-lambda-in-your-serverless-applications/) (Utilisation d'Amazon EFS pour AWS Lambda dans vos applications sans serveur)
+ [ Amazon EFS Intelligent-Tiering Optimizes Costs for Workloads with Changing Access Patterns ](https://aws.amazon.com/blogs/aws/new-amazon-efs-intelligent-tiering-optimizes-costs-for-workloads-with-changing-access-patterns/) (Amazon EFS Intelligent-Tiering optimise les coûts pour les charges de travail avec des modèles d'accès évolutifs)
+ [ Using Amazon FSx with your on-premises data repository ](https://docs.aws.amazon.com/fsx/latest/LustreGuide/fsx-on-premises.html) (Utilisation d'Amazon FSx avec votre référentiel de données sur site)
**Vidéos connexes :**
+ [ Optimisation des coûts de stockage avec Amazon EFS ](https://www.youtube.com/watch?v=0nYAwPsYvBo)
# SUS04-BP07 Réduire le mouvement des données entre les réseaux
Utilisez des systèmes de fichiers partagés ou un stockage objet pour accéder aux données communes et minimiser les ressources réseau totales requises pour prendre en charge le déplacement des données de votre charge de travail.
**Anti-modèles courants :**
+ Vous stockez toutes les données dans la même Région AWS, indépendamment de l'endroit où se trouvent les utilisateurs des données.
+ Vous n'optimisez ni la taille ni le format des données avant de les déplacer sur le réseau.
**Avantages liés au respect de cette bonne pratique :** L'optimisation du déplacement des données sur le réseau réduit les ressources réseau totales nécessaires à la charge de travail et diminue son impact environnemental.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Le déplacement des données dans votre entreprise nécessite des ressources de calcul, de réseau et de stockage. Utilisez des techniques pour minimiser les déplacements de données et améliorer l'efficacité globale de votre charge de travail.
## Étapes d'implémentation
+ Considérez la proximité des données ou des utilisateurs comme un facteur de décision lors de la [sélection d'une région pour votre charge de travail](https://aws.amazon.com/blogs/architecture/how-to-select-a-region-for-your-workload-based-on-sustainability-goals/).
+ Divisez les services consommés par région afin que les données spécifiques à une région soient stockées dans celle où elles sont consommées.
+ Utilisez des formats de fichiers efficaces (tels que Parquet ou ORC) et compressez les données avant de les déplacer sur le réseau.
+ Ne déplacez pas les données inutilisées. Voici quelques exemples qui peuvent vous aider à éviter de déplacer des données inutilisées :
+ Réduisez les réponses de l'API aux seules données pertinentes.
+ Agrégez les données lorsqu'elles sont détaillées (les informations au niveau de l'enregistrement ne sont pas requises).
+ Consultez [Atelier Well-Architected : optimiser le modèle de données à l'aide du partage de données Amazon Redshift](https://wellarchitectedlabs.com/sustainability/300_labs/300_optimize_data_pattern_using_redshift_data_sharing/).
+ Envisagez [le partage de données entre comptes dans AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html).
+ Utilisez des services qui peuvent vous aider à exécuter du code au plus près des utilisateurs de votre charge de travail.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_data_a8.html)
## Ressources
**Documents connexes :**
+ [Optimisation de votre infrastructure AWS pour la durabilité, partie 3 : mise en réseau](https://aws.amazon.com/blogs/architecture/optimizing-your-aws-infrastructure-for-sustainability-part-iii-networking/)
+ [Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
+ [Fonctionnalités clés d'Amazon CloudFront, y compris le réseau périphérique mondial CloudFront](https://aws.amazon.com/cloudfront/features/)
+ [Compression des requêtes HTTP dans Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/gzip.html)
+ [Compression intermédiaire de données avec Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-output-compression.html#HadoopIntermediateDataCompression)
+ [Chargement de fichiers de données compressés depuis Amazon S3 vers Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/t_loading-gzip-compressed-data-files-from-S3.html)
+ [Diffusion de fichiers compressés avec Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/ServingCompressedFiles.html)
**Vidéos connexes :**
+ [ Demystifying data transfer on AWS](https://www.youtube.com/watch?v=-MqXgzw1IGA)
**Exemples connexes :**
+ [ Une architecture axée sur la durabilité : réduisez les mouvements de données sur les réseaux ](https://catalog.us-east-1.prod.workshops.aws/workshops/7c4f8394-8081-4737-aa1b-6ae811d46e0a/en-US)
# SUS04-BP08 Sauvegarder des données uniquement lorsqu'elles sont difficiles à recréer
Évitez de sauvegarder les données qui n'ont aucune valeur commerciale afin de minimiser les besoins en ressources de stockage pour votre charge de travail.
**Anti-modèles courants :**
+ Vous n'avez aucune stratégie de sauvegarde en place pour vos données.
+ Vous sauvegardez des données qui peuvent être facilement recréées.
**Avantages liés au respect de cette bonne pratique :** le fait d'éviter la sauvegarde de données non critiques réduit les ressources de stockage nécessaires à la charge de travail et diminue son impact environnemental.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Le fait d'éviter la sauvegarde de données inutiles peut contribuer à réduire les coûts et les ressources de stockage utilisées par la charge de travail. Sauvegardez uniquement les données ayant une valeur opérationnelle ou nécessaires pour répondre aux exigences en matière de conformité. Examinez les politiques de sauvegarde et excluez tout magasin éphémère n'apportant aucune valeur dans un scénario de récupération.
**Étapes d'implémentation**
+ Mettez en œuvre la politique de classification des données comme indiqué dans [SUS04-BP01 Mettre en œuvre une politique de classification des données](sus_sus_data_a2.md).
+ Utilisez la criticité de la classification de vos données et concevez une stratégie de sauvegarde basée sur votre [objectif de délai de reprise (RTO) et votre objectif de point de reprise (RPO)](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_planning_for_recovery_objective_defined_recovery.html). Évitez de sauvegarder les données non critiques.
+ Excluez les données qui peuvent être facilement recréées.
