Maîtriser S3 : créer un bucket, activer versioning, configurer lifecycle (Standard → IA → Glacier), encryption SSE-S3/SSE-KMS, bucket policies, presigned URLs, cross-region replication, S3 Object Lock pour compliance, classes de stockage et leurs prix.
📍 À lire d’abord : Pilier AWS SAA-C03.
Introduction
S3 (Simple Storage Service) est l’object storage AWS, un des services les plus pondérés à SAA-C03. ~15 % des questions tournent autour de S3 : sécurité, classes de stockage, durabilité 99,999999999 % (11 nines), patterns d’usage. Ce tutoriel construit le savoir-faire complet.
Prérequis
- Compte AWS configuré.
- AWS CLI fonctionnel.
- Niveau intermédiaire.
- Temps : 2 heures.
Étape 1 — Créer un bucket et upload
# Bucket name = globalement unique sur AWS
aws s3 mb s3://diallo-lab-2026 --region eu-west-3
# Upload fichier
echo "Hello S3" > test.txt
aws s3 cp test.txt s3://diallo-lab-2026/
# Lister
aws s3 ls s3://diallo-lab-2026/
# Sync dossier complet
aws s3 sync ./mon-dossier s3://diallo-lab-2026/dossier/
# Download
aws s3 cp s3://diallo-lab-2026/test.txt downloaded.txt
# Supprimer
aws s3 rm s3://diallo-lab-2026/test.txt
aws s3 rb s3://diallo-lab-2026 --force # supprime bucket même si non vide
Étape 2 — Storage Classes
S3 Standard : haute fréquence d'accès, défaut. ~0.023 USD/Go/mois
S3 Standard-IA : Infrequent Access, accès >30j. ~0.0125 USD/Go/mois + frais retrieval
S3 One Zone-IA : IA en single-AZ, 20 % moins cher, durabilité réduite
S3 Glacier Instant Retrieval : archive accès en ms, ~0.004 USD/Go/mois
S3 Glacier Flexible Retrieval : archive avec restore 1min-12h, ~0.0036 USD/Go/mois
S3 Glacier Deep Archive : archive accès 12h, ~0.00099 USD/Go/mois (le moins cher)
S3 Intelligent-Tiering : auto-tiering basé sur accès, frais monitoring 0.0025 USD/1000 obj
S3 Express One Zone : ultra-haute performance, single-AZ, ~7x prix Standard
À l’examen : choisir selon scénario. Logs récents → Standard. Backups mensuels → IA. Archive légale 7 ans → Glacier Deep Archive. Données usage imprévisible → Intelligent-Tiering.
Étape 3 — Versioning
Versioning préserve toutes les versions d’un objet — vital pour la résilience contre suppression accidentelle.
# Activer versioning
aws s3api put-bucket-versioning --bucket diallo-lab-2026 --versioning-configuration Status=Enabled
# Upload même fichier 3 fois → 3 versions
echo "v1" > file.txt && aws s3 cp file.txt s3://diallo-lab-2026/file.txt
echo "v2" > file.txt && aws s3 cp file.txt s3://diallo-lab-2026/file.txt
echo "v3" > file.txt && aws s3 cp file.txt s3://diallo-lab-2026/file.txt
# Lister les versions
aws s3api list-object-versions --bucket diallo-lab-2026
# Restaurer une version précédente
aws s3api copy-object --bucket diallo-lab-2026 --copy-source diallo-lab-2026/file.txt?versionId=xxx --key file.txt
À l’examen : versioning + MFA Delete = protection ransomware. Une fois activé, ne peut être que suspendu (pas désactivé).
Étape 4 — Lifecycle policies
Automatiser le passage des objets vers des classes moins chères selon leur âge.
{
"Rules": [
{
"Id": "TransitionToIA-then-Glacier",
"Status": "Enabled",
"Filter": { "Prefix": "logs/" },
"Transitions": [
{ "Days": 30, "StorageClass": "STANDARD_IA" },
{ "Days": 90, "StorageClass": "GLACIER_IR" },
{ "Days": 365, "StorageClass": "DEEP_ARCHIVE" }
],
"Expiration": { "Days": 2555 }
}
]
}
aws s3api put-bucket-lifecycle-configuration --bucket diallo-lab-2026 --lifecycle-configuration file://lifecycle.json
ROI : 1 To de logs → en Standard 230 USD/an, lifecycle vers Glacier Deep Archive à 90 jours = 80 USD/an. Économie 65 %.
