🌐 Amazon CloudFront (CDN & Edge Network)

Guide IDEO-Lab : Distribution de contenu (Web, APIs, Vidéo), Caching, Sécurité WAF/Shield & Intégrations S3 / ALB / API Gateway.

1.1

Concept : CDN Global & Edge

CloudFront est un CDN mondial, avec des Edge Locations proches des utilisateurs pour réduire la latence.

CDN Edge

1.2

Concept : Origins & Behaviors

Association des chemins d’URL aux origines (S3, ALB, API, Custom) via les Cache Behaviors.

Origins Behaviors

1.3

Concept : Cache & TTL

Durée de vie du contenu, prise en compte des headers, cookies et query strings.

TTL Cache Policy

2.1

Sécurité : HTTPS & TLS

Certificats ACM, redirection HTTP→HTTPS, politiques TLS modernes.

ACM TLS 1.2+

2.2

Sécurité : Contenu Privé

Signed URLs & Signed Cookies pour restreindre l’accès à certains fichiers (VOD, documents payants).

Private Content Signed URL

2.3

Sécurité : WAF & Shield

Protection DDoS (Shield) et filtrage applicatif (WAF, règles gérées & IP sets).

AWS WAF Shield

3.1

Perf : Edge & Latence

Anycast, réseau AWS, Regional Edge Caches et impact sur le TTFB.

Anycast Latency

3.2

Perf : Policies de Cache

Gestion fine des cookies, headers et query strings pour booster le cache hit ratio.

Cache Policy Hit Ratio

3.3

Use Case : Site statique S3

Architecture simple : S3 privé + Origin Access Control + CloudFront + Route53.

S3 Static Website

4.1

Use Case : API REST

CloudFront devant API Gateway ou ALB pour gérer cache, WAF et TLS globale.

API Gateway ALB

4.2

Use Case : Streaming Vidéo

Distribution HLS/DASH, segmentation, et multi-régions pour une VOD performante.

HLS VOD

5.1

Tarification CloudFront

Data Transfer, nombre de requêtes, invalidations et bonnes pratiques FinOps.

Billing FinOps

8. Écosystème : Intégrations Services AWS

Le Duo Incontournable : S3 + CloudFront

L'intégration native pour héberger des sites statiques, des images ou des documents.

Architecture Sécurisée (OAC)

Bucket Privé : "Block Public Access" doit être sur ON.
OAC (Origin Access Control) : Le mécanisme moderne qui remplace OAI. Il signe les requêtes vers S3 (SigV4).
Transfer Acceleration : Inutile si vous utilisez CloudFront (car l'upload passe par l'Edge).

Bucket Policy Requise

Le bucket doit autoriser CloudFront explicitement.

                            {
                            "Effect": "Allow",
                            "Principal": { "Service": "cloudfront.amazonaws.com" },
                            "Action": "s3:GetObject",
                            "Resource": "arn:aws:s3:::mon-bucket/*",
                            "Condition": {
                            "StringEquals": {
                            "AWS:SourceArn": "arn:aws:cloudfront::ACC_ID:distribution/DIST_ID"
                            }
                            }
                            }

Optimiser API Gateway avec CloudFront

Piège d'Architecture : Si vous mettez CloudFront devant API Gateway, vous DEVEZ configurer votre API Gateway en mode REGIONAL.

Type d'API Gateway	Comportement	Verdict avec CloudFront
Edge-Optimized	Utilise déjà une distribution CloudFront gérée par AWS (invisible).	Mauvais Double saut (CloudFront -> CloudFront AWS -> API). Latence ajoutée.
Regional	Déployé dans la région spécifique (ex: eu-west-3). Pas de CDN intégré.	Parfait Architecture propre : Client -> Votre CloudFront -> API Gateway Regional.

Avantages de cette stack :

Caching : Mettre en cache les réponses GET coûteuses directement à l'Edge (économise des invocations Lambda).
Timeout : CloudFront permet de gérer des timeouts différents (jusqu'à 60s) avant de couper la connexion.