+ Excluez les données éphémères de vos sauvegardes.
+ Excluez les copies locales des données, sauf si le temps nécessaire pour restaurer ces données à partir d'un emplacement commun dépasse vos accords de niveau de service (SLA).
+ Utilisez une solution automatisée ou un service géré pour sauvegarder les données essentielles à l'entreprise.
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) est un service entièrement géré qui permet de centraliser et d'automatiser facilement la protection des données entre les services AWS, dans le cloud et sur site. Pour obtenir des conseils pratiques sur la façon de créer des sauvegardes automatisées à l'aide de AWS Backup, consultez [Well-Architected Labs - Testing Backup and Restore of Data](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/) (Ateliers Well-Architected : test de sauvegarde et de restauration des données).
+ [Automate backups and optimize backup costs for Amazon EFS using AWS Backup](https://aws.amazon.com/blogs/storage/automating-backups-and-optimizing-backup-costs-for-amazon-efs-using-aws-backup/) (Automatisation des sauvegardes et optimisation des coûts de sauvegarde pour Amazon EFS avec AWS Backup).
## Ressources
**Bonnes pratiques associées :**
+ [REL09-BP01 Identifier et sauvegarder toutes les données qui doivent être sauvegardées, ou reproduire les données à partir de sources](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_identified_backups_data.html)
+ [REL09-BP03 Effectuer automatiquement la sauvegarde des données](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html)
+ [REL13-BP02 Utiliser des stratégies de reprise définies pour répondre aux objectifs de reprise](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_planning_for_recovery_disaster_recovery.html)
**Documents connexes :**
+ [Using AWS Backup to back up and restore Amazon EFS file systems (Utilisation d'AWS Backup pour sauvegarder et restaurer les systèmes de fichiers Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)
+ [Instantanés Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
+ [Utilisation des sauvegardes sur Amazon Relational Database Service](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)
+ [Partenaire APN : partenaires pouvant faciliter la sauvegarde](https://partners.amazonaws.com/search/partners?keyword=Backup)
+ [AWS Marketplace : produits pouvant être utilisés pour la sauvegarde ](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [ Sauvegarde d'Amazon EFS ](https://docs.aws.amazon.com/efs/latest/ug/efs-backup-solutions.html)
+ [ Sauvegarde d'Amazon FSx for Windows File Server ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/using-backups.html)
+ [ Sauvegarde et restauration pour Amazon ElastiCache (Redis OSS) ](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)
**Vidéos connexes :**
+ [AWS re:Invent 2021 - Backup, disaster recovery, and ransomware protection with AWS](https://www.youtube.com/watch?v=Ru4jxh9qazc) (AWS re:Invent 2021 - Sauvegarde, reprise après sinistre et protection contre les rançongiciels avec AWS)
+ [AWS Backup Demo: Cross-Account and Cross-Region Backup ](https://www.youtube.com/watch?v=dCy7ixko3tE) (Démonstration de la sauvegarde AWS : sauvegarde intercompte et inter-régions)
+ [AWS re:Invent 2019: Deep dive on AWS Backup, ft. (AWS re:Invent 2019 : immersion dans AWS Backup, ft.) Rackspace (STG341) ](https://www.youtube.com/watch?v=av8DpL0uFjc)
**Exemples connexes :**
+ [ Atelier Well-Architected : test de la sauvegarde et de la restauration de données ](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
+ [ Atelier Well-Architected : sauvegarde et restauration avec basculement automatique pour la charge de travail d'analyse ](https://wellarchitectedlabs.com/reliability/200_labs/200_backup_restore_failback_analytics/)
+ [ Atelier Well-Architected : reprise après sinistre - sauvegarde et restauration ](https://wellarchitectedlabs.com/reliability/disaster-recovery/workshop_1/)
# Matériel et services
**Topics**
+ [SUS 5 Comment choisissez-vous et utilisez-vous le matériel et les services du cloud dans votre architecture pour soutenir vos objectifs de durabilité ?](sus-05.md)
# SUS 5 Comment choisissez-vous et utilisez-vous le matériel et les services du cloud dans votre architecture pour soutenir vos objectifs de durabilité ?
Recherchez des possibilités de réduire les impacts en matière de durabilité de la charge de travail en modifiant vos pratiques de gestion du matériel. Réduisez la quantité de matériel nécessaire à allouer et à déployer, et sélectionnez le matériel et les services les plus efficaces pour votre charge de travail individuelle.
**Topics**
+ [SUS05-BP01 Utiliser la quantité minimale de matériel pour répondre à vos besoins](sus_sus_hardware_a2.md)
+ [SUS05-BP02 Utiliser des types d'instance ayant le moins d'impact](sus_sus_hardware_a3.md)
+ [SUS05-BP03 Utiliser des services gérés](sus_sus_hardware_a4.md)
+ [SUS05-BP04 Optimiser votre utilisation des accélérateurs de calcul matériels](sus_sus_hardware_a5.md)
# SUS05-BP01 Utiliser la quantité minimale de matériel pour répondre à vos besoins
Utilisez la quantité minimale de matériel pour votre charge de travail afin de répondre efficacement aux besoins de votre entreprise.
**Anti-modèles courants :**
+ Vous ne surveillez pas l'utilisation des ressources.
+ Vous disposez de ressources avec un faible niveau d'utilisation dans votre architecture.
+ Vous n'examinez pas l'utilisation du matériel statique pour déterminer s'il doit être redimensionné.
+ Vous ne fixez pas d'objectifs d'utilisation du matériel pour votre infrastructure informatique en fonction des indicateurs clés de performance de l'entreprise.