Étape 5 — Encryption at rest
SSE-S3 : clé gérée par S3 (AES-256). Activée par défaut sur nouveaux buckets depuis janvier 2023
SSE-KMS : clé gérée par AWS KMS, audit CloudTrail des décryptions
SSE-KMS DSSE : double encryption (FIPS 140-3 validated)
SSE-C : clé fournie par client (S3 ne stocke pas la clé)
Client-side encryption: chiffrement avant upload, S3 stocke ciphertext
À l’examen : SSE-KMS = recommandé pour audit + multi-tenant. SSE-S3 = simple, défaut. SSE-C = compliance stricte (HIPAA, FIPS).
# Activer encryption SSE-KMS sur bucket
aws s3api put-bucket-encryption --bucket diallo-lab-2026 --server-side-encryption-configuration '{
"Rules": [{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "alias/aws/s3"
}
}]
}'
Étape 6 — Bucket policies et IAM
Deux mécanismes pour contrôler accès :
IAM policies (user/role) : qui peut faire quoi sur S3 globalement
Bucket policies : qui peut faire quoi sur ce bucket spécifique
ACL (Access Control List) : LEGACY, à éviter en 2026
Bucket policy public read (cas hébergement statique) :
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowPublicRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::diallo-lab-2026/*"
}]
}
⚠️ Activer « Block Public Access » par défaut, désactiver explicitement uniquement pour le bucket d’hébergement statique.
# Bloquer tout accès public (default depuis 2023)
aws s3api put-public-access-block --bucket diallo-lab-2026 --public-access-block-configuration "BlockPublicAcls=true,IgnorePublicAcls=true,BlockPublicPolicy=true,RestrictPublicBuckets=true"
Étape 7 — Presigned URLs
Pour donner un accès temporaire à un fichier privé sans bucket public :
# Generate URL valide 1 heure
aws s3 presign s3://diallo-lab-2026/private.pdf --expires-in 3600
L’URL signée donne accès à un objet sans authentification AWS, pendant la durée définie. Pattern courant : app génère URL pour download utilisateur, expire à l’usage.
Étape 8 — Cross-Region Replication
Pour DR ou conformité, répliquer un bucket vers une autre région :
1. Source bucket : versioning enabled (obligatoire)
2. Destination bucket : versioning enabled, dans autre région
3. Créer IAM role permettant à S3 de répliquer
4. Configurer replication rule (objets, préfixe, classe destination)
Variantes :
SRR (Same-Region Replication) : compliance interne, agrégation logs
CRR (Cross-Region Replication) : DR, latence cliente
RTC (Replication Time Control) : 99 % objets répliqués en 15 min
Étape 9 — S3 Object Lock pour compliance
Empêche la suppression d’objets pour conformité réglementaire (SEC 17a-4, HIPAA).
Governance mode : seul un user privilégié peut bypass
Compliance mode : personne, même root, ne peut supprimer avant retention
Legal Hold : flag indéfini protégeant l'objet
À activer à la création du bucket uniquement (pas modifiable après).
Étape 10 — S3 statique website hosting
aws s3 mb s3://my-static-site-2026
aws s3 cp index.html s3://my-static-site-2026/
aws s3 website s3://my-static-site-2026 --index-document index.html --error-document error.html
# URL : http://my-static-site-2026.s3-website-eu-west-3.amazonaws.com
Pour HTTPS et performance globale, ajouter CloudFront devant (CDN AWS) — pattern standard pour Single Page App, blog statique.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| Bucket name déjà pris | Globalement unique : ajouter ID compte ou random suffix |
| Public access blocked | « Block Public Access » actif, désactiver pour use case public légitime |
| 403 sur GetObject | Vérifier IAM policy + bucket policy + Block Public Access |
| Lifecycle policy n’applique pas | Wait 24h, certaines transitions sont batch async |
| Versioning + suppression accidentelle | Restaurer la version précédente, ne pas supprimer marker |
Adaptation au contexte ouest-africain
Backups PME : S3 + lifecycle vers Glacier Deep Archive = backup offsite à 1 USD/To/mois. Compétitif vs solutions locales.
Hébergement statique : S3 + CloudFront pour blog, portfolio, SPA. ~5 USD/mois pour 10 000 visiteurs. Moins cher que VPS.
Data lake analytics : S3 + Athena (SQL serverless) pour analyser TBs de données sans gérer cluster. Requêtes facturées 5 USD/TB scanné.
FAQ
S3 vs EBS ?
