Créer un compte AWS, configurer billing alerts pour zéro surprise, activer MFA root, créer un user IAM admin, sécuriser la racine. Workflow complet en 30 minutes pour démarrer ton lab SAA sans risque financier.
📍 À lire d’abord : Devenir AWS Solutions Architect Associate (SAA-C03).
Introduction
Le piège n°1 du débutant AWS : oublier un service en marche et recevoir une facture de 200-500 USD le mois suivant. Ce tutoriel sécurise totalement ton compte AWS dès la création : alertes facturation à 1 USD, MFA root, user IAM admin, budget cap. Aucun risque financier ensuite, tu peux pratiquer en toute sérénité.
Prérequis
- Email valide (pas Gmail jetable)
- Carte bancaire valide pour vérification (AWS prélève 1 USD remboursé)
- Numéro de téléphone valide (vérification SMS)
- 30 minutes
Étape 1 — Créer le compte
1. Aller sur https://aws.amazon.com/free
2. Cliquer "Create a Free Account"
3. Saisir email racine, password, nom du compte ("Lab-Diallo")
4. Adresse postale (ton vrai domicile au Sénégal/CI/etc.)
5. CB pour vérification (1 USD prélevé puis remboursé en 7 jours)
6. Vérification SMS (numéro mobile)
7. Plan support : Basic (gratuit) — JAMAIS Developer/Business pour un lab
Le compte est actif en 5-10 minutes après confirmation email. La région par défaut est us-east-1 (Virginia) — tu peux la changer en haut à droite (préférer eu-west-3 Paris pour la latence depuis l’AO, ou af-south-1 Cape Town).
Étape 2 — Activer MFA sur le compte root
C’est la première chose à faire après login. Le compte root est tout-puissant — un attaquant qui le compromet peut tout détruire.
1. Login sur console AWS avec email racine
2. Cliquer sur ton nom (haut droite) > "Security credentials"
3. Section "Multi-factor authentication (MFA)" > "Assign MFA device"
4. Choisir "Authenticator app" (Google Authenticator, Authy, Microsoft Authenticator)
5. Scanner le QR code dans l'app
6. Saisir 2 codes consécutifs pour valider
7. Tester : se déconnecter, se reconnecter — il demande TOTP
À partir de maintenant, NE JAMAIS utiliser le compte root sauf urgence (changement de méthode de paiement, fermeture compte). Toute action quotidienne se fait avec un user IAM.
Étape 3 — Configurer billing alerts
1. Console AWS > nom (haut droite) > "Billing and Cost Management"
2. Billing preferences > Cocher "Receive Free Tier Usage Alerts" + email
3. Billing preferences > Cocher "Receive Billing Alerts"
4. Aller dans "Budgets" > "Create budget"
5. Choisir "Cost budget"
6. Budget amount : 1 USD/month (oui, 1 dollar pour alerte ultra-précoce)
7. Alert : à 80% (0.80 USD), à 100%, et FORECAST à 100%
8. Email d'alerte = ton email
9. Sauvegarder
Tu reçois désormais un email dès que tes coûts approchent 1 USD, ou que la prévision dépasse 1 USD. Pour un lab SAA, tu ne devrais jamais dépasser 1 USD/mois.
Crée 2 budgets supplémentaires plus permissifs : 5 USD warning, 20 USD ALARM. Et active « Cost Anomaly Detection » pour détecter les changements brutaux de pattern.
Étape 4 — Activer la facturation détaillée
1. Billing > Cost Explorer > Enable Cost Explorer (gratuit, prend 24h pour activation)
2. Billing > Cost & Usage Reports > Activate Athena integration (optionnel)
Cost Explorer te donne des graphiques jour-par-jour, service-par-service, région-par-région. Indispensable pour identifier d’où vient une dépense surprise.
Étape 5 — Créer un user IAM admin
Le compte root ne doit JAMAIS servir au quotidien. Crée un user IAM avec les droits administrateur.
1. Console > IAM > Users > "Create user"
2. Username : "diallo-admin"
3. Cocher "Provide user access to the AWS Management Console"
4. "Custom password" + cocher "User must create new password at next sign-in"
5. Next > Permissions > "Attach policies directly"
6. Cocher "AdministratorAccess"
7. Next > Create user
8. Télécharger le fichier .csv avec credentials initiaux (login URL + password)
Note l’URL de login custom : https://YOUR_ACCOUNT_ID.signin.aws.amazon.com/console. C’est avec cette URL que tu te connectes désormais (PAS l’URL générique aws.amazon.com).
Active MFA sur ce user IAM aussi (même procédure que pour root).
Déconnecte-toi du compte root, reconnecte avec diallo-admin. À partir de maintenant, tu utilises uniquement ce compte pour tes labs.