**Avantages liés au respect de cette bonne pratique :** le redimensionnement de vos ressources cloud permet de réduire l'impact environnemental d'une charge de travail, d'économiser de l'argent et de maintenir les références de performance.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Sélectionnez de manière optimale le nombre total de composants matériels requis pour votre charge de travail afin d'améliorer son efficacité globale. Le AWS Cloud vous apporte la flexibilité dont vous avez besoin pour développer ou réduire le nombre de ressources de manière dynamique par le biais de divers mécanismes, tels que [AWS Auto Scaling](https://aws.amazon.com/autoscaling/), et de répondre aux variations de la demande. Il fournit également des [API et des kits SDK](https://aws.amazon.com/developer/tools/) qui permettent de modifier les ressources avec un minimum d'effort. Utilisez ces capacités pour apporter des modifications fréquentes à vos mises en œuvre de charges de travail. En outre, utilisez les directives de redimensionnement des outils AWS pour exploiter efficacement votre ressource cloud et répondre aux besoins de votre entreprise.
**Étapes d'implémentation**
+ Choisissez le type d'instances qui correspond le mieux à vos besoins.
+ [Comment choisir le type d'instance Amazon EC2 EC2 approprié pour mon application ?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-instance-choose-type-for-workload/)
+ [ Sélection de type d'instance basée sur des attributs pour la flotte Amazon EC2. ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-fleet-attribute-based-instance-type-selection.html)
+ [Créer un groupe Auto Scaling en utilisant la sélection du type d'instance basée sur des attributs. ](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-instance-type-requirements.html)
+ Diminuez les charges de travail variables par petits paliers.
+ Utilisez plusieurs options d'achat de calcul afin d'équilibrer la flexibilité, la capacité de mise à l'échelle et la réduction des coûts des instances.
+ Les [instances à la demande](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-on-demand-instances.html) sont les mieux adaptées aux charges de travail nouvelles, à état constant et fluctuantes qui ne peuvent pas être flexibles en termes de type d'instance, de lieu ou de temps.
+ Les [instances Spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-spot-instances.html) sont un excellent moyen de compléter les autres options pour les applications qui sont tolérantes aux pannes et flexibles.
+ Tirez parti des [Compute Savings Plans](https://aws.amazon.com/savingsplans/compute-pricing/) pour les charges de travail stables qui permettent une certaine flexibilité si vos besoins (comme une AZ, une région, des familles d'instances ou des types d'instances) changent.
+ Utilisez la diversité des instances et des zones de disponibilité pour maximiser la disponibilité des applications et tirer parti de la capacité excédentaire lorsque cela est possible.
+ Utilisez les recommandations de redimensionnement des outils AWS pour faire des ajustements sur votre charge de travail.
+ [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)
+ Négociez des SLA qui permettent une réduction temporaire de la capacité, et laissez l'automatisation déployer des ressources de remplacement.
## Ressources
**Documents connexes :**
+ [Optimisation de votre infrastructure AWS pour la durabilité, partie 1 : calcul ](https://aws.amazon.com/blogs/architecture/optimizing-your-aws-infrastructure-for-sustainability-part-i-compute/)
+ [Sélection de type d'instance basée sur des attributs pour Auto Scaling pour la flotte Amazon EC2 ](https://aws.amazon.com/blogs/aws/new-attribute-based-instance-type-selection-for-ec2-auto-scaling-and-ec2-fleet/)
+ [Documentation Optimiseur de calcul AWS](https://docs.aws.amazon.com/compute-optimizer/index.html)
+ [Utilisation de Lambda : optimisation de la performance](https://aws.amazon.com/blogs/compute/operating-lambda-performance-optimization-part-2/)
+ [Documentation sur la scalabilité automatique](https://docs.aws.amazon.com/autoscaling/index.html)
**Vidéos connexes :**
+ [Concevoir un environnement de calcul rentable, économe en énergie et en ressources](https://www.youtube.com/watch?v=8zsC5e1eLCg)
**Exemples connexes :**
+ [Well-Architected Lab: Rightsizing with Optimiseur de calcul AWS and Memory Utilization Enabled (Level 200)](https://www.wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/5_ec2_computer_opt/) [Atelier Well-Architected : dimensionnement avec activation de Compute Optimizer et de l'utilisation de la mémoire (niveau 200)]
# SUS05-BP02 Utiliser des types d'instance ayant le moins d'impact
Contrôlez et utilisez en permanence de nouveaux types d'instances pour tirer parti des améliorations de l'efficacité énergétique.
**Anti-modèles courants :**
+ Vous n'utilisez qu'une seule famille d'instances.
+ Vous n'utilisez que des instances x86.
+ Vous spécifiez un type d'instance dans votre configuration Amazon EC2 Auto Scaling.
+ Vous utilisez des instances AWS de manière non conforme à leur utilisation prévue (par exemple, vous utilisez des instances optimisées pour le calcul pour une charge de travail exigeante en mémoire).
+ Vous n'évaluez pas régulièrement de nouveaux types d'instance.
+ Vous ne vérifiez pas les recommandations des outils de redimensionnement AWS tels que [Optimiseur de calcul AWS.](https://aws.amazon.com/compute-optimizer/)
**Avantages liés au respect de cette bonne pratique :** En utilisant des instances économes en énergie et dimensionnées, vous pouvez grandement réduire l'impact sur l'environnement et le coût de votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
L'utilisation d'instances efficaces dans les charges de travail du cloud est cruciale pour réduire l'utilisation des ressources et pour une meilleure rentabilité. Contrôlez de façon continue le lancement de nouveaux types d'instances et profitez d'améliorations de l'efficacité énergétique, dont ces types d'instances conçus pour soutenir des charges de travail spécifiques comme l'entraînement et l'inférence du machine learning et le transcodage vidéo.
## Étapes d'implémentation
+ Découvrez et explorez les types d'instance capables de réduire l'impact sur l'environnement de votre charge de travail.
+ Abonnez-vous à [Nouveautés AWS](https://aws.amazon.com/new/) pour vous tenir informé des dernières technologies et instances AWS.
+ Découvrez les différents types d'instance AWS.
+ Découvrez les instances AWS basées sur Graviton qui offrent les meilleures performances en matière de consommation énergétique dans Amazon EC2 en regardant [re:Invent 2020 - Deep dive on AWS Graviton2 processor-powered Amazon EC2 instances](https://www.youtube.com/watch?v=NLysl0QvqXU) et [Deep dive into AWS Graviton3 and Amazon EC2 C7g instances](https://www.youtube.com/watch?v=WDKwwFQKfSI&ab_channel=AWSEvents).