Protéger vos Serveurs (ALB / EC2)

CloudFront agit comme un bouclier devant votre Load Balancer.

La Sécurité "Custom Header"

Empêchez les attaquants de contourner CloudFront en accédant directement à l'ALB.

CloudFront : Ajouter un header origine X-Origin-Secret: s3cr3t-k3y.
ALB Listener : Règle "Si header X-Origin-Secret != s3cr3t-k3y, alors renvoyer 403".

SSL/TLS Offloading

Client -> CloudFront : HTTPS (Certificat ACM Public).
CloudFront -> ALB : HTTPS (Certificat ACM Public ou Privé).
Note : CloudFront maintient des connexions TCP persistantes (Keep-Alive) avec l'ALB, réduisant la charge CPU du handshake SSL sur vos serveurs.

Le Pipeline Vidéo AWS (VOD & Live)

CloudFront est le dernier maillon de la chaîne AWS Media Services.

Service	Rôle	Intégration CloudFront
MediaConvert	Transcodage VOD (MP4 -> HLS/DASH).	Dépose les segments (.ts) dans S3. CloudFront les lit depuis S3.
MediaPackage	Packaging "Just-in-Time" (JITP) et DRM.	Agit comme une Origine HTTP pour CloudFront. CloudFront cache les segments générés dynamiquement.
MediaStore	Stockage optimisé pour le Live (faible latence).	Origine haute performance pour CloudFront (supporte les écritures/lectures concurrentes massives).

Authentification à l'Edge avec Cognito

CloudFront ne supporte pas nativement Cognito (contrairement à l'ALB). Il faut ajouter de l'intelligence.

Solution 1 : Lambda@Edge Authorizer

Une fonction Node.js sur l'événement Viewer Request.

Intercepte la requête.
Vérifie le cookie/header JWT.
Valide le token auprès de Cognito (clé publique).
Si invalide, redirige vers la page de Login Cognito (Hosted UI).

Solution 2 : CloudFront + ALB + Cognito

Si vous avez un ALB derrière, laissez l'ALB gérer l'auth.

CloudFront : "CachingDisabled" (Forward tout).
ALB : Listener Rule "Authenticate with Cognito".
Moins cher et plus simple, mais pas de cache possible pour le contenu privé.

8. Ressources : Documentation, Outils & Communauté

La Documentation de Référence

Les liens indispensables à garder en favoris.

Ressource	Description	Lien
Developer Guide La Bible	Le manuel complet. Tout y est : Architecture, Config, Sécurité. Si vous ne devez en lire qu'un, c'est celui-là.	Ouvrir
API Reference Backend	Pour les développeurs qui automatisent via Boto3 (Python) ou SDK JS. Liste toutes les méthodes (`CreateDistribution`, etc.).	Ouvrir
CloudFormation Ref DevOps	La syntaxe YAML/JSON pour déployer CloudFront. Indispensable pour comprendre les champs `CacheBehavior`.	Ouvrir

🔥 En cas d'urgence : Knowledge Center

AWS maintient des articles spécifiques pour résoudre les erreurs les plus courantes.

Erreur 403 Forbidden

Le classique "Access Denied" sur S3 ou WAF.

Vérifier OAC/OAI.
Vérifier WAF Block.
Vérifier Geo-Blocking.

Guide de résolution 403

Erreur 504 Gateway Timeout

L'origine (ALB/EC2) met trop de temps à répondre.

Vérifier Firewall (Security Group).
Vérifier Keep-Alive Timeout.
Application lente.

Guide de résolution 504

Erreur 502 Bad Gateway

Échec de la connexion SSL entre CloudFront et l'Origine.

Guide SSL/TLS Handshake

AWS re:Post (Forum)

Posez votre question à la communauté et aux ingénieurs AWS.

Accéder au Forum CloudFront

Outils Tiers & Sécurité

Des outils indispensables pour auditer votre distribution.