Étape 6 — Configurer AWS CLI
L’AWS CLI permet de scripter tes interactions AWS. Indispensable pour automation.
# Sur Kali ou tout Linux
sudo apt install -y awscli
aws --version
# aws-cli/2.x.x
# Créer un access key pour user IAM admin
# Console > IAM > Users > diallo-admin > Security credentials > Create access key
# Use case : "Command Line Interface"
# Télécharger ou copier Access Key ID + Secret Access Key
aws configure
# AWS Access Key ID : AKIA...
# AWS Secret Access Key : ...
# Default region : eu-west-3
# Default output format : json
# Tester
aws sts get-caller-identity
# Doit afficher ton ARN user IAM
Stocke les access keys dans un password manager (Bitwarden, 1Password, KeePass). Ne les commit JAMAIS dans Git.
Étape 7 — Activer AWS Free Tier
Free Tier est automatique sur les services éligibles pendant 12 mois. Pour vérifier :
1. Billing > Free Tier
2. Tu vois la liste des services éligibles avec usage actuel vs limite
3. Exemples : EC2 t2.micro (750h/mois), S3 (5 Go), RDS db.t3.micro (750h), Lambda (1M req)
⚠️ Free Tier piège : 750 heures EC2/mois = 1 instance running 24/7 = OK. 2 instances 24/7 = facturation. TOUJOURS stopper ou terminer tes instances après chaque session lab.
Always Free (pas limité à 12 mois) : DynamoDB 25 Go, Lambda 1M req, CloudWatch logs 5 Go.
Étape 8 — Sécurité avancée Day 1
1. IAM > Account settings > Activer "Activate IAM Access Analyzer"
2. IAM > Password policy > Configurer minimum 14 caractères, complexité
3. CloudTrail > Activer (gratuit pour le 1er trail) > log toutes les API calls
4. AWS Config > Activer (~5 USD/mois après Free Tier) — pour conformité
5. GuardDuty > Activer (~30 jours gratuits) — détection threats
⚠️ Désactiver après période gratuite si lab pour éviter coûts
6. AWS Trusted Advisor > Vérifier les checks gratuits
Sur un compte production, on activerait tout ça en permanence. Pour un lab SAA, garder GuardDuty + Config en pause après période gratuite.
Étape 9 — Tester le lab
Lance ton premier service en Free Tier :
# Créer un bucket S3
aws s3 mb s3://test-bucket-diallo-2026-unique --region eu-west-3
aws s3 ls
# Lister les régions
aws ec2 describe-regions --region us-east-1 --output table
# Lancer une t2.micro EC2 (Free Tier eligible)
# Plus complexe, voir le tutoriel EC2 dédié
Si chaque commande répond, ton compte est opérationnel.
Étape 10 — Discipline anti-facture
Quatre règles à appliquer chaque session :
1. Avant de te déconnecter, lance "aws ec2 describe-instances" et vérifier 0 running
2. Vérifier S3 (pas de gros fichiers oubliés > 5 Go)
3. Vérifier RDS (pas de DB en cours)
4. Hebdomadaire : ouvrir Cost Explorer et vérifier <1 USD
Avec ces réflexes, ton lab Free Tier 12 mois te coûte 0 FCFA. Au mois 13, tu choisis de continuer (et tu paies les services lazy laissés tourner) ou tu fermes le compte.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| « Vous avez dépassé Free Tier » surprise | Configurer billing alert à 1 USD dès le Day 1 |
| Compte root utilisé au quotidien | Toujours user IAM avec MFA |
| Access keys committées dans Git public | Révoquer immédiatement, AWS scanne GitHub et alerte |
| Instance EC2 oubliée tournant 1 mois | Auto-shutdown via CloudWatch + Lambda, ou rappel Calendar |
| Plan support Developer activé « par erreur » | 29 USD/mois automatique — toujours Basic sauf prod réelle |
Adaptation au contexte ouest-africain
Pour les étudiants : AWS Educate (gratuit) donne 100 USD de crédit + accès à des labs guidés. Bien plus généreux que Free Tier seul.
Pour les bootcamps : AWS re/Start (programme régional gratuit, formations cloud + cert CLF) est offert via partenaires locaux (NSIA Cybersecurity, ETRILABS, Impact Hub).
Pour les freelances en remote : Free Tier suffit pour démos, POC, et apprentissage. Pour les vraies missions facturées, configurer compte AWS dédié par client avec billing isolation (Organizations).
Pour les startups : AWS Activate (jusqu’à 100 000 USD de crédit cloud pour startups éligibles via accélérateurs partenaires comme Wave, Y Combinator, Flutterwave).
FAQ
Carte bancaire africaine acceptée ?