+ Planifiez et migrez votre charge de travail vers les types d'instance avec le moins d'impact.
+ Définissez un processus pour évaluer les nouvelles fonctionnalités ou instances pour votre charge de travail. Profitez de l'agilité du cloud pour tester rapidement en quoi les nouveaux types d'instance peuvent améliorer la durabilité environnementale de votre charge de travail. Utilisez des métriques de proxy pour mesurer le nombre de ressources nécessaires pour mener à bien une unité de travail.
+ Si possible, modifiez votre charge de travail pour qu'elle fonctionne avec différents nombres de processeurs et différentes quantités de mémoire afin de maximiser votre choix de type d'instance.
+ Envisagez de migrer votre charge de travail vers des instances basées sur Graviton pour améliorer l'efficacité des performances de votre charge de travail.
+ [AWS Graviton Fast Start](https://aws.amazon.com/ec2/graviton/fast-start/)
+ [Éléments à considérer lors de la migration des charges de travail vers les instances AWS basées sur Amazon Elastic Compute Cloud Graviton](https://github.com/aws/aws-graviton-getting-started/blob/main/transition-guide.md)
+ [AWS Graviton2 for ISVs](https://docs.aws.amazon.com/whitepapers/latest/aws-graviton2-for-isv/welcome.html)
+ Envisagez de sélectionner l'option AWS Graviton lorsque vous utilisez des [services gérés par AWS.](https://github.com/aws/aws-graviton-getting-started/blob/main/managed_services.md)
+ Migrez votre charge de travail vers des régions qui offrent des instances ayant un impact moindre en matière de durabilité et qui répondent à vos exigences métier.
+ Pour les charges de travail de machine learning, tirez parti d'un matériel conçu spécialement pour votre charge de travail, comme [AWS Trainium](https://aws.amazon.com/machine-learning/trainium/), [AWS Inferentia](https://aws.amazon.com/machine-learning/inferentia/)et [Amazon EC2 DL1.](https://aws.amazon.com/ec2/instance-types/dl1/) Les instances AWS Inferentia telles que les instances Inf2 offrent des performances par watt jusqu'à 50 % supérieures à celles des instances Amazon EC2 comparables.
+ Utilisez [Amazon SageMaker AI Inference Recommender](https://docs.aws.amazon.com/sagemaker/latest/dg/inference-recommender.html) pour redimensionner le point de terminaison de l'inférence de machine learning.
+ Pour les pics de charges de travail (charges de travail aux besoins de capacité supplémentaire irréguliers), utilisez des [instances à performances extensibles.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/burstable-performance-instances.html)
+ Pour les charges de travail sans état et tolérantes aux pannes, utilisez [des instances Spot Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-spot-instances.html) pour augmenter l'utilisation globale du cloud et réduire l'impact en matière de durabilité des ressources inutilisées.
+ Exploitez et optimisez votre instance de charge de travail.
+ Pour les charges de travail éphémères, évaluez les [métriques d'instance Amazon CloudWatch](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html#ec2-cloudwatch-metrics) telles que `CPUUtilization` pour identifier si l'instance est inactive ou sous-exploitée.
+ Pour les charges de travail stables, vérifiez les outils de redimensionnement AWS tels que [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/) à intervalles réguliers pour identifier les possibilités d'optimiser et de redimensionner les instances.
+ [ Atelier Well-Architected : recommandations de redimensionnement ](https://wellarchitectedlabs.com/cost/100_labs/100_aws_resource_optimization/)
+ [ Atelier Well-Architected : redimensionnement avec Compute Optimizer ](https://wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/)
+ [ Atelier Well-Architected : optimiser les modèles matériels et observer les indicateurs de performance clés de durabilité ](https://wellarchitectedlabs.com/sustainability/200_labs/200_optimize_hardware_patterns_observe_sustainability_kpis/)
## Ressources
**Documents connexes :**
+ [Optimisation de votre infrastructure AWS pour la durabilité, partie 1 : calcul](https://aws.amazon.com/blogs/architecture/optimizing-your-aws-infrastructure-for-sustainability-part-i-compute/)
+ [AWS Graviton](https://aws.amazon.com/ec2/graviton/)
+ [Amazon EC2 DL1](https://aws.amazon.com/ec2/instance-types/dl1/)
+ [Parcs de réserve de capacité Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/cr-fleets.html)
+ [Parc d'instances Spot Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-fleet.html)
+ [Fonctions : configuration des fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html#function-configuration)
+ [ Sélection de type d'instance basée sur des attributs pour la flotte Amazon EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-fleet-attribute-based-instance-type-selection.html)
+ [Création d'applications durables, efficaces et optimisées en termes de coûts sur AWS](https://aws.amazon.com/blogs/compute/building-sustainable-efficient-and-cost-optimized-applications-on-aws/)
+ [ Comment le tableau de bord de durabilité de Contino aide les clients à optimiser leur empreinte carbone ](https://aws.amazon.com/blogs/apn/how-the-contino-sustainability-dashboard-helps-customers-optimize-their-carbon-footprint/)
**Vidéos connexes :**
+ [Deep dive on AWS Graviton2 processer-powered Amazon EC2 instances](https://www.youtube.com/watch?v=NLysl0QvqXU)
+ [Deep dive into AWS Graviton3 and Amazon EC2 C7g instances](https://www.youtube.com/watch?v=WDKwwFQKfSI&ab_channel=AWSEvents)
+ [ Concevoir un environnement de calcul rentable, économe en énergie et en ressources ](https://www.youtube.com/watch?v=8zsC5e1eLCg)
**Exemples connexes :**
+ [ Solution : conseils pour l'optimisation des charges de travail de deep learning pour atteindre la durabilité sur AWS](https://aws.amazon.com/solutions/guidance/optimizing-deep-learning-workloads-for-sustainability-on-aws/)
+ [Atelier Well-Architected : recommandations de redimensionnement](https://wellarchitectedlabs.com/cost/100_labs/100_aws_resource_optimization/)
+ [Atelier Well-Architected : redimensionnement avec Compute Optimizer](https://wellarchitectedlabs.com/cost/200_labs/200_aws_resource_optimization/)
+ [Atelier Well-Architected : optimiser les modèles matériels et observer les indicateurs de performance clés de durabilité](https://wellarchitectedlabs.com/sustainability/200_labs/200_optimize_hardware_patterns_observe_sustainability_kpis/)
+ [ Atelier Well-Architected : migration des services vers Graviton ](https://www.wellarchitectedlabs.com/sustainability/100_labs/100_migrate_services_to_graviton/)
# SUS05-BP03 Utiliser des services gérés
Utilisez les services gérés pour fonctionner plus efficacement dans le cloud.
