AWS en 2025 : ce que vous pensez savoir, mais qui est désormais faux

• Les services clés d’AWS évoluent rapidement
• Des fonctions majeures comme EC2, S3 et Lambda offrent désormais des performances et une flexibilité qui dépassent les attentes d’autrefois
• De nombreux changements et optimisations ont aussi eu lieu dans le réseau, l’authentification et les stratégies de réduction des coûts
• Des anciens billets de blog ou informations obsolètes peuvent encore semer la confusion
• Connaître les dernières mises à jour et les politiques actuelles est indispensable pour bien exploiter AWS

AWS 2025 : un présent différent des idées héritées du passé

• AWS est une plateforme cloud avec près de 20 ans d’existence, et les « évidences » autour de ses services n’ont cessé d’évoluer
• Même pour les utilisateurs expérimentés, le rythme des changements rend difficile le suivi des nombreuses améliorations des fonctions essentielles
• Comme beaucoup de billets de blog continuent encore à diffuser des informations anciennes, il est important de bien comprendre ce qui a réellement changé dans les configurations actuelles

EC2

• Il est désormais possible de modifier les groupes de sécurité et les rôles IAM d’une instance EC2 sans interruption
• Sur une instance en cours d’exécution, on peut redimensionner, attacher ou détacher des volumes EBS
• Il est désormais possible de forcer l’arrêt ou la terminaison d’instances EC2 récentes, sans avoir à attendre un long délai d’expiration
• La migration à chaud entre hôtes physiques a été introduite, ce qui rend beaucoup plus rares les alertes de dégradation des performances d’instance
• La fiabilité des instances a fortement progressé, et il est désormais très rare qu’une instance disparaisse sans préavis comme autrefois
• Les variations de prix des instances Spot sont devenues plus progressives, ce qui réduit le besoin de les surveiller en temps réel comme sur un marché spéculatif
• Les cas nécessitant des instances dédiées sont devenus extrêmement rares (même un HIPAA BAA n’est presque plus nécessaire depuis près de 10 ans)
• AMI Block Public Access est activé par défaut sur les nouveaux comptes (et s’applique depuis 2023 aussi aux comptes n’ayant possédé aucune AMI publique depuis plus de 90 jours)

S3

• S3 n’est plus Eventually Consistent et fournit désormais une Read-After-Write Consistency
• Il n’est plus nécessaire d’aléatoiriser le début des clés d’objet, ce qui réduit les préoccupations liées à la distribution des données et aux hotspots
• Les ACLs (Access Control List) ne sont plus recommandées et sont désactivées par défaut sur les nouveaux buckets
• Les nouveaux buckets ont Block Public Access activé par défaut
• Le chiffrement des données stockées est appliqué automatiquement
• Avant de devenir une classe de stockage de S3, Glacier était un service distinct ; il est désormais intégré, et il n’en reste que des traces dans la facturation et quelques détails similaires
• Les coûts et délais de restauration Glacier sont devenus bien plus prévisibles et moins chers qu’auparavant. Les anciens récits effrayants sur les coûts de restauration ne sont plus d’actualité

Réseau (Networking)

• EC2-Classic a complètement disparu
• Les adresses IPv4 publiques ne sont désormais plus gratuites et sont facturées au même tarif que les Elastic IP
• À la place de VPC Peering, de meilleures options ont émergé comme Transit Gateway, le partage de VPC/ressources et Cloud WAN
• VPC Lattice et Tailscale permettent de résoudre facilement des problèmes réseau complexes
• Le temps de propagation des mises à jour de CloudFront est passé d’environ 45 minutes à environ 5 minutes (même si cela peut encore sembler long lors de l’attente d’un déploiement CloudFormation)
• ELB Classic facturait le trafic inter-AZ, tandis qu’ALB ne facture que les LCU. Il faut noter que NLB facture toujours le trafic inter-AZ
• La prise en charge des groupes de sécurité a été ajoutée au Network Load Balancer
• Les identifiants de zones de disponibilité (Availability Zone) différaient selon les comptes, mais il est désormais possible d’aligner les Zone ID avec Resource Access Manager

Lambda

• La durée d’exécution de Lambda est passée de 5 minutes à 15 minutes, avec l’ajout de la prise en charge des images de conteneur (Docker), du stockage partagé EFS, de jusqu’à 10 Go de RAM et de /tmp 10 Go
• La vitesse d’exécution des Lambda dans un VPC s’est nettement améliorée
• Le problème des cold starts a été très largement atténué par rapport au passé

EFS

• Le réglage des performances d’E/S d’EFS peut désormais être ajusté indépendamment de la capacité, ce qui évite d’avoir à remplir l’espace avec des données inutiles

EBS

• Les nouveaux volumes EBS peuvent atteindre immédiatement leurs performances maximales s’ils ne contiennent pas de données initiales
• Les volumes créés à partir d’un snapshot peuvent être lents lors de la première lecture des données ; il est donc recommandé de lire une fois l’ensemble du disque (des options plus rapides existent aussi)
• Les volumes io1 peuvent être attachés simultanément à plusieurs instances EC2, mais cela n’est recommandé que dans des cas très particuliers

DynamoDB

• Les champs vides sont désormais autorisés dans les éléments
• Les performances sont devenues beaucoup plus stables, ce qui réduit le besoin de surveiller les hot keys avec des outils dédiés comme auparavant
• Avec les changements de tarification, le mode On Demand est désormais plus pertinent pour la plupart des utilisateurs

Options de réduction des coûts (Cost Savings Vehicles)

• Les Reserved Instances sont progressivement en voie de disparition, et les Savings Plans deviennent la norme. Les remises des Savings Plans ont baissé par rapport aux RI, mais leur flexibilité a augmenté
• L’usage EC2 étant facturé à la seconde, il est rentable même pour des démarrages d’instance très courts
• Cost Anomaly Detector détecte avec une excellente précision les schémas d’utilisation inattendus et il est gratuit
• Compute Optimizer fournit des recommandations fiables pour divers types de ressources, y compris EBS. Les recommandations de Trusted Advisor manquent encore de cohérence

Authentification (Authentication)

• L’attribution des droits via les rôles IAM est recommandée, tandis que les utilisateurs IAM ne conviennent plus vraiment qu’aux applications legacy
• IAM Identity Center remplace AWS SSO pour l’accès aux comptes, ce qui entretient encore un peu de confusion
• Il est possible d’enregistrer plusieurs appareils MFA sur le compte root
• Il n’est pas nécessaire de configurer séparément des identifiants root pour les comptes membres d’une organisation

Divers (Miscellaneous)

• La fiabilité et la durabilité de us-east-1 se sont nettement améliorées. Les pannes fréquentes d’autrefois sont désormais suffisamment rares pour faire la une
• La dépréciation des services AWS reste rare, mais la tendance est à la hausse ; il faut donc réfléchir à la dépendance aux services mineurs
• Le phénomène où le dernier point des données CloudWatch apparaissait anormalement bas à cause d’incohérences ne se produit plus
• Depuis le compte root, il est possible de fermer directement les comptes membres AWS au sein d’une organisation