AWS API Extract

Références générales AWS Guide de référence
Nouvelles tentatives d'API
API AWS
Les pages suivantes fournissent des informations utiles lors de l'utilisation d'une API AWS.
Table des matières

• Nouvelles tentatives après erreur et interruptions exponentielles dans AWS (p. 444)
• Signature des demandes d'API AWS (p. 446)
• Prise en charge du kit SDK AWS pour le chiffrement côté client Amazon S3 (p. 486)
Nouvelles tentatives après erreur et interruptions

exponentielles dans AWS
Un grand nombre de composants d'un réseau, tels que serveurs DNS, commutateurs, équilibreurs de
charge ou autres, peuvent générer des erreurs à n'importe quel moment de la vie d'une requête donnée.
La technique habituelle pour traiter ces réponses erronées dans un environnement réseau consiste à
implémenter les nouvelles tentatives dans l'application cliente. Cette technique augmente la fiabilité de
l'application et réduit les coûts de fonctionnement pour le développeur.
Chaque kit SDK AWS implémente une logique de nouvelle tentative automatique. Le kit AWS SDK for Java
retente automatiquement les demandes et vous pouvez configurer les paramètres de nouvelle tentative
à l'aide de la classe ClientConfiguration. Par exemple, vous souhaiterez peut-être désactiver la
logique de nouvelle tentative pour une page web qui effectue une demande avec une latence minimale
et sans aucune nouvelle tentative. Utilisez la classe ClientConfiguration et affectez au paramètre
maxErrorRetry la valeur 0 afin de désactiver les nouvelles tentatives.
Si vous n'utilisez aucun kit SDK AWS, vous devez retenter les demandes originales qui reçoivent des
erreurs de serveur (5xx) ou de limitation. Cependant, les erreurs client (4xx) indiquent que vous devez
réviser la demande pour résoudre le problème avant de faire une nouvelle tentative.
Outre les nouvelles tentatives simples, chaque kit AWS SDK implémente un algorithme d'interruption
exponentielle pour un meilleur contrôle des flux. L'idée sous-jacente consiste à utiliser des temps d'attente
progressivement plus longs entre les tentatives en cas de réponses d'erreur consécutives. Vous devez
implémenter un intervalle maximal, ainsi qu'un nombre maximal de nouvelles tentatives. L'intervalle
maximal et le nombre maximal de nouvelles tentatives ne sont pas nécessairement des valeurs fixes
et doivent être définis en fonction de l'opération exécutée, ainsi que d'autres facteurs locaux, comme la
latence du réseau.
La plupart des algorithmes d'interruption exponentielle utilisent l'instabilité (retard aléatoire) pour éviter les
conflits successifs. Comme vous ne cherchez pas à éviter de tels conflits dans ces cas précis, vous n'avez
pas besoin d'utiliser ce nombre aléatoire. Cependant, si vous utilisez les clients simultanés, l'instabilité
peut aider à ce que vos demandes réussissent plus rapidement. Pour plus d'informations, consultez la
publication de blog Interruption exponentielle et instabilité.
Le pseudo-code suivant montre une façon de rechercher un état en utilisant un délai incrémentiel.
Do some asynchronous operation.
retries = 0
DO
wait for (2^retries * 100) milliseconds
status = Get the result of the asynchronous operation.
Version 1.0
444
Nouvelles tentatives d'API
IF status = SUCCESS
retry = false
ELSE IF status = NOT_READY
retry = true
ELSE IF status = THROTTLED
retry = true
ELSE
Some other error occurred, so stop calling the API.
retry = false
END IF
retries = retries + 1
WHILE (retry AND (retries < MAX_RETRIES))
Le code suivant montre comment implémenter ce délai incrémentiel dans Java.
public enum Results {

SUCCESS,
NOT_READY,
THROTTLED,
SERVER_ERROR
}
/*
* Performs an asynchronous operation, then polls for the result of the
* operation using an incremental delay.
*/
public static void doOperationAndWaitForResult() {
try {
// Do some asynchronous operation.
long token = asyncOperation();
int retries = 0;
boolean retry = false;
do {
long waitTime = Math.min(getWaitTimeExp(retries), MAX_WAIT_INTERVAL);
System.out.print(waitTime + "\n");
// Wait for the result.

Thread.sleep(waitTime);
// Get the result of the asynchronous operation.

Results result = getAsyncOperationResult(token);
if (Results.SUCCESS == result) {
retry = false;
} else if (Results.NOT_READY == result) {
retry = true;
} else if (Results.THROTTLED == result) {
retry = true;
} else if (Results.SERVER_ERROR == result) {
retry = true;
}
else {
// Some other error occurred, so stop calling the API.
retry = false;
}
} while (retry && (retries++ < MAX_RETRIES));

}
Version 1.0
445
Signature des demandes d'API AWS
catch (Exception ex) {

}
}
/*
* Returns the next wait interval, in milliseconds, using an exponential
* backoff algorithm.
*/
public static long getWaitTimeExp(int retryCount) {
long waitTime = ((long) Math.pow(2, retryCount) * 100L);
return waitTime;
}
Signature des demandes d'API AWS

Lorsque vous envoyez des demandes HTTP vers AWS, vous signez les demandes afin qu'AWS
puisse identifier leur expéditeur. Vous signez les demandes avec votre clé d'accès AWS, qui se
compose d'un ID de clé d'accès et d'une clé d'accès secrète. Certaines demandes n'ont pas besoin
d’être signées, comme les demandes anonymes adressées à Amazon Simple Storage Service
(Amazon S3) et certaines opérations d'API dans AWS Security Token Service (AWS STS), telles que
AssumeRoleWithWebIdentity.
Note
Vous devez apprendre à ne signer les demandes HTTP que lorsque vous les créez manuellement.
Lorsque vous utilisez l'AWS Command Line Interface (AWS CLI) ou l'un des kits SDK AWS pour
effectuer des demandes auprès d'AWS, ces outils signent automatiquement les demandes avec
la clé d'accès que vous spécifiez lors de la configuration de ces outils. Lorsque vous utilisez ces
derniers, vous n'avez pas besoin d'apprendre à signer vous-même les demandes.
Pour savoir comment créer, afficher et télécharger des ID de clé d'accès et des clés d'accès
secrètes, consultez Clés d'accès (ID de clé d'accès et clé d'accès secrète) (p. 6).
Quand est-il nécessaire de signer les demandes ?

Lorsque vous écrivez un code personnalisé pour envoyer des demandes HTTP à AWS, vous devez inclure
le code permettant de signer les demandes. Vous pouvez être appelé à le faire pour les raisons suivantes :
• Vous utilisez un langage de programmation pour lequel il n'existe aucun kit SDK AWS.
• Vous voulez exercer un contrôle complet de la façon dont une demande est envoyée à AWS.
Vous n'avez pas besoin de signer une demande lorsque vous utilisez l'AWS Command Line Interface
(AWS CLI) ou l'un des kits SDK AWS. Ces outils gèrent les détails de connexion, tels que le calcul des
signatures, la gestion des nouvelles tentatives de demande et la gestion des erreurs. Dans la plupart des
cas, ils contiennent également des exemples de code, des didacticiels et d'autres ressources destinées à
vous aider à commencer à écrire des applications qui interagissent avec AWS.
Pourquoi les demandes sont-elles signées ?

Le processus de signature aide à sécuriser les demandes de différentes façons :
• Vérifier l'identité du demandeur
La signature permet de s'assurer que la demande a été envoyée par une personne ayant une clé d'accès
valide. Pour de plus amples informations, veuillez consulter Présentation et obtention de vos informations
d'identification de sécurité (p. 4).
Version 1.0
446
Signature des requêtes
• Protéger les données en transit
Pour éviter qu'une demande ne soit falsifiée pendant son transit, certains de ses éléments sont utilisés
pour calculer son hachage (digest) et la valeur de hachage obtenue est incluse comme partie intégrante
de la demande. Lorsqu'un service AWS reçoit la demande, il utilise les mêmes informations pour calculer
un hachage et le compare à la valeur de hachage de votre demande. Si les valeurs ne correspondent
pas, AWS refuse la demande.
• Assurer une protection contre les attaques potentielles par relecture
Dans la plupart des cas, une demande doit parvenir à AWS dans les cinq minutes suivant son
horodatage. Sinon, AWS refuse la demande.
Signature des requêtes

Pour signer une demande, vous devez d'abord calculer un hachage (digest) de la demande. Ensuite, vous
utilisez la valeur de hachage, quelques autres informations de la demande et votre clé d'accès secrète pour
calculer un autre hachage connu sous le nom de signature. Puis, vous ajoutez la signature à une demande
de l'une des façons suivantes :
• Utilisation de l'en-tête Authorization HTTP.

• Ajout d'une valeur de chaîne de requête à la demande. Comme la signature fait partie de l'URL dans le
cas présent, ce type d'URL est appelé URL présignée.
Versions de Signature
AWS prend en charge deux versions de signature : Signature Version 4 et Signature Version 2. Vous
devez utiliser Signature Version 4. Tous les services AWS prennent en charge Signature Version 4, sauf
Amazon SimpleDB qui requiert Signature Version 2. Pour les services AWS qui prennent en charge les
deux versions, nous vous recommandons d'utiliser Signature Version 4.
Toutes les régions AWS prennent en charge Signature Version 4.
Processus de signature Signature Version 4

Signature Version 4 est le processus qui consiste à ajouter des informations d'authentification aux
demandes AWS envoyées par HTTP. Pour des raisons de sécurité, la plupart de demandes de AWS
doivent être signées avec une clé d'accès, qui consiste en un ID de clé d'accès et une clé d'accès
secrète. Ces deux clés sont généralement appelées informations d'identification de sécurité. Pour
plus d'informations sur la manière d'obtenir les informations d'identification de votre compte, consultez
Présentation et obtention de vos informations d'identification de sécurité (p. 4).
Important
Lorsque vous utilisez l'AWS Command Line Interface (AWS CLI) ou l'un des kits SDK AWS pour
effectuer des demandes auprès d'AWS, ces outils signent automatiquement les demandes avec
les informations d'identification de sécurité que vous avez spécifiées lors de la configuration de
ces outils. Lorsque vous utilisez ces derniers, vous n'avez pas besoin d'apprendre à signer vous-
même les demandes. En revanche, lorsque vous créez manuellement des demandes HTTP pour
accéder aux services AWS, vous devez signer les demandes vous-même.
Fonctionnement de Signature Version 4
1. Créer une demande canonique.
Version 1.0
447
2. Utilisez la demande canonique et les métadonnées supplémentaires pour créer une chaîne pour la
signature.
3. Dérivez une clé de signature à partir de votre clé d'accès secrète AWS. Ensuite, utilisez la clé de
signature et la chaîne à partir de l'étape précédente pour créer une signature.
4. Ajoutez la signature obtenue à la demande HTTP dans un en-tête ou en tant que paramètre de chaîne
de requête.
Lorsqu'un service AWS reçoit la demande, il effectue les mêmes démarches que celles pour calculer la
signature envoyée dans votre demande. AWS compare ensuite sa signature calculée à celle que vous avez
envoyé avec la demande. Si les signatures correspondent, la demande est traitée. Si les signatures ne
correspondent pas, la demande est rejetée.
Pour de plus amples informations, veuillez consulter les ressources suivantes :
• Pour commencer avec le processus de signature, consultez Signature des demandes AWS avec
Signature Version 4 (p. 450).
• Pour obtenir des exemples de demandes signées, consultez Exemples du processus de signature
complet Signature Version 4 (Python) (p. 466).
• Si vous avez des questions sur la Signature Version 4, posez-les dans le forum AWS Identity and Access
Management.
Modification dans Signature Version 4

Signature Version 4 est le protocole de signature actuel d'AWS. Il inclut plusieurs modifications depuis la
version précédente de Signature Version 2 :
• Pour signer votre message, vous utilisez une clé de signature dérivée à partir de votre clé d'accès
secrète plutôt qu'une clé d'accès secrète elle-même. Pour plus d'informations sur l'obtention des clés,
consultez Tâche 3: calculer la signature pour AWS Signature Version 4. (p. 459).
• Vous dérivez votre clé de signature à partir de la portée des informations d'identification, ce qui signifie
que vous n'avez pas besoin d'inclure la clé elle-même dans la demande. La portée des informations
d'identification est représentée par une chaîne de dimensions séparées par une barre oblique dans
l'ordre suivant :
1. Les informations sur la date sous la forme de chaîne à huit chiffres représentant l'année (AAAA), le
mois (MM) et le jour (JJ) de la demande (par exemple, 20150830). Pour plus d'informations sur la
gestion des dates, consultez Gestion des dates dans Signature Version 4 (p. 463).
2. Les informations sur la région sous la forme de chaîne alphanumérique en minuscules. Utilisez le
nom de la région qui fait partie du point de terminaison du service. Pour les services avec un point de
terminaison globalement unique comme IAM, utilisez us-east-1.
3. Les informations sur le nom du service sous la forme de chaîne alphanumérique en minuscules
(par exemple, iam). Utilisez le nom du service qui fait partie du point de terminaison du service. Par
exemple, le point de terminaison IAM est https://iam.amazonaws.com, vous utilisez donc la chaîne
iam comme une partie du paramètre Credential.
4. Une chaîne de terminaison spéciale :aws4_request.
• Vous utilisez la portée des informations d'identification dans chaque tâche de signature :
• Si vous ajoutez les informations de signature à la chaîne de requête, incluez la portée des informations
d'identification comme une partie du paramètre X-Amz-Credential lorsque vous créez la demande
canonique dans Tâche 1 : créer une demande canonique pour Signature Version 4 (p. 452).
• Vous devez inclure la portée des informations d'identification comme une partie de votre chaîne à
signer dans Tâche 2 : créer une chaîne à signer pour Signature Version 4 (p. 458).
• Enfin, vous utilisez les composants de la date, de la région et du service de nom de la portée des
informations d'identification pour dériver votre clé de signature dans Tâche 3: calculer la signature pour
AWS Signature Version 4. (p. 459).
Version 1.0
448
Éléments d'une demande AWS Signature Version 4

Chaque demande HTTP/HTTPS utilisant Signature Version 4 doit contenir ces éléments.
• Spécification du point de terminaison

• Action
• Paramètres obligatoires et facultatifs
• Date
• Paramètres d'authentification
Spécification du point de terminaison

Il est spécifié en tant qu'en-tête Host dans les demandes HTTP/1.1. Cet en-tête spécifie le nom DNS de
l'ordinateur auquel vous envoyez la demande, par exemple dynamodb.us-east-1.amazonaws.com.
Vous devez inclure l'en-tête Host dans les demandes HTTP/1.1. Pour les demandes HTTP/2, vous
pouvez utiliser l'en-tête :authority ou Host. Utilisez uniquement l'en-tête :authority à des fins de
conformité avec la spécification HTTP/2. Tous les services ne prennent pas en charge les demandes
HTTP/2. Consultez la documentation du service pour plus d'informations.
Le point de terminaison contient généralement le nom du service et la région que vous devez utiliser dans
le paramètre d'authentification Credential. Par exemple, le point de terminaison Amazon DynamoDB
de la région eu-west-1 est dynamodb.eu-west-1.amazonaws.com. Si vous ne spécifiez pas de région,
un service web utilise la région par défaut, us-east-1. Si vous utilisez un service comme IAM qui utilise
un point de terminaison globalement unique, utilisez la région par défaut (us-east-1), dans le paramètre
d'authentification Credential (décrit plus loin dans cette rubrique).
Pour obtenir la liste complète des points de terminaison pris en charge par AWS, consultez Régions et
points de terminaison.
Action
Cet élément spécifie l'action que vous souhaitez qu'un service web effectue, par exemple l'action
DynamoDB CreateTable ou l'action Amazon EC2 DescribeInstances. L'action spécifiée détermine
les paramètres utilisés dans la demande. Pour les API de requête, l'action est un nom d'API. Pour les
autres API (par exemple, les API RESTful), consultez la documentation du service pour connaître les
actions appropriées.
Paramètres obligatoires et facultatifs

Cet élément spécifie les paramètres à l'action de la demande. Chaque action d'un service web comprend
un ensemble de paramètres obligatoires et facultatifs qui définissent un appel d'API. La version de l'API
est généralement un paramètre obligatoire. Consultez la documentation du service pour connaître les
paramètres obligatoires et facultatifs.
Date
Il s'agit de la date et de l'heure d'envoi de la demande. L'inclusion de la date dans la demande permet
d'empêcher des tiers d'intercepter cette dernière et de la soumettre à nouveau ultérieurement. La date est
spécifiée à l'aide du format ISO8601 Basic via l'en-tête x-amz-date au format YYYYMMDD'T'HHMMSS'Z'.
Paramètres d'authentification
Chaque demande que vous envoyez doit inclure l'ensemble de paramètres suivant, qu'AWS utilise pour
vérifier la validité et l'authenticité de la demande.
Version 1.0
449
• Algorithm. Algorithme de hachage que vous utilisez dans le cadre du processus de signature. Par
exemple, si vous utilisez SHA-256 pour créer des hachages, utilisez la valeur AWS4-HMAC-SHA256.
• Credential scope. Chaîne séparée par des barres obliques (« / ») et formée en concaténant votre
ID de clé d'accès et les composants de vos informations d'identification. La portée des informations
d'identification inclut la date au format AAAAMMJJ, la région AWS, le nom du service et une chaîne
de terminaison spéciale (aws4_request). Par exemple, la chaîne suivante représente le paramètre
Credential d'une demande IAM dans la région us-east-1 .
AKIAIOSFODNN7EXAMPLE/20111015/us-east-1/iam/aws4_request
Important
Vous devez utiliser des caractères minuscules pour spécifier la région, le nom du service et la
chaîne de terminaison spéciale.
• SignedHeaders. Liste délimitée par des points virgules (« ; ») d'en-têtes HTTP/HTTPS à inclure dans la
signature.
• Signature. Chaîne codée au format hexadécimal qui représente le résultat de l'opération de signature
décrite dans Tâche 3: calculer la signature pour AWS Signature Version 4. (p. 459). Vous devez
calculer la signature en utilisant l'algorithme que vous avez spécifié dans le paramètre Algorithm.
Pour voir des exemples de demandes signées, consultez Exemples du processus de signature complet
Signature Version 4 (Python) (p. 466).
Signature des demandes AWS avec Signature Version 4

Cette section explique comment créer une signature et l'ajouter à une demande HTTP à envoyer à AWS.
Récapitulatif des étapes de signature

Pour créer une demande signée, exécutez les tâches suivantes :
• Tâche 1 : créer une demande canonique pour Signature Version 4 (p. 452)
Organisez le contenu de votre demande (hôte, action, en-têtes, etc.) dans un format standard
(canonique). La demande canonique est l'une des entrées utilisées pour créer une chaîne à signer.
• Tâche 2 : créer une chaîne à signer pour Signature Version 4 (p. 458)
Créez une chaîne à signer avec la demande canonique et des informations supplémentaires telles que
l'algorithme, la date de la demande, la portée des informations d'identification et le digest (hachage) de la
demande canonique.
• Tâche 3: calculer la signature pour AWS Signature Version 4. (p. 459)
Dérivez une clé de signature en exécutant une série d'opérations de hachage à clé (opérations HMAC)
sur la date, la région et le service de la demande, avec votre clé d'accès secrète AWS comme l'opération
de hachage initiale. Une fois la clé de signature dérivée, vous pouvez calculer la signature en exécutant
une opération de hachage à clé sur la chaîne à signer. Utilisez la clé de signature dérivée comme la clé
de hachage pour cette opération.
• Tâche 4 : ajouter la signature à l'en-tête de la demande (p. 461)
Version 1.0
450
Une fois la signature calculée, ajoutez-la à un en-tête HTTP ou à la chaîne de requête de la demande.
Note
Les kits SDK AWS gère le processus de calcul de la signature pour vous, vous n'avez donc pas à
terminer manuellement le processus de signature. Pour plus d'informations, consultez la section
Outils pour Amazon web Services.
Ressources de signature supplémentaires
Les ressources supplémentaires suivantes illustrent les aspects du processus de signature :
• Exemples de dérivation d'une clé de signature pour Signature Version 4 (p. 463). Cette page montre
comment dériver une clé de signature avec Java, C#, Python, Ruby et JavaScript.
• Exemples du processus de signature complet Signature Version 4 (Python) (p. 466). Cet ensemble
de programmes en Python fournit des exemples complets du processus de signature. Les exemples
montrent la signature avec une demande POST, avec une demande GET disposant des informations de
signature dans un en-tête de demande, avec une demande GET disposant des informations de signature
dans la chaîne de requête.
• Suite test Signature Version 4 (p. 474). Ce package téléchargeable contient une collection d'exemples
qui incluent les informations de signature pour les différentes étapes du processus de signature. Vous
pouvez utiliser ces exemples pour vérifier que votre code de signature génère les résultats corrects à
chaque étape du processus.
Représentation de la signature dans une demande

L'exemple suivant montre à quoi une demande HTTPS peut ressembler lorsqu'elle est envoyée depuis
votre client à AWS, sans aucune information de signature.
GET https://iam.amazonaws.com/?Action=ListUsers&Version=2010-05-08 HTTP/1.1

Content-Type: application/x-www-form-urlencoded; charset=utf-8
Host: iam.amazonaws.com
X-Amz-Date: 20150830T123600Z
Une fois que vous avez terminé les tâches de signature, vous ajoutez les informations d'authentification à
la demande. Vous pouvez ajouter les informations d'authentification de deux façons :
En-tête Authorization
Vous pouvez ajouter les informations d'authentification à la demande avec un en-tête Authorization.
Même si l'en-tête HTTP est appelé Authorization, les informations de signature sont en fait utilisées
pour l'authentification afin d'établir de qui venait la demande.
L'en-tête Authorization comprend les informations suivantes :
• Algorithme que vous avez utilisé pour la signature (AWS4-HMAC-SHA256)

• Portée des informations d'identification (avec votre ID de clé d'accès)
• Liste des en-têtes signés
• Signature calculée. La signature est basée sur les informations de votre demande, et vous utilisez votre
clé d'accès secrète AWS pour générer la signature. La signature confirme votre identité à AWS.
L'exemple suivant montre à quoi la demande précédente peut ressembler une fois que vous avez créé les
informations de signature et ajouté ces dernières à la demande dans l'en-tête Authorization.
Version 1.0
451
Notez que, dans la demande effective, l'en-tête Authorization apparaît sous la forme d'une ligne de
texte continue. La version ci-dessous a été mise en forme pour faciliter la lecture.

Authorization: AWS4-HMAC-SHA256
Credential=AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request,
SignedHeaders=content-type;host;x-amz-date,
Signature=5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
content-type: application/x-www-form-urlencoded; charset=utf-8
host: iam.amazonaws.com
x-amz-date: 20150830T123600Z
Chaîne de requête
Au lieu d'ajouter les informations d'authentification avec un en-tête de demande HTTP, vous pouvez les
inclure dans la chaîne de requête. La chaîne de requête contient tout ce qui fait partie de la demande, y
compris le nom et les paramètres de l'action, la date et les informations d'authentification.
L'exemple suivant montre comment vous pouvez construire une requête GET avec les informations
d'authentification et d'action dans la chaîne de requête.
(Dans la demande effective, la chaîne de requête apparaît sous la forme d'une ligne de texte continue. La
version ci-dessous a été mise en forme avec des sauts de ligne pour faciliter la lecture.)
GET https://iam.amazonaws.com?Action=ListUsers&Version=2010-05-08
&X-Amz-Algorithm=AWS4-HMAC-SHA256
&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request
&X-Amz-Date=20150830T123600Z
&X-Amz-Expires=60
&X-Amz-SignedHeaders=content-type%3Bhost
&X-Amz-Signature=37ac2f4fde00b0ac9bd9eadeb459b1bbee224158d66e7ae5fcadb70b2d181d02 HTTP/1.1
content-type: application/x-www-form-urlencoded; charset=utf-8
host: iam.amazonaws.com
Demandes GET et POST dans l'API de requête

L'API de requête prise en charge par de nombreux services AWS vous permet d'effectuer des demandes à
l'aide de GET ou POST HTTP. (Dans l'API de requête, vous pouvez utiliser GET même si vous effectuez des
demandes qui modifient l'état ; autrement dit, l'API de requête n'est pas une API RESTful en soi.) Comme
les demandes GET transmettent les paramètres à la chaîne de requête, elles se limitent à la longueur
maximale d'une URL. Si une demande inclut une charge utile volumineuse (par exemple, vous devez
charger une stratégie IAM volumineuse ou envoyer de nombreux paramètres au format JSON pour une
demande DynamoDB), vous utilisez généralement une demande POST.
Le processus de signature est identique pour les deux types de requêtes.
Tâche 1 : créer une demande canonique pour Signature Version 4

Pour commencer le processus de signature, créez une chaîne qui inclut des informations de votre
demande dans un format normalisé (canonique). Ainsi, lorsqu'AWS reçoit la demande, il peut calculer la
même signature que vous avez calculée.
Suivez ces étapes pour créer une version canonique de la demande. Sinon, votre version et la version
calculée par AWS ne correspondent pas, et la demande est refusée.
L'exemple suivant illustre le pseudo-code pour créer une demande canonique.
Example pseudo-code de la demande canonique
CanonicalRequest =
HTTPRequestMethod + '\n' +
Version 1.0
452
CanonicalURI + '\n' +
CanonicalQueryString + '\n' +
CanonicalHeaders + '\n' +
SignedHeaders + '\n' +
HexEncode(Hash(RequestPayload))
Dans ce pseudo-code, Hash représente une fonction qui génère un digest du message, généralement
SHA-256. (Plus tard dans le processus, vous spécifiez l'algorithme de hachage que vous utilisez.)
HexEncode représente une fonction qui renvoie l'encodage en base 16 du digest en caractères
minuscules. Par exemple, HexEncode("m") renvoie la valeur 6d plutôt que 6D. Chaque octet en entrée
doit être représenté sous la forme de deux caractères hexadécimaux exactement.
Signature Version 4 n'exige pas que vous utilisiez un encodage de caractères particulier pour encoder la
demande canonique. Toutefois, certains services AWS peuvent nécessiter un encodage spécifique. Pour
plus d'informations, consultez la documentation relative à ce service.
Les exemples suivants montrent comment construire la forme canonique d'une demande à IAM. La
demande d'origine peut ressembler à ceci comme elle est envoyée depuis le client à AWS, sauf que cet
exemple n'inclut pas encore les informations de signature.
Example de la demande

X-Amz-Date: 20150830T123600Z
L'exemple de demande précédent est une demande GET (méthode) qui effectue un appel d'API (action)
ListUsers à AWS Identity and Access Management (hôte). Cette action prend le paramètre Version.
Pour créer une demande canonique, concaténez les éléments suivants de chaque étape en une
chaîne unique :
1. Commencez par la méthode de demande HTTP (GET, PUT, POST, etc.), suivie d'un caractère de saut
de ligne.
Example méthode de demande
GET
2. Ajoutez le paramètre URI canonique, suivi d'un caractère de saut de ligne. L'URI canonique est la
version encodée de l'URI du composant du chemin d'accès absolu de l'URI, c'est-à-dire tout dans l'URI
de l'hôte HTTP au point d'interrogation (« ? ») qui commence les paramètres de chaîne de requête, (le
cas échéant).
Normalisez les chemins d'accès à l'URI selon RFC 3986. Supprimez les composants de chemin
d'accès redondants et relatifs. Chaque segment de chemin d'accès doit être encodé de l'URI deux fois
(à l'exception d'Amazon S3 qui n'est encodé de l'URI qu'une seule fois).
Example URI canonique avec encodage
/documents%2520and%2520settings/
Note
Contrairement à cela, vous ne normalisez pas les chemins d'accès à l'URI pour les demandes
à Amazon S3. Par exemple, si vous disposez d'un compartiment avec un objet nommé my-
object//example//photo.user, utilisez ce chemin d'accès. La normalisation du chemin
Version 1.0
453
d'accès à my-object/example/photo.user entraîne un échec de la demande. Pour plus

d'informations, consultez Tâche 1 : Créer une demande canonique dans le Amazon Simple
Storage Service API Reference.
Si le chemin d'accès absolu est vide, utilisez une barre oblique (/). Dans l'exemple de demande IAM,
rien ne suit l'hôte dans l'URI, le chemin d'accès absolu est donc vide.
Example URI canonique
3. Ajoutez la chaîne de requête canonique, suivie d'un caractère de saut de ligne. Si la demande n'inclut
pas de chaîne de requête, utilisez une chaîne vide (principalement, une ligne vide). L'exemple de
demande contient la chaîne de requête suivante.
Example chaîne de requête canonique
Action=ListUsers&Version=2010-05-08
Pour construire la chaîne de requête canonique, exécutez les étapes suivantes :
a. Triez les noms de paramètre selon le point de code de caractère dans l'ordre croissant. Les
paramètres avec des noms en double doivent être triés par valeur. Par exemple, un nom de
paramètre qui commence par la lettre majuscule F précède un nom de paramètre qui commence
par la lettre minuscule b.
b. Encodez de l'URI chaque nom et valeur du paramètre en appliquant les règles suivantes :
• N'encodez pas de l'URI les caractères autorisés que RFC 3986 définit : A à Z, a à z, 0 à 9, le

trait d'union ( - ), le trait de soulignement ( _ ), le point final ( . ) et le tilde ( ~ ).
• Encodez de pourcentage tous les autres caractères avec %XY, où X et Y représentent les
caractères hexadécimaux (0 à 9 et les lettres majuscules A à F). Par exemple, le caractère
espace doit être encodé sous la forme %20 (sans utiliser « + », comme le font certains schémas
d'encodage) et les caractères UTF-8 étendus doivent être sous la forme %XY%ZA%BC.
• Encodez deux fois tous les caractères égaux à (=) dans les valeurs de paramètre.
c. Créez la chaîne de requête canonique en commençant par le premier nom du paramètre dans la
liste triée.
d. Pour chaque paramètre, ajoutez le nom du paramètre encodé de l'URI, suivi du signe égal (« = »),
suivi de la valeur du paramètre encodé de l'URI. Utilisez une chaîne vide pour les paramètres qui
n'ont aucune valeur.
e. Ajoutez le caractère esperluette (&) après chaque valeur de paramètre, à l'exception de la
dernière valeur de la liste.
Une option de l'API de requête consiste à placer tous les paramètres de demande dans la chaîne
de requête. Par exemple, vous pouvez le faire pour Amazon S3 afin de créer une URL présignée.
Dans ce cas, la chaîne de requête canonique doit inclure non seulement les paramètres de la
demande, mais aussi les paramètres utilisés dans le cadre du processus de signature, les paramètres
d'algorithme de hachage, de la portée des informations d'identification, de date et des en-têtes signés.
L'exemple suivant montre une chaîne de requête qui inclut les informations d'authentification.
L'exemple est formaté avec des sauts de ligne pour faciliter la lecture, mais la chaîne de requête
canonique doit être une ligne continue de texte dans votre code.
Example paramètres d'authentification dans une chaîne de requête
Action=ListUsers&
Version 1.0
454
Version=2010-05-08&
X-Amz-Algorithm=AWS4-HMAC-SHA256&
X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request&
X-Amz-Date=20150830T123600Z&
X-Amz-SignedHeaders=content-type%3Bhost%3Bx-amz-date
Pour plus d'informations sur les paramètres d'authentification, consultez Tâche 2 : créer une chaîne à
signer pour Signature Version 4 (p. 458).
Note
Vous pouvez utiliser les informations d'identification de sécurité temporaires fournies par AWS
Security Token Service (AWS STS) pour signer une demande. Le processus revient au même
que si les informations d'identification à long terme sont utilisées, mais lorsque vous ajoutez
les informations de signature à la chaîne de requête, vous devez ajouter un paramètre de
requête supplémentaire au jeton de sécurité. Le nom du paramètre est X-Amz-Security-
Token et la valeur du paramètre est le jeton de session encodé de l'URI (la chaîne que vous
avez reçue d'AWS STS lorsque vous avez obtenu les informations d'identification de sécurité
temporaires).
Pour certains services, vous devez inclure le paramètre de requête X-Amz-Security-
Token dans la chaîne de requête canonique (signée). Pour les autres services, vous ajoutez
le paramètre X-Amz-Security-Token à la fin, une fois que vous avez calculé la signature.
Pour plus d'informations, consultez la documentation de référence de l'API pour ce service.
4. Ajoutez les en-têtes canoniques, suivis d'un caractère de saut de ligne. Les en-têtes canoniques se
composent d'une liste de tous les en-têtes HTTP que vous incluez dans la demande signée.
Pour les demandes HTTP/1.1, vous devez au minimum inclure l'en-tête host. Les en-têtes standard
comme content-type sont facultatifs. Pour les demandes HTTP/2, vous devez inclure l'en-tête
:authority au lieu de l'en-tête host. Les différents services peuvent nécessiter d'autres en-têtes.
Example en-têtes canoniques
content-type:application/x-www-form-urlencoded; charset=utf-8\n
host:iam.amazonaws.com\n
x-amz-date:20150830T123600Z\n
Pour créer la liste des en-têtes canoniques, convertissez tous les noms d'en-tête en minuscules et
supprimez les espaces de début et de fin. Convertissez les espaces séquentiels de la valeur d'en-tête
en un espace simple.
Le pseudo-code suivant décrit comment construire la liste canonique des en-têtes :
CanonicalHeaders =
CanonicalHeadersEntry0 + CanonicalHeadersEntry1 + ... + CanonicalHeadersEntryN
CanonicalHeadersEntry =
Lowercase(HeaderName) + ':' + Trimall(HeaderValue) + '\n'
Lowercase représente une fonction qui convertit tous les caractères en minuscules. La fonction
Trimall supprime les espaces blancs excédentaires avant et après les valeurs, et convertit les
espaces séquentiels en un espace simple.
Développez la liste des en-têtes canoniques en triant les en-têtes (en minuscules) par code de
caractère et en procédant à l'itération via les noms d'en-tête. Construisez chaque en-tête selon les
règles suivantes :
• Ajoutez le nom d'en-tête en minuscules suivi de deux points.
Version 1.0
455
• Ajoutez une liste de valeurs séparées par des virgules pour cet en-tête. Ne triez pas les valeurs dans
les en-têtes ayant plusieurs valeurs.
• Ajoutez une nouvelle ligne (« \n »).
Les exemples suivants comparent un ensemble plus complexe d'en-têtes à leur forme canonique :
Example en-têtes d'origine
Host:iam.amazonaws.com\n
Content-Type:application/x-www-form-urlencoded; charset=utf-8\n
My-header1: a b c \n
X-Amz-Date:20150830T123600Z\n
My-Header2: "a b c" \n
Example forme canonique
content-type:application/x-www-form-urlencoded; charset=utf-8\n
host:iam.amazonaws.com\n
my-header1:a b c\n
my-header2:"a b c"\n
x-amz-date:20150830T123600Z\n
Note
Chaque en-tête est suivi d'un caractère de saut de ligne, ce qui signifie que la liste complète
se termine par un caractère de saut de ligne.
Dans la forme canonique, les modifications suivantes ont été apportées :
• Les noms d'en-tête ont été convertis en caractères minuscules.