**Anti-modèles courants :**
+ Vous utilisez des instances Amazon EC2 à faible utilisation pour exécuter vos applications.
+ Votre équipe interne ne fait que gérer la charge de travail, sans avoir le temps de se concentrer sur l'innovation ou les simplifications.
+ Vous déployez et maintenez des technologies pour des tâches qui peuvent être exécutées plus efficacement sur des services gérés.
**Avantages liés au respect de cette bonne pratique :**
+ L'utilisation de services gérés transfère la responsabilité vers AWS qui dispose d'informations sur des millions de clients pouvant contribuer à de nouvelles innovations et à des gains d'efficacité.
+ Le service géré répartit l'impact environnemental du service entre de nombreux utilisateurs grâce aux plans de contrôle multi-réseaux.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Les services gérés transfèrent à AWS la responsabilité de maintenir une utilisation élevée et d'optimiser la durabilité du matériel déployé. Les services gérés suppriment également la charge opérationnelle et administrative liée à la maintenance d'un service, ce qui permet à votre équipe de disposer de plus de temps et de se concentrer sur l'innovation.
Examinez votre charge de travail pour identifier les composants qui peuvent être remplacés par des services gérés AWS. Par exemple, [Amazon RDS](https://aws.amazon.com/rds/), [Amazon Redshift](https://aws.amazon.com/redshift/) et [Amazon ElastiCache](https://aws.amazon.com/elasticache/) fournissent un service de base de données géré. [Amazon Athena](https://aws.amazon.com/athena/), [Amazon EMR](https://aws.amazon.com/emr/) et [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) fournissent un service d'analytique géré.
**Étapes d'implémentation**
1. Dressez l'inventaire de votre charge de travail pour les services et les composants.
1. Évaluez et identifiez les composants qui peuvent être remplacés par des services gérés. Voici quelques exemples de situations dans lesquelles vous pourriez envisager de recourir à un service géré :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_hardware_a4.html)
1. Identifiez les dépendances et créez un plan de migration. Mettez à jour les runbooks et les playbooks en conséquence.
+ [AWS Application Discovery Service](https://aws.amazon.com/application-discovery/) rassemble et présente automatiquement les informations détaillées sur les dépendances et l'utilisation des applications pour vous aider à prendre des décision en connaissance de cause pour votre programme de migration
1. Testez le service avant de migrer vers le service géré.
1. Utilisez le plan de migration pour remplacer les services auto-hébergés par des services gérés.
1. Surveillez continuellement le service une fois la migration terminée afin d'apporter les modifications nécessaires et d'optimiser le service.
## Ressources
**Documents connexes :**
+ [Produits AWS Cloud](https://aws.amazon.com/products/)
+ [Calculateur du coût total de possession (TCO) d'AWS](https://calculator.aws/#/)
+ [Amazon DocumentDB](https://aws.amazon.com/documentdb/)
+ [Amazon Elastic Kubernetes Service (EKS)](https://aws.amazon.com/eks/)
+ [Amazon Managed Streaming for Apache Kafka (Amazon MSK)](https://aws.amazon.com/msk/)
**Vidéos connexes :**
+ [ Cloud operations at scale with AWS Managed Services](https://www.youtube.com/watch?v=OCK8GCImWZw) (Opérations de cloud à grande échelle avec AWS Managed Services)
# SUS05-BP04 Optimiser votre utilisation des accélérateurs de calcul matériels
Optimisez votre utilisation des instances de calcul accéléré pour réduire les exigences d'infrastructure physique de votre charge de travail.
**Anti-modèles courants :**
+ Vous ne surveillez pas l'utilisation du GPU.
+ Vous utilisez une instance à usage général pour la charge de travail alors qu'une instance spécialement conçue peut fournir des performances supérieures, des coûts plus faibles et de meilleures performances par watt.
+ Vous utilisez des accélérateurs de calcul matériels pour les tâches où ils sont plus efficaces en utilisant des alternatives basées sur l'UC.
**Avantages liés au respect de cette bonne pratique :** en optimisant l'utilisation des accélérateurs matériels, vous pouvez réduire les exigences de votre charge de travail en termes d'infrastructure physique.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Si vous avez besoin d'une capacité de traitement élevée, vous pouvez bénéficier de l'utilisation d'instances de calcul accéléré, qui vous donnent accès à des accélérateurs de calcul matériels tels que des unités de traitement graphique (GPU) et des matrices de portes programmables sur site (FPGA). Ces accélérateurs matériels exécutent certaines fonctions comme le traitement graphique ou la correspondance de modèles de données plus efficacement que les alternatives basées sur l'UC. De nombreuses charges de travail accélérées, telles que le rendu, le transcodage et le machine learning, sont très variables en termes d'utilisation des ressources. Exécutez ce matériel uniquement pendant le temps nécessaire et mettez-le hors service grâce à l'automatisation lorsque vous n'en avez plus besoin afin de limiter les ressources consommées.
## Étapes d'implémentation
+ Identifiez quelles [instances informatiques accélérées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/accelerated-computing-instances.html) peuvent répondre à vos besoins.