S3 = object storage, accès via API HTTP, infinie scalabilité. EBS = block storage attaché à instance, latence ms.
Combien de durabilité S3 ?
99,999999999 % (11 nines). Pour 10M objets stockés, perte attendue 1 objet tous les 10 000 ans.
Glacier Deep Archive utile en pratique ?
Oui, pour archives légales 7+ ans (banques, télécom). Restore 12h acceptable pour ce cas.
Pour aller plus loin
- 🔝 Pilier AWS SAA-C03
- ➡️ Suite : IAM : utilisateurs, rôles, policies (à venir).
- Documentation : AWS S3 User Guide, S3 Pricing.
Mots-clés : AWS S3 versioning, lifecycle Glacier, SSE-KMS encryption, bucket policy public, presigned URL, Cross-Region Replication, Object Lock, S3 statique website CloudFront.
Approfondissement et cas pratiques
Études de cas réelles AWS en Afrique de l’Ouest
Cas 1 — Fintech mobile money, Dakar, 2025. Une fintech sénégalaise traite 4 millions de transactions/mois (Orange Money agrégé). Architecture AWS : ALB multi-AZ (eu-west-3) + ECS Fargate auto-scaling 8-50 tasks + Aurora Serverless v2 PostgreSQL (1-32 ACU) + DynamoDB pour ledger transactionnel + ElastiCache Redis pour sessions + S3 + CloudFront pour static. Coût mensuel 4 200 USD, soit 0.001 USD par transaction. Disponibilité mesurée 99,98 % sur 12 derniers mois. RTO 4 minutes via Multi-AZ failover Aurora.
Cas 2 — E-commerce panafricain, Abidjan/Dakar/Lagos, 2024. Plateforme avec 80 000 visiteurs/jour. Architecture multi-region active-active : eu-west-3 (Paris, principal pour AO/UE) + af-south-1 (Cape Town, secondaire pour Afrique australe) + Route 53 latency-based routing. Réplication Aurora Global Database, S3 Cross-Region Replication, DynamoDB Global Tables. CloudFront edge locations couvrant Lagos, Casablanca, Johannesburg. Coût 8 500 USD/mois, ROI prouvé par augmentation 23 % du taux conversion grâce à latence < 200ms partout en Afrique.
Cas 3 — Migration banque traditionnelle vers AWS, 2024-2025. Banque ivoirienne avec 18 ans d’historique on-prem (datacenter Plateau Abidjan + DR Yamoussoukro). Migration AWS lift-and-shift 80 % des workloads en 14 mois. Stack : VPC hub-and-spoke avec Transit Gateway, AWS Directory Service pour AD legacy, RDS pour Oracle SAP, EC2 dedicated hosts pour licences Microsoft, AWS Backup avec immutability pour conformité, AWS Control Tower pour gouvernance. Économie 40 % vs datacenter on-prem dès l’année 1, montée à 55 % en année 3.
Cinq scénarios SAA-C03 type examen détaillés
Scénario 1 : architecture e-commerce HA pour Black Friday. App attendue à 100x charge normale en 4h. Réponse : ALB + ASG avec scheduled scaling (lance 50 instances 30 min avant), CloudFront pour cache statique, Aurora Read Replicas pour scale read, ElastiCache Redis cluster mode pour sessions, SQS pour découpler order processing.
Scénario 2 : DR cross-region. Compagnie demande RTO 30 min, RPO 5 min. Réponse : Pilot Light pattern, primary eu-west-3, secondary eu-west-1 avec Aurora Global Database (lag < 1s) + AMI répliquées + Route 53 health checks failover automatique.
Scénario 3 : sécurisation données sensibles. Application stocke PII clients. Réponse : S3 SSE-KMS avec CMK, encryption EBS, RDS encrypted, KMS key rotation auto annuelle, IAM least privilege, CloudTrail logs vers S3 Object Lock immutable, GuardDuty actif, Macie pour découverte automatique PII.
Scénario 4 : optimisation coût legacy. Compte AWS avec 250 instances EC2 mostly idle nuit/weekend. Réponse : Instance Scheduler pour stop/start automatique, Reserved Instances 1 an pour baseline 24/7, Spot Instances pour batch processing, S3 Intelligent-Tiering, Compute Savings Plans 3 ans pour stack permanente. Économie attendue 65-75 %.