Oui pour les CB Visa/MasterCard internationales. Cartes locales fermées (LECARTE, GIM-UEMOA seules) souvent refusées. Solution : carte virtuelle Wave/Wari/Bridgecard (180 000 FCFA équivalent USD).
Combien le lab AWS coûte-t-il vraiment en pratique ?
Avec discipline : 0 FCFA en Free Tier. Sans discipline (instance oubliée 1 mois) : 30-200 USD. Toujours configurer alertes.
Free Tier fonctionne-t-il dans toutes les régions ?
Oui, mais certaines régions ont des limites différentes. eu-west-3 Paris et af-south-1 Cape Town sont 100 % couvertes.
Puis-je avoir plusieurs comptes Free Tier ?
Non — AWS lie les comptes par CB et téléphone. Tentative = bannissement compte principal.
Pour aller plus loin
- 🔝 Pilier AWS SAA-C03
- ➡️ Suite : VPC, subnets, route tables et NAT Gateway (à venir).
- Documentation : AWS Free Tier officiel, AWS Billing User Guide, AWS CLI docs.
Mots-clés : AWS Free Tier, billing alert AWS, MFA root account AWS, IAM admin user, AWS CLI Kali, compte AWS sans frais, Cost Explorer, Cost Anomaly Detection.
Approfondissement et cas pratiques
Études de cas réelles AWS en Afrique de l’Ouest
Cas 1 — Fintech mobile money, Dakar, 2025. Une fintech sénégalaise traite 4 millions de transactions/mois (Orange Money agrégé). Architecture AWS : ALB multi-AZ (eu-west-3) + ECS Fargate auto-scaling 8-50 tasks + Aurora Serverless v2 PostgreSQL (1-32 ACU) + DynamoDB pour ledger transactionnel + ElastiCache Redis pour sessions + S3 + CloudFront pour static. Coût mensuel 4 200 USD, soit 0.001 USD par transaction. Disponibilité mesurée 99,98 % sur 12 derniers mois. RTO 4 minutes via Multi-AZ failover Aurora.
Cas 2 — E-commerce panafricain, Abidjan/Dakar/Lagos, 2024. Plateforme avec 80 000 visiteurs/jour. Architecture multi-region active-active : eu-west-3 (Paris, principal pour AO/UE) + af-south-1 (Cape Town, secondaire pour Afrique australe) + Route 53 latency-based routing. Réplication Aurora Global Database, S3 Cross-Region Replication, DynamoDB Global Tables. CloudFront edge locations couvrant Lagos, Casablanca, Johannesburg. Coût 8 500 USD/mois, ROI prouvé par augmentation 23 % du taux conversion grâce à latence < 200ms partout en Afrique.
Cas 3 — Migration banque traditionnelle vers AWS, 2024-2025. Banque ivoirienne avec 18 ans d’historique on-prem (datacenter Plateau Abidjan + DR Yamoussoukro). Migration AWS lift-and-shift 80 % des workloads en 14 mois. Stack : VPC hub-and-spoke avec Transit Gateway, AWS Directory Service pour AD legacy, RDS pour Oracle SAP, EC2 dedicated hosts pour licences Microsoft, AWS Backup avec immutability pour conformité, AWS Control Tower pour gouvernance. Économie 40 % vs datacenter on-prem dès l’année 1, montée à 55 % en année 3.
Cinq scénarios SAA-C03 type examen détaillés
Scénario 1 : architecture e-commerce HA pour Black Friday. App attendue à 100x charge normale en 4h. Réponse : ALB + ASG avec scheduled scaling (lance 50 instances 30 min avant), CloudFront pour cache statique, Aurora Read Replicas pour scale read, ElastiCache Redis cluster mode pour sessions, SQS pour découpler order processing.
Scénario 2 : DR cross-region. Compagnie demande RTO 30 min, RPO 5 min. Réponse : Pilot Light pattern, primary eu-west-3, secondary eu-west-1 avec Aurora Global Database (lag < 1s) + AMI répliquées + Route 53 health checks failover automatique.
Scénario 3 : sécurisation données sensibles. Application stocke PII clients. Réponse : S3 SSE-KMS avec CMK, encryption EBS, RDS encrypted, KMS key rotation auto annuelle, IAM least privilege, CloudTrail logs vers S3 Object Lock immutable, GuardDuty actif, Macie pour découverte automatique PII.
Scénario 4 : optimisation coût legacy. Compte AWS avec 250 instances EC2 mostly idle nuit/weekend. Réponse : Instance Scheduler pour stop/start automatique, Reserved Instances 1 an pour baseline 24/7, Spot Instances pour batch processing, S3 Intelligent-Tiering, Compute Savings Plans 3 ans pour stack permanente. Économie attendue 65-75 %.