• Les en-têtes ont été triés par code de caractère.
• Les espaces de début et de fin ont été supprimés des valeurs my-header1 et my-header2.
• Les espaces séquentiels dans a b c ont été convertis en un espace unique pour les valeurs my-
header1 et my-header2.
Note
que si les informations d'identification à long terme sont utilisées, mais lorsque vous incluez
les informations de signature dans l'en-tête Authorization, vous devez ajouter un en-tête
HTTP supplémentaire pour le jeton de sécurité. Le nom d'en-tête est X-Amz-Security-
Token et la valeur de l'en-tête est le jeton de session (la chaîne que vous avez reçue d'AWS
STS lorsque vous avez obtenu les informations d'identification de sécurité temporaires).
5. Ajoutez les en-têtes signés, suivis d'un caractère de saut de ligne. Cette valeur est la liste des en-têtes
que vous avez inclus dans les en-têtes canoniques. En ajoutant cette liste d'en-têtes, vous indiquez
à AWS les en-têtes de la demande qui font partie du processus de signature et ceux qu'AWS peut
ignorer (par exemple, tous les en-têtes supplémentaires ajoutés par un proxy) à des fins de validation
de la demande.
Pour les demandes HTTP/1.1, l'en-tête host doit être inclus comme un en-tête signé. Pour les
demandes HTTP/2 qui incluent l'en-tête :authority au lieu de l'en-tête host, vous devez inclure
l'en-tête :authority comme un en-tête signé. Si vous incluez une date ou un en-tête x-amz-date,
Version
vous devez également inclure cet en-tête dans1.0
la liste des en-têtes signés.
456
Pour créer la liste des en-têtes signés, convertissez tous les noms d'en-tête en minuscules, triez-les
par code de caractère, et utilisez un point-virgule pour séparer les noms d'en-tête. Le pseudo-code
suivant décrit comment construire une liste d'en-têtes signés. Lowercase représente une fonction qui
convertit tous les caractères en minuscules.
SignedHeaders =
Lowercase(HeaderName0) + ';' + Lowercase(HeaderName1) + ";" + ... +
Lowercase(HeaderNameN)
Créez la liste des en-têtes signés en procédant à l'itération via la collection des noms d'en-tête, triés
par code de caractère minuscule. Pour chaque nom d'en-tête sauf le dernier, ajoutez un point-virgule
(« ; ») au nom d'en-tête pour le séparer du nom d'en-tête suivant.
Example en-têtes signés
content-type;host;x-amz-date\n
6. Utilisez une fonction de hachage (digest) comme SHA256 pour créer une valeur hachée à partir de
la charge utile du corps de la demande HTTP ou HTTPS. Signature Version 4 n'exige pas que vous
utilisiez un encodage de caractères particulier pour encoder le texte dans la charge utile. Toutefois,
certains services AWS peuvent nécessiter un encodage spécifique. Pour plus d'informations, consultez
la documentation relative à ce service.
Example structure de la charge utile
HashedPayload = Lowercase(HexEncode(Hash(requestPayload)))
Lorsque vous créez la chaîne à signer, vous spécifiez l'algorithme de signature que vous avez utilisé
pour hacher la charge utile. Par exemple, si vous avez utilisé SHA256, vous spécifiez AWS4-HMAC-
SHA256 comme algorithme de signature. La charge utile hachée doit être représentée sous la forme
d'une chaîne hexadécimale en minuscules.
Si la charge utile est vide, utilisez une chaîne vide comme entrée de la fonction de hachage. Dans
l'exemple IAM, la charge utile est vide.
Example charge utile hachée (chaîne vide)
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
7. Pour construire la demande canonique finie, combinez tous les composants de chaque étape comme
une chaîne unique. Comme indiqué, chaque composant se termine par un caractère de saut de
ligne. Si vous suivez le pseudo-code de la demande canonique expliqué précédemment, la demande
canonique qui en résulte est illustrée dans l'exemple suivant.
Example demande canonique
GET
/
Action=ListUsers&Version=2010-05-08
content-type:application/x-www-form-urlencoded; charset=utf-8
host:iam.amazonaws.com
x-amz-date:20150830T123600Z
content-type;host;x-amz-date
Version 1.0
457
8. Créez un digest (hachage) de la demande canonique avec le même algorithme que celui que vous
avez utilisé pour hacher la charge utile.
Note
Signature Version 4 ne requiert pas que vous utilisiez un encodage de caractères particulier
pour encoder la demande canonique avant de calculer la valeur de hachage. Toutefois,
certains services AWS peuvent nécessiter un encodage spécifique. Pour plus d'informations,
consultez la documentation relative à ce service.
La demande canonique hachée doit être représentée sous la forme d'une chaîne de caractères
hexadécimaux en minuscules. L'exemple suivant illustre le résultat de l'utilisation de SHA-256 pour
hacher l'exemple de demande canonique.
Example demande canonique hachée
f536975d06c0309214f805bb90ccff089219ecd68b2577efef23edd43b7e1a59
Vous incluez la demande canonique hachée comme une partie de la chaîne à signer dans Tâche 2 :
créer une chaîne à signer pour Signature Version 4 (p. 458).
Tâche 2 : créer une chaîne à signer pour Signature Version 4

La chaîne à signer inclut des informations de métadonnées sur votre demande et sur la demande
canonique que vous avez créées dans Tâche 1 : créer une demande canonique pour Signature
Version 4 (p. 452). Vous utilisez la chaîne à signer et une clé de signature dérivée que vous créez
ultérieurement comme entrées pour calculer la signature de la demande dans Tâche 3: calculer la
signature pour AWS Signature Version 4. (p. 459).
Pour créer la chaîne à signer, concaténez l'algorithme, la date et l'heure, la portée des informations
d'identification et le digest de la demande canonique, comme indiqué dans le pseudo-code suivant :
Structure de la chaîne à signer
StringToSign =
Algorithm + \n +
RequestDateTime + \n +
CredentialScope + \n +
HashedCanonicalRequest
L'exemple suivant montre comment construire la chaîne à signer avec la même demande de Tâche 1 :
créer une demande canonique (p. 452).
Example requêtes HTTPS

X-Amz-Date: 20150830T123600Z
Pour créer la chaîne à signer
1. Commencez par la désignation de l'algorithme, suivi d'un caractère de saut de ligne. Cette valeur est
l'algorithme de hachage que vous utilisez pour calculer les digests dans la demande canonique. Pour
SHA256, AWS4-HMAC-SHA256 est l'algorithme.
AWS4-HMAC-SHA256\n
Version 1.0
458
2. Ajoutez la valeur de date de la demande, suivi d'un caractère de saut de ligne. La date a été spécifiée
avec le format de base ISO8601 dans l'en-tête x-amz-date au format YYYYMMDD'T'HHMMSS'Z'.
Cette valeur doit correspondre à la valeur que vous avez utilisée dans les étapes précédentes.
20150830T123600Z\n
3. Ajoutez la valeur de la portée des informations d'identification, suivie d'un caractère de saut de ligne.
Cette valeur est une chaîne qui inclut la date, la région cible, le service demandé et une chaîne de
terminaison (« aws4_request ») en caractères minuscules. Les chaînes de la région et du nom de
service doivent être encodées en UTF-8.
20150830/us-east-1/iam/aws4_request\n
• La date doit être au format YYYYMMDD. Notez que la date n'inclut pas de valeur temporelle.
• Vérifiez que la région que vous spécifiez est la région à laquelle vous envoyez la demande. Voir
Points de terminaison de service AWS (p. 423).
4. Ajoutez le hachage de la demande canonique que vous avez créée dans Tâche 1 : créer une
demande canonique pour Signature Version 4 (p. 452). Cette valeur n'est pas suivie d'un caractère
de saut de ligne. La demande canonique hachée doit être encodée en base 16 en minuscules, comme
défini par la section 8 de RFC 4648.
La chaîne à signer suivante est une demande à IAM effectuée le 30 août 2015.
Example chaîne à signer
AWS4-HMAC-SHA256
20150830T123600Z
20150830/us-east-1/iam/aws4_request
Tâche 3: calculer la signature pour AWS Signature Version 4.

Avant de calculer une signature, vous dérivez une clé de signature à partir de votre clé d'accès secrète
AWS. Comme la clé de signature dérivée est spécifique à la date, au service et à la région, elle offre un
niveau de protection plus élevé. Vous n'utilisez pas simplement votre clé d'accès secrète pour signer la
demande. Vous utilisez ensuite la clé de signature et la chaîne à signer que vous avez créées dans Tâche
2 : créer une chaîne à signer pour Signature Version 4 (p. 458) comme des entrées à une fonction de
hachage à clé. Le résultat encodé en hexadécimal de la fonction de hachage à clé est la signature.
Signature Version 4 n'exige pas que vous utilisiez un encodage de caractères particulier pour encoder la
chaîne à signer. Toutefois, certains services AWS peuvent nécessiter un encodage spécifique. Pour plus
d'informations, consultez la documentation relative à ce service.
Pour calculer une signature
1. Dérivez votre clé de signature. Pour ce faire, utilisez votre clé d'accès secrète pour créer une série de
codes d'authentification de message basés sur le hachage (HMAC). Ceci est illustré dans le pseudo-
code suivant, où HMAC(key, data) représente une fonction HMAC-SHA256 qui renvoie la sortie au
format binaire. Le résultat de chaque fonction de hachage devient d'entrée pour le prochain.
Pseudo-code pour dériver une clé de signature
kSecret = your secret access key
Version 1.0
459
kDate = HMAC("AWS4" + kSecret, Date)

kRegion = HMAC(kDate, Region)
kService = HMAC(kRegion, Service)
kSigning = HMAC(kService, "aws4_request")
Notez que la date utilisée dans le processus de hachage est au format YYYYMMDD (par exemple,
20150830) et n'inclut pas l'heure.
Assurez-vous que vous spécifiez les paramètres HMAC dans l'ordre approprié du langage de
programmation que vous utilisez. Dans cet exemple, la clé est indiquée comme premier paramètre et
les données (message) comme second paramètre, mais la fonction que vous utilisez peut spécifier la
clé et les données dans un ordre différent.
Utilisez le digest (format binaire) pour la dérivation de clés. La plupart des langages disposent de
fonctions pour calculer un hachage au format binaire, communément appelé un digest, ou un hachage
encodé en hexadécimal, appelé un digest hexadécimal. La dérivation de clés nécessite que vous
utilisiez un digest au format binaire.
L'exemple suivant montre les entrées pour dériver une clé de signature et la sortie qui en résulte, où
kSecret = wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY.
L'exemple utilise les mêmes paramètres de la demande de la Tâche 1 et de la Tâche 2 (une demande
à IAM dans la région us-east-1 le 30 août 2015).
Exemple d'entrées
HMAC(HMAC(HMAC(HMAC("AWS4" + kSecret,"20150830"),"us-east-1"),"iam"),"aws4_request")
L'exemple suivant montre la clé de signature dérivée qui résulte de cette séquence d'opérations de
hachage HMAC. Dans cet exemple, chaque octet de la clé de signature binaire est représenté par un
caractère hexadécimal.
Exemple de clé de signature
c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9
Pour plus d'informations sur la dérivation d'une clé de signature dans d'autres langages de
programmation, consultez Exemples de dérivation d'une clé de signature pour Signature
Version 4 (p. 463).
2. Calculez la signature. Pour ce faire, utilisez la clé de signature que vous avez dérivée et la chaîne à
signer comme des entrées à la fonction de hachage à clé. Une fois que vous avez calculé la signature,
convertissez la valeur binaire en une représentation hexadécimale.
Le pseudo-code suivant montre comment calculer la signature.
signature = HexEncode(HMAC(derived signing key, string to sign))
Note
Assurez-vous que vous spécifiez les paramètres HMAC dans l'ordre approprié du langage
de programmation que vous utilisez. Dans cet exemple, la clé est indiquée comme premier
paramètre et les données (message) comme second paramètre, mais la fonction que vous
utilisez peut spécifier la clé et les données dans un ordre différent.
L'exemple suivant montre la signature qui en résulte si vous utilisez la même clé de signature et la
chaîne à signer à partir de la Tâche 2 :Version 1.0
460
Exemple de signature
5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
Tâche 4 : ajouter la signature à l'en-tête de la demande

Une fois que vous avez calculé la signature, ajoutez-la à la demande. Vous pouvez l'ajouter de l'une des
deux façons suivantes :
• Un en-tête HTTP nommé Authorization

• La chaîne de requête
Vous ne pouvez pas transmettre les informations de signature à la fois dans l'en-tête Authorization et
dans la chaîne de requête.
Note
que si les informations d'identification à long terme sont utilisées, mais il nécessite un paramètre
d'en-tête HTTP ou de chaîne de requête supplémentaire pour le jeton de sécurité. Le nom du
paramètre d'en-tête ou de chaîne de requête est X-Amz-Security-Token, et la valeur est
le jeton de session (la chaîne que vous avez reçue d'AWS STS lorsque vous avez obtenu les
informations d'identification de sécurité temporaires).
Lorsque vous ajoutez le paramètre X-Amz-Security-Token à la chaîne de requête, certains
services nécessitent d'inclure ce paramètre dans la requête canonique (signée). Pour les autres
services, vous ajoutez ce paramètre à la fin, une fois que vous avez calculé la signature. Pour plus
d'informations, consultez la documentation de référence de l'API pour ce service.
Ajout des informations de signature à l'en-tête Authorization
Vous pouvez inclure les informations de signature en les ajoutant à un en-tête HTTP nommé
Authorization. Le contenu de l'en-tête est créé une fois que vous avez calculé la signature comme
décrit dans les étapes précédentes, l'en-tête Authorization n'est donc pas inclus dans la liste des en-
têtes signés. Même si l'en-tête est nommé Authorization, les informations de signature sont en fait
utilisées pour l'authentification.
Le pseudo-code suivant illustre la construction de l'en-tête Authorization.
Authorization: algorithm Credential=access key ID/credential scope,

SignedHeaders=SignedHeaders, Signature=signature
L'exemple suivant illustre un en-tête Authorization fini.
Notez que, dans la demande effective, l'en-tête Authorization apparaît sous la forme d'une ligne de texte
continue. La version ci-dessous a été mise en forme pour faciliter la lecture.
Authorization: AWS4-HMAC-SHA256
Credential=AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request,
SignedHeaders=content-type;host;x-amz-date,
Signature=5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
Remarques :
Version 1.0
461
• Il n'y a pas de virgule entre l'algorithme et Credential. Toutefois, SignedHeaders et Signature sont
séparés des valeurs précédentes par une virgule.
• La valeur de Credential commence par l'ID de clé d'accès, suivi d'une barre oblique (/), suivie de la
portée des informations d'identification que vous avez calculée dans Tâche 2 : créer une chaîne à signer
pour Signature Version 4 (p. 458). La clé d'accès secrète est utilisée pour dériver la clé de signature
pour la signature, mais n'est pas incluse dans les informations de signature envoyées dans la demande.
Ajout d'informations de signature à la chaîne de requête
Vous pouvez créer des demandes et transmettre toutes les valeurs de demande dans la chaîne de requête,
y compris les informations de signature. Ceci est parfois appelé une URL pré-signée, car une URL unique
est générée avec tout ce qui est nécessaire pour effectuer un appel réussi à AWS. Elle est couramment
utilisée dans Amazon S3. Pour plus d'informations, consultez Authentification des demandes à l'aide des
paramètres de requête (AWS Signature Version 4) dans le Amazon Simple Storage Service API Reference.
Important
Si vous effectuez une demande dans laquelle tous les paramètres sont inclus dans la chaîne
de requête, l'URL qui en résulte représente une action AWS qui est déjà authentifiée. Par
conséquent, traitez l'URL qui en résulte avec autant attention que celle dont vous avez fait preuve
pour vos informations d'identification effectives. Nous vous recommandons de spécifier un délai
d'expiration court pour la demande avec le paramètre X-Amz-Expires.
Lorsque vous utilisez cette approche, toutes les valeurs de chaîne de requête (excepté la signature) sont
incluses dans la chaîne de requête canonique qui fait partie de la requête canonique que vous construisez
dans la première partie du processus de signature (p. 452).
Le pseudo-code suivant illustre la construction d'une chaîne de requête qui contient tous les paramètres de
demande.
querystring = Action=action
querystring += &X-Amz-Algorithm=algorithm
querystring += &X-Amz-Credential= urlencode(access_key_ID + '/' + credential_scope)
querystring += &X-Amz-Date=date
querystring += &X-Amz-Expires=timeout interval
querystring += &X-Amz-SignedHeaders=signed_headers
Une fois la signature calculée (qui utilise les autres valeurs de chaîne de requête comme une partie du
calcul), vous ajoutez la signature à la chaîne de requête comme paramètre X-Amz-Signature :
querystring += &X-Amz-Signature=signature
L'exemple suivant montre à quoi une demande peut ressembler lorsque tous les paramètres de demande
et les informations de signature sont inclus dans les paramètres de chaîne de requête.
Notez que, dans la demande effective, l'en-tête Authorization apparaît sous la forme d'une ligne de texte
continue. La version ci-dessous a été mise en forme pour faciliter la lecture.
https://iam.amazonaws.com?Action=ListUsers&Version=2010-05-08
&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request
&X-Amz-Date=20150830T123600Z
&X-Amz-Expires=60
&X-Amz-SignedHeaders=content-type%3Bhost
&X-Amz-Signature=37ac2f4fde00b0ac9bd9eadeb459b1bbee224158d66e7ae5fcadb70b2d181d02
Remarques :
Version 1.0
462
• Pour le calcul de la signature, les paramètres de chaîne de requête doivent être triés dans l'ordre des
points de code du plus petit au plus grand, et leurs valeurs doivent être encodées de l'URI. Consultez
l'étape sur la création d'une chaîne de requête canonique dans Tâche 1 : créer une demande canonique
pour Signature Version 4 (p. 452).
• Définissez l'intervalle de délai d'expiration (X-Amz-Expires) sur la durée de vie minimale de l'opération
que vous demandez.
Gestion des dates dans Signature Version 4

La date que vous utilisez comme une partie de la portée de vos informations d'identification doit
correspondre à la date de votre demande. Vous pouvez inclure la date comme une partie de votre
demande de plusieurs façons. Vous pouvez utiliser un en-tête date, un en-tête x-amz-date ou inclure x-
amz-date comme un paramètre de requête. Pour obtenir des exemples de requête, consultez Exemples
du processus de signature complet Signature Version 4 (Python) (p. 466).
L'horodatage doit être au format UTC et au format ISO 8601 suivant : YYYYMMDD'T'HHMMSS'Z'. Par
exemple, 20150830T123600Zest un horodatage valide. N'incluez pas de millisecondes dans l'horodatage.
AWS vérifie d'abord l'en-tête ou le paramètre x-amz-date d'un horodatage. Si AWS ne peut pas trouver
de valeur pour x-amz-date, il recherche l'en-tête date. AWS recherche ensuite dans la portée des
informations d'identification une chaîne de huit chiffres représentant l'année (AAAA), le mois (MM) et le
jour (JJ) de la demande. Par exemple, si la valeur de l'en-tête x-amz-date est 20111015T080000Z et le
composant de date de la portée des informations d'identification est 20111015, AWS autorise le lancement
du processus d'authentification.
Si les dates ne correspondent pas, AWS rejette la demande, même si l'horodatage n'est seulement qu'à
quelques secondes de la date de la portée des informations d'identification. Par exemple, AWS rejette
une demande dont la valeur d'en-tête x-amz-date est 20151014T235959Z et une portée d'informations
d'identification dont la date est 20151015.
Exemples de dérivation d'une clé de signature pour Signature

Version 4
Cette page présente des exemples dans différents langages de programmation visant à dériver une
clé de signature pour Signature Version 4. Les exemples de cette page montrent comment dériver une
clé de signature, une étape de la signature des demandes AWS. Pour obtenir des exemples illustrant
le processus complet, consultez Exemples du processus de signature complet Signature Version 4
(Python) (p. 466).
Note
Si vous utilisez les kits SDK AWS (y compris ceux pour SDK pour Java, .NET, Python, Ruby
ou JavaScript), vous n'avez pas à exécuter manuellement les étapes de dérivation d'une clé de
signature et d'ajout des informations d'authentification à une demande. Les kits SDK s'en chargent
à votre place. Vous devez manuellement signer les demandes seulement si vous effectuez
directement les demandes HTTP ou HTTPS.
Rubriques
• Dérivation d'une clé de signature avec Java (p. 464)
• Dérivation d'une clé de signature avec .NET (C#) (p. 464)
• Dérivation d'une clé de signature avec Python (p. 464)
• Dérivation d'une clé de signature avec Ruby (p. 464)
• Dérivation de la clé de signature avec JavaScript (Node.js) (p. 465)
• Dérivation de la clé de signature avec d'autres langages (p. 465)
Version 1.0
463
• Erreurs de codage courantes (p. 465)
Dérivation d'une clé de signature avec Java
static byte[] HmacSHA256(String data, byte[] key) throws Exception {

String algorithm="HmacSHA256";
Mac mac = Mac.getInstance(algorithm);
mac.init(new SecretKeySpec(key, algorithm));
return mac.doFinal(data.getBytes("UTF-8"));
}
static byte[] getSignatureKey(String key, String dateStamp, String regionName, String

serviceName) throws Exception {
byte[] kSecret = ("AWS4" + key).getBytes("UTF-8");
byte[] kDate = HmacSHA256(dateStamp, kSecret);
byte[] kRegion = HmacSHA256(regionName, kDate);
byte[] kService = HmacSHA256(serviceName, kRegion);
byte[] kSigning = HmacSHA256("aws4_request", kService);
return kSigning;
}
Dérivation d'une clé de signature avec .NET (C#)
static byte[] HmacSHA256(String data, byte[] key)

{
String algorithm = "HmacSHA256";
KeyedHashAlgorithm kha = KeyedHashAlgorithm.Create(algorithm);
kha.Key = key;
return kha.ComputeHash(Encoding.UTF8.GetBytes(data));
}
static byte[] getSignatureKey(String key, String dateStamp, String regionName, String

serviceName)
{
byte[] kSecret = Encoding.UTF8.GetBytes(("AWS4" + key).ToCharArray());
byte[] kDate = HmacSHA256(dateStamp, kSecret);
byte[] kRegion = HmacSHA256(regionName, kDate);
byte[] kService = HmacSHA256(serviceName, kRegion);
byte[] kSigning = HmacSHA256("aws4_request", kService);
return kSigning;
}
Dérivation d'une clé de signature avec Python
def sign(key, msg):

return hmac.new(key, msg.encode("utf-8"), hashlib.sha256).digest()
def getSignatureKey(key, dateStamp, regionName, serviceName):

kDate = sign(("AWS4" + key).encode("utf-8"), dateStamp)
kRegion = sign(kDate, regionName)
kService = sign(kRegion, serviceName)
kSigning = sign(kService, "aws4_request")
return kSigning
Dérivation d'une clé de signature avec Ruby
def getSignatureKey key, dateStamp, regionName, serviceName
Version 1.0
464
kDate = OpenSSL::HMAC.digest('sha256', "AWS4" + key, dateStamp)

kRegion = OpenSSL::HMAC.digest('sha256', kDate, regionName)
kService = OpenSSL::HMAC.digest('sha256', kRegion, serviceName)
kSigning = OpenSSL::HMAC.digest('sha256', kService, "aws4_request")
kSigning
end
Dérivation de la clé de signature avec JavaScript (Node.js)

L'exemple suivant utilise la bibliothèque crypto-js. Pour plus d'informations, consultez les pages https://
www.npmjs.com/package/crypto-js et https://code.google.com/archive/p/crypto-js/.
var crypto = require("crypto-js");
function getSignatureKey(key, dateStamp, regionName, serviceName) {

var kDate = crypto.HmacSHA256(dateStamp, "AWS4" + key);
var kRegion = crypto.HmacSHA256(regionName, kDate);
var kService = crypto.HmacSHA256(serviceName, kRegion);
var kSigning = crypto.HmacSHA256("aws4_request", kService);
return kSigning;
}
Dérivation de la clé de signature avec d'autres langages

Si vous devez mettre en place cette logique dans un autre langage de programmation, nous vous
recommandons de tester les étapes intermédiaires de l'algorithme de dérivation de clé par rapport aux
valeurs de cette section. L'exemple suivant en Ruby affiche les résultats à l'aide de la fonction hexEncode
après chaque étape de l'algorithme.
def hexEncode bindata

result=""
data=bindata.unpack("C*")
data.each {|b| result+= "%02x" % b}
result
end
Soit l'entrée de test suivante :
key = 'wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY'
dateStamp = '20120215'
regionName = 'us-east-1'
serviceName = 'iam'
Votre programme doit générer les valeurs suivantes pour les valeurs dans getSignatureKey. Notez qu'il
s'agit des représentations de données binaires encodées en hexadécimal ; la clé elle-même et les valeurs
intermédiaires doivent être au format binaire.
kSecret =
'41575334774a616c725855746e46454d492f4b374d44454e472b62507852666943594558414d504c454b4559'
kDate = '969fbb94feb542b71ede6f87fe4d5fa29c789342b0f407474670f0c2489e0a0d'
kRegion = '69daa0209cd9c5ff5c8ced464a696fd4252e981430b10e3d3fd8e2f197d7a70c'
kService = 'f72cfd46f26bc4643f06a11eabb6c0ba18780c19a8da0c31ace671265e3c87fa'
kSigning = 'f4780e2d9f65fa895f9c67b32ce1baf0b0d8a43505a000a1a9e090d414db404d'
Erreurs de codage courantes

Pour simplifier votre tâche, évitez les erreurs de codage courantes suivantes.
Version 1.0
465
Tip
Vérifiez la requête HTTP que vous envoyez à AWS avec un outil qui affiche vos requêtes HTTP
brutes. Cela peut vous aider à identifier des problèmes qui ne sont pas évidents à identifier à partir
de votre code.
• N'incluez pas de caractère de saut de ligne supplémentaire, ou n'en oubliez pas là où ils sont
obligatoires.
• Attention au format de date utilisé pour définir la portée des informations d'identification et n'utilisez pas
un format d'horodatage à la place du format AAAAMMJJ.
• Assurez-vous que les en-têtes canoniques et les en-têtes signés sont identiques.
• N'échangez pas, par inadvertance, la clé et les données (message) lors du calcul des clés
intermédiaires. Le résultat du calcul de l'étape précédente est la clé, pas les données. Consultez
attentivement la documentation de vos primitives de chiffrement pour vérifier que vous placez les
paramètres dans l'ordre approprié.
• N'oubliez pas d'ajouter la chaîne « AWS4 » devant la clé lors de la première étape. Si vous implémentez
la dérivation de clé à l'aide d'une boucle ou d'un itérateur for, n'oubliez pas de faire de la première
itération un cas particulier, afin qu'elle inclut la chaîne « AWS4 ».
Pour plus d'informations sur les erreurs possibles, consultez la section Dépannage des erreurs d'AWS
Exemples du processus de signature complet Signature

Version 4 (Python)
Cette section présente des exemples de programmes écrits en Python qui illustrent comment utiliser
Signature Version 4 dans AWS. Nous avons volontairement écrit ces exemples de programmes en vue
de les simplifier (pour utiliser quelques fonctionnalités spécifiques à Python) afin de mieux comprendre
l'ensemble du processus de signature des demandes AWS.
Note
Si vous utilisez les SDK AWS (y compris ceux pour Kit SDK pour C++, Kit SDK pour Go, SDK pour
Java, AWS SDK for JavaScript, Kit AWS SDK pour .NET, Kit SDK pour PHP, Kit SDK pour Python
(Boto3) ou Kit SDK pour Ruby), vous n'avez pas besoin d'exécuter manuellement les étapes de
dérivation d'une clé de signature et d'ajout des informations d'authentification à une demande. Les
kits SDK s'en chargent à votre place. Vous devez manuellement signer les demandes seulement
si vous effectuez directement les demandes HTTP ou HTTPS.
Pour utiliser ces exemples de programmes, vous avez besoin des éléments suivants :
• Python 2.x installé sur votre ordinateur, que vous pouvez obtenir à partir du site Python. Ces
programmes ont été testés avec Python 2.7 et 3.6.
• La bibliothèque de demandes Python, qui est utilisée dans l'exemple de script pour créer des demandes
web. Un moyen simple d'installer des packages Python consiste à utiliser pip, qui obtient les packages
à partir du site d'index des packages Python. Vous pouvez installer requests en exécutant pip
install requests dans la ligne de commande.
• Une clé d'accès (ID de clé d'accès et clé d'accès secrète) dans les variables d'environnement nommées
AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY. Sinon, vous pouvez conserver ces valeurs
dans un fichier d'informations d'identification et les lire à partir de ce fichier. Comme bonne pratique,
nous vous recommandons de ne pas incorporer d'informations d'identification dans le code. Pour
plus d'informations, consultez Bonnes pratiques en matière de gestion des clés d'accès AWS dans le
document Référence générale d'Amazon Web Services.
Version 1.0
466
Note
Les exemples suivants utilisent l'encodage UTF-8 pour encoder la demande canonique et
la chaîne à signer, mais Signature Version 4 ne requiert pas que vous utilisiez un encodage
de caractères particulier. Toutefois, certains services AWS peuvent nécessiter un encodage
spécifique. Pour plus d'informations, consultez la documentation relative à ce service.
Rubriques
• Utilisation de GET avec un en-tête Authorization (Python) (p. 467)
• Utilisation de POST (Python) (p. 469)
• Utilisation de GET avec les informations d'authentification de la chaîne de requête (Python) (p. 472)
Utilisation de GET avec un en-tête Authorization (Python)

L'exemple suivant montre comment effectuer une requête à l'aide de l'API de demande Amazon EC2
sans Kit SDK pour Python (Boto3). La demande effectue une demande GET et transmet les informations
d'authentification à AWS à l'aide de l'en-tête Authorization.
# Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.

#
# This file is licensed under the Apache License, Version 2.0 (the "License").
# You may not use this file except in compliance with the License. A copy of the
# License is located at
#
# http://aws.amazon.com/apache2.0/
#
# This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS
# OF ANY KIND, either express or implied. See the License for the specific
# language governing permissions and limitations under the License.
#
# ABOUT THIS PYTHON SAMPLE: This sample is part of the AWS General Reference
# Signing AWS API Requests top available at
# https://docs.aws.amazon.com/general/latest/gr/sigv4-signed-request-examples.html
#
# AWS Version 4 signing example
# EC2 API (DescribeRegions)
# See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
# This version makes a GET request and passes the signature
# in the Authorization header.
import sys, os, base64, datetime, hashlib, hmac
import requests # pip install requests
# ************* REQUEST VALUES *************

method = 'GET'
service = 'ec2'
host = 'ec2.amazonaws.com'
region = 'us-east-1'
endpoint = 'https://ec2.amazonaws.com'
request_parameters = 'Action=DescribeRegions&Version=2013-10-15'
# Key derivation functions. See:

# http://docs.aws.amazon.com/general/latest/gr/signature-v4-examples.html#signature-v4-
examples-python
def sign(key, msg):
return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest()

kDate = sign(('AWS4' + key).encode('utf-8'), dateStamp)
Version 1.0
467

kSigning = sign(kService, 'aws4_request')
return kSigning
# Read AWS access key from env. variables or configuration file. Best practice is NOT
# to embed credentials in code.
access_key = os.environ.get('AWS_ACCESS_KEY_ID')
secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY')
if access_key is None or secret_key is None:
print('No access key is available.')
sys.exit()
# Create a date for headers and the credential string

t = datetime.datetime.utcnow()
amzdate = t.strftime('%Y%m%dT%H%M%SZ')
datestamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope
# ************* TASK 1: CREATE A CANONICAL REQUEST *************

# http://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html
# Step 1 is to define the verb (GET, POST, etc.)--already done.
# Step 2: Create canonical URI--the part of the URI from domain to query
# string (use '/' if no path)
canonical_uri = '/'
# Step 3: Create the canonical query string. In this example (a GET request),
# request parameters are in the query string. Query string values must
# be URL-encoded (space=%20). The parameters must be sorted by name.
# For this example, the query string is pre-formatted in the request_parameters variable.
canonical_querystring = request_parameters
# Step 4: Create the canonical headers and signed headers. Header names
# must be trimmed and lowercase, and sorted in code point order from
# low to high. Note that there is a trailing \n.
canonical_headers = 'host:' + host + '\n' + 'x-amz-date:' + amzdate + '\n'
# Step 5: Create the list of signed headers. This lists the headers
# in the canonical_headers list, delimited with ";" and in alpha order.
# Note: The request can include any headers; canonical_headers and
# signed_headers lists those that you want to be included in the
# hash of the request. "Host" and "x-amz-date" are always required.
signed_headers = 'host;x-amz-date'
# Step 6: Create payload hash (hash of the request body content). For GET
# requests, the payload is an empty string ("").
payload_hash = hashlib.sha256(('').encode('utf-8')).hexdigest()
# Step 7: Combine elements to create canonical request

canonical_request = method + '\n' + canonical_uri + '\n' + canonical_querystring + '\n' +
canonical_headers + '\n' + signed_headers + '\n' + payload_hash
# ************* TASK 2: CREATE THE STRING TO SIGN*************

# Match the algorithm to the hashing algorithm you use, either SHA-1 or
# SHA-256 (recommended)
algorithm = 'AWS4-HMAC-SHA256'
credential_scope = datestamp + '/' + region + '/' + service + '/' + 'aws4_request'
string_to_sign = algorithm + '\n' + amzdate + '\n' + credential_scope + '\n' +
hashlib.sha256(canonical_request.encode('utf-8')).hexdigest()
# ************* TASK 3: CALCULATE THE SIGNATURE *************

# Create the signing key using the function defined above.
signing_key = getSignatureKey(secret_key, datestamp, region, service)
Version 1.0
468
# Sign the string_to_sign using the signing_key

signature = hmac.new(signing_key, (string_to_sign).encode('utf-8'),
hashlib.sha256).hexdigest()
# ************* TASK 4: ADD SIGNING INFORMATION TO THE REQUEST *************

# The signing information can be either in a query string value or in
# a header named Authorization. This code shows how to use a header.
# Create authorization header and add to request headers
authorization_header = algorithm + ' ' + 'Credential=' + access_key + '/' +
credential_scope + ', ' + 'SignedHeaders=' + signed_headers + ', ' + 'Signature=' +
signature
# The request can include any headers, but MUST include "host", "x-amz-date",
# and (for this scenario) "Authorization". "host" and "x-amz-date" must
# be included in the canonical_headers and signed_headers, as noted
# earlier. Order here is not significant.
# Python note: The 'host' header is added automatically by the Python 'requests' library.
headers = {'x-amz-date':amzdate, 'Authorization':authorization_header}
# ************* SEND THE REQUEST *************

request_url = endpoint + '?' + canonical_querystring
print('\nBEGIN REQUEST++++++++++++++++++++++++++++++++++++')
print('Request URL = ' + request_url)
r = requests.get(request_url, headers=headers)
print('\nRESPONSE++++++++++++++++++++++++++++++++++++')
print('Response code: %d\n' % r.status_code)
print(r.text)
Utilisation de POST (Python)

L'exemple suivant montre comment effectuer une requête à l'aide de l'API de demande Amazon
DynamoDB sans Kit SDK pour Python (Boto3). La demande effectue une demande POST et transmet les
valeurs à AWS dans le corps de la demande. Les informations d'authentification sont transmises à l'aide de
l'en-tête de demande Authorization.

#
#
#
# DynamoDB API (CreateTable)
# This version makes a POST request and passes request parameters
# in the body (payload) of the request. Auth information is passed in
# an Authorization header.
import sys, os, base64, datetime, hashlib, hmac
Version 1.0
469
# ************* REQUEST VALUES *************

method = 'POST'
service = 'dynamodb'
host = 'dynamodb.us-west-2.amazonaws.com'
region = 'us-west-2'
endpoint = 'https://dynamodb.us-west-2.amazonaws.com/'
# POST requests use a content type header. For DynamoDB,
# the content is JSON.
content_type = 'application/x-amz-json-1.0'
# DynamoDB requires an x-amz-target header that has this format:
# DynamoDB_<API version>.<operationName>
amz_target = 'DynamoDB_20120810.CreateTable'
# Request parameters for CreateTable--passed in a JSON block.

request_parameters = '{'
request_parameters += '"KeySchema": [{"KeyType": "HASH","AttributeName": "Id"}],'
request_parameters += '"TableName": "TestTable","AttributeDefinitions": [{"AttributeName":
"Id","AttributeType": "S"}],'
request_parameters += '"ProvisionedThroughput": {"WriteCapacityUnits":
5,"ReadCapacityUnits": 5}'
request_parameters += '}'

examples-python
def sign(key, msg):
return hmac.new(key, msg.encode("utf-8"), hashlib.sha256).digest()
def getSignatureKey(key, date_stamp, regionName, serviceName):

kDate = sign(('AWS4' + key).encode('utf-8'), date_stamp)
return kSigning
sys.exit()

amz_date = t.strftime('%Y%m%dT%H%M%SZ')
date_stamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope

# Step 1 is to define the verb (GET, POST, etc.)--already done.
canonical_uri = '/'
## Step 3: Create the canonical query string. In this example, request

# parameters are passed in the body of the request and the query string
# is blank.
canonical_querystring = ''
# Step 4: Create the canonical headers. Header names must be trimmed
Version 1.0
470
# and lowercase, and sorted in code point order from low to high.
# Note that there is a trailing \n.
canonical_headers = 'content-type:' + content_type + '\n' + 'host:' + host + '\n' + 'x-amz-
date:' + amz_date + '\n' + 'x-amz-target:' + amz_target + '\n'
# Step 5: Create the list of signed headers. This lists the headers
# in the canonical_headers list, delimited with ";" and in alpha order.
# Note: The request can include any headers; canonical_headers and
# signed_headers include those that you want to be included in the
# hash of the request. "Host" and "x-amz-date" are always required.
# For DynamoDB, content-type and x-amz-target are also required.
signed_headers = 'content-type;host;x-amz-date;x-amz-target'
# Step 6: Create payload hash. In this example, the payload (body of

# the request) contains the request parameters.
payload_hash = hashlib.sha256(request_parameters.encode('utf-8')).hexdigest()


credential_scope = date_stamp + '/' + region + '/' + service + '/' + 'aws4_request'
string_to_sign = algorithm + '\n' + amz_date + '\n' + credential_scope + '\n' +

# Create the signing key using the function defined above.
signing_key = getSignatureKey(secret_key, date_stamp, region, service)

signature = hmac.new(signing_key, (string_to_sign).encode('utf-8'),

# Put the signature information in a header named Authorization.
authorization_header = algorithm + ' ' + 'Credential=' + access_key + '/' +
credential_scope + ', ' + 'SignedHeaders=' + signed_headers + ', ' + 'Signature=' +
signature
# For DynamoDB, the request can include any headers, but MUST include "host", "x-amz-date",
# "x-amz-target", "content-type", and "Authorization". Except for the authorization
# header, the headers must be included in the canonical_headers and signed_headers values,
as
# noted earlier. Order here is not significant.
# # Python note: The 'host' header is added automatically by the Python 'requests' library.
headers = {'Content-Type':content_type,
'X-Amz-Date':amz_date,
'X-Amz-Target':amz_target,
'Authorization':authorization_header}
# ************* SEND THE REQUEST *************

print('Request URL = ' + endpoint)
r = requests.post(endpoint, data=request_parameters, headers=headers)
print('\nRESPONSE++++++++++++++++++++++++++++++++++++')
print(r.text)
Version 1.0
471
Utilisation de GET avec les informations d'authentification de la chaîne de requête

(Python)
L'exemple suivant montre comment effectuer une requête à l'aide de l'API de demande IAM sans Kit
SDK pour Python (Boto3). La demande effectue une demande GET et transmet les paramètres et les
informations de signature à l'aide de la chaîne de requête.