+ Pour les charges de travail de machine learning, tirez parti d'un matériel conçu spécialement pour votre charge de travail, comme [AWS Trainium](https://aws.amazon.com/machine-learning/trainium/), [AWS Inferentia](https://aws.amazon.com/machine-learning/inferentia/)et [Amazon EC2 DL1](https://aws.amazon.com/ec2/instance-types/dl1/). Les instances AWS Inferentia, telles que les instances Inf2, offrent [des performances par watt supérieures de 50 % à celles des instances Amazon EC2 comparables](https://aws.amazon.com/machine-learning/inferentia/).
+ Collectez des métriques d'utilisation pour vos instances de calcul accéléré. Par exemple, vous pouvez utiliser un agent CloudWatch pour collecter des métriques comme `utilization_gpu` et `utilization_memory` pour vos GPU, comme indiqué dans [Collecter les métriques des GPU NVIDIA avec Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Agent-NVIDIA-GPU.html).
+ Optimisez le code, le fonctionnement du réseau et les paramètres des accélérateurs matériels pour veiller à ce que le matériel sous-jacent soit pleinement utilisé.
+ [Optimisation des paramètres GPU](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/optimize_gpu.html)
+ [Surveillance et optimisation des GPU dans l'AMI Deep Learning](https://docs.aws.amazon.com/dlami/latest/devguide/tutorial-gpu.html)
+ [Optimisation des E/S pour le réglage des performances de GPU pour l'entraînement du deep learning dans Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/optimizing-i-o-for-gpu-performance-tuning-of-deep-learning-training-in-amazon-sagemaker/)
+ Utilisez les dernières bibliothèques performantes et les pilotes GPU.
+ Utilisez l'automatisation pour libérer les instances GPU lorsqu'elles ne sont pas utilisées.
## Ressources
**Documents connexes :**
+ [Calcul accéléré](https://aws.amazon.com/ec2/instance-types/#Accelerated_Computing)
+ [ Passons à l'architecture Architecture avec des puces personnalisées et des accélérateurs ](https://aws.amazon.com/blogs/architecture/lets-architect-custom-chips-and-accelerators/)
+ [ Comment choisir le type d'instance Amazon EC2 approprié pour ma charge de travail ? ](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-instance-choose-type-for-workload/)
+ [Instances VT1 Amazon EC2](https://aws.amazon.com/ec2/instance-types/vt1/)
+ [Graphiques Amazon Elastic](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-graphics.html)
+ [ Choisissez le meilleur accélérateur d'IA et la meilleure compilation de modèles pour l'inférence de vision par ordinateur avec Amazon SageMaker AI ](https://aws.amazon.com/blogs/machine-learning/choose-the-best-ai-accelerator-and-model-compilation-for-computer-vision-inference-with-amazon-sagemaker/)
**Vidéos connexes :**
+ [ How to select Amazon EC2 GPU instances for deep learning ](https://www.youtube.com/watch?v=4bVrIbgGWEA)
+ [Deep Dive on Amazon EC2 Elastic GPUs](https://www.youtube.com/watch?v=HbJ2xxgrcCE)
+ [Deploying Cost-Effective Deep Learning Inference](https://www.youtube.com/watch?v=WiCougIDRsw)
# Processus et culture
**Topics**
+ [SUS 6 Comment vos processus organisationnels soutiennent-ils vos objectifs de durabilité ?](sus-06.md)
# SUS 6 Comment vos processus organisationnels soutiennent-ils vos objectifs de durabilité ?
Recherchez des opportunités de réduire votre impact en matière de durabilité modifiant vos pratiques de développement, de test et de déploiement.
**Topics**
+ [SUS06-BP01 Adopter des méthodes qui peuvent rapidement présenter des améliorations en matière de durabilité](sus_sus_dev_a2.md)
+ [SUS06-BP02 Garder votre charge de travail à jour](sus_sus_dev_a3.md)
+ [SUS06-BP03 Augmenter l'utilisation de vos environnements de compilation](sus_sus_dev_a4.md)
+ [SUS06-BP04 Utiliser des tests Device Farms gérés](sus_sus_dev_a5.md)
# SUS06-BP01 Adopter des méthodes qui peuvent rapidement présenter des améliorations en matière de durabilité
Adoptez des méthodes et des processus pour valider les améliorations potentielles, minimiser les coûts des tests et apporter de petites améliorations.
**Anti-modèles courants :**
+ L'examen de la durabilité de votre application est une tâche qui n'est effectuée qu'une seule fois au début d'un projet.
+ Votre charge de travail est devenue obsolète, car le processus de lancement est trop lourd pour introduire des changements mineurs dans un souci d'efficacité des ressources.
+ Vous ne disposez pas de mécanismes pour améliorer votre charge de travail afin d'atteindre davantage de durabilité.
**Avantages liés au respect de cette bonne pratique :** en établissant un processus pour introduire et suivre les améliorations de la durabilité, vous serez en mesure d'adopter continuellement de nouvelles fonctionnalités et capacités, de supprimer les problèmes et d'améliorer l'efficacité de la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** moyen
## Directives d'implémentation
Testez et validez les améliorations potentielles en matière de durabilité avant de les déployer en production. Tenez compte du coût des tests lors du calcul des avantages futurs potentiels d'une amélioration. Développez des méthodes d'essai à faible coût pour apporter de petites améliorations.
**Étapes d'implémentation**
+ Ajoutez les exigences relatives à l'amélioration de la durabilité à votre liste de tâches de développement en attente.
+ Utilisez un [processus d'amélioration](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/improvement-process.html) itératif pour identifier, évaluer, hiérarchiser, tester et déployer ces améliorations.
+ Améliorez et rationalisez en permanence vos processus de développement. À titre d'exemple, [automatisez votre processus de livraison de logiciels en utilisant des pipelines d'intégration et de livraison continues (CI/CD)](https://aws.amazon.com/getting-started/hands-on/set-up-ci-cd-pipeline/) pour tester et déployer les améliorations potentielles afin de réduire le niveau d'effort et de limiter les erreurs causées par les processus manuels.
+ Développez et testez les améliorations potentielles en utilisant les composants représentatifs viables minimum afin de réduire le coût des tests.