Outil	Usage	Lien
IP Ranges AWS	La liste JSON officielle des IPs CloudFront. Indispensable pour configurer vos Security Groups si vous voulez whitelister CloudFront.	JSON File
Security Headers Check	Analysez si votre site envoie bien HSTS, X-Frame-Options, etc. (Note A+).	securityheaders.com
SSL Labs	Vérifiez la qualité de votre certificat TLS et de la config CloudFront (Protocoles, Ciphers).	SSLLabs Test
KeyCDN Performance Test	Mesurez le TTFB (Latence) de votre site depuis 10 endroits dans le monde.	Speed Test

Templates & Exemples de Code

Ne partez pas de zéro. Copiez les configs validées par la communauté.

AWS CDK Lib :
Documentation officielle CDK.
Terraform Registry :
Module aws_cloudfront_distribution.
CloudFormation Templates :
GitHub AWS Labs.

# Exemple Terraform Snippet resource "aws_cloudfront_distribution" "s3_distribution" { origin { domain_name = aws_s3_bucket.b.bucket_regional_domain_name origin_id = "S3-Origin" # ... } # ... }

Apprendre par la pratique

🎓 AWS Workshops

Des ateliers "pas à pas" officiels à faire dans votre console.

Amazon CloudFront Workshop

📺 YouTube : AWS Support

Chaîne officielle avec des tutos courts ("How to configure OAC", "How to setup WAF").

AWS Channel

Blogs Techniques (Deep Dive)

7. Avancé : Compute @ Edge & Logique Custom

Choisir son arme : CloudFront Functions vs Lambda@Edge

Ne sortez pas le bazooka (Lambda) pour tuer une mouche. Voici le guide de décision définitif.

Caractéristique	CloudFront Functions (CFF)	Lambda@Edge (L@E)
Use Case	Manipulations légères : Headers, Rewrite URL, Redirections, validation JWT basique.	Logique lourde : Accès réseau (API externe), manipulation du Body, Redimensionnement d'image.
Runtime	JavaScript (ES5.1 strict). Pas de Node.js.	Node.js ou Python. Accès à tout le SDK AWS.
Latence	< 1 ms (Exécution au PoP).	~50 ms à 100 ms (Exécution au Regional Edge Cache). Risque de Cold Start.
Coût	Très faible 0.10$ / million.	Élevé 0.60$ / million + Coût durée (GB-secondes).
Triggers	Viewer Request / Viewer Response.	Viewer Req/Res + Origin Req/Res.

CloudFront Functions : La vitesse pure

Code JS minimaliste exécuté sur les 600+ Edge Locations. Idéal pour normaliser les requêtes avant le cache.

Exemple 1 : Normalisation de Cache (SEO)

Rediriger /about/ vers /about (ou l'inverse) pour éviter le duplicate content.

                            function handler(event) {
                            var request = event.request;
                            var uri = request.uri;

                            // Si l'URL finit par "/" et n'est pas la racine
                            if (uri.endsWith('/') && uri.length > 1) {
                            request.uri = uri.replace(/\/$/, '');
                            // Ou retourner une 301 Redirect
                            return {
                            statusCode: 301,
                            statusDescription: 'Moved Permanently',
                            headers: {
                            "location": { "value": request.uri }
                            }
                            };
                            }
                            return request;
                            }

Exemple 2 : Sécurité (Injection Headers)

Ajouter HSTS et CSP sur toutes les réponses.

                            function handler(event) {
                            var response = event.response;
                            var headers = response.headers;

                            // Ajout HSTS (Force HTTPS 1 an)
                            headers['strict-transport-security'] = 
                            { value: 'max-age=31536000; includeSubdomains' };

                            // Ajout XSS Protection
                            headers['x-content-type-options'] = 
                            { value: 'nosniff' };

                            return response;
                            }

Lambda@Edge : La puissance Node.js

Utilisez L@E quand vous avez besoin de contacter une base de données, une API externe, ou de manipuler des fichiers binaires.

Architecture : Redimensionnement d'image à la volée

Le cas d'usage le plus célèbre. L'utilisateur demande /img/logo.jpg?w=200. S3 n'a que l'original. L@E génère la miniature.