Scénario 5 : conformité PCI DSS. Architecture e-commerce processant cartes. Réponse : segmentation VPC stricte (CDE = Cardholder Data Environment isolé), AWS WAF + Shield Advanced, CloudHSM pour clés PCI, AWS Config rules pour conformité continue, AWS Inspector pour scan vuln, GuardDuty + Security Hub, CloudTrail multi-region, AWS Audit Manager pour rapports.
Architecture cloud-native moderne 2026
[Route 53 latency-based] → [CloudFront global edges]
↓
[WAF + Shield Advanced]
↓
[API Gateway HTTP API ou Application Load Balancer]
↓
┌────────────────────────┼────────────────────────┐
↓ ↓ ↓
[Lambda functions] [ECS Fargate tasks] [EKS pods auto-scaled]
pour serverless pour containers pour orchestration
↓ ↓ ↓
└────────┬───────────────┴────────┬───────────────┘
↓ ↓
[Aurora Serverless v2] [DynamoDB on-demand]
pour relational pour NoSQL haute scale
↓ ↓
[ElastiCache Redis cluster]
↓
[S3 Intelligent-Tiering + Glacier lifecycle]
pour archives
↓
[Observability : CloudWatch + X-Ray + EventBridge + Step Functions]
[Sécurité : IAM + KMS + Secrets Manager + GuardDuty + Security Hub]
[Gouvernance : Organizations + SCP + Control Tower + Config]
Cette architecture cloud-native moderne sert de référence pour les startups et scale-ups ouest-africaines qui veulent éviter le legacy ops.
Coûts détaillés en FCFA pour cas réel PME
PME 30 employés, 1 application web SaaS, 10 000 utilisateurs actifs/mois :
Service Coût/mois
------- ---------
EC2 t3.medium x2 (ALB + workers) 90 USD
RDS db.t3.micro Multi-AZ 28 USD
S3 + CloudFront (50 Go transfer) 35 USD
ALB + Route 53 25 USD
Backup + monitoring 15 USD
NAT Gateway (alternative : NAT Instance) 32 USD (ou 8 USD)
---------
Total 225 USD/mois
≈ 135 000 FCFA/mois
≈ 1 620 000 FCFA/an
Vs hébergement OVH/Hetzner classique : ~80 USD/mois mais sans HA, sans CDN, sans backup automatisé. AWS premium justifié pour fiabilité + scaling.
Avec Reserved Instances 3 ans : 35 % économie → 145 USD/mois ≈ 87 000 FCFA/mois.
Plan de carrière post-AWS SAA détaillé
0-12 mois : décrocher poste cloud engineer junior dans ESN cloud (Smart Africa, ETRILABS, Kasi Insight, agences Microsoft/AWS partner) ou directement chez client final (banque, opérateur, fintech). Salaire 800 000-1 200 000 FCFA. Activités : provisioning Terraform, déploiement CI/CD, monitoring CloudWatch, support N1/N2.
12-30 mois : monter compétence DevOps + sécurité cloud. Certifications cibles : AWS DevOps Pro (DOP-C02) ou AWS Security Specialty (SCS-C02). Salaire 1 400 000-2 000 000 FCFA. Activités : automation IaC, optimisation coûts (FinOps), implémentation Zero Trust, gestion incidents production.
30-60 mois : positions architecte ou tech lead. Cert AWS Solutions Architect Professional (SAP-C02). Salaire 2 200 000-3 500 000 FCFA local, 4-7 millions FCFA en remote international.
60+ mois : Cloud Architect senior, Engineering Manager, Principal Engineer ou freelance/consulting. Plateformes remote : Toptal, Malt, A.Team, Andela. Tarifs day rate 400-800 USD pour profils seniors AWS+Kubernetes+AI/ML.
Outils et frameworks complémentaires
IaC : Terraform (cross-cloud, le plus utilisé en 2026), AWS CDK (Python/TypeScript), Pulumi (alternative moderne), CloudFormation (legacy mais utile pour AWS-specific).
CI/CD : GitHub Actions (le plus populaire), GitLab CI, AWS CodePipeline (intégré AWS), CircleCI, Jenkins (legacy).
Container orchestration : Amazon ECS (managed), Amazon EKS (Kubernetes), Fargate (serverless containers).
Observability : CloudWatch (de base), Datadog (premium SaaS), New Relic, Grafana Cloud avec Prometheus.
FinOps : AWS Cost Explorer + Budgets + Compute Optimizer, Vantage.sh (alternative), CloudHealth, Apptio Cloudability.
Security : Prowler (audit script open-source), Cloudsploit, AWS Security Hub, Wiz, Lacework.