#
#
#
#
# ABOUT THIS PYTHON SAMPLE: This sample is part of the AWS General Reference
# Signing AWS API Requests top available at
# https://docs.aws.amazon.com/general/latest/gr/sigv4-signed-request-examples.html
#
# IAM API (CreateUser)
# This version makes a GET request and passes request parameters
# and authorization information in the query string
import sys, os, base64, datetime, hashlib, hmac, urllib
# ************* REQUEST VALUES *************

method = 'GET'
service = 'iam'
host = 'iam.amazonaws.com'
region = 'us-east-1'
endpoint = 'https://iam.amazonaws.com'

examples-python
def sign(key, msg):
return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest()

kDate = sign(('AWS4' + key).encode('utf-8'), dateStamp)
return kSigning
Version 1.0
472

sys.exit()

amz_date = t.strftime('%Y%m%dT%H%M%SZ') # Format date as YYYYMMDD'T'HHMMSS'Z'
datestamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope

# Because almost all information is being passed in the query string,

# the order of these steps is slightly different than examples that
# use an authorization header.
# Step 1: Define the verb (GET, POST, etc.)--already done.
canonical_uri = '/'
# Step 3: Create the canonical headers and signed headers. Header names
# must be trimmed and lowercase, and sorted in code point order from
# low to high. Note trailing \n in canonical_headers.
# signed_headers is the list of headers that are being included
# as part of the signing process. For requests that use query strings,
# only "host" is included in the signed headers.
canonical_headers = 'host:' + host + '\n'
signed_headers = 'host'
credential_scope = datestamp + '/' + region + '/' + service + '/' + 'aws4_request'
# Step 4: Create the canonical query string. In this example, request

# parameters are in the query string. Query string values must
# be URL-encoded (space=%20). The parameters must be sorted by name.
# use urllib.parse.quote_plus() if using Python 3
canonical_querystring = 'Action=CreateUser&UserName=NewUser&Version=2010-05-08'
canonical_querystring += '&X-Amz-Algorithm=AWS4-HMAC-SHA256'
canonical_querystring += '&X-Amz-Credential=' + urllib.quote_plus(access_key + '/' +
credential_scope)
canonical_querystring += '&X-Amz-Date=' + amz_date
canonical_querystring += '&X-Amz-Expires=30'
canonical_querystring += '&X-Amz-SignedHeaders=' + signed_headers
# Step 5: Create payload hash. For GET requests, the payload is an

# empty string ("").
payload_hash = hashlib.sha256(('').encode('utf-8')).hexdigest()


string_to_sign = algorithm + '\n' + amz_date + '\n' + credential_scope + '\n' +

# Create the signing key
signing_key = getSignatureKey(secret_key, datestamp, region, service)
Version 1.0
473
signature = hmac.new(signing_key, (string_to_sign).encode("utf-8"),


# The auth information can be either in a query string
# value or in a header named Authorization. This code shows how to put
# everything into a query string.
canonical_querystring += '&X-Amz-Signature=' + signature
# ************* SEND THE REQUEST *************

# The 'host' header is added automatically by the Python 'request' lib. But it
# must exist as a header in the request.
request_url = endpoint + "?" + canonical_querystring
print('Request URL = ' + request_url)
r = requests.get(request_url)
print('\nRESPONSE++++++++++++++++++++++++++++++++++++')
print(r.text)
Suite test Signature Version 4

Pour vous aider dans le développement d'un client AWS qui prend en charge Signature Version 4vous
pouvez utiliser les fichiers de la suite test pour vérifier que votre code exécute correctement chaque étape
du processus de signature.
Pour obtenir la suite de tests, téléchargez aws-sig-v4-test-suite.zip.
Rubriques
• Portée des informations d'identification et clé secrète (p. 474)
• Exemple—une requête GET simple avec les paramètres (p. 475)
Chaque groupe test contient cinq fichiers que vous pouvez utiliser pour valider chacune des tâches décrites
dans Processus de signature Signature Version 4 (p. 447). La liste suivante décrit le contenu de chaque
fichier.
• file-name.req—la demande web à signer.

• file-name.creq—la demande canonique qui en résulte.
• file-name.sts—la chaîne à signer qui en résulte.
• file-name.authz—l'en-tête Authorization.
• file-name.sreq— la demande signée.
Portée des informations d'identification et clé secrète

Les exemples de la suite test utilisent la portée des informations d'identification suivantes :
AKIDEXAMPLE/20150830/us-east-1/service/aws4_request
L'exemple de clé secrète utilisée pour la signature est :
Version 1.0
474
wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY
Exemple—une requête GET simple avec les paramètres

L'exemple suivant montre la demande web à signer à partir du fichier get-vanilla-query-order-key-
case.req. Il s'agit de la demande d'origine.
GET /?Param2=value2&Param1=value1 HTTP/1.1

Host:example.amazonaws.com
X-Amz-Date:20150830T123600Z
Tâche 1 : créer une demande canonique

Dans les étapes décrites dans Tâche 1 : créer une demande canonique pour Signature
Version 4 (p. 452), modifiez la demande dans le fichier get-vanilla-query-order-key-case.req.

X-Amz-Date:20150830T123600Z
Cela crée la demande canonique dans le fichier get-vanilla-query-order-key-case.creq.
GET
/
Param1=value1&Param2=value2
host:example.amazonaws.com
x-amz-date:20150830T123600Z
host;x-amz-date
Remarques
• Les paramètres sont classés par ordre alphabétique (par code de caractère).
• Les noms d'en-tête sont en minuscules.
• Il existe un saut de ligne entre l'en-tête x-amz-date et les en-têtes signés.
• Le hachage de la charge utile est le hachage de la chaîne vide.
Tâche 2 : créer une chaîne à signer

Le hachage de la demande canonique renvoie la valeur suivante :
816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0
Dans les étapes décrites dans Tâche 2 : créer une chaîne à signer pour Signature Version 4 (p. 458),
ajoutez l'algorithme, la date de la demande, la portée des informations d'identification et le hachage de la
demande canonique pour créer la chaîne à signer.
Le résultat est le fichier get-vanilla-query-order-key-case.sts.
AWS4-HMAC-SHA256
20150830T123600Z
20150830/us-east-1/service/aws4_request
816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0
Remarques
Version 1.0
475
• La date de la deuxième ligne correspond à l'en-tête x-amz-date, ainsi que le premier élément de la
portée des informations d'identification.
• La dernière ligne est la valeur encodée en hexadécimal pour le hachage de la demande canonique.
Tâche 3 : calculer la signature

Au cours des étapes décrites dans Tâche 3: calculer la signature pour AWS Signature Version
4. (p. 459), créez une signature avec votre clé de signature et la chaîne à signer à partir du get-
vanilla-query-order-key-case.sts file.
Le résultat génère le contenu dans le fichier get-vanilla-query-order-key-case.authz.
AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/us-east-1/
service/aws4_request, SignedHeaders=host;x-amz-date,
Signature=b97d918cfa904a5beff61c982a1b6f458b799221646efd99d3219ec94cdf2500
Tâche 4 : ajouter les informations de signature à la demande

Dans les étapes décrites dans Tâche 4 : ajouter la signature à l'en-tête de la demande (p. 461), ajoutez
les informations de signature générées dans la tâche 3 à la demande d'origine. Par exemple, prenez le
contenu dans get-vanilla-query-order-key-case.authz, ajoutez-le à l'en-tête Authorization,
puis ajoutez le résultat à get-vanilla-query-order-key-case.req.
Cette opération crée la demande signée dans le fichier get-vanilla-query-order-key-case.sreq.

X-Amz-Date:20150830T123600Z
Authorization: AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/
us-east-1/service/aws4_request, SignedHeaders=host;x-amz-date,
Signature=b97d918cfa904a5beff61c982a1b6f458b799221646efd99d3219ec94cdf2500
Dépannage des erreurs d'AWS Signature Version 4

Rubriques
• Dépannage des erreurs de conversion sous forme canonique d'AWS Signature Version 4 (p. 476)
• Dépannage des erreurs de la portée des informations d'identification d'AWS Signature
Version 4 (p. 477)
• Dépannage des erreurs de signature de clé AWS Signature Version 4 (p. 479)
Lorsque vous développez du code qui implémente Signature Version 4, vous pouvez recevoir des erreurs
des produits AWS que vous testez. Les erreurs proviennent généralement d'une erreur dans la conversion
sous forme canonique de la demande, la dérivation ou l'utilisation incorrecte d'une clé de signature, ou un
échec de validation des paramètres spécifiques à la signature envoyés avec la demande.
Dépannage des erreurs de conversion sous forme canonique d'AWS Signature

Version 4
Examinez la demande suivante :
https://iam.amazonaws.com/?MaxItems=100
&Action=ListGroupsForUser
&UserName=Test
&Version=2010-05-08
&X-Amz-Date=20120223T063000Z
Version 1.0
476
&X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20120223/us-east-1/iam/aws4_request
&X-Amz-SignedHeaders=host
&X-Amz-Signature=<calculated value>
Si vous ne calculez pas correctement la demande canonique ou la chaîne à signer, l'étape de vérification
de la signature effectuée par le service échoue. L'exemple suivant est une réponse d'erreur classique, qui
inclut la chaîne canonique et la chaîne à signer comme elles sont calculées par le service. Vous pouvez
dépanner votre erreur de calcul en comparant les chaînes renvoyées par la chaîne canonique et votre
chaîne à signer calculée.
<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
<Code>SignatureDoesNotMatch</Code>
<Message>The request signature we calculated does not match the signature you provided.
Check your AWS Secret Access Key and signing method. Consult the service documentation for
details.
The canonical string for this request should have been 'GET /
Action=ListGroupsForUser&MaxItems=100&UserName=Test&Version=2010-05-08&X-Amz-
Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential
=AKIAIOSFODNN7EXAMPLE%2F20120223%2Fus-east-1%2Fiam%2Faws4_request&X-Amz-
Date=20120223T063000Z&X-Amz-SignedHeaders=host
host:iam.amazonaws.com
host
<hashed-value>'
The String-to-Sign should have been

'AWS4-HMAC-SHA256
20120223T063000Z
20120223/us-east-1/iam/aws4_request
<hashed-value>'
</Message>
</Error>
<RequestId>4ced6e96-5de8-11e1-aa78-a56908bdf8eb</RequestId>
</ErrorResponse>
Pour les tests avec un kit SDK, nous recommandons un dépannage en vérifiant chaque étape de
dérivation par rapport aux valeurs connues. Pour plus d'informations, consultez Suite test Signature
Version 4 (p. 474).
Dépannage des erreurs de la portée des informations d'identification d'AWS

Signature Version 4
Les produits AWS valident les informations d'identification pour la portée appropriée ; le paramètre des
informations d'identification doit spécifier le service, la région et la date corrects. Par exemple, l'information
d'identification suivante référence le service Amazon RDS :
Credential=AKIAIOSFODNN7EXAMPLE/20120224/us-east-1/rds/aws4_request
Si vous utilisez les mêmes informations d'identification pour envoyer une demande à IAM, vous recevez la
réponse d'erreur suivante :
<Error>
<Type>Sender</Type>
<Message>Credential should be scoped to correct service: 'iam'. </Message>
</Error>
Version 1.0
477
<RequestId>aa0da9de-5f2b-11e1-a2c0-c1dc98b6c575</RequestId>
Les informations d'identification doivent aussi spécifier la région correcte. Par exemple, l'information
d'identification suivante d'une demande IAM incorrecte spécifie la région USA Ouest (Californie du Nord).
Credential=AKIAIOSFODNN7EXAMPLE/20120224/us-west-1/iam/aws4_request
Si vous utilisez les informations d'identification pour envoyer une demande IAM, qui accepte uniquement la
spécification de la région us-east-1, vous recevez la réponse suivante :
comma-separated<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
<Message>Credential should be scoped to a valid Region, not 'us-west-1'. </Message>
</Error>
<RequestId>8e229682-5f27-11e1-88f2-4b1b00f424ae</RequestId>
</ErrorResponse>
Vous recevez le même type de réponse de région non valide de la part des produits AWS qui sont
disponibles dans plusieurs régions, si vous envoyez des demandes à une région différente de la région
spécifiée dans la portée de vos informations d'identification.
Les informations d'identification doivent aussi spécifier la région correcte pour le service et l'action de votre
demande.
La date que vous utilisez comme une partie de l'information d'identification doit correspondre à la valeur de
date dans l'en-tête x-amz-date. Par exemple, la valeur d'en-tête suivante x-amz-date ne correspond
pas à la valeur de date utilisée dans le paramètre Credential qui la suit.
x-amz-date:"20120224T213559Z"
Credential=AKIAIOSFODNN7EXAMPLE/20120225/us-east-1/iam/aws4_request
Si vous utilisez cette association d'en-tête et d'information d'identification x-amz-date, vous recevez la
réponse d'erreur suivante :
<Error>
<Type>Sender</Type>
<Message>Date in Credential scope does not match YYYYMMDD from ISO-8601 version of date
from HTTP: '20120225' != '20120224', from '20120 224T213559Z'.</Message>
</Error>
<RequestId>9d6ddd2b-5f2f-11e1-b901-a702cd369eb8</RequestId>
</ErrorResponse>
Une signature expirée peut également générer une réponse d'erreur. Par exemple, la réponse d'erreur
suivante a été générée en raison d'une signature expirée.
<Error>
<Type>Sender</Type>
<Message>Signature expired: 20120306T074514Z is now earlier than 20120306T074556Z
(20120306T080056Z - 15 min.)</Message>
</Error>
<RequestId>fcc88440-5dec-11e1-b901-a702cd369eb8</RequestId>
</ErrorResponse>
Version 1.0
478
Dépannage des erreurs de signature de clé AWS Signature Version 4

Les erreurs causées par une dérivation incorrecte de la clé de signature ou une utilisation inappropriée
du chiffrement sont plus difficiles à dépanner. La réponse d'erreur vous indique que la signature ne
correspond pas. Si vous avez vérifié que la chaîne canonique et la chaîne à signer sont correctes, la cause
de l'incompatibilité de la signature est probablement liée à l'un des deux problèmes suivants :
• La clé d'accès secrète ne correspond pas à l'ID de clé d'accès que vous avez spécifiée dans le
paramètre Credential.
• Votre code de dérivation de clé pose problème.
Pour vérifier si la clé secrète est conforme à l'ID de clé d'accès, vous pouvez utiliser votre clé secrète et
votre ID de clé d'accès avec une implémentation fonctionnelle connue. L'une des façons consiste à utiliser
l'un des kits SDK AWS pour écrire un programme qui effectue une demande simple à AWS à l'aide de l'ID
de clé d'accès et de la clé d'accès secrète que vous souhaitez utiliser.
Pour vérifier si votre code de dérivation de clé est correct, vous pouvez le comparer à notre exemple de
code de dérivation. Pour plus d'informations, consultez Exemples de dérivation d'une clé de signature pour
Référence spécifique au service pour Signature Version 4

Pour en savoir plus sur la création et la signature des demandes HTTP dans le contexte de certains
services AWS, consultez la documentation des services suivants :
• Amazon API Gateway
• Amazon CloudSearch
• Amazon CloudWatch
• AWS Data Pipeline
• Amazon Elastic Compute Cloud (Amazon EC2)
• Amazon Elastic Transcoder
• Amazon S3 Glacier
• Amazon Mobile Analytics
• Amazon Relational Database Service (Amazon RDS)
• Amazon Simple Email Service (Amazon SES)
• Amazon Simple Queue Service (Amazon SQS)
• Amazon Simple Storage Service (Amazon S3)
• Amazon Simple Workflow Service (Amazon SWF)
• AWS WAF

Vous pouvez utiliser Signature Version 2 pour signer les demandes d'API. Cependant, nous vous
recommandons de signer votre demande avec Signature Version 4. Pour plus d'informations, consultez
Processus de signature Signature Version 4 (p. 447).
Régions et services pris en charge

Vous pouvez utiliser Signature version 2 pour signer les demandes d'API pour certains services AWS
de certaines régions AWS. Dans le cas contraire, vous devez utiliser Signature Version 4 pour signer les
demandes d'API.
Version 1.0
479
Les régions qui prennent en charge Signature Version 2
• Région USA Est (Virginie du N.)

• Région USA Ouest (Californie du Nord)
• Région USA Ouest (Oregon)
• Région Europe (Irlande)
• Région Asie-Pacifique (Tokyo)
• Région Asie-Pacifique (Singapour)
• Région Asie-Pacifique (Sydney)
• Région Amérique du Sud (São Paulo)
Services prenant en charge Signature Version 2
• Amazon EC2 Auto Scaling

• AWS CloudFormation
• Amazon CloudWatch
• AWS Elastic Beanstalk
• Amazon Elastic Compute Cloud (Amazon EC2)
• Elastic Load Balancing
• Amazon EMR
• Amazon ElastiCache
• AWS Identity and Access Management (IAM)
• AWS Import/Export
• Amazon Relational Database Service (Amazon RDS
• Amazon Simple Notification Service (Amazon SNS)
• Amazon Simple Queue Service (Amazon SQS)
• Amazon SimpleDB
Composants d'une demande Query pour Signature Version 2

AWS exige que chaque demande Query HTTP ou HTTPS au format Signature Version 2 contienne les
éléments suivants :
Point de terminaison
Egalement appelé partie hôte d'une demande HTTP. Il s'agit du nom DNS de l'ordinateur sur lequel
vous envoyez la demande Query. Différent pour chaque région AWS. Pour connaître la liste des points
de terminaison pour chaque service, consultez Points de terminaison de service AWS (p. 423).
Action
Action que vous souhaitez qu'un service web effectue. Cette valeur détermine les paramètres utilisés
dans la demande.
AWSAccessKeyId
Valeur distribuée par AWS lorsque vous vous inscrivez à un compte AWS.
SignatureMethod
Protocole basé sur le hachage utilisé pour calculer la signature. Pour Signature Version 2, il peut s'agir
de HMAC-SHA1 ou HMAC-SHA256.
Version 1.0
480
SignatureVersion
Version du protocole de signature AWS.

Horodatage
Heure d'envoi de la demande. Incluez cette valeur dans la demande Query pour empêcher des tiers de
l'intercepter.
Paramètres obligatoires et facultatifs
Chaque action a un ensemble de paramètres obligatoires et facultatifs qui définissent l'appel d'API.
Signature
Valeur calculée qui garantit que la signature est valide et n'a pas été falsifiée.
Voici un exemple de demande Query Amazon EMR au format de demande HTTPS GET.
• Le point de terminaison, elasticmapreduce.amazonaws.com, est le point de terminaison par défaut,

mappé à la région us-east-1.
• L'action est DescribeJobFlows, qui demande des informations sur un ou plusieurs flux de travail.
Note
Dans la demande Query réelle, il n'y a aucun espace, ni aucun saut de ligne. La demande est une
ligne de texte continue. La version ci-dessous a été mise en forme de façon à faciliter la lecture.
https://elasticmapreduce.amazonaws.com?
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&Action=DescribeJobFlows
&SignatureMethod=HmacSHA256
&SignatureVersion=2
&Timestamp=2011-10-03T15%3A19%3A30
&Version=2009-03-31
&Signature=calculated value
Comment générer une signature Signature Version 2 pour une

demande Query
Les demandes de service web sont envoyées via Internet et sont vulnérables aux falsifications. Pour
vérifier que la demande n'a pas été modifiée, AWS calcule la signature pour déterminer si un des
paramètres ou une valeur de paramètre a été modifié en cours de route. AWS exige une signature dans
chaque demande.
Note
Veillez à ce qu'URI code la demande. Par exemple, les espaces dans votre demande doivent
être codés sous la forme %20. Bien qu'un espace non codé soit normalement autorisé par la
spécification du protocole HTTP, les caractères non codés créent une signature non valide dans
votre demande Query. Ne codez pas les espaces sous la forme d'un signe plus (+) car cela
entraîne des erreurs.
Les rubriques suivantes décrivent les étapes nécessaires pour calculer une signature à l'aide d'AWS
Signature Version 2.
Tâche 1 : formater la demande Query

Pour pouvoir signer la demande Query, formatez-la en utilisant un format normalisé (canonique). Cette
étape est nécessaire car les différentes façons de formater une demande Query aboutissent à différentes
Version 1.0
481
signatures HMAC. Formatez la demande dans un format canonique avant de la signer. Cela garantit que
votre application et AWS calculeront la même signature pour une demande.
Pour créer la chaîne à signer, vous devez concaténer les composants de la demande Query. L'exemple
suivant génère la chaîne à signer pour l'appel suivant de l'API Amazon EMR.
Action=DescribeJobFlows
&Version=2009-03-31
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&SignatureVersion=2
&Timestamp=2011-10-03T15:19:30
Note
Dans la demande précédente, les quatre derniers paramètres (AWSAccessKeyID à Timestamp)

sont appelés les paramètres d'authentification. Ils sont obligatoires dans chaque demande
Signature Version 2. AWS les utilise pour identifier la personne qui envoie la demande et
déterminer s'il convient d'accorder l'accès demandé.
Pour créer la chaîne à signer (Signature Version 2)
1. Commencez par la méthode de demande (GET ou POST), suivie d'un caractère de saut de ligne. Pour
faciliter la lecture, le caractère de saut de ligne est représenté sous la forme \n.
GET\n
2. Ajoutez l'en-tête d'hôte HTTP (point de terminaison) en minuscules, suivi d'un caractère de saut de
ligne. Les informations sur le port sont omises s'il s'agit du port standard pour le protocole (le port 80
pour HTTP et le port 443 pour HTTPS), mais elles sont incluses s'il s'agit d'un port non standard.
elasticmapreduce.amazonaws.com\n
3. Ajoutez la version codée en URL de chaque segment de chemin de l'URI, c'est-à-dire tout ce qui est
compris entre l'en-tête d'hôte HTTP et le point d'interrogation (?) qui commence les paramètres de
chaîne de requête, suivi d'un caractère de saut de ligne. Ne codez pas la barre oblique (/) qui délimite
chaque segment de chemin.
Dans cet exemple, si le chemin absolu est vide, utilisez une barre oblique (/).
/\n
4. a. Ajoutez les composants de la chaîne de requête, tels que les caractères UTF-8 qui sont codés en
URL (les caractères hexadécimaux doivent être en majuscules). Vous ne devez pas coder le point
d'interrogation (?) initial dans la demande. Pour plus d'informations, consultez RFC 3986.
b. Triez les composants de la chaîne de requête dans l'ordre des octets. L'ordre des octets est
sensible à la casse. AWS trie ces composants en fonction des octets bruts.
Par exemple, voici l'ordre d'origine des composants de la chaîne de requête :
Version=2009-03-31
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
SignatureVersion=2
SignatureMethod=HmacSHA256
Timestamp=2011-10-03T15%3A19%3A30
Version 1.0
482
Les composants de la chaîne de requête seraient réorganisés comme suit :
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
SignatureMethod=HmacSHA256
SignatureVersion=2
Timestamp=2011-10-03T15%3A19%3A30
Version=2009-03-31
c. Séparez les noms de paramètres de leurs valeurs par le signe égal (=), même si la valeur est
vide. Séparez les paires de paramètre et valeur par le caractère esperluette (&). Concaténez les
paramètres et leurs valeurs pour créer une longue chaîne sans espace. Les espaces au sein
d'une valeur de paramètre sont autorisés, mais doivent être codés en URL sous la forme %20.
Dans la chaîne concaténée, les points (.) ne sont pas placés dans une séquence d'échappement.
RFC 3986 considère le point comme un caractère non réservé ; celui-ci n'est donc pas codé en
URL.
Note
RFC 3986 ne spécifie pas ce qui se passe avec les caractères de contrôle ASCII, les
caractères UTF-8 étendus, ni les autres caractères réservés par RFC 1738. Dans la
mesure où toutes les valeurs peuvent être transmises dans une valeur de chaîne, ces
autres caractères doivent être codés en pourcentage sous la forme %XY où X et Y sont
des caractères hexadécimaux en majuscules. Les caractères UTF-8 étendus prennent la
forme %XY%ZA... (ce format traite les multioctets).
L'exemple suivant montre les composants de la chaîne de requête, avec les paramètres concaténés
avec le caractère esperluette (&) et triés dans l'ordre des octets.
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVer
5. Pour construire la demande canonique finie, combinez tous les composants de chaque étape. Comme
illustré, chaque composant se termine par un caractère de saut de ligne.
GET\n
/\n
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVer
Tâche 2 : calculer la signature

Après avoir créé la chaîne canonique comme décrit dans Tâche 1 : formater la demande Query (p. 481),
calculez la signature en créant un code d'authentification de message basé sur le hachage (HMAC) qui
utilise le protocole HMAC-SHA1 ou HMAC-SHA256. Le protocole HMAC-SHA256 est préférable.
Dans cet exemple, la signature est calculée en utilisant la chaîne canonique et la clé secrète suivantes
comme entrées d'une fonction de hachage à clé :
• Chaîne de requête canonique :
GET\n
/\n
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersi
Version 1.0
483
• Exemple de clé secrète :
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
La signature obtenue doit être encodée en Base64.
i91nKc4PWAt0JJIdXwz9HxZCJDdiy6cf%2FMj6vPxyYIs%3D
Ajoutez la valeur obtenue à la demande Query en tant que paramètre Signature. Lorsque vous ajoutez
ce paramètre à la demande, vous devez l'encoder sous forme d'URI comme tout autre paramètre. Vous
pouvez utiliser la demande signée dans un appel HTTP ou HTTPS.
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion
%2FMj6vPxyYIs%3D
Note
Security Token Service (AWS STS) pour signer une demande. Le processus est similaire à
l'utilisation des informations d'identification à long terme, mais les demandes nécessitent un
paramètre supplémentaire pour le jeton de sécurité.
La demande suivante utilise un ID de clé d'accès temporaire et le paramètre SecurityToken.
Example Exemple de demande avec des informations d'identification de sécurité temporaires
https://sdb.amazonaws.com/
?Action=GetAttributes
&AWSAccessKeyId=access-key-from-AWS Security Token Service
&DomainName=MyDomain
&ItemName=MyItem
&SignatureVersion=2
&Timestamp=2010-01-25T15%3A03%3A07-07%3A00
&Version=2009-04-15
&Signature=signature-calculated-using-the-temporary-access-key
&SecurityToken=session-token
Pour de plus amples informations, veuillez consulter les ressources suivantes :
• Le Guide du développeur Amazon EMR contient des informations sur les appels d'API Amazon EMR.
• La documentation sur l'API de chaque service contient des informations sur les exigences et les
paramètres spécifiques pour une action.
• Les kits SDK AWS offrent des fonctions permettant de générer des signatures de demande Query. Pour
voir un exemple d'utilisation du kit AWS SDK for Java, consultez Utilisation du kit SDK Java pour signer
une demande Query (p. 485).
Résolution des problèmes liés aux demandes Signatures Version 2

Cette section décrit certains codes d'erreur qui sont susceptibles de s'afficher lorsque vous développez
initialement du code pour générer la signature devant signer les demandes Query.
Version 1.0
484
Erreur de signature SignatureDoesNotMatch dans un service web
La réponse d'erreur suivante est renvoyée lorsqu'un service web tente de valider la signature de la
demande en recalculant la valeur de signature et génère une valeur qui ne correspond pas à la signature
que vous avez ajoutée à la demande. Cela peut se produire parce que la demande a été modifiée entre
le moment où vous l'avez envoyée et le moment où elle a atteint un point de terminaison de service web
(ce qui est précisément le type de problème que la signature est conçue pour détecter) ou parce que la
signature a été mal calculée. Une cause courante du message d'erreur suivant est la création incorrecte de
la chaîne à signer, par exemple, l'oubli des caractères de codage par URL tels que le signe deux-points (:)
et la barre oblique (/) dans les noms de compartiment Amazon S3.
<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com/doc/2009-03-31">
<Error>
<Type>Sender</Type>
<Message>The request signature we calculated does not match the signature you
provided.
Check your AWS Secret Access Key and signing method.
Consult the service documentation for details.</Message>
</Error>
<RequestId>7589637b-e4b0-11e0-95d9-639f87241c66</RequestId>
</ErrorResponse>
Erreur de signature IncompleteSignature dans un service web
L'erreur suivante indique qu'il manque des informations dans la signature ou que celle-ci a été mal formée.
<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com/doc/2009-03-31">
<Error>
<Type>Sender</Type>
<Code>IncompleteSignature</Code>
<Message>Request must contain a signature that conforms to AWS standards</Message>
</Error>
<RequestId>7146d0dd-e48e-11e0-a276-bd10ea0cbb74</RequestId>
</ErrorResponse>
Utilisation du kit SDK Java pour signer une demande Query

L'exemple suivant utilise le package amazon.webservices.common du kit AWS SDK pour Java afin de
générer une signature de demande Query AWS Signature Version 2. Pour ce faire, il crée une signature
HMAC conforme à RFC 2104. Pour plus d'informations sur HMAC, consultez HMAC: Keyed-Hashing for
Message Authentication.
Note
Java est utilisé comme exemple d'implémentation. Vous pouvez utiliser le langage de
programmation de votre choix pour implémenter l'algorithme HMAC afin de signer les demandes
Query.
import java.security.SignatureException;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import com.amazonaws.util.*;
/**
* This class defines common routines for generating
Version 1.0
485
Prise en charge du kit SDK AWS pour
le chiffrement côté client Amazon S3
* authentication signatures for AWS Platform requests.

*/
public class Signature {
private static final String HMAC_SHA256_ALGORITHM = "HmacSHA256";
/**
* Computes RFC 2104-compliant HMAC signature.
* * @param data
* The signed data.
* @param key
* The signing key.
* @return
* The Base64-encoded RFC 2104-compliant HMAC signature.
* @throws
* java.security.SignatureException when signature generation fails
*/
public static String calculateRFC2104HMAC(String data, String key)
throws java.security.SignatureException
{
String result;
try {
// Get an hmac_sha256 key from the raw key bytes.

SecretKeySpec signingKey = new SecretKeySpec(key.getBytes("UTF-8"),
HMAC_SHA256_ALGORITHM);
// Get an hmac_sha256 Mac instance and initialize with the signing key.
Mac mac = Mac.getInstance(HMAC_SHA256_ALGORITHM);
mac.init(signingKey);
// Compute the hmac on input data bytes.

byte[] rawHmac = mac.doFinal(data.getBytes("UTF-8"));
// Base64-encode the hmac by using the utility in the SDK

result = BinaryUtils.toBase64(rawHmac);
} catch (Exception e) {
throw new SignatureException("Failed to generate HMAC : " + e.getMessage());
}
return result;
}
}
Prise en charge du kit SDK AWS pour le chiffrement

côté client Amazon S3
Les tableaux suivants fournissent des listes des algorithmes cryptographiques et des fonctions qui sont pris
en charge par les kits SDK AWS. Pour en savoir plus sur l'utilisation des fonctions d'un kit SDK particulier,
reportez-vous au guide du développeur correspondant.
Si vous n'êtes pas encore familiarisé avec le chiffrement, consultez Principes de base du chiffrement dans
le AWS Key Management Service Developer Guide, afin de comprendre les termes et les concepts.
Note
Le kit Kit SDK de chiffrement AWS est une bibliothèque de chiffrement distincte des kits
SDK spécifiques à un langage. Vous pouvez utiliser cette bibliothèque de chiffrement pour
implémenter plus facilement les bonnes pratiques en matière de chiffrement dans votre
application. Contrairement aux clients de chiffrement Amazon S3 des kits SDK AWS spécifiques à
Version 1.0
486
Fonctions du kit SDK AWS pour le
chiffrement côté client Amazon S3
un langage, le kit Kit SDK de chiffrement AWS n'est pas lié à Amazon S3 et peut être utilisé pour
chiffrer ou déchiffrer des données qui seront stockées n'importe où.
Le kit Kit SDK de chiffrement AWS et les clients de chiffrement Amazon S3 ne sont pas
compatibles, car ils produisent des textes chiffrés avec différents formats de données. Pour plus
d'informations sur le kit Kit SDK de chiffrement AWS, consultez le Manuel du développeur Kit SDK
de chiffrement AWS.
Fonctions du kit SDK AWS pour le chiffrement côté

client Amazon S3
Dans le tableau suivant, chaque colonne indique si un kit SDK AWS pour un langage spécifique prend en
charge les fonctions utilisées dans le chiffrement côté client.
Pour utiliser la fonction de chiffrement côté client Amazon S3 pour chiffrer des données avant de les
charger vers Amazon S3, vous devez fournir une clé principale au client de chiffrement Amazon S3. Vous
pouvez fournir une clé principale côté client ou utiliser la fonction de clés principales gérées par AWS
KMS. La fonction de clés principales gérées par AWS KMS permet de créer et de gérer facilement les clés
utilisées pour chiffrer les données. Pour en savoir plus sur ces fonctions, choisissez les liens fournis dans la
colonne Fonctions.
Pour en savoir plus sur l'utilisation des fonctions d'un kit SDK particulier, reportez-vous au guide du
développeur correspondant.
Fonction Java .NET Ruby v2 CLI Boto3 PHP v3 JavaScriptGo C++
ChiffrementOui Oui Oui Non Non Oui Non Oui Oui

côté
clientAmazon
S3
Clés Oui Non Oui Non Non Oui Non Oui Oui
principales
gérées
par
AWS
KMS
Pour plus d'informations sur le client de chiffrement Amazon S3 dans chaque kit SDK spécifique à un
langage prenant en charge le chiffrement côté client, consultez les billets de blog suivants.
• Chiffrement de données côté client pour Amazon S3 à l'aide du kit SDK AWS pour Java
• Chiffrement de données côté client avec le kit AWS SDK pour .NET et Amazon S3
• Utilisation du chiffrement côté client pour Amazon S3 à l'aide du kit SDK AWS pour Ruby
• Utilisation du kit SDK AWS pour le client de chiffrement Go
• Le client de chiffrement Amazon S3 est désormais disponible pour les développeurs C++
Algorithmes cryptographiques du client de chiffrement

Amazon S3
Le tableau suivant répertorie les algorithmes que chaque kit SDK AWS spécifique à un langage prend en
charge pour chiffrer des clés et des données lors de l'utilisation du client de chiffrement Amazon S3.
Version 1.0
487
Algorithmes cryptographiques du
client de chiffrement Amazon S3
Algorithm Java .NET Ruby v2 CLI Boto3 PHP v3 JavaScriptGo C++
Enveloppement
Oui Oui Oui Non Non Non Non Non Non
de clés
AES/
ECB
(non
recommandé)
Enveloppement
Oui Non Non Non Non Non Non Non Oui
de clés/
AES
Enveloppement
Oui Non Oui Non Non Non Non Non Non
de clés
RSA
ChiffrementOui Oui Oui Non Non Oui Non Oui Oui

de
contenu
AES/
CBC
(mode
Chiffrement
uniquement)
ChiffrementOui Non Oui Non Non Oui Non Oui Oui

de
contenu
AES/
GCM
(mode
d'authentification
Strict)
ChiffrementOui Non Oui Non Non Non Non Non Oui

de
contenu
AES/
CTR
(mode
Authentifié
uniquement
utilisé
pour le
déchiffrement
dans les
intervalles
GET)
Pour plus d'informations sur les modes Authentifié et Chiffrement uniquement, consultez le billet de blog
Chiffrement authentifié côté client Amazon S3.
Version 1.0
488
Conventions de rédaction
Les conventions typographiques courantes pour les publications techniques AWS sont répertoriées ci-
dessous.
Code en ligne (par exemple, les commandes, les opérations, les paramètres, les constantes, les éléments
XML et les expressions régulières)
Mise en forme : texte dans une police monospace
Exemple: java -version

Exemples de blocs (par exemple, exemples de code et de scripts)
Mise en forme : texte dans une police monospace au sein d'un bloc ombré
Exemple :
# ls -l /var/www/html/index.html
-rw-rw-r-- 1 root root 1872 Jun 21 09:33 /var/www/html/index.html
# date
Wed Jun 21 09:33:42 EDT 2006
Options mutuellement exclusives
Mise en forme : texte séparé par des barres verticales
Exemple: (start | stride | edge)

Paramètres facultatifs
Mise en forme : texte entre crochets
Exemple: [-n, -quiet]

Définitions
Mise en forme : texte en italique
Exemple : Amazon Machine Image (AMI)

Publications techniques
Exemple : Amazon Simple Storage Service Manuel du développeur

Éléments de l'interface utilisateur
Mise en forme : texte en gras
Exemple : Choisissez Fichier, Propriétés.

Entrée utilisateur (texte qu'un utilisateur tape)
Mise en forme : texte dans une police monospace
Exemple : Pour le nom, saisissez my-new-resource.