Viewer Request (Client) -> CloudFront -> [CACHE MISS] -> Origin Request (Trigger Lambda@Edge) 1. Vérifie si l'image redimensionnée existe dans S3. 2. Sinon, télécharge l'original, utilise la librairie 'sharp' (Node.js). 3. Redimensionne l'image. 4. Sauvegarde dans S3 (pour la prochaine fois). 5. Renvoie l'image binaire à CloudFront. -> CloudFront met en cache la miniature. -> Viewer Response (Client voit l'image 200px).

Attention aux "Body Triggers" : Si vous activez "Include Body" sur une Lambda@Edge, la limite de payload est de 40KB (Viewer) ou 1MB (Origin). Ne tentez pas de traiter des uploads de fichiers vidéo avec L@E !

Géo-Restriction & Routage Intelligent

Il y a deux façons de gérer la géolocalisation.

1. Le Blocage Brut (Natif)

Configuration dans l'onglet "Security" de la distribution.
Action : Whitelist ou Blacklist de pays.
Résultat : L'utilisateur reçoit une 403 Forbidden (XML Error moche) s'il est dans un pays interdit.
Usage : Embargo, Droits de diffusion stricts.

2. La Redirection (Smart)

Utiliser les headers CloudFront pour guider l'utilisateur sans le bloquer.
Config : Whitelist Header CloudFront-Viewer-Country dans l'Origin Request Policy.

# CloudFront Function pour rediriger if (request.headers['cloudfront-viewer-country']) { var country = request.headers['cloudfront-viewer-country'].value; if (country === 'FR') { // Rediriger vers le site français return { statusCode: 302, headers: { "location": { "value": "/fr/" } } }; } }

Authentification Custom @ Edge

Pour les cas où Signed URLs ne suffisent pas (ex: Intégration Auth0 / Cognito complexe), on utilise Lambda@Edge sur le Viewer Request.

Méthode	Complexité	Description
Signed URLs / Cookies	Moyenne	Standard AWS. Le backend signe, CloudFront vérifie (RSA). Très rapide, pas de code à l'Edge.
Lambda Authorizer	Haute	La Lambda intercepte chaque requête, décrypte le JWT Header, valide la signature avec Cognito/Auth0, et renvoie "Allow" ou "Deny". Attention à la latence et au coût ! (Ajoute ~50ms à chaque requête).

2.3 Sécurité : WAF, Shield & Protection DDoS

🎓 Le concept : Le Videur de la Boîte de Nuit

Imaginez que votre application est une boîte de nuit très prisée. CloudFront est la porte d'entrée principale. AWS WAF (Web Application Firewall) est le videur posté juste devant cette porte.

Comment ça marche ?

Le client envoie une requête (ex: GET /admin).
La requête arrive à l'Edge Location (le point d'entrée AWS le plus proche).
Avant de vérifier si la page est en cache, le WAF inspecte la carte d'identité de la requête (IP, User-Agent, Contenu).
Si le WAF dit NON (Block), le client reçoit une erreur 403 Forbidden instantanément. Votre serveur (Origin) n'est même pas au courant.

Le concept de "Web ACL" & WCU

Une Web ACL (Access Control List) est la "liste des consignes" donnée au videur. Mais attention, le videur a une capacité cérébrale limitée, appelée WCU (Web ACL Capacity Units).

Capacité totale : 1500 WCUs (par défaut).
Une règle simple (ex: "Bloquer l'IP 1.2.3.4") coûte 1 WCU.
Une règle complexe (ex: "Détection d'injection SQL intelligente") coûte 200 WCUs.
Conseil débutant : Surveillez votre jauge de WCU quand vous ajoutez des "Managed Rules" AWS.

Piège classique du débutant : Pour CloudFront, vous DEVEZ créer votre WAF dans la région US East (N. Virginia) - us-east-1. Si vous le créez à Paris (eu-west-3), vous ne pourrez pas l'attacher à CloudFront !