+ Évaluez en permanence l'impact des améliorations et procédez aux ajustements nécessaires.
## Ressources
**Documents connexes :**
+ [AWS active des solutions de durabilité](https://aws.amazon.com/sustainability/)
+ [ Scalable agile development practices based on AWS CodeCommit](https://aws.amazon.com/blogs/devops/scalable-agile-development-practices-based-on-aws-codecommit/) (Pratiques de développement agiles et évolutives basées sur AWS CodeCommit)
**Vidéos connexes :**
+ [Delivering sustainable, high-performing architectures](https://www.youtube.com/watch?v=FBc9hXQfat0) (Offre d'architectures durables hautement performantes)
**Exemples connexes :**
+ [Well-Architected Lab - Turning cost & usage reports into efficiency reports](https://www.wellarchitectedlabs.com/sustainability/300_labs/300_cur_reports_as_efficiency_reports/) (Atelier Well-Architected : transformer les rapports de coût et d'utilisation en rapports d'efficacité)
# SUS06-BP02 Garder votre charge de travail à jour
Maintenez votre charge de travail à jour pour adopter des fonctionnalités efficaces, supprimer les problèmes et améliorer l'efficacité globale de votre charge de travail.
**Anti-modèles courants :**
+ Vous supposez que votre architecture actuelle est statique et ne sera pas mise à jour au fil du temps.
+ Vous ne disposez pas de systèmes ou de rythme régulier pour évaluer la compatibilité des packages et des logiciels mis à jour avec votre charge de travail.
**Avantages liés au respect de cette bonne pratique :** en mettant en place un processus pour maintenir votre charge de travail à jour, vous pouvez adopter de nouvelles fonctionnalités et capacités, résoudre les problèmes et améliorer l'efficacité de la charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Des systèmes d'exploitation, des moteurs d'exécution, des logiciels intermédiaires, des bibliothèques et des applications à jour peuvent améliorer l'efficacité de la charge de travail et faciliter l'adoption de technologies plus efficaces. Les logiciels à jour peuvent également inclure des fonctions permettant de mesurer plus précisément l'impact en matière de durabilité de votre charge de travail, car les fournisseurs proposent des fonctions pour atteindre leurs propres objectifs de durabilité. Adoptez une cadence régulière pour maintenir votre charge de travail à jour avec les dernières fonctionnalités et versions.
**Étapes d'implémentation**
+ Définissez un processus et un calendrier pour évaluer les nouvelles fonctionnalités ou instances pour votre charge de travail. Profitez de l'agilité du cloud pour tester rapidement en quoi les nouvelles fonctionnalités peuvent permettre à votre charge de travail de :
+ Réduire les impacts sur la durabilité.
+ Gagner en efficacité de la performance.
+ Supprimer les obstacles à une amélioration planifiée.
+ Améliorer votre capacité à mesurer et à gérer les impacts en matière de durabilité.
+ Établissez l'inventaire de votre logiciel de charge de travail et de l'architecture, et identifiez les composants pouvant être mis à jour.
+ Utilisez [AWS Systems Manager Inventory](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-inventory.html) pour récupérer les métadonnées des systèmes d'exploitation, des applications et des instances issues de vos instances Amazon EC2 et rapidement connaître les instances exécutant le logiciel, les configurations requises par votre politique de logiciel et les instances devant être mises à jour.
+ Comprenez comment mettre à jour les composants de votre charge de travail.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2023-04-10/framework/sus_sus_dev_a3.html)
+ Utilisez l'automatisation pour le processus de mise à jour afin de réduire le niveau d'effort nécessaire au déploiement des nouvelles fonctionnalités et de limiter les erreurs causées par les processus manuels.
+ Vous pouvez utiliser [CI/CD](https://aws.amazon.com/blogs/devops/complete-ci-cd-with-aws-codecommit-aws-codebuild-aws-codedeploy-and-aws-codepipeline/) pour mettre automatiquement à jour les AMI, les images de conteneurs et d'autres artefacts liés à votre application cloud.
+ Vous pouvez utiliser des outils tels que [AWS Systems ManagerPatch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) pour automatiser le processus de mise à jour du système, et programmer l'activité à l'aide des [Fenêtres de maintenance AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html).
## Ressources
**Documents connexes :**
+ [Centre d'architecture AWS](https://aws.amazon.com/architecture)
+ [Quelles sont les nouveautés AWS ?](https://aws.amazon.com/new/?ref=wellarchitected&ref=wellarchitected)
+ [Outils pour développeurs AWS](https://aws.amazon.com/products/developer-tools/)
**Exemples connexes :**
+ [Ateliers Well-Architected : inventaire et gestion des correctifs](https://wellarchitectedlabs.com/operational-excellence/100_labs/100_inventory_patch_management/)
+ [Atelier : AWS Systems Manager](https://mng.workshop.aws/ssm.html)
# SUS06-BP03 Augmenter l'utilisation de vos environnements de compilation
Augmentez l'utilisation des ressources pour développer, tester et construire vos charges de travail.
**Anti-modèles courants :**
+ Vous provisionnez ou résiliez manuellement vos environnements de construction.
+ Vous faites fonctionner vos environnements de construction indépendamment des activités de test, de construction ou de lancement (par exemple, en faisant fonctionner un environnement en dehors des heures de travail des membres de votre équipe de développement).
+ Vous provisionnez trop de ressources pour vos environnements de construction.
**Avantages liés au respect de cette bonne pratique :** en augmentant l'utilisation des environnements de construction, vous pouvez améliorer l'efficacité globale de votre charge de travail dans le cloud tout en allouant les ressources aux constructeurs pour développer, tester et construire efficacement.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
Exploitez l'automatisation et l'infrastructure en tant que code pour mettre en place des environnements de construction lorsque cela est nécessaire et les arrêter lorsqu'ils ne sont pas utilisés. Un modèle courant consiste à planifier des périodes de disponibilité qui coïncident avec les heures de travail des membres de votre équipe de développement. Vos environnements de test doivent ressembler de près à la configuration de production. Toutefois, recherchez les possibilités d'utiliser des types d'instance avec une capacité de débordement, des instances Amazon EC2 Spot, des services de base de données à scalabilité automatique, des conteneurs et des technologies sans serveur pour aligner la capacité de développement et de test sur l'utilisation. Limitez le volume de données pour répondre aux exigences du test. Si vous utilisez des données de production dans les tests, étudiez les possibilités de partager les données de production et de ne pas déplacer les données à un autre emplacement.