Texte d'espace réservé pour une valeur requise
Version 1.0
489
Exemple :
aws ec2 register-image --image-location my-s3-bucket/image.manifest.xml
Version 1.0
490
Glossaire AWS
Nombres et symboles (p. 491) | A (p. 491) | B (p. 508) | C (p. 509) | D (p. 514) | E (p. 517) | F (p. 520)
| G (p. 521) | H (p. 522) | I (p. 523) | J (p. 525) | K (p. 525) | L (p. 526) | M (p. 527) | N (p. 530) |
O (p. 531) | P (p. 532) | Q (p. 535) | R (p. 536) | S (p. 539) | T (p. 545) | U (p. 547) | V (p. 548) |
W (p. 549) | X, Y, Z (p. 550)
Nombres et symboles
100-continue Méthode qui permet à un client de voir si un serveur peut accepter une demande
avant de l'envoyer réellement. Pour les demandes PUT volumineuses, cette
méthode permet d'économiser du temps et des frais de bande passante.
A
W (p. 549) | X, Y, Z (p. 550)
DONNÉES AAD See données authentifiées supplémentaires (données AAD).
liste de contrôle d'accès (ACL) Document qui définit les personnes autorisées à accéder à un bucket (p. 509) ou
objet particulier. Chaque bucket (p. 509) et chaque objet d'Amazon S3 (p. 498)
possèdent une ACL. Le document définit ce que chaque type d'utilisateur peut faire,
comme les autorisations d'écriture et de lecture.
identifiants d'accès See credentials.
clé d'accès Combinaison d'un ID de clé d'accès (p. 491) (comme AKIAIOSFODNN7EXAMPLE)
et d'une clé d'accès secrète (p. 540) (comme wJalrXUtnFEMI/K7MDENG/
bPxRfiCYEXAMPLEKEY). Les clés d'accès permettent de signer les demandes
d'API adressées à AWS.
ID de clé d'accès Identifiant unique associé à une clé d'accès secrète (p. 540) ; l'ID de clé d'accès
et la clé d'accès secrète sont utilisés ensemble pour signer les demandes AWS par
programme de façon chiffrée.
rotation des clés d'accès Méthode permettant d'améliorer la sécurité en modifiant l'ID de clé d'accès AWS.
Cette méthode permet de supprimer une ancienne clé à votre discrétion.
langage de stratégie d'accès Langage destiné à l'écriture de documents (à savoir, les stratégies (p. 533)) qui
spécifient les personnes autorisées à accéder à une ressource (p. 537) AWS
particulière et dans quelles conditions.
Version 1.0
491
compte Relation formelle avec AWS qui est associée à tous les éléments suivants :
• L'adresse e-mail et le mot de passe du propriétaire

• Le contrôle des ressource (p. 537) créées dans son cadre
• Paiement de l'activité AWS associée à ces ressources
Le compte AWS est autorisé à faire tout ce qui est en son pouvoir avec toutes les
ressources du compte AWS. Par opposition à un user (p. 548), qui désigne une
entité contenue dans le compte.
activité du compte Page web affichant votre utilisation et vos coûts AWS mensuels à ce jour. La page
d'activité du compte se trouve à l'adresse https://aws.amazon.com/account-activity/.
ACL See liste de contrôle d'accès (ACL).
ACM See the section called “AWS Certificate Manager”.
PCA ACM See the section called “AWS Certificate Manager Private Certificate Authority”.
CA privée ACM See the section called “AWS Certificate Manager Private Certificate Authority”.
action Fonction d'API. Aussi appelée opération ou appel. Activité que le

principal (p. 534) est autorisé à effectuer. L'action correspond à B dans
l'instruction « A est autorisé à faire B pour C lorsque D s'applique ». Par
exemple, Jane envoie une demande à Amazon SQS (p. 498) avec
Action=ReceiveMessage.
Amazon CloudWatch (p. 493) : réponse initiée par la modification de l'état

d'une alarme (par exemple, passage de OK à ALARME). Le changement
d'état peut être déclenché par une métrique qui atteint le seuil d'alarme ou
par une demande SetAlarmState. Chaque alarme peut avoir une ou plusieurs
actions attribuées à chaque état. Les actions sont exécutées chaque fois que
l'alarme passe à un état auquel une action est attribuée, comme une notification
Amazon Simple Notification Service (p. 498), une exécution Amazon EC2
Auto Scaling (p. 495) stratégie (p. 533) ou une action d'arrêt / de fin Amazon
EC2 (p. 495) instance (p. 524).
utilisateurs de confiance actifs Liste affichant chacun des signataires approuvés que vous avez spécifiés, ainsi
que les ID des paires de clés actives correspondantes que connaît Amazon
CloudFront (p. 493). Pour pouvoir créer des URL signées opérationnelles, un
signataire approuvé doit figurer dans cette liste avec au moins un ID de paire de
clés.
données authentifiées Informations dont l'intégrité est vérifiée, mais qui ne sont pas chiffrées, comme les
supplémentaires (données en-têtes ou autres métadonnées contextuelles.
AAD)
suspension administrative Amazon EC2 Auto Scaling (p. 495) peut suspendre les processus d'un Auto
Scaling group (p. 500) qui échoue à lancer les instances de façon répétée.
Les groupes Auto Scaling les plus couramment confrontés à une suspension
administrative n'ont/ne comportent aucune instance en cours d'exécution, ont tenté
de lancer des instances pendant plus de 24 heures et n'ont pas réussi au cours de
cette période.
alarme Élément qui surveille une même métrique pendant une durée déterminée et
déclenche une Amazon SNS (p. 498) topic (p. 547) ou une Amazon EC2 Auto
Scaling (p. 495) stratégie (p. 533) si la valeur de la métrique dépasse un seuil
prédéfini au cours d'un nombre déterminé de périodes.
Version 1.0
492
allow (autorisation) L'un des deux résultats possibles (l'autre est deny (refuser) (p. 515)) lors
de l'évaluation d'un accèsIAM (p. 504)stratégie (p. 533). Lorsqu'un
utilisateur adresse une demande à AWS, ce dernier l'évalue en fonction de
toutes les autorisations qui s'appliquent à l'utilisateur, puis retourne la valeur
« allow » (autoriser) ou « deny » (refuser).
Amazon API Gateway Service entièrement géré qui permet aux développeurs de créer, publier, gérer,
surveiller et sécuriser les API à n'importe quelle échelle.
See Also https://aws.amazon.com/api-gateway.
Amazon AppStream 2.0 Un service entièrement géré et sécurisé pour la diffusion en continu d’applications
de bureau vers des utilisateurs, sans avoir à réécrire ces applications.
See Also https://aws.amazon.com/appstream/.
Amazon Athena Service de requête interactif qui facilite l'analyse des données dans Amazon S3 à
l’aide d’ANSI SQL. Athena fonctionne sans serveur. Il n'existe aucune infrastructure
à gérer. Athena est mis à l’échelle automatiquement et est simple à utiliser. Vous
pouvez donc commencer à analyser vos ensembles de données en quelques
secondes.
See Also https://aws.amazon.com/athena/.
Amazon Aurora Moteur de base de données relationnelle compatible avec MySQL et entièrement

géré, qui associe la vitesse et la disponibilité des bases de données commerciales
à la simplicité et à la rentabilité des bases de données open source.
See Also https://aws.amazon.com/rds/aurora/.
Amazon Chime Service de communication sécurisé, en temps réel et unifié qui révolutionne les
réunions en les rendant plus efficaces et plus faciles à gérer.
See Also https://aws.amazon.com/chime/.
Amazon Cloud Directory Service qui fournit un magasin d'annuaires hautement scalable pour les données
(Cloud Directory) hiérarchiques de votre application.
See Also https://aws.amazon.com/cloud-directory/.
Amazon CloudFront Service de diffusion de contenu AWS qui aide à améliorer les performances, la
fiabilité et la disponibilité des sites web et des applications.
See Also https://aws.amazon.com/cloudfront.
Amazon CloudSearch Service entièrement géré du cloud AWS, qui facilite la configuration, la gestion et la
mise à l'échelle d'une solution de recherche pour le site web ou l'application.
Amazon CloudWatch Service web qui permet de surveiller et de gérer différentes métriques, ainsi que de
configurer les actions d'alarme en fonction des données de ces métriques.
See Also https://aws.amazon.com/cloudwatch.
Amazon CloudWatch Events Service web qui permet d'offrir un flux adéquat d'événements système décrivant les
modifications apportées dans les ressource (p. 537)s AWS aux fonctions AWS
Lambda (p. 504), aux flux dans Amazon Kinesis Data Streams (p. 496), aux
rubriques Amazon Simple Notification Service (p. 498) ou aux cibles intégrées.
Amazon CloudWatch Logs Service web destiné à la surveillance et à la résolution des problèmes des
systèmes et applications à partir des fichiers système, fichiers d'application
et fichiers journaux personnalisés existants. Vous pouvez envoyer les fichiers
journaux existants à CloudWatch Logs et surveiller les journaux presque en temps
réel.
Amazon Cognito Service web qui facilite l'enregistrement des données utilisateur mobile, comme
les préférences d'une application ou l'état d'un jeu, dans le cloud AWS;, sans
Version 1.0
493
avoir à écrire de code côté serveur ou à gérer une infrastructure. Amazon Cognito
assure la gestion des identités mobiles et la synchronisation des données entre les
périphériques.
See Also https://aws.amazon.com/cognito/.
Amazon Connect Solution de service qui offre une configuration facile en libre-service et permet un
engagement client dynamique, personnel et naturel, à n'importe quelle échelle.
See Also https://aws.amazon.com/connect/.
Amazon Corretto Une distribution multiplateforme gratuite et prête pour la production du kit SDK
Open Java (OpenJDK).
See Also https://aws.amazon.com/corretto/.
Amazon Detective Service qui collecte des données de journal à partir de vos ressources AWS afin
d'analyser et d'identifier la cause première des résultats de sécurité ou des activités
suspectes. Le graphique de comportement Detective fournit des visualisations pour
vous aider à déterminer la nature et l'étendue des problèmes de sécurité potentiels
et à mener une enquête efficace.
See Also https://aws.amazon.com/detective/.
Amazon DocumentDB (avec Service de base de données géré que vous pouvez utiliser pour configurer, utiliser
compatibilité MongoDB) et mettre à l'échelle des bases de données compatibles MongoDB dans le cloud.
See Also https://aws.amazon.com/documentdb/.
Amazon DynamoDB Service de base de données NoSQL entièrement géré offrant des performances
élevées et prévisibles, avec une réelle évolutivité.
See Also https://aws.amazon.com/dynamodb/.
Backend de stockage Amazon Back-end de stockage pour la base de données de graphiques Titan implémentée
DynamoDB pour Titan par-dessus Amazon DynamoDB. Titan est une base de données de graphiques
évolutive, optimisée pour le stockage et l'interrogation de graphiques.
Amazon DynamoDB Flux Service AWS qui capture la séquence chronologique des modifications intervenues
au niveau des éléments d'une table Amazon DynamoDB et stocke ces dernières
dans un journal pendant 24 heures. Les applications ont accès à ce journal et
affichent les éléments de données à mesure qu'ils s'affichent avant et après qu'ils
ont été modifiés, pratiquement en temps réel.
Amazon Elastic Block Store Service fournissant des volume (p. 549) de stockage au niveau bloc, à utiliser
(Amazon EBS) avec des Instance EC2 (p. 517)s.
See Also https://aws.amazon.com/ebs.
AMI basée sur Amazon EBS Type d'Amazon Machine Image (AMI) (p. 496) dont les instance (p. 524)s
utilisent un Amazon EBS (p. 494) volume (p. 549) en tant que périphérique
racine. A comparer aux instances lancées à partir des AMI basée sur le stockage
d'instance (p. 524)s, qui utilisent le stockage d'instance (p. 524) comme
périphérique racine.
Amazon Elastic Container Registre de conteneurs Docker entièrement géré qui permet aux développeurs
Registry (Amazon ECR) de stocker, de gérer et de déployer facilement les images des conteneurs
Docker. Amazon ECR est intégré à Amazon Elastic Container Service (Amazon
ECS) (p. 494) et à AWS Identity and Access Management (IAM) (p. 504).
See Also https://aws.amazon.com/ecr.
Amazon Elastic Container Service de gestion de conteneur (p. 512) rapide et hautement évolutif, qui
Service (Amazon ECS) permet d'exécuter, d'arrêter et de gérer facilement les conteneurs Docker sur un
cluster (p. 511) d'Instance EC2 (p. 517)s.
See Also https://aws.amazon.com/ecs.
Version 1.0
494
Service Amazon ECS Service destiné à exécuter et à maintenir un nombre spécifié de tâche (p. 546)s
(instanciations d'une définition de tâche (p. 546)) de façon simultanée.
Amazon EC2 VM Import See https://aws.amazon.com/ec2/vm-import.

Connector
Amazon Elastic Compute Service web qui permet de lancer et de gérer des instance (p. 524)s Linux/UNIX
Cloud (Amazon EC2) ou Windows Server dans les centres de données Amazon.
See Also https://aws.amazon.com/ec2.
Amazon EC2 Auto Scaling Service web conçu pour lancer ou terminer automatiquement les
instance (p. 524)s en fonction des stratégies (p. 533) définies par l'utilisateur,
des planifications et des vérification_état (p. 522).
See Also https://aws.amazon.com/ec2/autoscaling.
Amazon Elastic File System Service de stockage de fichiers des EC2 (p. 495) instance (p. 524)s. Amazon
(Amazon EFS) EFS est facile à utiliser et offre une interface simple avec laquelle vous pouvez
créer et configurer les systèmes de fichiers. La capacité de stockage Amazon EFS
augmente et diminue automatiquement au fil de vos ajouts et suppressions de
fichiers.
See Also https://aws.amazon.com/efs/.
Amazon EMR (Amazon EMR) Service web qui permet de traiter facilement et efficacement de vastes ensembles
de données. Amazon EMR utilise Hadoop (p. 522) associé à plusieurs produits
AWS pour exécuter des tâches telles que l'indexation web, l'exploration de
données, l'analyse des fichiers journaux, l'apprentissage automatique, la simulation
scientifique et l'entreposage de données.
See Also https://aws.amazon.com/elasticmapreduce.
Amazon Elastic Transcoder Service de transcodage multimédia basé sur le cloud. Elastic Transcoder est
un outil hautement évolutif permettant de convertir (ou transcoder) les fichiers
multimédias à partir de leur format source en versions exécutées sur différents
appareils, tels que des smartphone, tablettes ou PC.
See Also https://aws.amazon.com/elastictranscoder/.
Amazon ElastiCache Service web qui simplifie le déploiement, l'utilisation et le dimensionnement d'un
cache en mémoire dans le cloud. Le service améliore les performances des
applications web en fournissant la récupération des informations à partir de caches
en mémoire rapides et gérés, et non en s'appuyant entièrement sur des bases de
données disque plus lentes.
See Also https://aws.amazon.com/elasticache/.
Amazon Elasticsearch Service Un service AWS géré conçu pour le déploiement, l'exploitation et la mise à l'échelle
(Amazon ES) Elasticsearch, moteur d'analyse et de recherche open source, dans le cloud AWS.
Amazon Elasticsearch Service (Amazon ES) propose également des options de
sécurité, une haute disponibilité, une durabilité des données et un accès direct à
l'API Elasticsearch.
See Also https://aws.amazon.com/elasticsearch-service.
Amazon EventBridge Service de bus d'événements sans serveur qui vous permet de vous connecter
à vos applications avec des données de diverses sources et qui achemine ces
données vers les cibles, telles que AWS Lambda. Vous pouvez configurer des
règles de routage afin de déterminer la cible des données permettant de créer des
architectures applicatives capables de réagir en temps réel à l'ensemble de vos
sources de données.
See Also https://aws.amazon.com/eventbridge/.
Amazon GameLift Service géré pour le déploiement, l'exploitation et la mise à l'échelle des jeux
multijoueurs basés sur une session.
Version 1.0
495
See Also https://aws.amazon.com/gamelift/.
Amazon GuardDuty Service de surveillance de sécurité continue. Amazon GuardDuty peut permettre
d'identifier les activités inattendues et potentiellement non autorisées ou
malveillantes dans votre environnement AWS.
See Also https://aws.amazon.com/guardduty/.
Amazon Inspector Service automatique d'évaluation de la sécurité qui permet d'améliorer la sécurité
et la conformité des applications déployées sur AWS. Amazon Inspector analyse
automatiquement les applications afin de détecter les failles ou les écarts par
rapport aux bonnes pratiques. Après l'exécution de l'analyse, Amazon Inspector
génère un rapport détaillé avec les étapes à suivre, classées par priorité, pour
procéder aux corrections.
See Also https://aws.amazon.com/inspector.
Amazon Kinesis Plateforme de diffusion des données sur AWS. Kinesis offre des services qui
simplifient le chargement et l'analyse des données de diffusion.
See Also https://aws.amazon.com/kinesis/.
Amazon Kinesis Data Service entièrement géré pour le chargement des données de diffusion dans AWS.
Firehose Kinesis Data Firehose peut capturer et charger automatiquement les données de
diffusion en continu dans Amazon S3 (p. 498) et Amazon Redshift (p. 497), ce
qui permet une analyse presqu'en temps réel à l'aide des outils d'aide à la décision
existants et des tableaux de bord que vous utilisez déjà. Kinesis Data Firehose
s'adapte automatiquement pour refléter le débit de vos données et ne requiert
aucune administration continue. Il peut également regrouper, compresser et chiffrer
les données avant de les charger.
See Also https://aws.amazon.com/kinesis/firehose/.
Amazon Kinesis Data Streams Service web de développement d'applications personnalisées qui traitent ou
analysent les données de diffusion pour des besoins spécialisés. Amazon Kinesis
Data Streams peut capturer et stocker en permanence des téraoctets de données
par heure, en provenance de centaines de milliers de sources.
See Also https://aws.amazon.com/kinesis/streams/.
Amazon Lightsail Lightsail est le meilleur moyen de lancer et de gérer un serveur privé virtuel avec
AWS. Lightsail offre des plans groupés qui comprennent tout ce dont vous avez
besoin pour déployer un serveur virtuel privé pour un faible coût mensuel.
See Also https://aws.amazon.com/lightsail/.
Amazon Lumberyard Moteur de jeu 3D et inter-plateforme, permettant de créer des jeux de haute qualité.
Vous pouvez connecter les jeux pour bénéficier du calcul et du stockage du cloud
AWS, puis impliquer les fans sur Twitch.
See Also https://aws.amazon.com/lumberyard/.
Amazon Machine Image (AMI) Image machine chiffrée stockée dans Amazon Elastic Block Store (Amazon
EBS) (p. 494) ou Amazon Simple Storage Service (p. 498). Les AMI
s'apparentent au modèle du lecteur racine d'un ordinateur. Ils contiennent le
système d'exploitation et peuvent également inclure les logiciels et les couches de
votre application, comme les serveurs de base de données, le middleware ou les
serveurs web, entre autres.
Amazon Machine Learning Service basé sur le cloud qui crée des modèles Machine Learning (ML) en
recherchant ceux de vos données, puis les utilise pour traiter les nouvelles données
et générer des prévisions.
See Also http://aws.amazon.com/machine-learning/.
Amazon Macie Service de sécurité qui utilise l'apprentissage machine pour détecter, classer et
protéger automatiquement les données sensibles dans AWS.
Version 1.0
496
See Also http://aws.amazon.com/macie/.
Amazon Managed Blockchain Service entièrement géré pour la création et la gestion de réseaux blockchain
évolutifs utilisant les cadres open source populaires.
See Also http://aws.amazon.com/managed-blockchain/.
Amazon ML See Amazon Machine Learning.
Amazon Mobile Analytics Service de collecte, de visualisation, d'analyse et d'extraction des données
(Mobile Analytics) d'utilisation des applications mobiles à l'échelle.
See Also https://aws.amazon.com/mobileanalytics.
Amazon MQ Service d'agent de messages géré pour Apache ActiveMQ qui facilite la
configuration et l'utilisation des agents de messages dans le cloud.
See Also https://aws.amazon.com/amazon-mq/.
Amazon Neptune Service géré de base de données graphiques que vous pouvez utiliser pour créer
et exécuter des applications qui fonctionnent avec des ensembles de données
hautement connectés. Neptune prend en charge les langages de requête de
graphe populaires Apache TinkerPop Gremlin et W3C SPARQL pour générer
facilement des requêtes qui naviguent efficacement dans les ensembles de
données hautement connectés..
See Also https://aws.amazon.com/neptune/.
Amazon QuickSight Service d'analyse rapide et résidant dans le cloud, qui permet de créer facilement
des visualisations, d'effectuer une analyse ponctuelle des données en toute
simplicité, et d'obtenir rapidement des perspectives professionnelles à partir de vos
données.
See Also https://aws.amazon.com/quicksight/.
Amazon Redshift Service d'entreposage de données d'une capacité de plusieurs pétaoctets et

entièrement géré du cloud. Avec Amazon Redshift, vous pouvez analyser vos
données grâce à vos outils d'aide à la décision.
See Also https://aws.amazon.com/redshift/.
Amazon Relational Database Service web qui facilite la configuration, l'exploitation et la mise à l'échelle
Service (Amazon RDS) d'une base de données relationnelle dans le cloud. Il fournit des capacités
redimensionnables, à faible coût, pour les bases de données relationnelles
classiques, et gère les tâches courantes d'administration de base de données.
See Also https://aws.amazon.com/rds.
Amazon Resource Name Méthode normalisée de référence à une ressource (p. 537) AWS. Par exemple :
(ARN) arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob.
Amazon Route 53 Service web que vous pouvez utiliser pour créer un nouveau service DNS ou pour
faire migrer votre service DNS existant vers le cloud.
See Also https://aws.amazon.com/route53.
Amazon S3 See Amazon Simple Storage Service (Amazon S3).
AMI basée sur Amazon S3 See AMI basée sur le stockage d'instance.
Amazon S3 Glacier Service de stockage sécurisé, durable et économique, pour l'archivage des
données et la sauvegarde à long terme. Vous pouvez stocker en toute sécurité
de petites ou grandes quantités de données, avec un coût moindre par rapport
aux solutions locales. S3 Glacier est optimisé pour les données auxquelles vous
accédez de manière occasionnelle et pour lesquelles un délai d'extraction de
plusieurs heures reste acceptable.
See Also https://aws.amazon.com/glacier/.
Version 1.0
497
AWS Security Hub Service qui fournit une vue complète de l'état de sécurité de vos ressources
AWS. Security Hub collecte les données de sécurité à partir de comptes et de
services AWS et vous permet d'analyser vos tendances en matière de sécurité
afin d'identifier et de hiérarchiser les problèmes de sécurité au sein de votre
environnement AWS.
See Also https://aws.amazon.com/security-hub/.
Amazon Silk Navigateur web de nouvelle génération disponible uniquement sur les tablettes
et téléphones Fire OS. Construit sur une architecture fractionnée qui répartit le
traitement entre le client et le cloud AWS, Amazon Silk est conçu pour offrir une
expérience de navigation mobile plus rapide et plus réactive.
Amazon Simple Email Service Solution de messagerie facile à utiliser et rentable pour les applications.
(Amazon SES) See Also https://aws.amazon.com/ses.
Amazon Simple Notification Service web qui permet aux applications, utilisateurs et périphériques d'envoyer
Service (Amazon SNS) instantanément des notifications au cloud ou d'en recevoir.
See Also https://aws.amazon.com/sns.
Amazon Simple Queue Files d'attente hébergées, évolutives et fiables, dédiées au stockage des messages
Service (Amazon SQS) pendant leur transmission entre les ordinateurs.
See Also https://aws.amazon.com/sqs.
Amazon Simple Storage Stockage sur Internet. Vous pouvez l'utiliser pour stocker et récupérer n'importe
Service (Amazon S3) quel volume de données, à tout instant et depuis n'importe où sur le web.
See Also https://aws.amazon.com/s3.
Amazon Simple Workflow Service entièrement géré qui permet aux développeurs de créer, d'exécuter
Service (Amazon SWF) et de dimensionner des tâches en arrière-plan ayant des étapes parallèles ou
séquentielles. Amazon SWF s'apparente à un suivi d'état et à un coordinateur de
tâches du cloud.
See Also https://aws.amazon.com/swf/.
Amazon Sumerian Ensemble d'outils pour la création et l'exécution d'applications de réalité augmentée
(AR) et de réalité virtuelle (VR) 3D de haute qualité sur le web.
See Also https://aws.amazon.com/sumerian/.
Amazon Textract Service qui permet d'extraire automatiquement du texte et des données de
documents numérisés. Amazon Textract va au-delà de la simple de reconnaissance
optique de caractères (OCR) et identifie également le contenu des champs de
formulaires et les informations stockées dans des tables.
See Also https://aws.amazon.com/textract/.
Amazon Virtual Private Cloud Service web de mise en service d'une section logiquement isolée du cloud
(Amazon VPC) AWS où vous pouvez lancer les AWSs ressource (p. 537) d'un réseau virtuel
que vous définissez. Vous contrôlez votre environnement de réseau virtuel, y
compris la sélection de votre propre plage d'adresses IP, la création de sous-
réseau (p. 545)x et la configuration de table de routage (p. 539)s et de
passerelles réseau.
See Also https://aws.amazon.com/vpc.
Amazon VPC See Amazon Virtual Private Cloud (Amazon VPC).
Amazon Web Services (AWS) Plateforme de services web d'infrastructure du cloud destinée aux entreprises de
toutes tailles.
See Also https://aws.amazon.com/what-is-cloud-computing/.
Amazon WorkDocs Service de partage et de stockage de documents d'entreprise, géré et sécurisé,

avec fonctionnalités de contrôles administratifs et de commentaires.
Version 1.0
498
See Also https://aws.amazon.com/workdocs/.
Amazon WorkLink Service basé sur le cloud qui fournit un accès sécurisé à des sites web internes et à
des applications web à partir d’appareils mobiles.
See Also https://aws.amazon.com/worklink/.
Amazon WorkMail Service de calendrier et de messagerie professionnels, géré et sécurisé, avec prise
en charge des clients de messagerie mobiles et bureau existants.
See Also https://aws.amazon.com/workmail/.
Amazon WorkSpaces Service de calcul de bureau sécurisé et géré destiné à mettre en service des
bureaux basés sur le cloud et à fournir aux utilisateurs l'accès aux documents,
applications et ressource (p. 537)s à partir des appareils pris en charge.
See Also https://aws.amazon.com/workspaces/.
Amazon WorkSpaces Service web de déploiement et de gestion des applications pour Amazon
Application Manager (Amazon WorkSpaces. Amazon WAM accélère le déploiement de logiciels, les mises à
WAM) jour, les correctifs et la mise hors service en intégrant des applications de bureau
Microsoft Windows dans des conteneurs d'applications virtualisés.
See Also https://aws.amazon.com/workspaces/applicationmanager.
AMI See Amazon Machine Image (AMI).
méthode d'analyse Amazon CloudSearch (p. 493) : options d'analyse de texte spécifiques au
langage et appliquées à un champ de texte pour contrôler la recherche de radical et
configurer les mots vides et les synonymes.
application AWS Elastic Beanstalk (p. 503) : ensemble logique de composants, y compris
les environnements, les versions et les configurations d'environnement. Une
application est conceptuellement semblable à un dossier.
AWS CodeDeploy (p. 502) : nom qui identifie de façon unique l'application à
déployer. AWS CodeDeploy utilise ce nom afin de garantir que la combinaison
adéquate de la révision, de la configuration du déploiement et du groupe de
déploiement est référencée lors d'un déploiement.
Application Auto Scaling Service web qui permet de configurer la mise à l'échelle automatique de ressources
AWS au-delà d'Amazon EC2, telles que les services Amazon ECS, les clusters
Amazon EMR et les tables DynamoDB.
See Also https://aws.amazon.com/autoscaling/.
facturation des applications Emplacement où vos clients gèrent les produits Amazon DevPay qu'ils ont achetés.
L'adresse web est http://www.amazon.com/dp-applications.
révision d'application AWS CodeDeploy (p. 502) : fichier d'archive incluant le contenu source (code
source, pages web, fichiers exécutables et scripts de déploiement), ainsi qu'un
fichier de spécification d'application (p. 499). Les révisions sont stockées dans les
Amazon S3 (p. 498) bucket (p. 509)s ou les référentiels GitHub (p. 521). Pour
Amazon S3, une révision est identifiée de façon unique par sa clé d'objet Amazon
S3 et/ou sa version ETag. Pour GitHub, une révision est identifiée de façon unique
par son ID de validation.
fichier de spécification AWS CodeDeploy (p. 502) : fichier au format YAML utilisé pour mapper les
d'application fichiers sources figurant dans une révision d'application vers leurs destinations
sur l'instance. Le fichier est également utilisé pour spécifier des autorisations
personnalisées pour les fichiers déployés et indiquer les scripts à exécuter sur
chaque instance à diverses étapes du processus de déploiement.
version de l'application AWS Elastic Beanstalk (p. 503) : itération identifiée et spécifique d'une application
représentant un ensemble cohérent sur le plan fonctionnel du code d'application
Version 1.0
499
déployable. Une version pointe vers un objet Amazon S3 (p. 498) (fichier WAR
JAVA) qui contient le code d'application.
Fichier AppSpec See fichier de spécification d'application.
AUC Aire sous une courbe (AUC, Area Under a Curve). Métrique standard de l'industrie
pour évaluer la qualité d'un modèle Machine Learning de classification binaire. La
métrique AUC mesure la capacité du modèle à prévoir un score plus élevé pour les
exemples positifs, ceux qui sont « corrects », que pour les exemples négatifs, ceux
qui sont « incorrects ». Elle renvoie une valeur décimale comprise entre 0 et 1. Les
valeurs AUC proches de 1 indiquent un modèle ML qui est très précis.
ARN See Amazon Resource Name (ARN).
artefact AWS CodePipeline (p. 502) : copie des fichiers ou des modifications qui seront
utilisés par le pipeline.
chiffrement asymétrique Chiffrement (p. 518) qui utilise une clé publique et une clé privée.
non-remise asynchrone Type de retour à l'expéditeur (p. 509) qui se produit lorsqu'un récepteur (p. 536)
accepte initialement un message électronique pour le remettre et, par la suite,
échoue dans cette opération.
compteur atomique DynamoDB : méthode d'incrémentation ou de décrémentation de la valeur d'un

attribut existant sans interférer avec d'autres demandes d'écriture.
attribut Élément de donnée fondamental, qui n'a pas besoin d'être décomposé plus avant.
Dans DynamoDB, les attributs sont similaires en de nombreux points aux champs
ou aux colonnes des autres systèmes de base de données.
Amazon Machine Learning : propriété unique et nommée au sein d'une observation

d'un ensemble de données. Dans les données tabulaires, telles que les feuilles de
calcul ou les fichiers de valeurs séparées par des virgules (.csv), les en-têtes de
colonne représentent les attributs et les lignes contiennent les valeurs de chaque
attribut.
Aurora See the section called “Aurora”.
chiffrement authentifié Chiffrement (p. 518) qui assure la confidentialité, l'intégrité et l'authenticité des
données chiffrées.
authentification Processus consistant à prouver votre identité auprès d'un système.
Auto Scaling group Représentation de plusieurs Instance EC2 (p. 517)s qui partagent des
caractéristiques similaires et sont traitées comme regroupement logique à des fins
de gestion et de dimensionnement des instances.
Zone de disponibilité Emplacement distinct au sein d'une Région (p. 536) qui est à l'abri des
dysfonctionnements d'autres zones de disponibilité et offre une connectivité réseau
peu coûteuse et de faible latence par rapport aux autres zones de disponibilité de la
même Région.
AWS See Amazon Web Services (AWS).
AWS Application Discovery Service web qui vous aide à planifier la migration vers AWS en identifiant les
Service ressources informatiques d'un centre —de données, y compris les serveurs,
les machines virtuelles, les applications, les dépendances d'application et
l'infrastructure réseau.
See Also https://aws.amazon.com/about-aws/whats-new/2016/04/aws-application-
discovery-service/.
Version 1.0
500
AWS AppSync Un service GraphQL entièrement géré au niveau de l'entreprise, avec

synchronisation des données en temps réel et fonctions de programmation hors
ligne.
See Also https://aws.amazon.com/appsync/.
AWS Auto Scaling Service entièrement géré qui vous permet de découvrir rapidement toutes les
ressources AWS scalables qui font partie de votre application et de configurer la
mise à l'échelle dynamique.
See Also https://aws.amazon.com/autoscaling/.
AWS Backup Service de sauvegarde géré que vous pouvez utiliser pour centraliser et
'automatiser la sauvegarde des données sur les services AWS dans le cloud et sur
site.
See Also https://aws.amazon.com/backup/.
AWS Billing and Cost Modèle de cloud informatique AWS dans lequel vous payez les services
Management à la demande et les utilisez autant que vous le souhaitez. Même si les
ressource (p. 537)s sont actives dans le cadre de votre compte, vous payez
le coût de l'allocation de ces ressources. Vous payez également l'utilisation
accessoire associée à ces ressources, comme le transfert de données ou le
stockage alloué.
See Also https://aws.amazon.com/billing/new-user-faqs/.
Modèles d’AWS Blockchain Service de création et de déploiement d’infrastructure blockchain open-source sur

AWS, tels que Ethereum et Hyperledger Fabric.
See Also https://aws.amazon.com/blockchain/templates/.
AWS Certificate Manager Service web de mise en service, de gestion et de déploiement des certificats
(ACM) Secure Sockets Layer/Transport Layer Security (p. 547) (SSL/TLS) à utiliser avec
les services AWS.
See Also https://aws.amazon.com/certificate-manager/.
Autorité de certification privée Service d'autorité de certification privée hébergée permettant d'émettre et de
AWS Certificate Manager révoquer des certificat (p. 510) numériques privés.
(ACM PCA) See Also https://aws.amazon.com/certificate-manager/private-certificate-authority/.
AWS Cloud Development Kit Cadre de développement de logiciels open source qui permet de définir
(AWS CDK) votre infrastructure cloud dans le code et de le mettre en service via AWS
CloudFormation.
See Also https://aws.amazon.com/cdk/.
AWS Cloud Map Service que vous pouvez utiliser pour créer et gérer un mappage des ressources
et des services backend dont vos applications dépendent. AWS Cloud Map vous
permet de nommer et de découvrir vos ressources cloud.
See Also https://aws.amazon.com/cloud-map.
AWS Cloud9 Environnement de développement intégré (IDE) basé sur le cloud qui vous permet
d'écrire, d'exécuter et de déboguer votre code.
See Also https://aws.amazon.com/cloud9/.
AWS CloudFormation Service pour écrire ou modifier les modèles qui créent et suppriment les
ressource (p. 537)s AWS associées conjointement en tant qu'unité.
See Also https://aws.amazon.com/cloudformation.
AWS CloudHSM Service web qui vous permet de respecter les exigences professionnelles,
contractuelles et réglementaires relatives à la sécurité des données, en mettant
à votre disposition des modules de sécurité matériels (HSM, Hardware Security
Module) dédiés dans le cloud AWS.
See Also https://aws.amazon.com/cloudhsm/.
Version 1.0
501
AWS CloudTrail Service web qui enregistre les appels d'API AWS pour votre compte et vous
transmet les fichiers journaux. Les informations enregistrées incluent l'identité de
l'utilisateur à l'origine de l'appel d'API, l'heure de l'appel d'API, l'adresse IP source
de l'utilisateur ayant effectué l'appel d'API et les paramètres de demande, ainsi que
les éléments de réponse renvoyés par le service AWS.
See Also https://aws.amazon.com/cloudtrail/.
AWS CodeBuild Service d'intégration continue entièrement géré qui compile votre code source,
exécute des tests et produit des packages logiciels prêts à être déployés.
See Also https://aws.amazon.com/codebuild.
AWS CodeCommit Service de contrôle de code source intégralement géré, qui permet aux entreprises
d'héberger facilement des référentiels Git privés sécurisés et hautement évolutifs.
See Also https://aws.amazon.com/codecommit.
AWS CodeDeploy Service qui automatise les déploiements du code sur une instance, y compris les
Instance EC2 (p. 517)s et les instance (p. 524)s s'exécutant sur site.
See Also https://aws.amazon.com/codedeploy.
Agent AWS CodeDeploy Package logiciel qui, lorsqu'il est installé et configuré sur une instance, permet
d'utiliser cette instance dans les déploiements CodeDeploy.
AWS CodePipeline Service de livraison continu pour des mises à jour d'application rapides et fiables.
See Also https://aws.amazon.com/codepipeline.
AWS Command Line Interface Outil unifié téléchargeable et configurable pour gérer les services AWS. Contrôlez
(AWS CLI) plusieurs services AWS à partir de la ligne de commande et automatisez-les à l'aide
de scripts.
See Also https://aws.amazon.com/cli/.
AWS Config Service entièrement géré qui fournit un inventaire des AWS ressource (p. 537),
un historique de configuration et des notifications de modification de configuration
pour améliorer la sécurité et la gouvernance. Vous pouvez créer des règles qui
contrôlent automatiquement la configuration des ressources AWS qu'AWS Config
enregistre.
See Also https://aws.amazon.com/config/.
AWS Database Migration Service Service web qui peut vous aider à migrer les données vers et depuis un grand
nombre de bases de données commerciales et open source largement utilisées.
See Also https://aws.amazon.com/dms.
AWS Data Pipeline Service web pour traiter et transférer les données entre les différents services de
calcul et de stockage AWS, ainsi que sur les sources de données locales, selon des
intervalles spécifiés.
See Also https://aws.amazon.com/datapipeline.
AWS Device Farm Service de test d'application qui permet aux développeurs de tester les appareils
(Device Farm) iOS, Android et Fire OS, sur des téléphones et des tablettes physiques réels
hébergés par AWS.
See Also https://aws.amazon.com/device-farm.
AWS Direct Connect Service web qui simplifie l'établissement d'une connexion réseau dédiée à AWS à
partir de votre site. Avec AWS Direct Connect, vous pouvez établir une connexion
privée entre AWS et votre environnement de centre de données, de bureau ou de
colocation.
See Also https://aws.amazon.com/directconnect.
AWS Directory Service Service géré pour connecter vos AWSs ressource (p. 537) à un annuaire
Microsoft Active Directory sur site existant ou pour installer et exploiter un nouvel
annuaire autonome dans le cloud AWS.
Version 1.0
502
See Also https://aws.amazon.com/directoryservice.
AWS Elastic Beanstalk Service web pour déployer et gérer des applications dans le cloud AWS, sans se
préoccuper de l'infrastructure qui les exécute.
See Also https://aws.amazon.com/elasticbeanstalk.
AWS Elemental Service qui permet à des diffuseurs et autres fournisseurs de vidéos premium
MediaConnect d'insérer de façon fiable des vidéos en direct dans le cloud AWS et de les diffuser
vers plusieurs destinations à l'intérieur ou à l'extérieur du cloud AWS.
See Also https://aws.amazon.com/mediaconnect.
AWS Elemental MediaConvert Service de conversion de vidéos basées sur des fichiers qui transforme les
contenus aux formats requis pour la diffusion classique et pour le streaming Internet
vers des appareils multi-écrans.
See Also https://aws.amazon.com/mediaconvert.
AWS Elemental MediaLive Service vidéo qui vous permet de créer des sorties en direct pour la diffusion et le
streaming.
See Also https://aws.amazon.com/medialive.
AWS Elemental Service d'empaquetage juste-à-temps et de création qui vous permet de formater
MediaPackage des sorties en direct fiables et hautement sécurisées pour différents appareils.
See Also https://aws.amazon.com/mediapackage.
AWS Elemental MediaStore Service de stockage optimisé pour les éléments multimédias qui offre les
performances, la cohérence et la faible latence nécessaires pour diffuser du
contenu vidéo en direct et à la demande à grande échelle.
See Also https://aws.amazon.com/mediastore.
AWS Elemental MediaTailor Service vidéo qui vous permet de fournir des publicités ciblées à des utilisateurs
tout en maintenant la qualité de la diffusion dans les applications vidéo OTT (Over
The Top).
See Also https://aws.amazon.com/mediatailor.
AWS Firewall Manager Service que vous utilisez avec AWS WAF pour simplifier vos tâches
d'administration et de maintenance AWS WAF sur plusieurs comptes et ressources.
Avec AWS Firewall Manager, vous ne configurez vos règles de pare-feu qu'une
seule fois. Le service applique automatiquement vos règles à travers vos comptes
et ressources, même lorsque vous ajoutez de nouvelles ressources.
See Also https://aws.amazon.com/firewall-manager.
AWS Global Accelerator Service de couche réseau que vous utilisez pour créer des accélérateurs qui
dirigent le trafic vers des points de terminaison optimaux sur le réseau mondial
AWS. Il permet d'améliorer la disponibilité et les performances de vos applications
Internet qui sont utilisées par un public mondial.
See Also https://aws.amazon.com/global-accelerator.
AWS Glue Service extraction, transformation et chargement (ETL) (p. 520) entièrement
géré que vous pouvez utiliser pour faire l'inventaire des données et pour les
charger à des fins d'analyse. Avec AWS Glue, vous pouvez découvrir vos données,
développer des scripts pour transformer des sources en cibles, et planifier et
exécuter des tâches ETL dans un environnement sans serveur.
See Also https://aws.amazon.com/glue.
AWS GovCloud (US) Région AWS isolée, conçue pour héberger les charges de travail sensibles dans
le cloud, garantissant que ce travail répond aux exigences réglementaires et
aux exigences de conformité aux États-Unis. La région AWS GovCloud (US)
adhère aux exigences de réglementation et de stratégie de sécurité suivantes :
United States International Traffic in Arms Regulations (ITAR), Federal Risk and
Authorization Management Program (FedRAMP), Department of Defense (DOD)
Version 1.0
503
Cloud Security Requirements Guide (SRG) niveaux 2 et 4, et Criminal Justice