Scénario 5 : conformité PCI DSS. Architecture e-commerce processant cartes. Réponse : segmentation VPC stricte (CDE = Cardholder Data Environment isolé), AWS WAF + Shield Advanced, CloudHSM pour clés PCI, AWS Config rules pour conformité continue, AWS Inspector pour scan vuln, GuardDuty + Security Hub, CloudTrail multi-region, AWS Audit Manager pour rapports.
Architecture cloud-native moderne 2026
[Route 53 latency-based] → [CloudFront global edges]
↓
[WAF + Shield Advanced]
↓
[API Gateway HTTP API ou Application Load Balancer]
↓
┌────────────────────────┼────────────────────────┐
↓ ↓ ↓
[Lambda functions] [ECS Fargate tasks] [EKS pods auto-scaled]
pour serverless pour containers pour orchestration
↓ ↓ ↓
└────────┬───────────────┴────────┬───────────────┘
↓ ↓
[Aurora Serverless v2] [DynamoDB on-demand]
pour relational pour NoSQL haute scale
↓ ↓
[ElastiCache Redis cluster]
↓
[S3 Intelligent-Tiering + Glacier lifecycle]
pour archives
↓
[Observability : CloudWatch + X-Ray + EventBridge + Step Functions]
[Sécurité : IAM + KMS + Secrets Manager + GuardDuty + Security Hub]
[Gouvernance : Organizations + SCP + Control Tower + Config]
Cette architecture cloud-native moderne sert de référence pour les startups et scale-ups ouest-africaines qui veulent éviter le legacy ops.
Coûts détaillés en FCFA pour cas réel PME
PME 30 employés, 1 application web SaaS, 10 000 utilisateurs actifs/mois :
Service Coût/mois
------- ---------
EC2 t3.medium x2 (ALB + workers) 90 USD
RDS db.t3.micro Multi-AZ 28 USD
S3 + CloudFront (50 Go transfer) 35 USD
ALB + Route 53 25 USD
Backup + monitoring 15 USD
NAT Gateway (alternative : NAT Instance) 32 USD (ou 8 USD)
---------
Total 225 USD/mois
≈ 135 000 FCFA/mois
≈ 1 620 000 FCFA/an
Vs hébergement OVH/Hetzner classique : ~80 USD/mois mais sans HA, sans CDN, sans backup automatisé. AWS premium justifié pour fiabilité + scaling.
Avec Reserved Instances 3 ans : 35 % économie → 145 USD/mois ≈ 87 000 FCFA/mois.
Plan de carrière post-AWS SAA détaillé
0-12 mois : décrocher poste cloud engineer junior dans ESN cloud (Smart Africa, ETRILABS, Kasi Insight, agences Microsoft/AWS partner) ou directement chez client final (banque, opérateur, fintech). Salaire 800 000-1 200 000 FCFA. Activités : provisioning Terraform, déploiement CI/CD, monitoring CloudWatch, support N1/N2.
12-30 mois : monter compétence DevOps + sécurité cloud. Certifications cibles : AWS DevOps Pro (DOP-C02) ou AWS Security Specialty (SCS-C02). Salaire 1 400 000-2 000 000 FCFA. Activités : automation IaC, optimisation coûts (FinOps), implémentation Zero Trust, gestion incidents production.
30-60 mois : positions architecte ou tech lead. Cert AWS Solutions Architect Professional (SAP-C02). Salaire 2 200 000-3 500 000 FCFA local, 4-7 millions FCFA en remote international.
60+ mois : Cloud Architect senior, Engineering Manager, Principal Engineer ou freelance/consulting. Plateformes remote : Toptal, Malt, A.Team, Andela. Tarifs day rate 400-800 USD pour profils seniors AWS+Kubernetes+AI/ML.
Outils et frameworks complémentaires
IaC : Terraform (cross-cloud, le plus utilisé en 2026), AWS CDK (Python/TypeScript), Pulumi (alternative moderne), CloudFormation (legacy mais utile pour AWS-specific).
CI/CD : GitHub Actions (le plus populaire), GitLab CI, AWS CodePipeline (intégré AWS), CircleCI, Jenkins (legacy).
Container orchestration : Amazon ECS (managed), Amazon EKS (Kubernetes), Fargate (serverless containers).
Observability : CloudWatch (de base), Datadog (premium SaaS), New Relic, Grafana Cloud avec Prometheus.
FinOps : AWS Cost Explorer + Budgets + Compute Optimizer, Vantage.sh (alternative), CloudHealth, Apptio Cloudability.
Security : Prowler (audit script open-source), Cloudsploit, AWS Security Hub, Wiz, Lacework.