🛠️ Atelier : Créer une règle de Rate Limiting

Scénario : Un petit malin essaie de deviner vos mots de passe en envoyant 10 000 requêtes par minute sur votre page de login.
Solution : On va dire au WAF : "Si une même IP envoie plus de 100 requêtes en 5 minutes sur /login, bloque-la !".

Déchiffrer le JSON (Ligne par ligne)

Voici la traduction humaine de la configuration technique :

ScopeDownStatement : "Je ne regarde QUE les requêtes qui..."
ByteMatchStatement : "...contiennent le texte '/login'..."
RateBasedStatement : "...et je compte combien il y en a par IP."
Action Block : "Si ça dépasse 100, je coupe l'accès."

Le Code (Prêt à l'emploi)

                            {
                            "Name": "Protection-BruteForce-Login",
                            "Priority": 0,
                            "Action": { "Block": {} },
                            "VisibilityConfig": {
                            "SampledRequestsEnabled": true,
                            "CloudWatchMetricsEnabled": true,
                            "MetricName": "BruteForceLogin"
                            },
                            "Statement": {
                            "RateBasedStatement": {
                            "Limit": 100,
                            "AggregateKeyType": "IP",
                            "ScopeDownStatement": {
                            "ByteMatchStatement": {
                            "SearchString": "/login",
                            "FieldToMatch": {
                            "UriPath": {}
                            },
                            "TextTransformations": [
                            { "Priority": 0, "Type": "NONE" }
                            ],
                            "PositionalConstraint": "STARTS_WITH"
                            }
                            }
                            }
                            }
                            }

🤖 La Guerre des Robots (Bot Control)

Sur Internet, 40% du trafic vient de robots. Certains sont gentils (GoogleBot), d'autres sont méchants (Scrapers, DDOS). AWS WAF propose une fonctionnalité "clé en main" : Bot Control.

Catégorie	Exemples	Action Recommandée
Verified Bots	Googlebot, Bingbot, Pinterest.	ALLOW (Laisser passer). Ils référencent votre site.
Common Bots	Outils SEO (Ahrefs, Semrush), Curl, Wget.	BLOCK ou RATE LIMIT si vous ne voulez pas qu'ils analysent votre site.
Bad Bots	Scripts de scan de vulnérabilité, Impersonators.	BLOCK immédiat.

L'arme ultime : Le CAPTCHA AWS

Parfois, on n'est pas sûr si c'est un humain ou un robot. Au lieu de bloquer bêtement, on lance un défi.

Action : Au lieu de "Block", choisissez "CAPTCHA".
Résultat : L'utilisateur est redirigé vers une page AWS (interstitielle) où il doit résoudre un puzzle.
Succès : Si réussi, AWS pose un cookie. L'utilisateur est tranquille pendant X minutes (configurable).

Aperçu du workflow

Doute

Puzzle

🛡️ AWS Shield : L'Assurance Tous Risques

Une attaque DDoS (Déni de Service Distribué), c'est comme si 10 000 personnes essayaient de rentrer en même temps dans votre magasin pour empêcher les vrais clients d'entrer.

Comparatif : Ai-je besoin de payer 3000$ / mois ?

Shield Standard (Gratuit)	Activé par défaut pour tout le monde. Arrête les attaques "brutes" sur le réseau (Couche 3 & 4). Suffisant pour 90% des sites web classiques.
Shield Advanced (Payant)	Pour les entreprises critiques (Banques, E-commerce géant). Cost Protection : Si une attaque fait exploser votre facture AWS (scaling auto), AWS vous rembourse. DRT (DDoS Response Team) : Accès direct à une équipe d'élite AWS par chat/tel pendant l'attaque pour écrire des règles WAF à votre place.

🕵️ Atelier Debug : "Au secours, mon client est bloqué !"

C'est le problème n°1 du WAF : les Faux Positifs. Vous avez bloqué un vrai client par erreur. Comment savoir pourquoi ?