Information Services (CJIS).
See Also https://aws.amazon.com/govcloud-us/.
AWS Identity and Access Service web qui permet aux clients Amazon Web Services (AWS) (p. 498) de
Management (IAM) gérer les utilisateurs et les autorisations utilisateur au sein d'AWS.
See Also https://aws.amazon.com/iam.
AWS Import/Export Service pour transférer de grandes quantités de données entre AWS et les
périphériques de stockage portables.
See Also https://aws.amazon.com/importexport.
AWS IoT Core Plateforme cloud gérée qui permet aux appareils connectés d'interagir de façon
simple et sécurisée avec les applications cloud et d'autres appareils.
See Also https://aws.amazon.com/iot.
AWS IoT 1-Click Service qui permet à de simples appareils de déclencher facilement des fonctions
AWS Lambda pouvant exécuter une action.
See Also https://aws.amazon.com/iot-1-click.
AWS IoT Analytics Service entièrement géré utilisé pour exécuter des analyses avancées sur de gros
volumes de données IoT.
See Also https://aws.amazon.com/iot-analytics.
AWS IoT Device Defender Service de sécurité AWS IoT qui vous permet de vérifier la configuration de
vos appareils et de surveiller vos appareils connectés afin de détecter les
comportements anormaux et d'atténuer les risques pour la sécurité.
See Also https://aws.amazon.com/iot-device-defender.
AWS IoT Device Management Service utilisé pour intégrer, organiser, surveiller et gérer en toute sécurité des
appareils IoT à grande échelle.
See Also https://aws.amazon.com/iot-device-management.
AWS IoT Events Service AWS IoT entièrement géré qui facilite la détection et la réponse à des
événements provenant de capteurs et applications IoT.
See Also https://aws.amazon.com/iot-events.
AWS IoT Greengrass Logiciel qui vous permet d'exécuter des fonctionnalités de calcul local, de
messagerie, de mise en cache de données, de synchronisation et d'inférence ML
pour les appareils connectés de manière sécurisée.
See Also https://aws.amazon.com/greengrass.
AWS IoT Things Graph Service qui facilite la connexion visuelle de différents appareils aux services web
pour créer des applications IoT.
See Also https://aws.amazon.com/iot-things-graph.
AWS Key Management Service géré qui simplifie la création et le contrôle des clés de chiffrement (p. 518)
Service (AWS KMS) utilisées pour chiffrer les données.
See Also https://aws.amazon.com/kms.
AWS Lambda Service web qui permet d'exécuter le code sans provisionner ou gérer des
serveurs. Vous pouvez exécuter le code pour quasiment n'importe quel type
d'application ou de service backend, sans aucune administration. Vous pouvez
configurer votre code pour qu'il se déclenche automatiquement à partir d'autres
services AWS ou pour l'appeler directement à partir d'une application web ou
mobile.
See Also https://aws.amazon.com/lambda/.
Clé gérée par AWS Un type de clé principale client (CMK) (p. 513) dans AWS Key Management
Service (AWS KMS) (p. 504).
Version 1.0
504
Stratégie gérée par AWS IAM (p. 504) stratégie gérée (p. 528) créée et gérée par AWS.
AWS Management Console Interface graphique pour gérer les ressource (p. 537)s de calcul, de stockage et
autres ressources du cloud.
See Also https://aws.amazon.com/console.
AWS Management Portal for Service web de gestion de vos AWS ressource (p. 537)s avec VMware vCenter.
vCenter Vous installez le portail comme plug-in vCenter au sein de votre environnement
vCenter existant. Une fois l'installation terminée, vous pouvez migrer les machines
virtuelles VMware vers Amazon EC2 (p. 495) et gérer les ressources AWS depuis
vCenter.
See Also https://aws.amazon.com/ec2/vcenter-portal/.
AWS Marketplace Portail web où les partenaires qualifiés commercialisent et vendent leurs logiciels
aux clients AWS. AWS Marketplace est une boutique en ligne spécialisée
en logiciels qui aide les clients à trouver, acheter et commencer à utiliser
immédiatement les logiciels et services qui s'exécutent sur AWS.
See Also https://aws.amazon.com/partners/aws-marketplace/.
AWS Mobile Hub (Mobile Hub) Console intégrée destinée au développement, au test et à la surveillance des
applications mobiles.
See Also https://aws.amazon.com/mobile.
Kit SDK AWS Mobile Kit de développement logiciel dont les bibliothèques, les exemples de code et la
documentation vous aident à développer des applications mobiles de haute qualité
pour les plateformes iOS, Android, Fire OS, Unity et Xamarin.
See Also https://aws.amazon.com/mobile/sdk.
AWS OpsWorks Service de gestion de configuration qui vous permet d'utiliser Chef pour configurer
et exploiter des groupes d'instances et des applications. Vous pouvez définir
l'architecture de l'application et les spécifications de chaque composant, y compris
l'installation des packages, la configuration logicielle et les ressource (p. 537)s
telles que le stockage. Vous pouvez automatiser des tâches en fonction de la date,
de la charge et des événements du cycle de vie, entre autres.
See Also https://aws.amazon.com/opsworks/.
AWS Organizations Un service de gestion de comptes vous permet de consolider plusieurs comptes
AWS dans une organisation que vous créez et gérez de façon centralisée.
See Also https://aws.amazon.com/organizations/.
AWS Resource Access Service qui vous permet de partager vos ressources avec n'importe quel compte ou
Manager organisation AWS dans AWS Organizations.
See Also https://aws.amazon.com/ram/.
AWS ParallelCluster Outil de gestion de cluster open source pris en charge par AWS qui facilite le
déploiement et la gestion de clusters de calcul haute performance (HPC) dans le
cloud AWS.
Kit SDK AWS pour C++ Kit de développement logiciel qui fournit les API C++ pour la plupart des
services AWS, dont Amazon S3 (p. 498), Amazon EC2 (p. 495), Amazon
DynamoDB (p. 494), entre autres. Le package téléchargeable inclut la
bibliothèque C++ AWS, des exemples de code et une documentation.
See Also https://aws.amazon.com/sdk-for-cpp/.
Kit SDK AWS pour Go Kit de développement logiciel pour intégrer votre application Go à la suite complète
des services AWS.
See Also https://aws.amazon.com/sdk-for-go/.
AWS SDK for Java Kit de développement logiciel qui fournit les API Java pour la plupart des
Version 1.0
505
DynamoDB (p. 494), entre autres. Le package téléchargeable inclut la

bibliothèque Java AWS, des exemples de code et une documentation.
See Also https://aws.amazon.com/sdk-for-java/.
Kit SDK AWS pour JavaScript Kit de développement logiciel pour accéder aux services AWS à partir du code
dans le navigateur JavaScript s'exécutant dans le navigateur. Authentifiez les utilisateurs via
Facebook, Google ou Login with Amazon en utilisant la fédération d'identité web.
Stockez les données des applications dans Amazon DynamoDB (p. 494) et
enregistrez les fichiers utilisateur dans Amazon S3 (p. 498).
See Also https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/.
Kit SDK AWS pour JavaScript Kit de développement logiciel pour accéder aux services AWS à partir
dans Node.js de JavaScript dans Node.js. Le kit SDK fournit des objets JavaScript aux
DynamoDB (p. 494) et Amazon Simple Workflow Service (Amazon
SWF) (p. 498) . Le package téléchargeable inclut la bibliothèque JavaScript AWS
et la documentation.
See Also https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/.
Kit AWS SDK pour .NET Kit de développement logiciel qui fournit les actions d'API .NET aux services AWS,
dont Amazon S3 (p. 498), Amazon EC2 (p. 495), IAM (p. 504), entre autres.
Vous pouvez télécharger le kit de développement logiciel sous forme de plusieurs
packages spécifiques aux services sur NuGet.
See Also https://aws.amazon.com/sdk-for-net/.
AWS SDK pour PHP Kit de développement logiciel et bibliothèque PHP open source destinés à
l'intégration de votre application PHP aux services AWS, tels que Amazon
S3 (p. 498), Amazon S3 Glacier (p. 497) et Amazon DynamoDB (p. 494).
See Also https://aws.amazon.com/sdk-for-php/.
AWS SDK for Python (Boto) Kit de développement logiciel destiné à l'utilisation de Python pour accéder aux
services AWS, tels que Amazon EC2 (p. 495), Amazon EMR (p. 495), Amazon
EC2 Auto Scaling (p. 495), Amazon Kinesis (p. 496), AWS Lambda (p. 504),
entre autres.
See Also http://boto.readthedocs.org/en/latest/.
Kit SDK AWS pour Ruby Kit de développement logiciel pour accéder aux services AWS depuis Ruby. Le
kit SDK fournit des classes Ruby pour de nombreux services AWS, dont Amazon
S3 (p. 498), Amazon EC2 (p. 495), Amazon DynamoDB (p. 494), entre autres.
Le package téléchargeable inclut la bibliothèque Ruby AWS et la documentation.
See Also https://aws.amazon.com/sdk-for-ruby/.
AWS Security Token Service Service web de demande d'informations d'identification temporaires, aux privilèges
(AWS STS) limités, pour les utilisateurs AWS Identity and Access Management (IAM) (p. 504)
ou les utilisateurs que vous authentifiez (utilisateurs fédérés (p. 520)).
See Also https://aws.amazon.com/iam/.
AWS Service Catalog Service web qui permet aux entreprises de créer et de gérer les catalogues de
services informatiques approuvés en vue d'une utilisation sur AWS. Ces services
informatiques peuvent comprendre toutes les solutions depuis les images de
machine virtuelle, les serveurs, les logiciels et les bases de données, jusqu'aux
architectures complètes d'application à plusieurs niveaux.
See Also https://aws.amazon.com/servicecatalog/.
AWS Shield Service qui vous aide à protéger vos ressources —(comme des instances Amazon
EC2, des équilibreurs de charge Elastic Load Balancing, des distributions Amazon
CloudFront et des zones hébergées Route 53) contre les attaques par déni de
service distribué (DDoS)—. AWS Shield est inclus automatiquement, sans frais
supplémentaires au-delà de ce que vous avez déjà payé pour AWS WAF et vos
Version 1.0
506
autres services AWS. Pour vous offrir une protection supplémentaire contre les
attaques DDoS, AWS propose AWS Shield Advanced.
See Also https://aws.amazon.com/shield.
Authentification unique AWS Service basé sur le cloud qui simplifie la gestion de l'accès par authentification
unique (SSO) vers des comptes AWS et des applications métier. Vous pouvez
contrôler l'accès SSO et les autorisations utilisateur de l'ensemble de vos comptes
AWS dans AWS Organizations.
See Also https://aws.amazon.com/single-sign-on/.
AWS Step Functions Service web qui coordonne les composants des applications distribuées en tant
qu'une série d'étapes d'un flux de travail visuel.
See Also https://aws.amazon.com/step-functions/.
AWS Snowball Solution de transport de données utilisant des appareils conçus pour transférer en
toute sécurité des volumes de données de l'ordre de plusieurs pétaoctets, depuis et
vers le cloud AWS.
See Also https://aws.amazon.com/snowball.
AWS Storage Gateway Service web qui connecte une appliance logicielle sur site à une unité de stockage
basée sur le cloud. AWS Storage Gateway fournit une intégration continue
et sécurisée entre l'environnement informatique sur site d'une entreprise et
l'infrastructure de stockage AWS.
See Also https://aws.amazon.com/storagegateway/.
AWS Toolkit for Eclipse Plug-in open source pour l'environnement de développement intégré (IDE) Eclipse
pour Java. Il permet aux développeurs de développer, déboguer et déployer plus
facilement des applications Java avec Amazon Web Services.
See Also https://aws.amazon.com/eclipse/.
AWS Toolkit pour JetBrains Plug-in open source pour les environnements de développement intégré (IDE) de
JetBrains qui permet de développer, déboguer et déployer plus facilement des
applications avec Amazon Web Services.
See Also https://aws.amazon.com/intellij/, https://aws.amazon.com/pycharm/.
AWS Toolkit for Visual Studio Extension de Microsoft Visual Studio qui aide à développer, déboguer et déployer
des applications .NET avec Amazon Web Services.
See Also https://aws.amazon.com/visualstudio/.
AWS Toolkit pour Visual Un plugin open-source pour l'éditeur de Visual Studio Code (VS Code) qui facilite
Studio Code le développement, le débogage et le déploiement d'applications à l'aide de Amazon
Web Services.
See Also https://aws.amazon.com/visualstudiocode/.
Outils AWS pour Windows Ensemble d'applets de commande PowerShell destinées à aider les développeurs
PowerShell et les administrateurs à gérer leurs services AWS à partir de l'environnement de
script Windows PowerShell.
See Also https://aws.amazon.com/powershell/.
AWS Toolkit pour Microsoft Fournit des tâches que vous pouvez utiliser pour créer et diffuser des définitions
Azure DevOps dans VSTS, afin d'interagir avec les services AWS.
See Also https://aws.amazon.com/vsts/.
AWS Trusted Advisor Service web qui inspecte votre environnement AWS et émet des recommandations
pour économiser de l'argent, améliorer les performances et la disponibilité du
système, et corriger des failles de sécurité.
See Also https://aws.amazon.com/premiumsupport/trustedadvisor/.
AWS VPN CloudHub Active une communication sécurisée entre les bureaux des succursales à l'aide
d'un simple modèle Hub and Spoke, avec ou sans VPC (p. 549).
Version 1.0
507
AWS WAF Service de pare-feu d'application web qui contrôle l'accès au contenu en autorisant
ou en bloquant les requêtes web selon des critères que vous spécifiez. Par
exemple, vous pouvez filtrer l'accès en fonction de valeurs d'en-tête ou des
adresses IP d'où proviennent les demandes. AWS WAF permet de protéger les
applications web contre les attaques web courantes susceptibles d'affecter la
disponibilité des applications, de compromettre la sécurité ou de consommer trop
de ressources.
See Also https://aws.amazon.com/waf/.
AWS X-Ray Service web qui collecte des données sur des demandes servies par votre
application. X-Ray fournit des outils que vous pouvez utiliser pour afficher, filtrer
et avoir un aperçu de ces données afin d'identifier les problèmes et les occasions
d'optimiser votre application.
See Also https://aws.amazon.com/xray/.
B
W (p. 549) | X, Y, Z (p. 550)
surveillance basique Surveillance des métriques fournies par AWS à une fréquence de 5 minutes.
lot See batch de documents.
BGP ASN Numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol).
Identifiant unique d'un réseau, à utiliser dans le routage BGP. Amazon
EC2 (p. 495) prend en charge tous les numéros ASN sur 2 octets, compris dans
la plage allant de 1–65 335, à l'exception de 7 224, qui est une valeur réservée.
prévision par batchs Amazon Machine Learning : opération qui traite simultanément plusieurs
observation de données en entrée (de façon asynchrone). Contrairement aux
prévisions en temps réel, les prévisions par lots ne sont pas disponibles tant que
toutes les prévisions n'ont pas été traitées.
See Also prévisions en temps réel.
facturation See the section called “Billing and Cost Management”.
attribut binaire Amazon Machine Learning : attribut pour lequel l'une des deux valeurs est possible.
Les valeurs positives valides sont 1, y, yes, t et true. Les valeurs négatives valides
sont 0, n, no, f et false. Amazon Machine Learning génère 1 pour les valeurs
positives et 0 pour les valeurs négatives.
See Also attribut.
modèle de classification Amazon Machine Learning : un modèle Machine Learning qui prédit la réponse aux
binaire questions où la réponse peut être exprimée comme variable binaire. Par exemple,
les questions dont les réponses sont « 1 » ou « 0 », ou « yes » ou « no » sont des
questions dont les réponses sont binaires. Le résultat d'un modèle de classification
binaire est toujours un « 1 » (pour une réponse « true » ou affirmative) ou un
« 0 » (pour une réponse « false » ou négative).
liste noire Liste d'adresses IP, d'adresses électroniques ou de domaines qu'un fournisseur de
services Internet (FSI) (p. 524) suspecte d'être à l'origine de spam (p. 543). Le
fournisseur d'accès Internet bloque les e-mails entrants provenant de ces adresses
ou domaines.
bloc Ensemble de données. Amazon EMR (p. 495) scinde les ensembles volumineux
de données en sous-ensembles. Chaque sous-ensemble est appelé bloc de
Version 1.0
508
données. Amazon EMR attribue un ID à chaque bloc et utilise une table de hachage
pour effectuer le suivi du traitement par bloc.
périphérique de stockage en Dispositif de stockage qui prend en charge la lecture et l'écriture (le cas échéant) de
mode bloc données en blocs, secteurs ou clusters de taille fixe.
mappage de périphérique de Structure de mappage pour chaque AMI (p. 496) et chaque instance (p. 524) qui
stockage en mode bloc spécifie les périphériques de stockage en mode bloc attachés à l'instance.
déploiement bleu/vert CodeDeploy : méthode de déploiement dans le cadre de laquelle les instances d'un
groupe de déploiement (l'environnement d'origine) sont remplacées par un autre
ensemble d'instances (l'environnement de remplacement).
action d'amorçage Action personnalisée ou par défaut spécifiée par l'utilisateur qui exécute un
script ou une application sur tous les nœuds d'un flux de travail avant que
Hadoop (p. 522) ne démarre.
numéro d'ASN (Autonomous See BGP ASN.

System Number) BGP (Border
Gateway Protocol)
retour à l'expéditeur La tentative de remise d'un e-mail a échoué.
violation Amazon EC2 Auto Scaling (p. 495) : condition dans laquelle un seuil défini par
l'utilisateur (limite inférieure ou supérieure) est franchi. Si la durée de la violation
est significative, telle que définie par le paramètre correspondant, une activité de
dimensionnement (p. 539) peut éventuellement être démarrée.
bucket Amazon Simple Storage Service (Amazon S3) (p. 498) : conteneur d'objets
stockés. Chaque objet est contenu dans un compartiment. Par exemple, si l'objet
nommé photos/puppy.jpg est stocké dans le compartiment johnsmith,
les utilisateurs autorisés peuvent accéder à l'objet avec l'URL http://
johnsmith.s3.amazonaws.com/photos/puppy.jpg.
propriétaire du compartiment Personne ou organisation qui possède un bucket (p. 509) dans Amazon
S3 (p. 498). De même qu'Amazon est le seul propriétaire du nom de domaine
Amazon.com, une seule personne ou organisation peut être propriétaire d'un
compartiment.
création d'un bundle Terme couramment utilisé pour la création d'une Amazon Machine Image
(AMI) (p. 496). Il fait spécifiquement référence à la création d'AMI basée sur le
stockage d'instance (p. 524).
C
W (p. 549) | X, Y, Z (p. 550)
cluster de cache Cache logique réparti sur plusieurs nœud de cache (p. 509)s. Un cluster de cache
peut être configuré avec un nombre spécifique de nœuds de cache.
identifiant de cluster de cache Identifiant fourni par le client pour le cluster de cache et qui doit être unique pour ce
client dans une Région (p. 536) AWS.
version du moteur de cache Version du service Memcached qui s'exécute sur le nœud de cache.
nœud de cache Fragment de taille fixe d'une RAM sécurisée attachée au réseau. Chaque nœud de
cache exécute une instance du service Memcached, et possède ses propres port
Version 1.0
509
et nom DNS. Plusieurs types de nœuds de cache sont pris en charge, chacun avec
différentes tailles de mémoire associée.
type de nœud de cache Type d'Instance EC2 (p. 517) utilisé pour exécuter le nœud de cache.
groupe de paramètres de Conteneur des valeurs des paramètres du moteur de cache qui peuvent s'appliquer
cache à un ou plusieurs clusters de cache.
groupe de sécurité du cache Groupe géré par ElastiCache qui combine les autorisations de trafic entrant pour
les nœuds de cache des hôtes appartenant aux groupe de sécurité (p. 540)
Amazon EC2 (p. 495)s spécifiées via la console ou l'API ou les outils de ligne de
commande.
stratégie d'accès prédéfinie Stratégie de contrôle d'accès standard que vous pouvez appliquer à un
bucket (p. 509) ou un objet. Valeurs valides : private, public-read, public-read-
write et authenticated-read.
conversion sous forme Processus de conversion de données en un format normalisé qu'un service tel
canonique qu'Amazon S3 (p. 498) peut reconnaître.
capacity Quantité de la taille de calcul disponible à un moment donné. Chaque Auto Scaling
group (p. 500) est défini avec une taille de calcul minimale et une taille de calcul
maximale. Une activité de dimensionnement (p. 539) augmente ou diminue la
capacité au sein des valeurs minimales et maximales définies.
Processeur de produit Processeur qui calcule un produit cartésien. Aussi appelé processeur de données
cartésien cartésiennes.
Produit cartésien Opération mathématique qui retourne le produit de plusieurs ensembles.
CDN See réseau de diffusion de contenu.
certificat Informations d'identification utilisées par certains produits AWS pour authentifier
les compte (p. 492)s et utilisateurs AWS. Aussi appelées un certificat
X.509 (p. 550). Le certificat est associé à une clé privée.
ressources facturables Fonctionnalités ou services dont l'utilisation entraîne des frais. Bien que certains
produits AWS soient gratuits, d'autres occasionnent des frais. Par exemple, dans
une AWS CloudFormation (p. 501) pile (p. 543), les ressource (p. 537)s AWS
créées génèrent des frais. Le montant facturé dépend de la charge d'utilisation.
Utilisez le Calculateur de coûts mensuels Amazon Web Services à l'adresse pour
estimer le coût avant de créer des instances, piles ou autres ressources.
CIDR block CIDR (Classless Inter-Domain Routing). Méthodologie d'agrégation d'itinéraires et

d'allocation d'adresses IP.
See Also Classless Inter-Domain Routing dans Wikipedia.
texte chiffré Informations qui ont été chiffrées (p. 518), par opposition à texte brut (p. 533),
qui désigne des informations qui ne l'ont pas été.
ClassicLink Fonctionnalité de liaison d'une instance (p. 524) EC2-Classic et d'un

VPC (p. 549), qui permet à votre instance EC2-Classic de communiquer avec les
instances VPC à l'aide d'adresses IP privées.
See Also lien vers un VPC, annuler le lien du VPC.
classification Dans Machine Learning, type de problème qui vise à placer (classer) un exemple
de données dans une catégorie ou « classe » unique. Souvent, les problèmes de
classification sont modélisés pour choisir une catégorie (classe) sur deux. Il s'agit
de problèmes de classification binaire. Les problèmes avec plus de deux catégories
(classes) sont appelés problèmes « de classification multiclasse ».
Version 1.0
510
See Also modèle de classification binaire, modèle de classification multiclasse.
INTERFACE DE LIGNE DE See AWS Command Line Interface (AWS CLI).

COMMANDE
Annuaire dans le cloud See the section called “Amazon Cloud Directory”.
fournisseur de services cloud Entreprise qui fournit aux abonnés l'accès aux services de calcul, de stockage et
(CSP) logiciels hébergés sur Internet.
CloudHub See AWS VPN CloudHub.
cluster Regroupement logique d'instance de conteneur (p. 512)s sur lesquelles vous
pouvez placer des tâche (p. 546)s.
Amazon Elasticsearch Service (Amazon ES) (p. 495) : Regroupement logique

d'un ou plusieurs nœuds de données, de nœuds principaux dédiés facultatifs et du
stockage requis pour exécuter Amazon Elasticsearch Service (Amazon ES) et gérer
votre domaine Amazon ES.
See Also nœud de données, nœud principal dédié, node.
instance de cluster de calcul Type d'instance (p. 524) qui fournit une puissance UC élevée associée à des
performances réseau accrues, ce qui convient particulièrement aux applications
de calcul hautes performances (HPC) et autres applications exigeantes liées au
réseau.
groupe de placement de Regroupement logique d'instance de cluster de calcul (p. 511) destiné à fournir
cluster une connectivité à latence plus faible et à bande passante élevée entre les
instance (p. 524)s.
statut du cluster Amazon Elasticsearch Service (Amazon ES) (p. 495) : indicateur de l'état d'un
cluster. Un état peut être vert, jaune ou rouge. Au niveau partition, le vert signifie
que toutes les partitions sont allouées aux nœuds d'un cluster, le jaune que la
partition principale est allouée mais que les partitions de réplica ne le sont pas, et
le rouge que les partitions primaires et de réplica d'au moins un index ne sont pas
allouées. Le statut de la partition détermine le statut de l'index et le statut de l'index
détermine le statut du cluster.
CLÉ CMK See clé principale client (CMK).
CNAME Enregistrement de nom canonique. Type d'enregistrement de ressource (p. 538)

du DNS qui spécifie que le nom de domaine est l'alias d'un autre nom de domaine
canonique. Plus simplement, il s'agit d'une entrée dans une table DNS qui vous
permet de définir un alias entre un nom de domaine complet et un autre nom.
plainte Événement dans lequel un destinataire (p. 536) qui ne souhaite pas recevoir un
message électronique clique sur « Marquer comme spam » au sein du client de
messagerie et où le fournisseur de services Internet (FSI) (p. 524) envoie une
notification à Amazon SES (p. 498).
requête composée Amazon CloudSearch (p. 493) : Demande de recherche qui spécifie plusieurs
critères de recherche à l'aide de la syntaxe de recherche structurée Amazon
CloudSearch.
condition IAM (p. 504): restriction ou détails d'une autorisation. La condition correspond à D
dans l'instruction « A est autorisé à faire B sur C lorsque D s'applique ».
AWS WAF (p. 508) : ensemble d'attributs qu'explore AWS WAF dans les
demandes web adressées aux ressource (p. 537)s AWS telles que les
distributions Amazon CloudFront (p. 493). Les conditions peuvent inclure des
Version 1.0
511
valeurs telles que les adresses IP d'où proviennent les demandes web ou les
valeurs des en-têtes de demande. Selon les conditions spécifiées, vous pouvez
configurer AWS WAF pour autoriser ou bloquer les demandes web adressées aux
ressources AWS.
paramètre conditionnel See mappage.
API de configuration Amazon CloudSearch (p. 493) : appel d'API que vous utilisez pour créer,
configurer et gérer les domaines de recherche.
modèle de configuration Série de paires –clé qui définissent les paramètres de différents produits AWS de
telle sorte que AWS Elastic Beanstalk (p. 503) puisse les provisionner pour un
environnement.
modèle de cohérence Méthode qu'un service utilise pour obtenir une disponibilité élevée. Par exemple,
la réplication de données sur plusieurs serveurs d'un centre de données peut se
révéler nécessaire.
See Also cohérence à terme.
console See AWS Management Console.
facturation consolidée Fonctionnalité du service AWS Organizations permettant de consolider les

paiements de plusieurs comptes AWS. Vous créez une organisation qui contient
vos comptes AWS et vous utilisez le compte principal de votre organisation pour
payer pour tous les comptes membres. Vous pouvez consulter une vue combinée
des coûts AWS qui sont cumulés par tous les comptes de l'organisation, ou vous
pouvez obtenir des rapports de coûts détaillés pour chaque compte.
conteneur Conteneur Linux créé à partir d'une image Docker dans le cadre d'une
tâche (p. 546).
définition de conteneur Spécifie quelle image Docker (p. 516) utiliser pour un conteneur (p. 512),
la quantité d'UC et la mémoire allouées au conteneur, entre autres options.
La définition de conteneur est incluse dans le cadre d'une définition de
tâche (p. 546).
instance de conteneur Instance EC2 (p. 517) qui exécute l'agent Amazon Elastic Container Service
(Amazon ECS) (p. 494) et qui a été enregistrée dans un cluster (p. 511). Les
Amazon ECS tâche (p. 546)s sont placées sur les instances de conteneur actives.
registre de conteneur Stocke, gère et déploie les image Docker (p. 516).
réseau de diffusion de contenu Service web qui accélère la distribution de vos contenus web statiques et
dynamiques, tels que des fichiers .html, .css, .js, multimédias et image, à vos
utilisateurs en utilisant un réseau mondial de centres de données. Lorsqu'un
utilisateur demande votre contenu, la demande est acheminée jusqu'au centre
de données qui fournit la plus faible latence (délai). Si le contenu se trouve déjà
dans l'emplacement avec la plus faible latence, le réseau de diffusion de contenu
le remet immédiatement. Dans le cas contraire, le réseau de diffusion de contenu
l'extrait d'une origine que vous spécifiez (par exemple, un serveur web ou un
compartiment Amazon S3). Avec certains réseaux de diffusion de contenu, vous
pouvez mieux sécuriser votre contenu en configurant une connexion HTTPS entre
les utilisateurs et les centres de données, et entre les centres de données et votre
origine. Amazon CloudFront est un exemple de réseau de diffusion de contenu.
livraison continue Pratique de développement logiciel dans laquelle les modifications du code sont
automatiquement générées, testées et préparées en vue d'une publication en
production.
See Also https://aws.amazon.com/devops/continuous-delivery/.
Version 1.0
512
intégration continue Pratique de développement logiciel dans laquelle les développeurs fusionnent
régulièrement les modifications du code dans un référentiel centralisé, avant que
les versions et les tests automatisés ne soient exécutés.
See Also https://aws.amazon.com/devops/continuous-integration/.
période de recharge Durée pendant laquelle Amazon EC2 Auto Scaling (p. 495) ne permet pas que
la taille souhaitée du Auto Scaling group (p. 500) soit modifiée par une autre
notification provenant d'une Amazon CloudWatch (p. 493) alarme (p. 492).
nœud principal Instance EC2 (p. 517) qui exécute la carte Hadoop (p. 522), réduit les tâches et
stocke les données en utilisant le système de fichiers distribué Hadoop (HDFS). Les
nœuds principaux sont gérés par le nœud maître (p. 528), qui assigne les tâches
Hadoop aux nœuds et surveille leur état. Les instances EC2 que vous attribuez en
tant que nœuds principaux correspondent à la capacité qui doit être allouée pour la
totalité de l'exécution du flux de travail. Comme les nœuds principaux stockent les
données, vous ne pouvez pas les supprimer d'un flux de travail. Cependant, vous
pouvez ajouter d'autres nœuds à un flux de travail en cours d'exécution.
Les nœuds principaux exécutent les démons DataNodes et TaskTracker Hadoop.
corps Amazon CloudSearch (p. 493) : ensemble de données sur lequel vous souhaitez
effectuer une recherche.
assistance des informations AWS CodeCommit (p. 502) : programme qui stocke les informations
d'identification d'identification des référentiels et les fournit à Git lors des connexions à ces
référentiels. L'AWS CLI (p. 502) inclut une assistance des informations
d'identification que vous pouvez utiliser avec Git lors de la connexion aux
référentiels CodeCommit.
credentials Egalement appelé informations d'accès ou informations d'identification de