**Étapes d'implémentation**
+ Utilisez l'infrastructure en tant que code pour provisionner vos environnements de construction.
+ Utilisez l'automatisation pour gérer le cycle de vie de vos environnements de développement et de test et maximiser l'efficacité de vos ressources de construction.
+ Utilisez des stratégies pour optimiser l'utilisation des environnements de développement et de test.
+ Utilisez des environnements représentatifs viables minimum pour développer et tester les améliorations potentielles.
+ Utilisez les technologies sans serveur si possible.
+ Utilisez des instances à la demande pour compléter les appareils de vos développeurs.
+ Utilisez des types d'instance à capacité de débordement, des instances Spot et d'autres technologies pour harmoniser la capacité de création et l'utilisation.
+ Adoptez des services natifs du cloud pour l'accès à un shell d'instance sécurisé plutôt que de déployer des flottes d'hôtes bastion.
+ Mettez automatiquement à l'échelle vos ressources de construction en fonction de vos tâches de construction.
## Ressources
**Documents connexes :**
+ [Gestionnaire de sessions AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)
+ [Instances Amazon EC2 de performance à capacité extensible](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/burstable-performance-instances.html)
+ [Qu'est-ce qu'AWS CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [ Qu'est-ce que AWS CodeBuild ? ](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)
+ [ Instance Scheduler sur AWS](https://aws.amazon.com/solutions/implementations/instance-scheduler-on-aws/)
**Vidéos connexes :**
+ [ Continuous Integration Best Practices ](https://www.youtube.com/watch?v=77HvSGyBVdU) (Bonnes pratiques d'intégration continue)
# SUS06-BP04 Utiliser des tests Device Farms gérés
Utilisez les Device Farms gérés pour tester efficacement une nouvelle fonctionnalité sur un ensemble représentatif de matériel.
**Anti-modèles courants :**
+ Vous testez et déployez manuellement votre application sur des appareils physiques individuels.
+ Vous n'utilisez pas le service de test d'applications pour tester et interagir avec vos applications (par exemple, les applications Android, iOS et Web) sur des appareils physiques réels.
**Avantages liés au respect de cette bonne pratique :** l'utilisation de Device Farms gérés pour tester les applications basées sur le cloud présente un certain nombre d'avantages :
+ la solution comprend des fonctionnalités plus efficaces pour tester l'application sur de nombreux appareils différents.
+ Elle élimine la nécessité d'une infrastructure interne pour les essais.
+ Elle permet l'utilisation de divers types d'appareils, y compris des matériels plus anciens et moins populaires, ce qui élimine le besoin de mises à niveau inutiles des appareils.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** faible
## Directives d'implémentation
L'utilisation de Device Farms gérés peut vous aider à rationaliser le processus de test des nouvelles fonctionnalités sur un ensemble représentatif de matériel. Les tests Device Farms gérés proposent divers types d'appareils , notamment du matériel plus ancien et moins courant, et permettent d'éviter que les mises à niveau inutiles d'appareils affectent la durabilité des clients.
**Étapes d'implémentation**
+ Définissez vos exigences et votre plan de test (comme le type de test, les systèmes d'exploitation et le calendrier des tests).
+ Vous pouvez utiliser [Amazon CloudWatch RUM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM.html) pour collecter et analyser les données côté client et élaborer votre plan de test.
+ Sélectionnez le Device farm géré qui peut prendre en charge vos exigences de test. Par exemple, vous pouvez utiliser [AWS Device Farm](https://docs.aws.amazon.com/devicefarm/latest/developerguide/welcome.html) pour tester et comprendre l'impact de vos changements sur un ensemble représentatif de matériel.
+ Utilisez l'intégration continue/déploiement continu (CI/CD) pour programmer et exécuter vos tests.
+ [ Integrating AWS Device Farm with your CI/CD pipeline to run cross-browser Selenium tests ](https://aws.amazon.com/blogs/devops/integrating-aws-device-farm-with-ci-cd-pipeline-to-run-cross-browser-selenium-tests/) (Intégrer AWS Device Farm à votre pipeline CI/CD pour exécuter des tests Selenium inter-navigateurs)
+ [ Building and testing iOS and iPadOS apps with AWS DevOps and mobile services ](https://aws.amazon.com/blogs/devops/building-and-testing-ios-and-ipados-apps-with-aws-devops-and-mobile-services/) (Créer et tester des applications iOS et iPadOS avec AWS DevOps et les services mobiles)
+ Examinez continuellement les résultats de vos tests et apportez les améliorations nécessaires.
## Ressources
**Documents connexes :**
+ [ Liste des appareils AWS Device Farm](https://awsdevicefarm.info/)
+ [ Affichage du tableau de bord CloudWatch RUM ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-RUM-view-data.html)
**Exemples connexes :**
+ [AWS Device Farm Sample App for Android ](https://github.com/aws-samples/aws-device-farm-sample-app-for-android) (Application type Device Farm pour Android)
+ [AWS Device Farm Sample App for iOS ](https://github.com/aws-samples/aws-device-farm-sample-app-for-ios) (Application type Device Farm pour iOS)
+ [ Appium Web tests for AWS Device Farm](https://github.com/aws-samples/aws-device-farm-sample-web-app-using-appium-python) (Tests Web Appium pour AWS Device Farm)
**Vidéos connexes :**
+ [ Optimiser les applications grâce à la connaissance de l'utilisateur final avec Amazon CloudWatch RUM ](https://www.youtube.com/watch?v=NMaeujY9A9Y)