Astuce de Pro : N'activez jamais une nouvelle règle en mode BLOCK directement. Mettez-la en mode COUNT pendant 24h. Cela compte les "matchs" sans bloquer personne. Vous pouvez ainsi vérifier dans les graphiques si vous allez bloquer tout le monde ou juste les méchants.

La méthode d'investigation via Athena (SQL)

Si vous avez activé les logs WAF (vers S3), voici comment trouver le coupable :

-- 1. Trouver les requêtes bloquées (BLOCK) SELECT timestamp, terminatingruleid as REGLE_COUPABLE, httprequest.clientip as IP_CLIENT, httprequest.country as PAYS, httprequest.uri as URL_DEMANDEE FROM waf_logs WHERE action = 'BLOCK' AND from_iso8601_timestamp(timestamp) > now() - interval '1' hour ORDER BY timestamp DESC LIMIT 20;

Interprétation :
Si vous voyez que la règle REGLE_COUPABLE est "GenericSQLInjection" et que l'URL est /search?query=select, c'est normal (le client tente une injection).
Si l'URL est /blog/article-sur-le-select, c'est un Faux Positif ! Il faut ajouter une exception.

1. Introduction : Comprendre Amazon CloudFront

💡 Comprendre le CDN avec une métaphore

Imaginez que vous vendez le journal "Le Monde" imprimé à Paris (C'est votre Origine / Serveur).

Sans CloudFront : Un client à Tokyo doit prendre l'avion jusqu'à Paris pour acheter son journal. C'est lent, cher, et ça encombre votre imprimerie.
Avec CloudFront : Vous envoyez des copies du journal dans des kiosques locaux à Tokyo, New York, Sydney. Le client va au kiosque au coin de sa rue.

CloudFront, c'est ce réseau de kiosques (plus de 600+ Points de Présence) connectés par un réseau privé ultra-rapide (Backbone AWS).

Architecture Physique

Edge Locations (PoP) : Les "Kiosques". Il y en a partout (Paris, Marseille, Londres, etc.). Ils servent le contenu aux utilisateurs.
Regional Edge Caches : Des "Entrepôts régionaux". Si le kiosque n'a pas le journal, il demande à l'entrepôt régional (plus gros cache) avant de déranger l'imprimerie (Origine).
Origin : Votre S3 ou ALB. Il ne travaille que lorsque le contenu est nouveau ou expiré.

Pourquoi est-ce indispensable en Production ?

Déployer une app web sans CloudFront aujourd'hui est considéré comme une erreur d'architecture (Anti-pattern).

1. Performance (Latence)

CloudFront termine la connexion TLS (HTTPS) proche du client. Le "handshake" SSL se fait en 20ms au lieu de 200ms. De plus, le contenu statique est servi depuis la RAM du serveur Edge.

2. Sécurité (DDoS & WAF)

Votre serveur (Origin) est caché dans un réseau privé. Seul CloudFront l'atteint. AWS Shield absorbe les attaques DDoS (couche 3/4) au niveau des Edge, protégeant votre backend d'écrouler.

3. Coût (Data Transfer)

Le transfert de données sortant (DTO) depuis S3 vers Internet coûte cher. Le transfert S3 vers CloudFront est gratuit. Le DTO depuis CloudFront vers Internet est souvent moins cher que depuis EC2/S3.

4. Gestion Certificat ACM

CloudFront gère votre certificat SSL/TLS public gratuitement (via ACM). Pas besoin de configurer Nginx/Apache avec Certbot sur vos serveurs.

Le voyage d'une requête (Life of a Request)

Comprendre ce flux est vital pour le debugging.

Étape	Action	Détail Technique
1	DNS Resolution	L'utilisateur demande `www.site.com`. Route53 renvoie l'IP de l'Edge Location la plus proche (via Latency-based routing).
2	Connect & TLS	Le navigateur établit une connexion TCP + TLS avec l'Edge. Gain : Pas de round-trip traversant l'océan.
3	Cache Check	CloudFront regarde sa clé de cache (URL + QueryString + Headers choisis). HIT : Renvoi immédiat. Fin. MISS : Passage à l'étape 4.
4	Origin Fetch	CloudFront contacte l'origine (S3/ALB) via le Backbone AWS (réseau privé optimisé, pas l'internet public).
5	Save & Response	CloudFront reçoit la réponse, la stocke (si allowed) et la transmet au client.