sécurité. Dans l'authentification et l'autorisation, un système utilise les informations
d'identification pour identifier la personne qui effectue l'appel et pour autoriser
ou pas l'accès demandé. Dans AWS, ces informations d'identification sont
généralement l'ID de clé d'accès (p. 491) et la clé d'accès secrète (p. 540).
accès entre comptes Processus permettant une utilisation limitée et contrôlée des ressource (p. 537)s
dans un compte (p. 492) AWS par l'utilisateur d'un autre compte AWS. Par
exemple, dans AWS CodeCommit (p. 502) et AWS CodeDeploy (p. 502), vous
pouvez configurer un accès entre comptes de telle sorte qu'un utilisateur d'un
compte AWS « A » puisse accéder au référentiel CodeCommit créé par le compte
« B ». Ou un pipeline dans AWS CodePipeline (p. 502) créé par le compte
« A » peut utiliser les ressources CodeDeploy créées par le compte « B ». Dans
IAM (p. 504), vous utilisez un rôle (p. 538) pour déléguer (p. 515) l'accès
temporaire à un user (p. 548) d'un compte aux ressources d'un autre compte.
Réplication entre Régions Solution côté client pour maintenir des copies identiques de tables Amazon
DynamoDB (p. 494) entre différentes Région (p. 536)s AWS, presque en temps
réel.
passerelle client Application logicielle ou routeur de votre côté d'un tunnel VPN géré par Amazon
VPC (p. 498). Les interfaces internes de la passerelle client sont attachées à un
ou plusieurs appareils de votre réseau domestique. L'interface externe est attachée
au passerelle réseau privé virtuel (VGW) (p. 549) sur le tunnel VPN.
stratégie gérée par le client IAM (p. 504) stratégie gérée (p. 528) que vous créez et gérez dans votre AWS
compte (p. 492).
clé principale client (CMK) ressource (p. 537) fondamentale que gère AWS Key Management Service (AWS
KMS) (p. 504). Les clés principales client peuvent être gérées par le client ou
Version 1.0
513
par AWS. Utilisez les clés principales client (CMK) à l'intérieur d'AWS KMS pour
chiffrer (p. 518) ou déchiffrer directement jusqu'à 4 kilooctets de données ou pour
chiffrer les clés de données générées, qui sont ensuite utilisées pour chiffrer ou
déchiffrer de plus grandes quantités de données en dehors du service.
D
W (p. 549) | X, Y, Z (p. 550)
tableau de bord See tableau de bord de l'état des services.
cohérence des données Concept qui décrit le moment où les données sont écrites ou mises à jour avec
succès, et où toutes les copies des données sont mises à jour dans toutes les
Région (p. 536)s AWS. Toutefois, il faut du temps pour que les données se
propagent vers tous les emplacements de stockage. Pour prendre en charge les
différentes exigences applicatives, Amazon DynamoDB (p. 494) prend en charge
les lectures cohérentes à terme et les lectures à cohérence forte.
See Also cohérence à terme, lecture cohérente à terme (eventually consistent),
lecture à cohérence forte.
nœud de données Amazon Elasticsearch Service (Amazon ES) (p. 495) : Instance Elasticsearch qui
conserve les données et répond aux demandes de chargement de données.
See Also nœud principal dédié, node.
schéma de données See schéma.
source de données Base de données, fichier ou référentiel qui fournit les informations requises
par une application ou une base de données. Par exemple, dans AWS
OpsWorks (p. 505), les sources de données valides incluent une
instance (p. 524) pour la couche MySQL d'une pile ou pour la couche de
service Amazon RDS (p. 497) d'une pile. Dans Amazon Redshift (p. 497), les
sources de données valides incluent les fichiers texte d'un Amazon S3 (p. 498)
bucket (p. 509), d'un cluster Amazon EMR (p. 495) ou d'un hôte distant auquel
un cluster peut accéder via une connexion SSH.
See Also datasource.
moteur de base de données Logiciel de base de données et version en cours d'exécution sur
l'Instance DB (p. 515).
nom de base de données Nom d'une base de données hébergée dans une Instance DB (p. 515). Une
instance de base de données peut héberger plusieurs bases de données, mais les
bases de données hébergées par la même instance de base de données doivent
toutes avoir un nom unique au sein de cette instance.
datasource Amazon Machine Learning (p. 496) : Objet contenant les métadonnées sur les
données en entrée. Amazon ML lit les données en entrée, calcule les statistiques
descriptives sur ses attributs et stocke les statistiques, —ainsi que d'un schéma
et d'autres informations, —comme partie intégrante de l'objet de la source de
données. Amazon ML utilise les sources de données pour former et évaluer un
modèle d'apprentissage automatique, et générer des prévisions différées.
See Also source de données.
Classe de calcul DB Taille de la plateforme de calcul de base de données utilisée pour exécuter
l'instance.
Version 1.0
514
Instance DB Environnement de base de données isolé s'exécutant dans le cloud. Une instance
de base de données peut comporter plusieurs bases de données créées par
l'utilisateur.
Identifiant d'instance de base Identifiant de l'instance de base de données fourni par l'utilisateur. L'identifiant doit
de données être unique pour cet utilisateur dans une Région (p. 536) AWS.
Groupe de paramètres DB Conteneur pour les valeurs des paramètres du moteur de base de données qui
s'appliquent à une ou plusieurs Instance DB (p. 515).
Groupe de sécurité DB Méthode qui contrôle l'accès à l'Instance DB (p. 515). Par défaut, l'accès au
réseau est désactivé sur les instance de base de données. Une fois le trafic entrant
configuré pour un groupe de sécurité (p. 540), les mêmes règles s'appliquent à
toutes les instances de base de données associées à ce groupe.
Snapshot DB Sauvegarde ponctuelle initiée par l'utilisateur d'une Instance DB (p. 515).
Hôte dédié Serveur physique avec la capacité d'Instance EC2 (p. 517) entièrement dédiée à
un utilisateur.
Instance dédiée instance (p. 524) physiquement isolée du niveau matériel hôte et lancée au sein
d'un VPC (p. 549).
nœud principal dédié Amazon Elasticsearch Service (Amazon ES) (p. 495) : Instance Elasticsearch qui
exécute les tâches de gestion de cluster, mais ne conserve pas les données ou ne
répond pas aux demandes de chargement des données. Amazon Elasticsearch
Service (Amazon ES) utilise des nœuds principaux dédiés pour augmenter la
stabilité du cluster.
See Also nœud de données, node.
instance réservée dédiée Option que vous achetez pour garantir qu'une capacité suffisante sera disponible
pour lancer les Instance dédiée (p. 515) dans un VPC (p. 549).
délégation Au sein d'un seul AWS compte (p. 492) : Confère aux AWS user (p. 548)s
l'accès aux ressource (p. 537)s de votre compte AWS.
Entre deux comptes AWS : la mise en place d'une relation d'approbation entre le
compte propriétaire des ressources (compte d'approbation) et le compte auquel
appartiennent les utilisateurs devant accéder aux ressources (compte approuvé).
See Also stratégie d'approbation.
marqueur de suppression Objet avec une clé et un ID de version, mais sans contenu. Amazon S3 (p. 498)
insère automatiquement les marqueurs de suppression dans les bucket (p. 509)s
avec version quand un objet est supprimé.
possibilité de livraison Probabilité qu'un message électronique arrive à sa destination prévue.
livraisons Nombre de messages électroniques, envoyés via Amazon SES (p. 498), qui ont
été acceptés par un fournisseur de services Internet (FSI) (p. 524) pour remise
aux destinataire (p. 536)s sur une période donnée.
deny (refuser) Résultat d'une déclaration de stratégie (p. 533) qui inclut le refus comme
conséquence, de telle sorte que des actions spécifiques soient formellement
interdites pour un utilisateur, un groupe ou un rôle. Le refus explicite a priorité sur
l'allow (autorisation) (p. 493) explicite.
configuration de déploiement AWS CodeDeploy (p. 502) : ensemble des règles de déploiement et des
conditions de réussite et d'échec du déploiement utilisées par le service lors d'un
déploiement.
Version 1.0
515
groupe de déploiement AWS CodeDeploy (p. 502) : ensemble d'instance (p. 524) balisées
individuellement, d'Instance EC2 (p. 517) dans les Auto Scaling group (p. 500)
ou les deux.
surveillance minutieuse Surveillance des métriques fournies par AWS à une fréquence d'une (1) minute.
propriété de description Propriété ajoutée aux paramètres, ressource (p. 537)s, propriétés de ressource,
mappages et sorties pour vous aider à documenter les éléments du modèle AWS
CloudFormation (p. 501).
dimension Paire nom–valeur (par exemple, InstanceType=m1.small ou EngineName=mysql),

qui contient des informations supplémentaires pour identifier une métrique.
forums de discussion Endroit où les utilisateurs AWS peuvent publier des questions techniques et des
commentaires pour aider à accélérer leurs efforts de développement et pour
discuter avec la communauté AWS. Les forums de discussion se trouvent à
l'adresse https://forums.aws.amazon.com/.
distribution Lien entre un serveur d'origine (tel qu'un Amazon S3 (p. 498) bucket (p. 509))
et un nom de domaine, qu'CloudFront (p. 493) attribue automatiquement. Grâce
à ce lien, CloudFront identifie l'objet que vous avez stocké dans votre serveur
d'origine (p. 532).
DKIM (DomainKeys Identified Mail). Norme que les expéditeurs de courrier électronique
utilisent pour signer leurs messages. Les fournisseurs d'accès Internet utilisent ces
signatures pour vérifier que les messages sont légitimes. Pour plus d'informations,
consultez https://tools.ietf.org/html/rfc6376.
DNS See Système de noms de domaine.
image Docker Modèle de système de fichiers multicouche qui est la base d'un
conteneur (p. 512) Docker. Les images Docker peuvent comporter des systèmes
d'exploitation ou des applications spécifiques.
document Amazon CloudSearch (p. 493) : élément qui peut être retourné comme résultat
de la recherche. Chaque document possède un ensemble de champs contenant
les données qui peuvent être recherchées ou retournées. La valeur d'un champ
peut être une chaîne ou un nombre. Chaque document doit avoir un ID unique et au
moins un champ.
batch de documents Amazon CloudSearch (p. 493) : ensemble d'opérations d'ajout et de suppression
de documents. Vous utilisez l'API Document Service pour soumettre les batchs et
mettre à jour les données de votre domaine de recherche.
Document Service API Amazon CloudSearch (p. 493) : appel d'API que vous utilisez pour soumettre les
batchs de document et mettre à jour les données de votre domaine de recherche.
Document Service Endpoint Amazon CloudSearch (p. 493) : URL à laquelle vous vous connectez lors de
l'envoi des mises à jour de document à un domaine Amazon CloudSearch. Chaque
domaine de recherche possède un Document Service Endpoint unique qui demeure
le même pendant la durée de vie du domaine.
domaine Amazon Elasticsearch Service (Amazon ES) (p. 495) : Matériels, logiciels et
données exposés par les points de terminaison Amazon Elasticsearch Service
(Amazon ES). Un domaine Amazon ES est un encapsuleur de service autour d'un
cluster Elasticsearch. Un domaine Amazon ES encapsule les instances du moteur
qui traitent les demandes Amazon ES, les données indexées que vous voulez
chercher, les instantanés du domaine, les stratégies d'accès et les métadonnées.
See Also cluster, Elasticsearch.
Version 1.0
516
Système de noms de domaine Il s'agit d'un service qui achemine le trafic Internet vers les sites Web en traduisant
les noms de domaine descriptifs comme www.exemple.com en adresses IP de type
192.0.2.1, lesquelles sont utilisées par les ordinateurs pour se connecter les uns
aux autres.
bouton de don Bouton codé en HTML qui offre un moyen simple et sécurisé pour les organisations
à but non lucratif certifiées IRS 501(c) 3 de solliciter des dons.
DynamoDB stream Flux ordonné d'informations sur les modifications apportées aux éléments d'une
table Amazon DynamoDB (p. 494). Lorsque vous activez un flux sur une table,
DynamoDB capture des informations sur chaque modification apportée à des
éléments de données dans la table.
See Also Amazon DynamoDB Flux.
E
W (p. 549) | X, Y, Z (p. 550)
EBS See Amazon Elastic Block Store (Amazon EBS).
EC2 See Amazon Elastic Compute Cloud (Amazon EC2).
Unité de calcul EC2 (ECU) Norme AWS de la mémoire et de l'UC de calcul. Vous pouvez utiliser cette mesure
pour évaluer la capacité d'UC de différents types d'Instance EC2 (p. 517).
Instance EC2 instance (p. 524) de calcul du service Amazon EC2 (p. 495). Les autres
services AWS utilisent le terme instance EC2 pour distinguer ces instances des
autres types d'instances qu'ils prennent en charge.
ECR See the section called “Amazon ECR”.
ECS See Amazon Elastic Container Service (Amazon ECS).
emplacement périphérique Site qu'CloudFront (p. 493) utilise pour mettre en cache les copies de votre
contenu et accélérer la livraison aux utilisateurs quel que soit leur emplacement.
EFS See Amazon Elastic File System (Amazon EFS).
Elasticité Entreprise qui propose des solutions open source, y compris Elasticsearch,
Logstash, Kibana et Beats, conçues pour récupérer les données de n'importe quelle
source, puis les explorer, les analyser et les visualiser en temps réel.
Amazon Elasticsearch Service (Amazon ES) est un service géré par AWS pour
le déploiement, l'exploitation et la dimensionnement d'Elasticsearch dans le cloud
AWS.
See Also Amazon Elasticsearch Service (Amazon ES), Elasticsearch.
Elastic Block Store See Amazon Elastic Block Store (Amazon EBS).
Adresse IP Elastic Adresse IP fixe (statique) que vous avez attribuée à Amazon EC2 (p. 495) ou
Amazon VPC (p. 498), puis attachée à une instance (p. 524). Les adresses IP
Elastic sont associées à votre compte, pas à une instance spécifique. Elles sont
élastiques parce que vous pouvez facilement les allouer, les attacher, les détacher
et les libérer au fur et à mesure que vos besoins évoluent. Contrairement aux
adresses IP statiques traditionnelles, les adresses Elastic IP vous permettent de
Version 1.0
517
masquer les défaillances d'une instance ou d'une Zone de disponibilité (p. 500) en
remappant rapidement vos adresses IP publiques sur une autre instance.
Elastic Load Balancing Service web qui améliore la disponibilité d'une application en distribuant le trafic
entrant entre deux ou plusieurs Instance EC2 (p. 517)s.
See Also https://aws.amazon.com/elasticloadbalancing.
interface réseau Elastic Interface réseau supplémentaire qui peut être attachée à une instance (p. 524).
Les interfaces réseau Elastic incluent une adresse IP privée principale, une ou
plusieurs adresses IP privées secondaires, une adresse IP Elastic (facultative),
une adresse MAC, l'adhésion aux groupe de sécurité (p. 540)spécifiés, une
description et un indicateur de vérification de source/destination. Vous pouvez créer
une Elastic Network Interface, l'attacher à une instance, la détacher d'une instance,
puis l'attacher à une autre instance.
Elasticsearch Moteur open source d'analyse et de recherche distribué en temps réel, utilisé pour
la recherche en texte intégral, la recherche structurée et l'analyse. Elasticsearch a
été développé par l'entreprise Elastic.
Amazon Elasticsearch Service (Amazon ES) est un service géré par AWS pour
le déploiement, l'exploitation et la dimensionnement d'Elasticsearch dans le cloud
AWS.
See Also Amazon Elasticsearch Service (Amazon ES), Elasticité.
EMR See Amazon EMR (Amazon EMR).
chiffrer Permet d'utiliser un algorithme mathématique pour rendre les données

incompréhensibles par les user (p. 548) non autorisés tout en offrant aux
utilisateurs autorisés une méthode (par exemple, une clé ou un mot de passe) pour
rétablir les données modifiées dans leur état initial.
contexte de chiffrement Ensemble de paires clé–valeur qui contiennent des informations supplémentaires
associées à celles chiffrées par AWS Key Management Service (AWS
KMS) (p. 504)–.
point de terminaison URL qui identifie un hôte et un port comme point d'entrée d'un service web.
Chaque demande de service web contient un point de terminaison. La plupart des
produits AWS offrent des points de terminaison pour un Région pour permettre une
connexion plus rapide.
Amazon ElastiCache (p. 495) : nom DNS d'un nœud de cache (p. 509).
Amazon RDS (p. 497) : Nom DNS d'un Instance DB (p. 515).
AWS CloudFormation (p. 501) : nom DNS ou adresse IP du serveur qui reçoit une
demande HTTP.
port de point de terminaison Amazon ElastiCache (p. 495) : numéro de port utilisé par un nœud de
cache (p. 509).
Amazon RDS (p. 497) : Numéro de port utilisé par un Instance DB (p. 515).
chiffrement d'enveloppe Utilisation d'une clé principale et d'une clé de données pour protéger les données
par algorithme. La clé principale est utilisée pour chiffrer et déchiffrer la clé de
données et la clé de données est utilisée pour chiffrer et déchiffrer les données
elles-mêmes.
environment AWS Elastic Beanstalk (p. 503) : instance spécifique en cours d'exécution
d'une application (p. 499). L'application a un CNAME et inclut une version
Version 1.0
518
de l'application et une configuration personnalisable (qui est héritée du type de

conteneur par défaut).
AWS CodeDeploy (p. 502) : instances d'un groupe de déploiement dans

un déploiement bleu/vert. Au début d'un déploiement bleu/vert, le groupe de
déploiement est constitué d'instances de l'environnement d'origine. A la fin du
déploiement, le groupe de déploiement est constitué d'instances de l'environnement
de remplacement.
configuration de Ensemble de paramètres et de réglages qui définissent le comportement d'un

l'environnement environnement et de ses ressources associées.
stockage éphémère See stockage d'instance.
époque La date à partir de laquelle le temps est mesuré. Pour la plupart des
environnements Unix, l'époque est January 1, 1970.
ETL See extraction, transformation et chargement (ETL).
évaluation Amazon Machine Learning : processus consistant à mesurer les performances

prédictives d'un modèle Machine Learning (ML).
Egalement objet Machine Learning qui stocke les détails et le résultat de

l'évaluation d'un modèle ML.
source de données de Données que Amazon Machine Learning utilise pour évaluer la précision prédictive
l'évaluation d'un modèle Machine Learning.
cohérence à terme Méthode par laquelle les produits AWS atteignent une haute disponibilité, ce
qui implique la réplication des données entre plusieurs serveurs des centres
de données Amazon. Lorsque les données sont écrites ou mises à jour, et que
la valeur Success est retournée, toutes les copies des données sont mises à
jour. Toutefois, il faut du temps pour que les données se propagent vers tous les
emplacements de stockage. Les données finiront par être cohérentes, mais le
changement ne sera pas forcément visible à la lecture immédiate. La cohérence est
généralement atteinte en quelques secondes.
See Also cohérence des données, lecture cohérente à terme (eventually
consistent), lecture à cohérence forte.
lecture cohérente à terme Processus de lecture qui retourne les données d'une seule région et peut ne pas
(eventually consistent) afficher les informations d'écriture les plus récentes. Cependant, si vous répétez
votre demande de lecture après un bref instant, la réponse doit finir par retourner
les données les plus récentes.
See Also cohérence des données, cohérence à terme, lecture à cohérence forte.
expulsion Suppression par CloudFront (p. 493) d'un objet d'unemplacement

périphérique (p. 517) avant sa date d'expiration. Si un objet d'un emplacement
périphérique n'est pas souvent demandé, CloudFront peut expulser l'objet (le
supprimer avant sa date d'expiration) pour faire de la place aux objets plus
populaires.
exbioctet (Eio) Contraction d'exaoctet et de binaire, un exbioctet vaut 2^60 ou

1 152 921 504 606 846 976 octets. Un exaoctet (Eo) vaut 10^18 ou
1 000 000 000 000 000 000 octets. 1 024 Eio composent un zébioctet
(Zio) (p. 550).
expiration CloudFront (p. 493), temps pendant lequel CloudFront cesse de répondre aux
demandes des utilisateurs avec un objet. Si vous n'utilisez pas les en-têtes ou les
paramètres de distribution (p. 516) CloudFront pour spécifier combien de temps
Version 1.0
519
vous voulez que les objets restent dans un emplacement périphérique (p. 517),
les objets expirent après 24 heures. La prochaine fois qu'un utilisateur demande un
objet ayant expiré, CloudFront transmet la demande à l'origine (p. 532).
autorisation de lancement Autorisation de lancement Amazon Machine Image (AMI) (p. 496) accordée à un
explicite compte (p. 492) AWS spécifique.
interruption exponentielle Stratégie qui augmente progressivement l'attente entre les tentatives afin de réduire
la charge sur le système et d'accroître la probabilité que les demandes répétées
aboutissent. Par exemple, les applications clientes peuvent attendre jusqu'à
400 millisecondes avant la première nouvelle tentative, jusqu'à 1600 millisecondes
avant la deuxième, jusqu'à 6400 millisecondes (6,4 secondes) avant la troisième, et
ainsi de suite.
expression Amazon CloudSearch (p. 493) : expression numérique que vous pouvez utiliser
pour contrôler le tri des résultats de la recherche. Vous pouvez construire les
expressions Amazon CloudSearch à l'aide de champs numériques, d'autres
expressions de classement, du score de pertinence par défaut d'un document et
des opérateurs et fonctions numériques standard. Lorsque vous utilisez l'option
sort pour spécifier une expression dans une demande de recherche, l'expression
est évaluée pour chaque résultat de recherche et les résultats sont affichés selon
leurs valeurs d'expression.
extraction, transformation et Processus utilisé pour intégrer des données de plusieurs sources. Les données
chargement (ETL) sont collectées à partir des sources (extraction), converties dans un format
approprié (transformation) et écrites dans une banque de données cible
(chargement) à des fins d'analyse et d'interrogation.
Les outils ETL de combiner ces trois fonctions pour consolider et déplacer des
données d'un environnement à un autre. AWS Glue (p. 503) est un service ETL
entièrement géré pour découvrir et organiser les données, transformer et de le
rendre disponible pour rechercher les données d'analyse.
F
W (p. 549) | X, Y, Z (p. 550)
facette Amazon CloudSearch (p. 493) : champ d'index qui représente une catégorie que
vous souhaitez utiliser pour affiner et filtrer les résultats de la recherche.
facetting activé Amazon CloudSearch (p. 493) : option de champ d'index qui permet que les
informations de facette soient calculées pour le champ.
FBL See boucle de commentaire (FBL).
transformation de Amazon Machine Learning : processus Machine Learning de construction de

fonctionnalité représentations d'entrée plus prédictives ou « fonctionnalités » à partir des
variables en entrée brutes afin d'optimiser la capacité d'apprendre et de généraliser
du modèle Machine Learning. Aussi appelée transformation de données ou
ingénierie de fonctionnalité.
gestion des identités fédérées Permet aux individus de se connecter à différents réseaux ou services, à l'aide
(FIM) des mêmes informations d'identification personnelles ou du groupe, pour accéder
aux données sur tous les réseaux. Grâce à la fédération d'identité dans AWS,
les identités externes (utilisateurs fédérés) bénéficient d'un accès sécurisé aux
Version 1.0
520
ressource (p. 537)s d'un compte AWS compte (p. 492) sans devoir créer
des IAM user (p. 548)s. Ces identités externes peuvent provenir d'un magasin
d'identités d'entreprise (tel que LDAP ou Windows Active Directory) ou d'une partie
tierce (Login with Amazon, Facebook ou Google, par exemple). La fédération AWS
prend également en charge SAML 2.0.
utilisateur fédéré See gestion des identités fédérées (FIM).
fédération See gestion des identités fédérées (FIM).
boucle de commentaire (FBL) Mécanisme par lequel un fournisseur de boîte aux lettres (par exemple, un
fournisseur de services Internet (FSI) (p. 524)) transmet la plainte (p. 511) d'un
destinataire (p. 536) à l'expéditeur (p. 541).
poids de champ Importance relative d'un champ de texte dans un index de recherche. Les poids
de champ contrôlent jusqu'à quel point les correspondances de champs de texte
particuliers affectent le score de pertinence d'un document.
filtre Critère que vous spécifiez pour limiter les résultats lorsque vous répertoriez ou
décrivez vos Amazon EC2 (p. 495) ressource (p. 537)s.
requête de filtre Moyen de filtrer les résultats de la recherche sans affecter la façon dont ils sont
notés et triés. Spécifié avec le paramètre Amazon CloudSearch (p. 493)fq.
FIM See gestion des identités fédérées (FIM).
Firehose See Amazon Kinesis Data Firehose.
version de format See version de format de modèle.
forums See forums de discussion.
fonction See fonction intrinsèque.
recherche approximative Requête de recherche simple qui utilise la correspondance de chaîne approximative
(correspondance partielle) pour corriger les erreurs typographiques et
d'orthographe.
G
W (p. 549) | X, Y, Z (p. 550)
recherche géospatiale Requête de recherche qui utilise des emplacements spécifiés comme latitude et
longitude pour déterminer les correspondances et trier les résultats.
gibioctet (Gio) Contraction de gigaoctet et de binaire, un gibioctet vaut 2^30 ou

1 073 741 824 octets. Un gigaoctet (Go) vaut 10^9 ou 1 000 000 000 octets.
1 024 Gio composent un tébioctet (Tio) (p. 546).
GitHub Référentiel basé sur le web qui utilise Git pour le contrôle de version.
index secondaire global Index avec une clé de partition et une clé de tri qui peuvent être différentes de
celles de la table. Un index secondaire global est considéré comme « global », car
les requêtes sur l'index peuvent couvrir toutes les données d'une table, sur toutes
les partitions.
See Also index secondaire local.
Version 1.0
521
grant (attribuer) AWS Key Management Service (AWS KMS) (p. 504) : Mécanisme permettant de
donner aux AWS principal (p. 534)s les autorisations à long terme pour utiliser les
clé principale client (CMK) (p. 513)s.
jeton d'octroi Type d'identifiant qui permet aux autorisations d'un grant (attribuer) (p. 522) de
prendre effet immédiatement.
vérité du terrain Observations utilisées dans le processus d'apprentissage du modèle Machine

Learning (ML), qui incluent la valeur correcte correspondant à l'attribut cible. Pour
former un modèle ML à prévoir les prix de vente des maisons, les observations en
entrée incluent généralement les prix des ventes de maison précédentes dans la
région. Les prix de vente de ces maisons constituent la vérité du terrain.
group Ensemble d'IAM (p. 504) user (p. 548)s. Vous pouvez utiliser les groupes
IAM pour simplifier les autorisations de spécification et de gestion de plusieurs
utilisateurs.
H
W (p. 549) | X, Y, Z (p. 550)
Hadoop Logiciel qui permet le traitement distribué du big data à l'aide de clusters et de
modèles de programmation simples. Pour en savoir plus, rendez-vous sur http://
hadoop.apache.org.
retour à l'expéditeur Échec persistant de remise d'e-mail, tel que « la boîte aux lettres n'existe pas ».
VPN matériel Connexion VPN IPsec basée sur le matériel, via Internet.
vérification_état Appel système pour vérifier l'état de santé de chaque instance d'un groupe Amazon
EC2 Auto Scaling (p. 495).
e-mail de haute qualité E-mail que les destinataires trouvent précieux et souhaitent recevoir. Le mot
« précieux » signifie différentes choses selon les destinataires et peut se présenter
sous la forme d'offres, de confirmations de commande, de reçus, de lettres
d'information, etc.
highlights Amazon CloudSearch (p. 493) : extraits retournés avec les résultats de recherche
qui montrent où les termes de la recherche apparaissent dans le texte des
documents correspondants.
highlight activé Amazon CloudSearch (p. 493) : option de champ d'index qui permet que les
correspondances au sein du champ soient mises en évidence.
correspondance Document qui correspond aux critères spécifiés dans une demande de recherche.
Egalement appelée résultat de recherche.
HMAC Hash-based Message Authentication Code. Construction spécifique permettant de

calculer un code d'authentification de message (MAC) impliquant une fonction de
hachage cryptographique en liaison avec une clé secrète. Vous pouvez l'utiliser
pour vérifier en même temps l'intégrité des données et l'authenticité d'un message.
AWS calcule le code HMAC à l'aide d'un algorithme de hachage cryptographique
standard, tel que SHA-256.
zone hébergée Collection d'ensembles de enregistrement de ressource (p. 538) qu'héberge

Amazon Route 53 (p. 497). Comme un fichier de zone DNS traditionnel, une zone
Version 1.0
522
hébergée représente une collection d'enregistrements gérés ensemble sous un

même nom de domaine.
HTTP-Query See Interrogation.
virtualisation HVM Virtualisation HVM (Hardware Virtual Machine). Permet à la machine virtuelle
invitée de s'exécuter comme si elle se trouvait sur une plateforme matérielle native,
si ce n'est qu'elle continue d'utiliser les pilotes du stockage et du réseau de la
virtualisation PV afin d'améliorer les performances.
See Also virtualisation paravirtuelle.
I
W (p. 549) | X, Y, Z (p. 550)
IAM See AWS Identity and Access Management (IAM).
IAM group See group.
Simulateur de stratégie IAM See simulateur de stratégie.
Rôle IAM See rôle.
Utilisateur IAM See user.
Identity and Access See AWS Identity and Access Management (IAM).
Management
fournisseur d'identité (IdP) Entité IAM (p. 504) qui détient les métadonnées sur les fournisseurs d'identité
externes.
IdP See fournisseur d'identité (IdP).
image See Amazon Machine Image (AMI).
site d'importation/exportation Machine qui charge ou télécharge vos données vers ou depuis Amazon
S3 (p. 498).
journal d'importation Rapport qui contient les détails sur la façon dont AWS Import/Export (p. 504) a
traité vos données.
déploiement sur place CodeDeploy : mode de déploiement dans lequel l'application sur chaque instance
du groupe de déploiement est arrêtée, la dernière révision de l'application est
installée et la nouvelle version de l'application est lancée et validée. Vous pouvez
choisir d'utiliser un équilibreur de charge afin que l'enregistrement de chaque
instance soit annulé lors de son déploiement, puis que l'instance soit restaurée
dans le service une fois que le déploiement est terminé.
index See index de recherche.
champ d'index Paire nom–valeur incluse dans l'index d'un domaine Amazon
CloudSearch (p. 493). Un champ d'index peut contenir des données texte ou
numériques, des dates ou un emplacement.
options d'indexation Paramètres de configuration qui définissent les champs d'index d'un domaine
Amazon CloudSearch (p. 493), comment les données du document sont
Version 1.0
523
mappées à ces champs d'index et comment les champs d'index peuvent être
utilisés.
stratégie en ligne IAM (p. 504) stratégie (p. 533) incorporée à un seul IAM user (p. 548),
group (p. 522) ou rôle (p. 538).
données d'entrée Amazon Machine Learning : Observations que vous fournissez à Amazon Machine
Learning pour former et évaluer un modèle d'apprentissage automatique, et générer
les prévisions.
instance Copie d'un Amazon Machine Image (AMI) (p. 496) s'exécutant en tant que
serveur virtuel dans le cloud AWS.
famille d'instances Regroupement général d'type d'instance (p. 524) utilisant la capacité de stockage
ou d'UC.
groupe d'instances Un cluster Hadoop (p. 522) contient un groupe d'instances principales qui inclut
un nœud maître (p. 528), un groupe d'instances de base comportant un ou
plusieurs nœud principal (p. 513) et, à titre facultatif, un groupe d'instances de
nœud de tâche (p. 546), lequel peut contenir un nombre quelconque de nœuds
de tâche.
profil d'instance Conteneur qui passe les informations IAM (p. 504) rôle (p. 538) à une Instance
EC2 (p. 517) lors du lancement.
stockage d'instance Stockage disque physiquement attaché à l'ordinateur hôte d'une Instance
EC2 (p. 517) et qui a par conséquent la même durée de vie que l'instance.
Lorsque l'instance est terminée, vous perdez toutes les données du stockage
d'instance.
AMI basée sur le stockage Type d'Amazon Machine Image (AMI) (p. 496) dont les instance (p. 524)s
d'instance utilisent un stockage d'instance (p. 524) volume (p. 549) comme périphérique
racine. À comparer aux instances lancées à partir d'une AMI basée sur Amazon
EBS (p. 494), qui utilisent un volume Amazon EBS comme périphérique racine.
type d'instance Spécification qui définit la mémoire, l'UC, la capacité de stockage et le coût
d'utilisation d'une instance (p. 524). Certains types d'instance sont conçus pour
les applications standard, tandis que d'autres sont conçus pour les applications
gourmandes en mémoire ou en UC, entre autres.
Passerelle Internet Se connecte à un réseau sur Internet. Vous pouvez acheminer le trafic
correspondant aux adresses IP en dehors de votre VPC (p. 549) vers la
passerelle Internet.
fournisseur de services Entreprise qui fournit aux abonnés l'accès à Internet. La plupart des fournisseurs
Internet (FSI) d'accès sont également fournisseur de boîte aux lettres (p. 527)s. Les
fournisseurs de messagerie sont parfois appelés FSI, même s'ils ne fournissent que
des services de messagerie.
fonction intrinsèque Action spéciale d'un modèle AWS CloudFormation (p. 501) qui attribue des
valeurs aux propriétés non disponibles jusqu'à l'exécution. Ces fonctions suivent
le format Fn::Attribute, comme Fn::GetAtt. Les arguments des fonctions
intrinsèques peuvent être des paramètres, des pseudo-paramètres ou la sortie
d'autres fonctions intrinsèques.
Adresse IP Adresse numérique (par exemple, 192.0.2.44) que les appareils en réseau
utilisent pour communiquer entre eux à l'aide du protocole IP (Internet Protocol).
Toutes les Instance EC2 (p. 517) reçoivent deux adresses IP lors du lancement,
directement mappées entre elles par le biais de la traduction d'adresses réseau
Version 1.0
524
(NAT (p. 530)) : une adresse IP privée (conformément à RFC 1918) et une

adresse IP publique. Les instances lancées dans un VPC (p. 498) ne se voient
attribuer qu'une seule adresse IP privée. Les instances lancées dans votre VPC par
défaut se voient attribuer une adresse IP privée et une adresse IP publique.
Condition de correspondance AWS WAF (p. 508) : attribut qui spécifie les adresses IP ou les plages d'adresses
IP IP d'où proviennent les requêtes Web. En fonction des adresses IP spécifiées,
vous pouvez configurer AWS WAF afin d'autoriser ou de bloquer les demandes
web adressées aux ressource (p. 537)s AWS, telles que les distributions Amazon
CloudFront (p. 493).
ISP See fournisseur de services Internet (FSI).
émetteur Personne qui rédige un stratégie (p. 533) pour accorder des autorisations à une
ressource (p. 537). L'émetteur (par définition) est toujours le propriétaire de la
ressource. AWS n'autorise pas les utilisateurs des services Amazon SQS (p. 498)
à créer des stratégies pour les ressources qui ne leur appartiennent pas. Si John
est le propriétaire de la ressource, AWS authentifie son identité lorsqu'il envoie la
stratégie qu'il a écrite pour accorder des autorisations d'accès à cette ressource.
article Groupe d'attributs identifiable de façon unique parmi tous les autres éléments.
Les éléments dans Amazon DynamoDB (p. 494) sont similaires en de nombreux
points aux lignes, enregistrements ou tuples des autres systèmes de base de
données.
J
W (p. 549) | X, Y, Z (p. 550)
flux de travail Amazon EMR (p. 495) : Une ou plusieurs step (p. 544)s qui spécifient toutes les
fonctions à exécuter sur les données.
ID de tâche Chaîne alphanumérique de cinq caractères qui identifie de manière unique un

périphérique de stockage AWS Import/Export (p. 504) dans votre envoi. AWS
publie l'ID de tâche en réponse à une commande par e-mail CREATE JOB.
préfixe de tâche Chaîne facultative que vous pouvez ajouter au début d'un nom de fichier journal
AWS Import/Export (p. 504) afin d'éviter les conflits avec des objets du même
nom.
See Also préfixe de clé.
JSON JavaScript Object Notation. Format léger d'échange de données. Pour plus
d'informations sur le format JSON, consultez http://www.json.org/.
dossier du courrier indésirable Dossier dans lequel les messages identifiés par différents filtres comme ayant
moins de valeur sont collectés de façon à ce qu'ils n'arrivent pas dans la boîte de
réception du destinataire (p. 536), mais continuent d'être accessibles par celui-ci.
Ce dossier est également appelé dossier spam (p. 543).
K
Version 1.0
525
W (p. 549) | X, Y, Z (p. 550)
key Informations d'identification qui identifient un compte (p. 492) ou un

user (p. 548) AWS auprès d'AWS (comme la clé d'accès secrète (p. 540) AWS).
Amazon Simple Storage Service (Amazon S3) (p. 498), Amazon EMR (Amazon
EMR) (p. 495) : identifiant unique d'un objet dans un bucket (p. 509). Chaque
objet d'un compartiment possède une clé et une seule. Comme un compartiment
et une clé identifient chaque objet de façon unique, vous pouvez considérer
Amazon S3 comme mappage de base des données entre le compartiment et
la clé et l'objet lui-même. Vous pouvez traiter individuellement chaque objet
dans Amazon S3 grâce à la combinaison du point de terminaison de service
web, du nom du compartiment et de la clé, comme dans cet exemple : http://
doc.s3.amazonaws.com/2006-03-01/AmazonS3.wsdl, où doc est le nom du
compartiment et 2006-03-01/AmazonS3.wsdl la clé.
AWS Import/Export (p. 504) : Nom d'un objet dans Amazon S3. Il s'agit
d'une séquence de caractères Unicode dont le codage UTF-8 ne peut pas
dépasser 1 024 octets. Si une clé, par exemple, logPrefix + import-log-JOBID,
dépasse les 1 024 octets, AWS Elastic Beanstalk (p. 503)renvoie une erreur
InvalidManifestField.
IAM (p. 504) : Dans une stratégie (p. 533), caractéristique spécifique qui
est la base pour limiter l'accès (par exemple, l'heure actuelle ou l'adresse IP du
demandeur).
Balisage des ressources : étiquette de balise (p. 545) générale qui fait office de
catégorie pour les valeurs de balise plus spécifiques. Par exemple, vous pouvez
avoir une Instance EC2 (p. 517) avec la clé de balise Owner et la valeur de balise
Jan. Vous pouvez baliser une AWS ressource (p. 537) jusqu'à 10 paires clé–
valeur au plus. Certaines ressources AWS ne peuvent pas être balisées.
paire de clés Ensemble d'informations d'identification de sécurité que vous utilisez pour vous
identifier de manière électronique. Une paire de clés se compose d'une clé privée et
d'une clé publique.
préfixe de clé Regroupement logique d'objets dans un bucket (p. 509). La valeur de préfixe
est semblable à un nom de répertoire qui vous permet de stocker des données
similaires sous le même répertoire d'un compartiment.
kibioctet (Kio) Contraction de kilooctet et de binaire, un kibioctet vaut 2^10 ou 1 024 octets. Un

kilo-octets (Ko) équivaut à 10^3 ou 1 000 octets. 1 024 Kio composent un mébioctet
(Mio) (p. 528).
KMS See AWS Key Management Service (AWS KMS).
L
W (p. 549) | X, Y, Z (p. 550)
données étiquetées Dans Machine Learning, données pour lesquelles vous connaissez déjà la cible ou
la réponse « correcte ».
configuration de lancement Ensemble de paramètres descriptifs utilisés pour créer de nouvelles Instance
EC2 (p. 517) dans une activité Amazon EC2 Auto Scaling (p. 495).
Version 1.0
526
Modèle utilisé par un Auto Scaling group (p. 500)pour lancer de nouvelles
instances EC2. La configuration de lancement contient, entre autres
paramètres de configuration, des informations telles que l'ID Amazon Machine
Image (AMI) (p. 496), le type d'instance, les paires de clés, les groupe de
sécurité (p. 540) et les mappages de périphérique de stockage en mode bloc, et
autres paramètres de configuration.
autorisation de lancement Attribut Amazon Machine Image (AMI) (p. 496) qui permet aux utilisateurs de
lancer une AMI.
lifecycle État du cycle de vie de l'Instance EC2 (p. 517) contenue dans un Auto Scaling
group (p. 500). Les instances EC2 passent par différents états au cours de leur
durée de vie ; ces état sont Pending, InService, Terminating et Terminated.
action du cycle de vie Action qui peut être interrompue par Auto Scaling, comme le lancement ou la
terminaison d'une instance EC2.
raccordement de cycle de vie Permet de mettre en pause Auto Scaling après le lancement ou la mise hors
service d'une instance EC2, de telle sorte que vous puissiez exécuter une action
personnalisée pendant que l'instance n'est pas en service.
lien vers un VPC Processus de liaison (ou d'attachement) d'une instance (p. 524) EC2-Classic à un
VPC (p. 549) ClassicLink.
See Also ClassicLink, annuler le lien du VPC.
équilibreur de charge Nom DNS associé à un ensemble de ports, qui fournit une destination pour
toutes les demandes destinées à votre application. Un équilibreur de charge
peut répartir le trafic de plusieurs instances d'application entre chaque Zone de
disponibilité (p. 500) d'une Région (p. 536). Les équilibreurs de charge peuvent
recouvrir plusieurs Zones de disponibilité au sein d'une Région AWS dans laquelle
une instance Amazon EC2 (p. 495) a été lancée. Mais les équilibreurs de charge
ne peuvent pas recouvrir plusieurs Régions.
index secondaire local Index possédant la même clé de partition que la table, mais une clé de tri différente.
Un index secondaire est local dans la mesure où la portée de chacune de ses
partitions correspond à une partition de table ayant la même valeur de clé de
partition.
See Also index secondaire local.
nom logique Chaîne sensible à la casse unique au sein d'un modèle AWS
CloudFormation (p. 501) qui identifie une ressource (p. 537), un
mappage (p. 528), un paramètre ou une file d'attente. Dans un modèle AWS
CloudFormation, chaque paramètre, ressource (p. 537), propriété, mappage et
sortie doit être déclaré(e) avec un nom logique unique. Vous utilisez le nom logique
lorsque vous supprimez la référence de ces éléments à l'aide de la fonction Ref.
M
W (p. 549) | X, Y, Z (p. 550)
Mail Transfer Agent (MTA) Logiciel qui achemine les e-mails d'un ordinateur à un autre en utilisant une
architecture client-serveur.
fournisseur de boîte aux Organisation qui fournit des services d'hébergement de boîte aux lettres
lettres électronique. Les fournisseurs de boîte aux lettres sont parfois appelés fournisseur
Version 1.0
527
de services Internet (FSI) (p. 524), même s'ils ne fournissent que des services de
boîte aux lettres.
simulateur de boîte aux lettres Ensemble d'adresses e-mail que vous pouvez utiliser pour tester une application
email (mailbox) Amazon SES (p. 498) d'envoi d'e-mails sans envoyer de messages aux
destinataires réels. Chaque adresse e-mail représente un scénario spécifique
(par exemple, un retour ou une réclamation) et génère une réponse spécifique au
scénario.
table de routage principale table de routage (p. 539) par défaut que tout nouveau VPC (p. 549) sous-
réseau (p. 545) utilise pour le routage. Vous pouvez associer un sous-réseau à
la table de routage de votre choix. Vous pouvez également définir quelle table de
routage est la table de routage principale.
stratégie gérée IAM (p. 504) stratégie (p. 533) autonome que vous pouvez attacher à
plusieurs user (p. 548)s, group (p. 522)s et rôle (p. 538)s de votre IAM
compte (p. 492). Les stratégies gérées peuvent être des stratégies gérées par
AWS (qui sont créées et gérées par AWS) ou des stratégies gérées par le client
(que vous créez et gérez dans votre compte AWS).
manifeste Lorsque vous envoyez une demande create job en vue d'une opération
d'importation ou d'exportation, vous décrivez votre tâche dans un fichier texte
appelé manifeste. Le fichier manifeste est un fichier au format YAML qui spécifie
comment transférer les données entre votre appareil de stockage et le cloud AWS.
fichier manifeste Amazon Machine Learning : fichier utilisé pour décrire les prévisions par batchs.
Le fichier manifeste associe chaque fichier de données d'entrée aux résultats
des prévisions par batchs associées. Il est stocké dans l'emplacement de sortie
Amazon S3.
mappage Méthode d'ajout de valeurs de paramètres conditionnels à un modèle AWS

CloudFormation (p. 501). Vous spécifiez les mappages dans la section facultative
des mappages du modèle et récupérez la valeur souhaitée à l'aide de la fonction
FN::FindInMap.
marqueur See jeton de pagination.
nœud maître Processus exécuté sur une Amazon Machine Image (AMI) (p. 496) qui assure le
suivi des tâches accomplies par son nœud maître et ses nœuds de tâche.
prix maximal Prix maximal que vous devrez payer pour le lancement d'une ou plusieurs instance
Spot (p. 543)s. Si votre prix maximal dépasse le prix Spot (p. 543) actuel et que
vos restrictions sont respectées, Amazon EC2 (p. 495) lance les instances en
votre nom.
taux d'envoi maximal Nombre maximal d'e-mails que vous pouvez envoyer par seconde à l'aide
d'Amazon SES (p. 498).
mébioctet (Mio) Contraction de mégaoctet et de binaire, un mébioctet vaut 2^20 ou 1 048

576 octets. Un mégaoctet (Mo) vaut 10^6 ou 1 000 000 octets. 1 024 Mio
composent un gibioctet (Gio) (p. 521).
ressources membres See ressource.
ID de message Amazon Simple Email Service (Amazon SES) (p. 498) : identifiant unique qui est
assigné à chaque message électronique envoyé.
Amazon Simple Queue Service (Amazon SQS) (p. 498) : identifiant renvoyé
lorsque vous envoyez un message à une file d'attente.
Version 1.0
528
metadata Informations sur les autres données ou objets. Dans Amazon Simple Storage
Service (Amazon S3) (p. 498) et Amazon EMR (Amazon EMR) (p. 495) ,
les métadonnées prennent la forme de paires nom–valeur qui décrivent l'objet.
Elles comprennent des métadonnées par défaut telles que la date de la dernière
modification et des métadonnées HTTP standard comme le type de contenu.
Les utilisateurs peuvent aussi spécifier des métadonnées personnalisées au
moment du stockage de l'objet. Dans Amazon Elastic Compute Cloud (Amazon
EC2) (p. 495), les métadonnées comprennent les données sur une Instance
EC2 (p. 517) que l'instance peut récupérer afin de déterminer des éléments la
concernant, tels que le type d'instance, l'adresse IP, etc.
métrique Elément de données chronologiques défini par la combinaison unique d'un seul
espace de nom (p. 530), d'une seule métrique et de zéro à dix dimensions. Les
métriques et les statistiques qui en sont dérivées constituent la base d'Amazon
CloudWatch (p. 493).
metric name Identifiant principal d'une métrique, utilisé conjointement à un espace de

nom (p. 530) et à des dimensions optionnelles.
MFA See multi-factor authentication (MFA).
micro-instance Type d'Instance EC2 (p. 517) plus économique à utiliser si votre UC expérimente
des pics occasionnels d'activité élevés.
MIME See Multipurpose Internet Mail Extensions (MIME).
modèle ML Dans l'apprentissage automatique, modèle mathématique qui génère des

prévisions en identifiant des modèles dans les données. Amazon Machine
Learning prend en charge trois types de modèles d'apprentissage automatique : de
classification binaire, de classification multiclasse et de régression. Modèle aussi
appelé modèle prédictif.
See Also modèle de classification binaire, modèle de classification multiclasse,
modèle de régression.
MTA See Mail Transfer Agent (MTA).
déploiement multi-AZ Instance DB (p. 515) principale dotée d'un réplica de secours synchrone dans une
autreZone de disponibilité (p. 500). L'instance de base de données principale est
répliquée de manière synchrone entre les zones de disponibilité (AZ) et le réplica
de secours.
modèle de classification Modèle Machine Learning qui prédit les valeurs appartenant à un ensemble de
multiclasse valeurs autorisées, limitées et prédéfinies. Par exemple, « S'agit-il d'un produit, d'un
livre, d'un film ou d'un vêtement ? »
multi-factor authentication Fonctionnalité facultative de sécurité de compte (p. 492) AWS. Une fois que
(MFA) vous activez AWS MFA, vous devez fournir un code à six chiffres et à utilisation
unique en plus de vos informations d'identification de connexion chaque fois
que vous accédez à des pages web AWS sécurisées ou à AWS Management
Console (p. 505). Vous obtenez ce code à utilisation unique auprès d'un
périphérique d'authentification que vous conservez avec vous.
See Also https://aws.amazon.com/mfa/.
attribut multi-valeurs Un attribut avec plus d'une valeur.
téléchargement partitionné Fonctionnalité qui vous permet de charger un seul objet en tant qu'ensemble de
parties.
Multipurpose Internet Mail Norme Internet qui étend le protocole de messagerie pour inclure les éléments de
Extensions (MIME) texte non-ASCII et les éléments non textuels comme pièces jointes.
Version 1.0
529
Multitool Application en cascade qui fournit une interface de ligne de commande simple pour
la gestion de grands ensembles de données.
N
W (p. 549) | X, Y, Z (p. 550)
espace de nom Conteneur abstrait qui fournit le contexte pour les éléments (noms, termes
techniques ou mots) qu'il détient et qui permet d'enlever l'ambiguïté des éléments
de même nom situés dans des espaces de noms différents.
NAT Network address translation (traduction d'adresses réseau). Stratégie de mappage

d'une ou de plusieurs adresses IP avec une autre adresse pendant que les paquets
de données sont en transit sur un appareil de routage du trafic. Cette stratégie est
généralement utilisée pour limiter la communication Internet aux instances privées
tout en autorisant le trafic sortant.
See Also traduction d'adresses réseau et traduction de protocole, Passerelle NAT,
Instance NAT.
Passerelle NAT Appareil NAT (p. 530), géré par AWS, qui exécute la traduction d'adresses réseau
dans un sous-réseau (p. 545) privé, afin de sécuriser le trafic Internet entrant.
Passerelle NAT qui utilise à la fois NAT et la traduction des adresses des ports.
See Also Instance NAT.
Instance NAT Appareil NAT (p. 530), configuré par l'utilisateur, qui effectue la traduction
d'adresses réseau dans le sous-réseau (p. 545) public d'un VPC (p. 549) pour
sécuriser le trafic Internet entrant.
See Also Passerelle NAT.
ACL réseau Couche de sécurité facultative qui fait office de pare-feu pour le contrôle du trafic
entrant et sortant d'un sous-réseau (p. 545). Vous pouvez associer plusieurs
sous-réseaux à une seule liste ACL (p. 491) réseau, mais un sous-réseau ne peut
être associé qu'à une seule liste ACL réseau à la fois.
traduction d'adresses réseau (NAT (p. 530)-PT) Norme de protocole Internet définie dans RFC 2766.
et traduction de protocole See Also Instance NAT, Passerelle NAT.
processeur n gramme Processeur qui exécute les transformations n-gramme.

See Also transformation n-gramme.
transformation n-gramme Amazon Machine Learning : transformation qui contribue à l'analyse de chaîne
de texte. Une transformation n-gramme prend une variable de texte sous forme
de chaînes d'entrée et de chaînes de sortie en faisant glisser une fenêtre de n
mots, où n est spécifié par l'utilisateur, sur le texte et en générant chaque chaîne
de taille n et de toutes les tailles inférieures. Par exemple, la spécification de
la transformation n-gramme avec une taille de fenêtre = 2 retourne toutes les
combinaisons de deux mots et tous les mots seuls.
Desktop Cloud Visualization Technologie de visualisation distante qui permet aux utilisateurs de se connecter

de NICE en toute sécurité à des applications 3D à fort contenu graphique hébergées sur un
serveur distant hautes performances.
node Amazon Elasticsearch Service (Amazon ES) (p. 495) : Une instance
Elasticsearch. Un nœud peut être une instance de données ou une instance
principale dédiée.
See Also nœud principal dédié.
Version 1.0
530
NoEcho Propriété des paramètres AWS CloudFormation (p. 501) qui empêche le rapport
par défaut des noms et des valeurs d'un paramètre de modèle. La déclaration de la
propriété NoEcho entraîne, dans le rapport, le masquage de la valeur du paramètre
à l'aide d'astérisques par la commande cfn-describe-stacks.
NoSQL Systèmes de bases de données non relationnelles qui sont hautement disponibles,
évolutifs et optimisés pour des performances élevées. Au lieu du modèle
relationnel, les bases de données NoSQL (comme Amazon DynamoDB (p. 494))
utilisent d'autres modèles pour la gestion des données, tels que les paires clé–
valeur ou le stockage de document.
objet null Un objet null est un objet dont l'ID de version a la version null. Amazon
S3 (p. 498) ajoute un objet null à un bucket (p. 509) quand le gestion des
versions (p. 548) de ce compartiment est suspendu. Il est possible d'avoir un seul
objet null pour chaque clé d'un compartiment.
nombre de passes Nombre de fois où vous autorisez Amazon Machine Learning à utiliser les mêmes
enregistrements de données pour former un modèle Machine Learning.
O
W (p. 549) | X, Y, Z (p. 550)
object Amazon Simple Storage Service (Amazon S3) (p. 498) : Type d'entité
fondamentale stocké dans Amazon S3. Les objets sont composés de données et
de métadonnées d'objet. La partie données est opaque pour Amazon S3.
Amazon CloudFront (p. 493) : entité qui peut être servie via HTTP ou via une
version RTMP.
observation Amazon Machine Learning : Instance unique de données que Amazon Machine
Learning (Amazon ML) utilise pour former un modèle d'apprentissage automatique
à prédire ou à générer une prévision. Chaque ligne d'un fichier de données d'entrée
Amazon ML constitue une observation.
instance à la demande Option de tarification Amazon EC2 (p. 495) qui vous facture la capacité de calcul
à l'heure sans engagement à long terme.
fonctionnement Fonction d'API. Egalement appelée action.
verrouillage optimiste Stratégie qui permet de s'assurer qu'un élément que vous souhaitez mettre à jour
n'a pas été modifié par d'autres personnes avant que vous n'effectuiez la mise
à jour. Pour Amazon DynamoDB (p. 494), la prise en charge du verrouillage
optimise est fournie par les kits de développement logiciel AWS.
organisation AWS Organizations (p. 505) : Une entité que vous créez pour consolider et gérer
vos comptes AWS. Une organisation possède un compte principal avec zéro ou
plusieurs comptes membres.
unité d'organisation AWS Organizations (p. 505) : un conteneur pour les comptes au sein d'une
racine (p. 538) organisation. Une unité d'organisation peut contenir d'autres unités
d'organisation.
identité d'accès à l'origine Egalement appelé OAI. Lorsque vous utilisez Amazon CloudFront (p. 493)
pour servir un contenu avec un Amazon S3 (p. 498) bucket (p. 509) en tant
Version 1.0
531
qu'origine, identité virtuelle que vous utilisez pour demander aux utilisateurs
d'accéder à votre contenu via les URL CloudFront au lieu des URL Amazon S3.
Généralement utilisé avec un CloudFront contenu privé (p. 534).
serveur d'origine Le Amazon S3 (p. 498) bucket (p. 509) ou l'origine personnalisée contenant la
version originale définitive du contenu que vous offrez via CloudFront (p. 493).
environnement d'origine Instances d'un groupe de déploiement au début d'un déploiement bleu/vert
CodeDeploy.
transformation OSB Transformation bigramme d'analyse orthogonale. Dans Machine Learning,

transformation qui contribue à l'analyse des chaînes de texte et qui constitue une
alternative à la transformation n-gramme. Les transformations OSB sont générées
en faisant glisser la fenêtre de n mots sur le texte et en générant chaque paire de
mots qui inclut le premier mot de la fenêtre.
See Also transformation n-gramme.
UO See unité d'organisation.
emplacement de sortie Amazon Machine Learning : Emplacement Amazon S3 où les résultats d'une
prévision par lots sont stockés.
P
W (p. 549) | X, Y, Z (p. 550)
pagination Processus de réponse à une demande d'API en retournant une longue liste
d'enregistrements sous forme de pièces distinctes réduites. La pagination peut se
produire dans les cas suivants :
• Le client définit le nombre maximal d'enregistrements retournés avec une valeur

inférieure au nombre total d'enregistrements.
• Le service a un nombre d'enregistrements retournés maximal par défaut inférieur
au nombre total d'enregistrements.
Lorsqu'une réponse de l'API est paginée, le service envoie un sous-ensemble de

la vaste liste des enregistrements et un jeton de pagination qui indique que les
autres enregistrements sont disponibles. Le client inclut ce jeton de pagination dans
la demande d'API suivante et le service répond avec le prochain sous-ensemble
d'enregistrements. Ce processus se poursuit jusqu'à ce que le service réponde
avec un sous-ensemble d'enregistrements et aucun jeton de pagination, ce qui
indique que tous les enregistrements ont été envoyés.
jeton de pagination Marqueur indiquant que la réponse à une API contient un sous-ensemble d'une
plus vaste liste d'enregistrements. Le client peut retourner ce marqueur dans
une prochaine demande d'API pour récupérer le prochain sous-ensemble
d'enregistrements, et ce jusqu'à ce que le service réponde par un sous-ensemble
d'enregistrements et sans jeton de pagination, ce qui indique que tous les
enregistrements ont été envoyés.
See Also pagination.
AMI payant Amazon Machine Image (AMI) (p. 496) que vous vendez aux autres utilisateurs
Amazon EC2 (p. 495) sur AWS Marketplace (p. 505).
Version 1.0
532
virtualisation paravirtuelle See virtualisation paravirtuelle.
part Partie contiguë des données de l'objet dans une demande de chargement en
plusieurs parties.
clé de partition Clé primaire simple, composée d'un attribut (également appelé attribut de
hachage).
See Also clé de partition, clé de tri.
PAT Traduction des adresses de port.
pébioctet (Pio) Contraction de pétaoctet et de binaire, un pébioctet vaut 2^50 ou

1 125 899 906 842 624 octets. Un pétaoctet (PB) vaut 10^15 ou
1 000 000 000 000 000 octets. 1 024 Pio composent un exbioctet (Eio) (p. 519).
point See période d'échantillonnage.
autorisation Instruction au sein d'une stratégie (p. 533) qui autorise ou refuse l'accès à une
ressource (p. 537) particulière. Vous pouvez définir n'importe quelle autorisation
telle que celle-ci : « A a l'autorisation de faire B sur C. » Par exemple, Jane (A) est
autorisée à lire les messages (B) de la file d'attente Amazon SQS (p. 498) de
John (C). Chaque fois que Jane envoie une demande à Amazon SQS pour utiliser
la file d'attente de John, le service vérifie si elle dispose de l'autorisation requise. De
plus, il vérifie si la demande est conforme aux conditions que John a stipulées dans
l'autorisation.
stockage persistant Solution de stockage de données dans laquelle les données restent intactes
jusqu'à ce qu'elles soient supprimées. Les options disponibles dans AWS (p. 498)
comprennent : Amazon S3 (p. 498), Amazon RDS (p. 497), Amazon
DynamoDB (p. 494) et autres services.
nom physique Étiquette unique que AWS CloudFormation (p. 501) attribue à chaque
ressource (p. 537) lorsque vous créez une pile (p. 543). Certaines commandes
AWS CloudFormation acceptent le nom physique comme valeur du paramètre --
physical-name.
pipeline AWS CodePipeline (p. 502) : structure de workflow qui définit la progression des
modifications logicielles d'un processus de publication.
texte brut Informations qui n'ont pas été chiffrées (p. 518), contrairement au texte
chiffré (p. 510).
stratégie IAM (p. 504): document définissant les autorisations applicables à un

utilisateur, groupe ou rôle ; les autorisations déterminent à leur tour ce que les
utilisateurs peuvent faire dans AWS. Une stratégie allow (autorisation) (p. 493)s
généralement l'accès à des actions spécifiques et peut éventuellement autoriser
que des actions soient exécutées pour des ressource (p. 537)s spécifiques,
comme les Instance EC2 (p. 517)s, les Amazon S3 (p. 498) bucket (p. 509)s,
etc. Les stratégies peuvent aussi deny (refuser) (p. 515) explicitement l'accès.
Amazon EC2 Auto Scaling (p. 495) : Objet qui stocke les informations
nécessaires pour le lancement ou la résiliation des instances d'un groupe Auto
Scaling. L'exécution de la stratégie entraîne le lancement ou la résiliation des
instances. Vous pouvez configurer une alarme (p. 492) pour appeler une stratégie
Auto Scaling.
générateur de stratégie Outil dans IAM (p. 504) AWS Management Console (p. 505) qui vous permet
de créer une stratégie (p. 533) en sélectionnant les éléments à partir des listes
d'options disponibles.
Version 1.0
533
simulateur de stratégie Outil dans IAM (p. 504) AWS Management Console (p. 505) qui vous permet
de tester les stratégies (p. 533) et de résoudre leurs problèmes, afin que vous
puissiez voir leurs conséquences dans des scénarios concrets.
validateur de stratégie Outil dans IAM (p. 504) AWS Management Console (p. 505) qui examine vos
stratégies (p. 533) de contrôle d'accès IAM existantes pour vérifier qu'elles sont
conformes à la syntaxe des stratégies IAM.
URL pré-signée Adresse web qui utilise authentification par chaîne de requête (p. 535).
prefix See préfixe de tâche.
Premium Support Canal d'assistance individuelle et rapide auquel les clients AWS peuvent s'abonner
pour bénéficier du support des services d'infrastructure AWS.
See Also https://aws.amazon.com/premiumsupport/.
clé primaire Une ou deux attributs qui identifient chaque élément de manière unique dans un
tableau Amazon DynamoDB (p. 494), afin que deux éléments n'aient pas la
même clé.
See Also clé de partition, clé de tri.
partition principale See partition.
principal user (p. 548), service ou compte (p. 492) qui reçoit les autorisations définies
dans une stratégie (p. 533). Le mandataire correspond à A dans l'instruction « A
est autorisé à faire B sur C ».
contenu privé Lorsque vous utilisez Amazon CloudFront (p. 493) pour diffuser un contenu avec
un Amazon S3 (p. 498) bucket (p. 509) comme origine, méthode de contrôle
d'accès à votre contenu en exigeant des utilisateurs qu'ils emploient des URL
signées. Les URL signées peuvent restreindre l'accès utilisateur sur la base de la
date et de l'heure actuelles et/ou des adresses IP d'où proviennent les demandes.
adresse IP privée Adresse numérique privée (par exemple, 192.0.2.44) que les appareils en réseau
utilisent pour communiquer entre eux à l'aide du protocole IP (Internet Protocol).
Toutes les Instance EC2 (p. 517) reçoivent deux adresses IP lors du lancement,
directement mappées entre elles par le biais de la traduction d'adresses réseau
(NAT (p. 530)) : une adresse privée (conformément à RFC 1918) et une adresse
publique. Exception : Les instances lancées dans un Amazon VPC (p. 498) ne se
voient attribuer qu'une adresse IP privée.
sous-réseau (subnet) privé VPC (p. 549) sous-réseau (p. 545) dont les instances ne sont pas accessibles
depuis Internet.
code produit Identifiant fourni par AWS lorsque vous envoyez un produit au AWS
Marketplace (p. 505).
propriétés See propriété de ressource.
règle de propriété Balisage standard conforme à JSON (p. 525) et qui permet de déclarer
des propriétés, des mappages et des valeurs de sortie dans un modèle AWS
CloudFormation (p. 501).
IOPS provisionnées Option de stockage conçue pour offrir des performances d'E/S rapides, prévisibles
et cohérentes. Lorsque vous spécifiez un taux d'IOPS lors de la création d'une
instance de base de données, Amazon RDS (p. 497) met en service ce taux
d'IOPS pendant la durée de vie de l'instance de base de données.
pseudo-paramètre Paramètre prédéfini, tel que AWS:StackName, qui peut être utilisé dans des
modèles AWS CloudFormation (p. 501) sans avoir à être déclaré. Vous pouvez
Version 1.0
534
utiliser les pseudo-paramètres partout où vous pouvez utiliser un paramètre

régulier.
AMI publique Amazon Machine Image (AMI) (p. 496) que tous les compte (p. 492) AWS ont
l'autorisation de lancer.
ensemble de données public Vaste collection d'informations publiques qui peuvent être intégrées de façon
transparente aux applications qui sont basées dans le cloud AWS. Amazon stocke
les ensembles de données publics sans coût aucun pour la communauté et, comme
pour tous les autres services AWS, les utilisateurs ne paient que pour le calcul
et le stockage qu'ils utilisent pour leurs propres applications. Ces ensembles de
données comprennent actuellement les données du projet de génome humain, du
recensement américain et de Wikipédia, entre autres sources.
See Also https://aws.amazon.com/publicdatasets.
adresse IP publique Adresse numérique publique (par exemple, 192.0.2.44) que les appareils
en réseau utilisent pour communiquer entre eux à l'aide du protocole IP
(Internet Protocol). Instance EC2 (p. 517)s reçoivent deux adresses IP lors du
lancement, directement mappées entre elles via la traduction d'adresses réseau
(NAT (p. 530)) : une adresse privée (conformément à RFC 1918) et une adresse
publique. Exception : Les instances lancées dans un Amazon VPC (p. 498) ne se
voient attribuer qu'une adresse IP privée.
sous-réseau (subnet) public sous-réseau (p. 545) dont les instances sont accessibles depuis Internet.
virtualisation paravirtuelle Virtualisation paravirtuelle. Permet aux ordinateurs virtuels invités de s'exécuter
sur des systèmes hôtes qui ne possèdent pas d'extensions de prise en charge
spéciales pour la virtualisation complète du matériel et de l'UC. Comme les invités
de virtualisation paravirtuelle exécutent un système d'exploitation mis à jour qui
n'utilise pas d'émulation matérielle, ils ne peuvent pas fournir de fonctionnalités
liées au matériel telles que la prise en charge de la mise en réseau améliorée ou du
GPU.
See Also virtualisation HVM.
Q
W (p. 549) | X, Y, Z (p. 550)
transformation binning de Amazon Machine Learning : processus qui prend deux entrées, une variable
quartile numérique et un paramètre appelé nombre bin, et génère une variable de catégorie.
Les transformations binning de quartile découvrent la non-linéarité de la distribution
d'une variable en activant le modèle Machine Learning pour obtenir des valeurs
d'importance distinctes pour les parties de la distribution de la variable numérique.
Interrogation Type de service web qui n'utilise généralement que la méthode HTTP GET ou
POST et une chaîne de requête accompagnée de paramètres dans l'URL.
See Also REST.
authentification par chaîne de Fonctionnalité AWS qui vous permet de placer les informations d'authentification
requête dans la chaîne de requête de la demande HTTP et non dans l'en-tête
Authorization, ce qui permet l'accès par URL aux objets d'un bucket (p. 509).
queue Séquence de messages ou de tâches qui sont contenus dans un stockage

temporaire en attente de transmission ou de traitement.
URL de file d'attente Adresse web qui identifie une file d'attente de façon unique.
Version 1.0
535
quota La valeur maximale de vos ressources, actions et éléments dans votre compte
AWS
R
W (p. 549) | X, Y, Z (p. 550)
plage GET Demande qui spécifie une plage d'octets de données à obtenir pour un
téléchargement. Si un objet est grand, vous pouvez scinder un téléchargement en
unités plus petites en envoyant plusieurs demandes de plage GET qui spécifient
chacune une plage d'octets différente pour GET.
e-mail brut Type de demande sendmail avec laquelle vous pouvez spécifier les en-têtes d'e-
mail et les types MIME.
RDS See Amazon Relational Database Service (Amazon RDS).
réplica en lecture Amazon RDS (p. 497): Copie active d'une autre instance de base de données.
Les mises à jour des données de l'instance de base de données source sont
répliquées sur l'instance de base de données du réplica en lecture à l'aide de la
fonctionnalité de réplication intégrée de MySQL 5.1.
prévisions en temps réel Amazon Machine Learning : prévisions générées de façon synchrone pour les
observations de données.
See Also prévision par batchs.
descripteur de réception Amazon SQS (p. 498): identifiant que vous obtenez lorsque vous recevez un
message de la file d'attente. Cet identifiant est nécessaire pour supprimer un
message de la file d'attente ou lors du changement de délai de visibilité d'un
message.
récepteur Entité qui se compose des systèmes de réseau, des logiciels et des stratégies qui
gèrent la livraison des e-mails d'un destinataire (p. 536).
destinataire Amazon Simple Email Service (Amazon SES) (p. 498) : personne ou entité qui
reçoit un e-mail. Par exemple, une personne nommée dans le champ « À » d'un
message.
Redis Magasin de structure de données clé-valeur en mémoire open source et rapide.

Redis est fourni avec différentes structures de données en mémoire polyvalentes
avec lesquelles vous pouvez aisément créer diverses applications personnalisées.
référence Moyen d'insérer une propriété d'une ressource (p. 537) AWS dans une autre. Par
exemple, vous pouvez insérer une propriété Amazon EC2 (p. 495) groupe de
sécurité (p. 540) dans une ressource Amazon RDS (p. 497).
Région Ensemble nommé de ressource (p. 537)s AWS de la même zone géographique.
Une Région comprend au moins deux Zone de disponibilité (p. 500)s.
modèle de régression Amazon Machine Learning : instructions déjà mises en forme pour les
transformations de données courantes qui affinent les performances du modèle
Machine Learning.
modèle de régression Type de modèle Machine Learning qui prédit une valeur numérique, telle que le prix
d'achat exact d'une maison.
Version 1.0
536
régularisation Paramètre Machine Learning que vous pouvez affiner pour obtenir des modèles
ML de meilleure qualité. La régularisation aide à empêcher les modèles ML de
mémoriser les exemples de données de formation au lieu d'apprendre à généraliser
les modèles qu'il rencontre (surapprentissage). Lorsque les données de formation
sont l'objet d'un surapprentissage, le modèle ML fonctionne bien sur les données de
formation, mais n'offrent pas de bons résultats sur les données d'évaluation ou sur
les nouvelles données.
environnement de Instances d'un groupe de déploiement après le déploiement bleu/vert CodeDeploy.

remplacement
partition de réplica See partition.
chemin de réponse Adresse e-mail à laquelle une réponse par e-mail est envoyée. Cette adresse est
différente du chemin d'accès du retour (p. 538).
transfert d'état See REST.

représentationnel
réputation 1. Métrique Amazon SES (p. 498), basée sur les critères qui peuvent inclure
des retour à l'expéditeur (p. 509)s, plainte (p. 511)s et autres métriques,
indépendamment du fait qu'un client envoie ou non des e-mails de haute qualité.
2. Mesure de confiance, telle que jugée par un fournisseur de services Internet

(FSI) (p. 524) ou autre entité, selon laquelle une adresse IP dont ils reçoivent des
e-mails n'est pas la source de spam (p. 543).
demandeur Personne (ou application) qui envoie une demande à AWS pour exécuter une
action spécifique. Lorsque AWS reçoit une demande, il évalue d'abord les
autorisations du demandeur afin de déterminer si le demandeur est autorisé à
effectuer l'action de la demande (le cas échéant, pour la ressource (p. 537)
demandée).
paiement par le demandeur Fonctionnalité Amazon S3 (p. 498) qui permet à un propriétaire du
compartiment (p. 509) de spécifier qu'une personne qui demande l'accès aux
objets d'un bucket (p. 509) particulier doit payer les frais de transfert et de
demande de données.
réservation Ensemble d'Instance EC2 (p. 517) démarré dans le cadre de la même demande
de lancement. A ne pas confondre avec une Instance réservée (p. 537).
Instance réservée Option de tarification des Instance EC2 (p. 517) qui applique une remise sur les
frais d'utilisation à la demande (p. 531) pour les instances qui répondent aux
paramètres spécifiés. Les clients paient pour toute la durée de l'instance, quelle que
soit la façon dont ils l'utilisent.
Place de marché des Échange en ligne mettant en correspondance les vendeurs ayant une capacité
instances réservées réservée dont ils n'ont plus besoin et les acheteurs en quête d'une capacité
d'achat supplémentaire. Instance réservée (p. 537)s que vous achetez auprès de
vendeurs tiers ayant une durée restante inférieure à une durée standard complète
et qui peuvent être vendues à différents prix initiaux. Les frais d'utilisation ou les
frais récurrents restent les mêmes que ceux déterminés lorsque les instances
réservées ont été achetées initialement. Conditions complètes d'utilisation standard
pour les instances réservées disponibles auprès d'AWS pour un an ou trois ans.
ressource Entité que les utilisateurs peuvent utiliser dans AWS, telle qu'une Instance
EC2 (p. 517), un Amazon DynamoDB (p. 494), un Amazon S3 (p. 498)
bucket (p. 509), un utilisateur IAM (p. 504), une pile AWS OpsWorks (p. 505)
pile (p. 543), etc.
Version 1.0
537
propriété de ressource Valeur requise lors de l'inclusion d'une ressource (p. 537) AWS dans une
pile (p. 543) AWS CloudFormation (p. 501). Chaque ressource peut
avoir une ou plusieurs propriétés associées. Par exemple, une ressource
AWS::EC2::Instance peut avoir une propriété UserData. Dans un modèle AWS
CloudFormation, les ressources doivent déclarer une section de propriétés, même
si la ressource n'en a aucune.
enregistrement de ressource Aussi appelé jeu d'enregistrements de ressource. Eléments d'information

fondamentaux du DNS (Domain Name System).
See Also Domain Name System dans Wikipédia.
REST Transfert d'état représentationnel. Architecture simple sans état généralement

exécutée via HTTPS/TLS. Avec REST, les ressources ont des identificateurs
uniques et hiérarchiques (URI), elles sont représentées par des types de médias
communs (HTML, XML, JSON (p. 525), etc.) et les opérations sur les ressources
sont prédéfinies ou détectables dans le type de média. Dans la pratique, cela
entraîne généralement un nombre limité d'opérations.
See Also Interrogation, WSDL, SOAP.
Service web RESTful Egalement nommé API RESTful. Service web qui suit les contraintes
architecturales de REST (p. 538). Les opérations d'API doivent utiliser les
méthodes HTTP explicitement, exposer les URI hiérarchiques et transférer XML,
JSON (p. 525) ou les deux.
retour activé Amazon CloudSearch (p. 493) : option de champ d'index qui permet que les
valeurs du champ soient retournées dans les résultats de la recherche.
chemin d'accès du retour Adresse e-mail à laquelle l'e-mail non remis est retourné. Le chemin de retour est
spécifié dans l'en-tête de l'e-mail d'origine. Cette adresse est différente du chemin
de réponse (p. 537).
révision AWS CodePipeline (p. 502) : Modification apportée à une source qui est
configurée dans une action source, par exemple une validation transmise par push
à un GitHub (p. 521) référentiel GitHub ou une mise à jour d'un fichier dans un
Amazon S3 avec version (p. 498) bucket (p. 509).
rôle Outil pour donner un accès temporaire aux AWS ressource (p. 537)s de votre
AWS compte (p. 492).
restauration Retour à un état antérieur qui suit l'échec de la création d'un objet, tel qu'une
pile (p. 543) AWS CloudFormation (p. 501). Toutes les ressource (p. 537)s
associées à la défaillance sont supprimées pendant la restauration. Pour AWS
CloudFormation, vous pouvez remplacer ce comportement à l'aide de l'option --
disable-rollback dans la ligne de commande.
racine AWS Organizations (p. 505) : le conteneur parent pour tous les comptes de votre
organisation. Si vous appliquez une stratégie de contrôle de service (p. 541)
à la racine, elle s'applique à chaque unité d'organisation (p. 531) compte de
l'organisation.
informations d'identification Informations d'authentification associées au propriétaire du AWS compte (p. 492).
racine
volume du périphérique racine Un volume (p. 549) qui contient l'image utilisée pour amorcer l'instance (p. 524)
(également appelé périphérique racine). Si vous avez lancé l'instance à partir d'une
AMI (p. 496) basée sur le stockage d'instance (p. 524), il s'agit d'un stockage
d'instance volume (p. 549) basé sur le stockage d'instance créé à partir d'un
modèle stocké dans Amazon S3 (p. 498). Si vous avez lancé l'instance à partir
d'une AMI basée sur Amazon EBS (p. 494), il s'agit d'un volume Amazon EBS
créé à partir d'un instantané Amazon EBS.
Version 1.0
538
table de routage Ensemble des règles de routage qui contrôlent le trafic quittant un sous-
réseau (p. 545) associé à la table de routage. Vous pouvez associer plusieurs
sous-réseaux à une même table de routage, mais un sous-réseau ne peut être
associé qu'à une seule table de routage à la fois.
identifiant de ligne Amazon Machine Learning : attribut des données d'entrée que vous pouvez inclure
dans la sortie de l'évaluation ou de la prévision afin de faciliter l'association d'une
prévision et d'une observation.
règle AWS WAF (p. 508) : Ensemble de conditions qu'explore AWS WAF dans
les demandes web adressées aux AWS ressource (p. 537)s, telles que les
distributions Amazon CloudFront (p. 493). Vous ajoutez des règles à une ACL
web (p. 549), puis spécifiez si vous voulez autoriser ou bloquer les demandes
web en fonction de chaque règle.
S
W (p. 549) | X, Y, Z (p. 550)
S3 See Amazon Simple Storage Service (Amazon S3).
période d'échantillonnage Durée délimitée, telle qu'une minute, au cours de laquelle Amazon
CloudWatch (p. 493) calcule une statistique (p. 543).
sandbox Emplacement de test où vous pouvez tester les fonctionnalités de votre application
sans affecter la production, encourir de frais ou acheter des produits.
Amazon SES (p. 498): environnement conçu pour que les développeurs puissent
tester et évaluer le service. Dans la sandbox, vous avez un accès complet aux API
Amazon SES, mais vous ne pouvez envoyer des messages qu'aux adresses e-
mail vérifiées et au simulateur de boîte aux lettres email (mailbox). Pour quitter la
sandbox, vous devez demander un accès en mode production. Les comptes de
la sandbox ont également des limites d'envoi (p. 541) inférieures à celles des
comptes en production.
diminution en charge Pour supprimer les instances EC2 d'un Auto Scaling group (p. 500).
montée en charge Pour ajouter des instances EC2 à un Auto Scaling group (p. 500).
stratégie de dimensionnement Description de la façon dont Auto Scaling doit dimensionner automatiquement un
Auto Scaling group (p. 500) réponse à une évolution de la demande.
See Also diminution en charge, montée en charge.
activité de dimensionnement Processus qui modifie la taille, la configuration ou le balisage d'un Auto Scaling
group (p. 500) en lançant ou en terminant des instances.
planificateur Méthode utilisée pour placer des tâche (p. 546)s sur des instance de
conteneur (p. 512)s.
schéma Amazon Machine Learning : informations nécessaires pour interpréter les données
en entrée d'un modèle Machine Learning, y compris les noms d'attribut et leurs
types de données attribués, ainsi que les noms des attributs spéciaux.
score limite Amazon Machine Learning : un modèle de classification binaire génère un score
compris entre 0 et 1. Pour décider si une observation doit être considérée comme
égale à 1 ou à 0, vous choisissez un seuil de classification, ou seuil limite, et
Version 1.0
539
Amazon ML compare le score à celui-ci. Les observations avec des scores plus
élevés que le seuil limite sont prédites comme cible égales à 1 et les scores
inférieurs au seuil limite sont prédits comme cible égales à 0.
SCP See stratégie de contrôle de service.
API de recherche Amazon CloudSearch (p. 493) : API que vous utiliser pour soumettre les
demandes de recherche à un domaine de recherche (p. 540).
domaine de recherche Amazon CloudSearch (p. 493) : englobe vos données explorables et les
instances de recherche qui gèrent vos demandes de recherche. Vous configurez
généralement un domaine Amazon CloudSearch distinct pour chaque ensemble de
données pour lequel vous souhaitez effectuer une recherche.
configuration de domaine de Amazon CloudSearch (p. 493) : options d'indexation d'un domaine, méthode
recherche d'analyse (p. 499)s, expression (p. 520)s, outil de suggestion (p. 545)s,
stratégies d'accès et options de dimensionnement et de disponibilité.
recherche activée Amazon CloudSearch (p. 493) : option de champ d'index qui permet que les
données soient explorées.
point de terminaison de Amazon CloudSearch (p. 493) : URL à laquelle vous vous connectez lors de
recherche l'envoi de demandes de recherche à un domaine de recherche. Chaque domaine
Amazon CloudSearch possède un point de terminaison de recherche unique qui
demeure le même pendant la durée de vie du domaine.
index de recherche Amazon CloudSearch (p. 493) : représentation de vos données interrogeables qui
facilite une récupération des données rapide et précise.
instance de recherche Amazon CloudSearch (p. 493) : ressource (p. 537) de calcul qui indexe vos
données et traite les demandes de recherche. Un domaine Amazon CloudSearch
possède une ou plusieurs instances de recherche, chacune ayant une quantité
limitée de ressources RAM et UC. Lorsque le volume des données augmente, de
nouvelles instances de recherche ou des instances de recherche plus grandes
sont déployées pour contenir vos données indexées. Si nécessaire, votre index
est automatiquement partitionné entre plusieurs instances de recherche. Lorsque
le volume ou la complexité de vos demandes augmente, chaque partition de
recherche est automatiquement répliquée pour fournir une capacité de traitement
supplémentaire.
demande de recherche Amazon CloudSearch (p. 493) : Demande envoyée au point de terminaison de
recherche d'un domaine Amazon CloudSearch pour récupérer les documents de
l'index correspondant aux critères de recherche particuliers.
résultats de la recherche Amazon CloudSearch (p. 493) : document qui correspond à une demande de
recherche. Egalement appelé correspondance de recherche.
clé d'accès secrète Clé utilisée conjointement avec la ID de clé d'accès (p. 491) pour signer de façon
chiffrée les demandes AWS par programmation. La signature d'une demande
identifie l'expéditeur et empêche que la demande ne soit falsifiée. Vous pouvez
générer des clés d'accès secrètes pour votre compte (p. 492) AWS, des IAM
user (p. 548)s individuels et des sessions temporaires.
groupe de sécurité Ensemble nommé de connexions réseau entrantes autorisées pour une instance.
(Les groupes de sécurité dans Amazon VPC (p. 498) incluent aussi la prise en
charge des connexions sortantes.) Chaque groupe de sécurité se compose d'une
liste de protocoles, de ports et de plages d'adresses IP. Un groupe de sécurité peut
s'appliquer à plusieurs instances et plusieurs groupes peuvent réglementer une
seule instance.
Version 1.0
540
expéditeur Personne ou entité qui envoie un message par email.
ID de l'expéditeur Version Microsoft contrôlée de SPF (p. 543). Système d'authentification d'e-
mail et de détection d'usurpation. Pour plus d'informations sur l'ID de l'expéditeur,
consultez Sender ID dans Wikipédia.
limites d'envoi Le quota d'envoi (p. 541) et le taux d'envoi maximal (p. 528) associés à chaque
compte Amazon SES (p. 498).
quota d'envoi Nombre maximal d'e-mails que vous pouvez envoyer avec Amazon SES (p. 498)
pendant 24 heures.
chiffrement côté serveur (SSE) Chiffrement (p. 518) des données au niveau serveur. Amazon S3 (p. 498)
prend en charge les trois modes de chiffrement côté serveur : SSE-S3, dans lequel
Amazon S3 gère les clés ; SSE-C, dans lequel le client gère les clés ; et SSE-KMS,
dans lequel AWS Key Management Service (AWS KMS) (p. 504) gère les clés.
web See Service Amazon ECS.
stratégie de contrôle de AWS Organizations (p. 505) : un contrôle basé sur une stratégie qui spécifie
service les services et les actions que les utilisateurs et les rôles peuvent utiliser dans les
comptes concernés par la stratégie de contrôle de service.
point de terminaison du See point de terminaison.

service
tableau de bord de l'état des Page web montrant les dernières informations sur la disponibilité des services
services AWS. Le tableau de bord est situé à l'adresse http://status.aws.amazon.com/.
Quotas de service Service pour afficher et gérer vos quotas facilement et à l’échelle au fur et à mesure
que vos charges de travail AWS augmentent. Les quotas, également appelés
limites, sont le nombre maximal de ressources que vous pouvez créer dans un
compte AWS.
rôle de service IAM (p. 504) rôle (p. 538) qui accorde les autorisations à un service AWS afin
qu'il puisse accéder aux ressource (p. 537)s. Les stratégies que vous attachez au
rôle de service déterminent quelles ressources AWS sont accessibles au service et
ce qu'il peut faire avec ces ressources.
SES See Amazon Simple Email Service (Amazon SES).
session Période pendant laquelle les informations d'identification de sécurité temporaires

fournies par AWS Security Token Service (AWS STS) (p. 506) autorisent l'accès à
votre compte AWS.
SHA Secure Hash Algorithm (algorithme de hachage sécurisé). SHA1 est une version
antérieure de l'algorithme, qu'AWS a déconseillée au profit de SHA256.
partition Amazon Elasticsearch Service (Amazon ES) (p. 495) : partition de données d'un
index. Vous pouvez diviser un index en plusieurs partitions, qui peuvent inclure les
partitions principales (partitions originales) et les partitions de réplica (copies des
partitions principales). Les partitions de réplica permettent le basculement, ce qui
signifie qu'une partition de réplica est promue comme partition principale en cas de
défaillance d'un nœud de cluster contenant une partition principale. Les partitions
de réplica peuvent également gérer les demandes.
AMI partagée Amazon Machine Image (AMI) (p. 496) qu'un développeur crée et met à
disposition.
action d'arrêt (shutdown) Amazon EMR (p. 495): action d'amorçage prédéfinie qui lance un script exécutant
une série de commandes en parallèle avant de mettre fin au flux de travail.
Version 1.0
541
Signature Fait référence à une signature numérique, à savoir une solution mathématique
pour confirmer l'authenticité d'un message numérique. AWS utilise les signatures
pour authentifier les demandes que vous envoyez à nos services web. Pour plus
d'informations, consultez https://aws.amazon.com/security.
fichier SIGNATURE AWS Import/Export (p. 504) : fichier que vous copiez sur le répertoire racine
de votre périphérique de stockage. Le fichier contient un ID de tâche, un fichier
manifeste et une signature.
Signature Version 4 Protocole d'authentification des demandes d'API entrantes auprès des services
AWS dans toutes les Régions AWS.
Simple Mail Transfer Protocol See SMTP.
Simple Object Access Protocol See SOAP.
Simple Storage Service See Amazon Simple Storage Service (Amazon S3).
Authentification unique See Authentification unique AWS.
instance de base de données Instance DB (p. 515) standard (non multi-AZ) déployée dans une Zone de
mono-AZ disponibilité (p. 500), sans réplica de secours synchrone dans une autre zone de
disponibilité.
See Also déploiement multi-AZ.
recherche d'expression Recherche d'une expression qui spécifie à quel point les termes doivent être
parente proches l'un de l'autre pour être considérés comme une correspondance.
SMTP Simple Mail Transfer Protocol. Norme utilisée pour échanger des messages
électroniques entre hôtes Internet à des fins de routage et de remise.
instantané Amazon Elastic Block Store (Amazon EBS) (p. 494) : Sauvegarde de vos
volume (p. 549)s stockée dans Amazon S3 (p. 498). Vous pouvez utiliser
les instantanés comme point de départ des nouveaux volumes Amazon EBS ou
comme protection de vos données à des fins de durabilité à long terme.
See Also Snapshot DB.
SNS See Amazon Simple Notification Service (Amazon SNS).
SOAP Simple Object Access Protocol. Protocole XML qui vous permet d'échanger des
informations via un protocole spécifique (HTTP ou SMTP, par exemple) entre les
applications.
See Also REST, WSDL.
erreur de remise temporaire Échec temporaire de la remise d'un e-mail, tel que celui consécutif à une boîte aux
lettres pleine.
VPN logiciel Connexion VPN sur Internet basée sur une appliance logicielle.
tri activé Amazon CloudSearch (p. 493) : option de champ d'index qui permet qu'un champ
soit utilisé pour trier les résultats de la recherche.
clé de tri Attribut utilisé pour trier l'ordre des clés de partition d'une clé primaire composite
(aussi appelée attribut de plage).
See Also clé de partition, clé primaire.
contrôle destination/source Mesure de sécurité permettant de vérifier qu'une Instance EC2 (p. 517) est à
l'origine de tout le trafic qu'elle envoie et la destination de tout le trafic qu'elle reçoit ;
autrement dit, que l'instance ne relaie pas le trafic. Le contrôle source/destination
Version 1.0
542
est activé par défaut. Pour les instances qui fonctionnent en tant que passerelles,
comme les instances VPC (p. 549) NAT (p. 530), le contrôle source/destination
doit être désactivé.
spam Courrier indésirable en nombre.
spamtrap Adresse électronique créée par une entité anti-spam (p. 543), non pas pour la
correspondance, mais pour surveiller les e-mails indésirables. Egalement appelé un
honeypot.
SPF Sender Policy Framework. Norme d'authentification des e-mails.
instance Spot Type d'Instance EC2 (p. 517) sur laquelle vous pouvez miser afin de tirer parti
d'une capacité Amazon EC2 (p. 495) non exploitée.
prix Spot Prix d'une instance Spot (p. 543) à un instant donné. Si votre prix maximal
dépasse le prix actuel et que vos restrictions sont respectées, Amazon
EC2 (p. 495) lance les instances en votre nom.
Condition de correspondance AWS WAF (p. 508) : Attribut qui spécifie la partie des demandes web,
d'injection SQL telle qu'un en-tête ou une chaîne de requête, qu'AWS WAF inspecte pour la
détection de code SQL malveillant. En fonction des conditions spécifiées, vous
pouvez configurer AWS WAF afin d'autoriser ou de bloquer les demandes web
adressées aux ressource (p. 537)s AWS, telles que les distributions Amazon
CloudFront (p. 493).
SQS See Amazon Simple Queue Service (Amazon SQS).
SSE See chiffrement côté serveur (SSE).
SSL Secure Sockets Layer (SSL)

See Also Transport Layer Security (TLS).
SSO See Authentification unique AWS.
pile AWS CloudFormation (p. 501) : ensemble de ressource (p. 537)s AWS que
vous créez et supprimez en tant qu'unité unique.
AWS OpsWorks (p. 505) : ensemble d'instances que vous voulez gérer de
manière collective, généralement parce qu'elles ont un objectif commun tel que le
traitement des applications PHP. Une pile sert de conteneur et gère les tâches qui
s'appliquent au groupe d'instances dans son ensemble, telle que la gestion des
applications et des livres de recettes.
station AWS CodePipeline (p. 502) : partie du flux de travail d'un pipeline où une ou
plusieurs actions sont exécutées.
station Emplacement d'une installation AWS où vos données AWS Import/Export sont
transférés depuis ou vers votre périphérique de stockage.
statistique L'une des cinq fonctions des valeurs soumises pour une période
d'échantillonnage (p. 539) donnée. Ces fonctions sont Maximum, Minimum, Sum,
Average et SampleCount.
radical Racine ou sous-chaîne commune partagée par un ensemble de mots associés.
recherche de radical Processus de mappage des mots associés à un radical commun. Permet la
correspondance sur les variantes d'un mot. Par exemple, la recherche de
« cheval » pourrait retourner une correspondance pour chevaux, chevalin, chevalier
Version 1.0
543
et cheval. Amazon CloudSearch (p. 493) prend en charge la recherche de radical

basée sur le dictionnaire et la recherche de radical par algorithme.
step Amazon EMR (p. 495) : Fonction unique appliquée aux données d'un flux de
travail (p. 525). La somme de toutes les étapes compose un flux de travail.
type d'étape Amazon EMR (p. 495): Type de travail effectué dans une étape. Il existe un
nombre limité de types d'étape, telles que, par exemple, la migration des données
depuis Amazon S3 (p. 498) vers Amazon EC2 (p. 495) ou depuis Amazon EC2
vers Amazon S3.
session permanente Fonctionnalité de l'équilibreur de charge Elastic Load Balancing (p. 518) qui lie la
session d'un utilisateur à une instance d'application spécifique afin que toutes les
demandes provenant de l'utilisateur pendant la session soient envoyés à la même
instance d'application. Par contraste, un équilibreur de charge achemine par défaut
chaque demande de façon indépendante vers l'instance d'application ayant la plus
petite charge.
stopping Processus de filtrage des mots vides à partir d'un index ou d'une demande de
recherche.
mot vide Mot qui n'est pas indexé et qui est automatiquement filtré en dehors des demandes
de recherche, car il n'est pas significatif ou est si commun que son inclusion
entraînerait trop de correspondances pour qu'elles soient utiles. Les mots vides
sont spécifiques à une langue.
streaming Amazon EMR (Amazon EMR) (p. 495) : utilitaire fourni avec Hadoop (p. 522)
qui vous permet de développer les exécutables MapReduce en d'autres langages
que Java.
Amazon CloudFront (p. 493) : Possibilité d'utiliser un fichier multimédia en temps

réel, tel qu'il est transmis —dans le flux régulier d'un serveur.
distribution en streaming Type spécial de distribution (p. 516) qui sert les fichiers multimédias diffusés à
l'aide d'une connexion RTMP (Real Time Messaging Protocol).
Streams See Amazon Kinesis Data Streams.
chaîne à signer Avant de calculer une signature HMAC (p. 522), vous commencez par assembler
les composants requis selon un ordre canonique. La chaîne préchiffrée est la
chaîne à signer.
condition de correspondance AWS WAF (p. 508) : Attribut qui spécifie les chaînes qu'AWS WAF recherche
de chaîne dans une requête web, telle qu'une valeur dans un en-tête ou une chaîne
de requête. En fonction des conditions spécifiées, vous pouvez configurer
AWS WAF afin d'autoriser ou de bloquer les demandes web adressées aux
ressource (p. 537)s AWS, telles que les distributions CloudFront (p. 493).
lecture à cohérence forte Processus de lecture qui retourne une réponse comportant les données les
plus récentes, reflétant ainsi les mises à jour de toutes les opérations d'écriture
précédentes ayant réussi, quelle que soit la région—.
See Also cohérence des données, cohérence à terme, lecture cohérente à terme
(eventually consistent).
requête structurée Critères de recherche spécifiés à l'aide du langage de requête structuré Amazon
CloudSearch (p. 493). Vous utilisez le langage de requête structuré pour
construire des requêtes composées qui utilisent des options de recherche avancée
et associent plusieurs critères de recherche à l'aide d'opérateurs booléens.
STS See AWS Security Token Service (AWS STS).
Version 1.0
544
sous-réseau Segment du plage d'adresses IP d'un VPC (p. 549) auquel les Instance
EC2 (p. 517) peuvent être attachées. Vous pouvez créer des sous-réseaux pour
regrouper les instances en fonction des besoins opérationnels et de sécurité.
bouton d'abonnement Bouton codé en HTML qui offre un moyen simple de facturer aux clients des frais
récurrents.
outil de suggestion Amazon CloudSearch (p. 493) : spécifie un champ d'index que vous voulez
utiliser pour obtenir des suggestions de saisie automatique et des options qui
permettent d'activer les correspondances approximatives et de contrôler la façon
dont les suggestions sont triées.
suggestions Documents contenant une correspondance pour la chaîne de recherche partielle

dans le champ désigné par le outil de suggestion (p. 545). Les suggestions
Amazon CloudSearch (p. 493) incluent les ID de document et les valeurs de
champ de chaque document correspondant. Pour être une correspondance, la
chaîne doit correspondre à la valeur du champ du début jusqu'à la fin de celui-ci.
AMI supportées Amazon Machine Image (AMI) (p. 496) similaire à une AMI payant (p. 532), si
ce n'est que le propriétaire facture les logiciels ou services supplémentaires qu'un
client utilise avec ses propres AMI.
SWF See Amazon Simple Workflow Service (Amazon SWF).
chiffrement symétrique Chiffrement (p. 518) qui utilise une clé privée uniquement.
See Also chiffrement asymétrique.
non-remise synchrone Type de retour à l'expéditeur (p. 509) qui se produit tandis que les serveurs de
messagerie de l'expéditeur (p. 541) et du récepteur (p. 536) communiquent
activement.
synonyme Mot qui est le même ou presque le même qu'un mot indexé et qui devrait produire
les mêmes résultats lorsqu'il est spécifié dans une demande de recherche.
Par exemple, la recherche de « Rocky Four » ou « Rocky 4 » doit retourner le
quatrième film Rocky. Ce résultat peut être obtenu en définissant four et 4 comme
synonymes de IV. Les synonymes sont spécifiques à une langue.
T
W (p. 549) | X, Y, Z (p. 550)
table Ensemble de données. De même que les autres systèmes de base de données,
DynamoDB stocke les données dans des tables.
balise Métadonnées que vous pouvez définir et attribuer aux AWS ressource (p. 537)s,
comme une Instance EC2 (p. 517). Certaines ressources AWS ne peuvent pas
être balisées.
balisage Balisage des ressources : application d'une balise (p. 545) à une
ressource (p. 537) AWS.
Amazon SES (p. 498) : Aussi appelé étiquetage. Solution pour mettre en forme
les adresses e-mail du chemin d'accès du retour (p. 538) de façon à pouvoir
spécifier un autre chemin de retour pour chaque destinataire d'un message. Le
balisage vous permet de prendre en charge VERP (p. 548). Par exemple, si
Version 1.0
545
Andrew gère une liste de diffusion, il peut utiliser les chemins de retour andrew
+recipient1@example.net et andrew+recipient2@example.net de manière à ce qu'il
puisse déterminer les e-mails retournés.
attribut cible Amazon Machine Learning (Amazon ML ) : Attribut des données d'entrée qui
contient les réponses « correctes ». Amazon ML utilise l'attribut cible pour
apprendre à faire des prédictions sur les nouvelles données. Par exemple, si vous
développez un modèle pour prédire le prix de vente d'une maison, l'attribut cible
sera « prix de vente cible en USD ».
révision de cible AWS CodeDeploy (p. 502) : version la plus récente de la révision d'application
qui a été chargée sur le référentiel et qui sera déployée sur les instances d'un
groupe de déploiement. En d'autres termes, il s'agit de la révision d'application
actuellement ciblée pour le déploiement. C'est également la révision qui sera
extraite pour les déploiements automatiques.
tâche Instanciation d'une définition de tâche (p. 546) en cours d'exécution sur une
instance de conteneur (p. 512).
définition de tâche Plan de votre tâche. Spécifie le nom de la tâche (p. 546), les révisions, les
définition de conteneur (p. 512) et les informations de volume (p. 549).
nœud de tâche Instance EC2 (p. 517) qui exécute les tâches de mappage et de réduction de
Hadoop (p. 522), mais qui ne stocke pas de données. Les nœuds de tâche sont
gérés par le nœud maître (p. 528), qui attribue les tâches Hadoop aux nœuds
et surveille leur état. Pendant qu'un flux de travail est en cours d'exécution, vous
pouvez augmenter et diminuer le nombre de nœuds de tâche. Comme ils ne
stockent pas les données et peuvent être ajoutés à un flux de travail (ou en être
supprimés), vous pouvez utiliser les nœuds de tâche pour gérer la capacité des
instances EC2 utilisée par votre flux de travail, en augmentant la capacité pour
gérer les pics de charges et la réduisant ultérieurement.
Les nœuds de tâches exécutent uniquement un démon TaskTracker Hadoop.
tébioctet (Tio) Une contraction de téraoctet et de binaire, un tébioctet vaut 2^40 ou

1 099 511 627 776 octets. Un téraoctet (To) équivaut à 10^12 ou
1 000 000 000 000 octets. 1 024 Tio composent un pébioctet (Pio) (p. 533).
version de format de modèle Version de la conception d'un modèle AWS CloudFormation (p. 501)
qui détermine les fonctionnalités disponibles. Si vous omettez la section
AWSTemplateFormatVersion dans votre modèle, AWS CloudFormation utilise la
version de format la plus récente.
validation de modèle Processus de confirmation de l'utilisation du code JSON (p. 525) dans un modèle
AWS CloudFormation (p. 501). Vous pouvez valider n'importe quel modèle AWS
CloudFormation à l'aide de la commande cfn-validate-template.
informations d'identification de Informations d'authentification fournies par AWS STS (p. 506) lorsque vous
sécurité temporaires appelez une action d'API STS. Inclut un ID de clé d'accès (p. 491), une clé
d'accès secrète (p. 540), un jeton de session (p. 541) et une date d'expiration.
limitation Restriction ou ralentissement automatique d'un processus en fonction d'une ou de

plusieurs limites. Exemples : Amazon Kinesis Data Streams (p. 496) limite les
opérations si une application (ou un groupe d'applications fonctionnant sur le même
flux) tente d'extraire les données d'une partition à une vitesse supérieure à la limite
de partition. Amazon API Gateway (p. 493) utilise la limitation pour limiter les
taux de demande d'état régulières d'un seul compte. Amazon SES (p. 498) utilise
la limitation pour rejeter les tentatives d'envoi d'un e-mail qui dépasse les limites
d'envoi (p. 541).
Version 1.0
546
données de série Données fournies dans le cadre d'une métrique. La valeur temps correspond
chronologique au moment où la valeur se produit. Une métrique est le concept fondamental de
Amazon CloudWatch (p. 493) et représente un ensemble de points de données
ordonnés dans le temps. Vous publiez les points de données des métriques dans
CloudWatch et récupérez ultérieurement les statistiques relatives à ces points de
données sous forme d'un ensemble ordonné de données chronologiques.
timestamp Chaîne date/heure au format ISO 8601.
TLS See Transport Layer Security (TLS).
création de jetons Processus de fractionnement d'un flux de texte en jetons distincts sur des limites
détectables telles que les espaces et les traits d'union.
topic Canal de communication pour envoyer des messages et s'abonner aux

notifications. Elle fournit un point d'accès aux éditeurs et abonnés, qui leur permet
de communiquer entre eux.
Mise en miroir du trafic Fonction Amazon VPC que vous pouvez utiliser pour copier le trafic réseau
depuis une interface réseau Elastic d'instances Amazon EC2, puis l'envoyer à des
appliances de surveillance et de sécurité hors bande en vue d'une inspection du
contenu d'une surveillance des menaces et d'une résolution des problèmes.
See Also https://aws.amazon.com/vpc/.
source de données de Source de données qui contient les données qu'Amazon Machine Learning utilise
formation pour entraîner le modèle d'apprentissage à faire des prédictions.
transition AWS CodePipeline (p. 502) : acte de révision dans un pipeline se poursuivant
d'une étape à l'autre dans un flux de travail.
Transport Layer Security Protocole de chiffrement assurant la sécurité des communications sur Internet. Son
(TLS) prédécesseur est SSL (Secure Sockets Layer).
stratégie d'approbation IAM (p. 504) stratégie (p. 533) qui est une partie inhérente d'un IAM
rôle (p. 538). La stratégie d'approbation spécifie les principal (p. 534)s autorisés
à utiliser le rôle.
utilisateurs de confiance compte (p. 492)s AWS auxquels le propriétaire de distribution

CloudFront (p. 493) a donné l'autorisation de créer des URL signées pour le
contenu d'une distribution.
réglage Sélection du nombre et du type d'AMI (p. 496) pour exécuter un flux de travail
Hadoop (p. 522) plus efficacement.
tunnel Itinéraire pour la transmission d'un trafic réseau privé qui utilise Internet pour
se connecter aux nœuds du réseau privé. Le tunnel utilise le chiffrement et les
protocoles de sécurisation comme PPTP pour empêcher que le trafic ne soit
intercepté lorsqu'il franchit les nœuds de routage publics.
U
W (p. 549) | X, Y, Z (p. 550)
illimité Le nombre d'occurrences potentielles n'est pas limité par un nombre défini. Cette
valeur est souvent utilisée lors de la définition d'un type de données qui est une liste
(par exemple, maxOccurs="unbounded"), dansWSDL (p. 550).
Version 1.0
547
unité Mesure standard pour les valeurs envoyées à Amazon CloudWatch (p. 493)
comme données des métriques. Les unités incluent la seconde, le pourcentage,
l'octet, le nombre, les octets/s, les bits/s, les n/s et aucune.
annuler le lien du VPC Processus d'annulation de la liaison (ou du détachement) d'une instance (p. 524)
EC2-Classic à partir d'un VPC (p. 549) ClassicLink.
See Also ClassicLink, lien vers un VPC.
rapport d'utilisation Enregistrement d'AWS qui détaille votre utilisation d'un service AWS particulier.
Vous pouvez générer et télécharger les rapports d'utilisation depuis https://
aws.amazon.com/usage-reports/.
user Personne ou application sous un compte (p. 492) qui doit effectuer des appels
d'API pour les produits AWS. Chaque utilisateur est doté d'un nom unique au sein
du compte AWS et est associé à un ensemble unique d'informations d'identification
de sécurité qui ne sont pas partagées avec d'autres utilisateurs. Ces informations
d'identification sont distinctes des informations d'identification de sécurité du
compte AWS. Chaque utilisateur est associé à un seul et même compte AWS.
V
W (p. 549) | X, Y, Z (p. 550)
validation See validation de modèle.
valeur Exemples d'attributs (p. 500) d'un élément, tels que les cellules d'une feuille de
calcul. Un attribut peut avoir plusieurs valeurs.
Balisage des ressources : étiquette de balise (p. 545) spécifique qui agit comme
descripteur au sein d'une catégorie de balise (clé). Par exemple, vous pouvez avoir
une Instance EC2 (p. 517) avec la clé de balise Owner et la valeur de balise Jan.
Vous pouvez baliser une AWS ressource (p. 537) jusqu'à 10 paires clé–valeur au
plus. Certaines ressources AWS ne peuvent pas être balisées.
Variable Envelope Return See VERP.

Path (méthode de l'adresse de
retour variable)
vérification Processus consistant à confirmer que vous possédez une adresse e-mail ou un
domaine de telle sorte que vous pouvez lui envoyer des e-mails ou en recevoir.
VERP Variable Envelope Return Path (méthode de l'adresse de retour variable). Solution
dans laquelle les applications d'envoi d'e-mail peuvent faire correspondre les e-
mails retour à l'expéditeur (p. 509) et l'adresse ayant entraîné la non-remise à
l'aide d'un chemin d'accès du retour (p. 538) différent pour chaque destinataire.
VERP est généralement utilisé pour les listes de diffusion. Avec VERP, l'adresse
e-mail du destinataire est intégrée à l'adresse du chemin de retour, qui correspond
à l'emplacement où l'e-mail non remis est retourné. Cela permet d'automatiser le
traitement des e-mails non remis sans avoir à ouvrir ceux-ci, qui peuvent varier en
termes de contenu.
gestion des versions Chaque objet d'Amazon S3 (p. 498) possède une clé et un ID de version. Les
objets avec une clé identique, mais différents ID de version, peuvent être stockés
dans le même bucket (p. 509). La gestion des versions est activée au niveau de
la couche du compartiment à l'aide de la gestion des versions PUT Bucket.
Version 1.0
548
VGW See passerelle réseau privé virtuel (VGW).
virtualisation Permet à plusieurs machines virtuelles invitées de s'exécuter sur un système

d'exploitation hôte. Les machines virtuelles invitées peuvent exécuter un ou
plusieurs niveaux par-dessus le matériel hôte, en fonction du type de virtualisation.
See Also virtualisation paravirtuelle, virtualisation HVM.
virtual private cloud See VPC.
passerelle réseau privé virtuel Côté Amazon d'un Connexion VPN (p. 549) qui maintient la connexion. Les
(VGW) interfaces internes de la passerelle réseau privée virtuelle se connectent à votre
VPC (p. 549) via l’attachement VPN. Les interfaces externes se connectent à la
connexion VPN, qui mène à la passerelle client (p. 513).
délai de visibilité Période pendant laquelle un message est invisible pour le reste de l'application,
une fois qu'il a été retiré de la file d'attente par un des composants de l'application.
Durant cette période, généralement, le composant qui reçoit le message le traite,
puis le supprime de la file d'attente. Cela évite que plusieurs composants ne traitent
le même message.
volume Quantité fixe de stockage sur une instance (p. 524). Vous pouvez partager
les données de volume entre les conteneur (p. 512)s et rendre les données
persistantes sur l'instance de conteneur (p. 512) lorsque les conteneurs ne sont
plus en cours d'exécution.
VPC Virtual Private Cloud. Réseau élastique renseigné par les services d'infrastructure,
de plateforme et d'application qui partagent une sécurité et une interconnexion
communes.
Point de terminaison d'un VPC Fonction qui vous permet de créer une connexion privée entre votre VPC (p. 549)
et un autre service AWS sans requérir d'accès sur Internet, via une instance
NAT (p. 530), une connexion Connexion VPN (p. 549) ou AWS Direct
Connect (p. 502).
VPG See passerelle réseau privé virtuel (VGW).
VPN CloudHub See AWS VPN CloudHub.
Connexion VPN Amazon Web Services (AWS) (p. 498) : connexion IPsec entre un VPC (p. 549)
et certains autres réseaux, tels qu'un centre de données d'entreprise, un réseau
domestique ou une installation de colocation.
W
W (p. 549) | X, Y, Z (p. 550)
WAM See Amazon WorkSpaces Application Manager (Amazon WAM).
liste de contrôle d'accès web AWS WAF (p. 508) : Ensemble de règles qui définit les conditions qu'AWS WAF
(liste ACL web) recherche dans les demandes web adressées aux ressource (p. 537)s AWS,
telles que les distributions Amazon CloudFront (p. 493). Liste de contrôle d'accès
web (ACL web) spécifie si les demandes doivent être autorisées, bloquées ou
comptabilisées.
Web Services Description See WSDL.

Language
Version 1.0
549
WSDL Web Services Description Language. Langage utilisé pour décrire les actions qu'un
service web peut exécuter, ainsi que la syntaxe des demandes d'action et de leurs
réponses.
See Also REST, SOAP.
X, Y, Z
un certificat X.509 Document numérique qui utilise la norme d'infrastructure à clé publique (PKI)
X.509 pour vérifier qu'une clé publique appartient à l'entité décrite dans le
certificat (p. 510).
yobioctet (Yio) Contraction de yottaoctet et de binaire, un yobioctet vaut 2^80 ou

1 208 925 819 614 629 174 706 176 octets. Un yottaoctet (Yo) équivaut à 10^24 ou
1 000 000 000 000 000 000 000 000 octets.
zébioctet (Zio) Contraction de zettaoctet et de binaire, un zébioctet vaut 2^70 ou

1 180 591 620 717 411 303 424 octets. Un zettaoctet (Zo) vaut 10^21 ou
1 000 000 000 000 000 000 000 octets. 1 024 Zio composent un yobioctet
(Yio) (p. 550).
prise en compte des zones Amazon Elasticsearch Service (Amazon ES) (p. 495) : configuration qui répartit
les nœuds d'un cluster sur deux Zone de disponibilité (p. 500)s de la même
Région. La prise en compte des zones permet d'éviter la perte de données et réduit
le temps d'arrêt en cas de défaillance du nœud et du centre de données. Si vous
activez la prise en compte des zones, vous devez avoir un nombre pair d'instances
de données dans le nombre d'instances, et vous devez également utiliser l'API de
configuration d'Amazon Elasticsearch Service pour répliquer vos données pour
votre cluster Elasticsearch.
Version 1.0
550

AWS API Extract

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

AWS API Extract

Загружено:

Авторское право:

Доступные форматы

Références générales AWS Guide de référence

Nouvelles tentatives d'API

Table des matières

Nouvelles tentatives après erreur et interruptions

Do some asynchronous operation.

status = Get the result of the asynchronous operation.

WHILE (retry AND (retries < MAX_RETRIES))

Le code suivant montre comment implémenter ce délai incrémentiel dans Java.

public enum Results {

// Wait for the result.

// Get the result of the asynchronous operation.

} while (retry && (retries++ < MAX_RETRIES));

catch (Exception ex) {

long waitTime = ((long) Math.pow(2, retryCount) * 100L);

Signature des demandes d'API AWS

Quand est-il nécessaire de signer les demandes ?

Pourquoi les demandes sont-elles signées ?

• Vérifier l'identité du demandeur

• Protéger les données en transit

Signature des requêtes

• Utilisation de l'en-tête Authorization HTTP.

Toutes les régions AWS prennent en charge Signature Version 4.

Processus de signature Signature Version 4

Fonctionnement de Signature Version 4

1. Créer une demande canonique.

Pour de plus amples informations, veuillez consulter les ressources suivantes :

Modification dans Signature Version 4

Éléments d'une demande AWS Signature Version 4

• Spécification du point de terminaison

Spécification du point de terminaison

Paramètres obligatoires et facultatifs

Signature des demandes AWS avec Signature Version 4

Récapitulatif des étapes de signature

Ressources de signature supplémentaires

Les ressources supplémentaires suivantes illustrent les aspects du processus de signature :

Représentation de la signature dans une demande

GET https://iam.amazonaws.com/?Action=ListUsers&Version=2010-05-08 HTTP/1.1

L'en-tête Authorization comprend les informations suivantes :

• Algorithme que vous avez utilisé pour la signature (AWS4-HMAC-SHA256)

GET https://iam.amazonaws.com/?Action=ListUsers&Version=2010-05-08 HTTP/1.1

Demandes GET et POST dans l'API de requête

Le processus de signature est identique pour les deux types de requêtes.

Tâche 1 : créer une demande canonique pour Signature Version 4

L'exemple suivant illustre le pseudo-code pour créer une demande canonique.

Example pseudo-code de la demande canonique

GET https://iam.amazonaws.com/?Action=ListUsers&Version=2010-05-08 HTTP/1.1

Example méthode de demande

Example URI canonique avec encodage

d'accès à my-object/example/photo.user entraîne un échec de la demande. Pour plus

Example URI canonique

Example chaîne de requête canonique

Pour construire la chaîne de requête canonique, exécutez les étapes suivantes :

• N'encodez pas de l'URI les caractères autorisés que RFC 3986 définit : A à Z, a à z, 0 à 9, le

Example paramètres d'authentification dans une chaîne de requête

Example en-têtes canoniques

Le pseudo-code suivant décrit comment construire la liste canonique des en-têtes :

• Ajoutez le nom d'en-tête en minuscules suivi de deux points.

Example en-têtes d'origine

Example forme canonique

Dans la forme canonique, les modifications suivantes ont été apportées :

• Les noms d'en-tête ont été convertis en caractères minuscules.

Example en-têtes signés

Example structure de la charge utile

# * REQUEST VALUES *

# * TASK 1: CREATE A CANONICAL REQUEST *

# * TASK 2: CREATE THE STRING TO SIGN*

# * TASK 3: CALCULATE THE SIGNATURE *

# * TASK 4: ADD SIGNING INFORMATION TO THE REQUEST *

# * SEND THE REQUEST *