Comparatif : Hébergement Site Statique

Pourquoi ne pas juste activer "Static Website Hosting" sur S3 ? C'est plus simple, non ?

Fonctionnalité	S3 (Static Hosting) seul	S3 + CloudFront (Recommandé)
HTTPS / SSL	NON (HTTP uniquement ou URL moche s3-website)	OUI (Certificat Custom ACM)
Performance	Dépend de la région du bucket (lent si utilisateur loin).	Accéléré mondialement (Edge).
Sécurité	Le bucket doit être Public (Risqué).	Le bucket est Privé (Accès restreint via OAC).
Personnalisation	Aucune logique possible.	CloudFront Functions (Redirections, Headers de sécu).

Le Petit Lexique du Débutant CloudFront

Distribution
L'instance de votre CDN. Elle possède un ID (ex: E123456789) et un nom de domaine (ex: d123.cloudfront.net).
Origin
La source de vérité. Là où sont vos fichiers originaux (S3) ou votre serveur (ALB).
Behavior
Les règles de routage. "Si l'URL commence par /images, va vers S3 et cache 24h. Si c'est /api, va vers ALB et ne cache rien."

TTL (Time To Live)
Combien de temps l'objet reste dans le cache avant que CloudFront ne revérifie l'origine. (0s = pas de cache, 31536000s = 1 an).
Invalidation
L'action de forcer la suppression d'un fichier du cache avant l'expiration de son TTL (utile lors d'un déploiement urgent).
OAC (Origin Access Control)
Le "badge de sécurité" que CloudFront montre à S3 pour prouver qu'il a le droit d'accéder aux fichiers privés.

2. Architecture : Le Moteur sous le Capot

La Hiérarchie du Cache AWS

CloudFront n'est pas plat. C'est une structure à double étage pour protéger votre Origine.

1. Client (Utilisateur)
Fait une requête DNS. Grâce à l'Anycast, il est dirigé vers l'IP la plus proche géographiquement.
2. Edge Location (Le Kiosque)
+600 points dans le monde.
Cache "chaud" (très rapide, petite capacité). Sert le contenu populaire instantanément.
3. Regional Edge Cache (L'Entrepôt)
~13 points majeurs.
Si l'Edge a un "Miss", il demande ici. Ces serveurs ont des disques énormes. Ils gardent le contenu "tiède" (longue traîne) pour éviter de taper sur l'Origine.
4. Origin (L'Usine)
Votre S3 ou EC2.
N'est sollicité que si le contenu n'est nulle part (ni Edge, ni Regional).

💡 Le saviez-vous ? (Anycast)

Avec CloudFront, tous les utilisateurs du monde tapent sur la même adresse IP publique (ou une plage très réduite).

C'est le protocole de routage d'Internet (BGP) qui décide : "Toi tu es à Paris, ton chemin le plus court vers cette IP est le datacenter CDG50". "Toi tu es à NY, c'est JFK5".
Résultat : Pas de délai de propagation DNS lors d'un failover mondial.

Origins & Origin Groups (Haute Disponibilité)

Une distribution peut avoir plusieurs sources. Mais comment gérer la panne d'un serveur ?

Type d'Origin	Usage Recommandé	Spécificité
S3 Bucket	Site statique, Images, Vidéos.	Utiliser OAC (voir onglet 4). Haute performance I/O.
ALB / EC2	API, App dynamique (Node, Python).	CloudFront garde des connexions persistantes (Keep-Alive) avec l'ALB pour éviter de refaire le handshake SSL à chaque requête.
MediaStore / MediaPackage	Streaming Live (HLS/DASH).	Optimisé pour les écritures/lectures simultanées.

Origin Group (Failover Automatique)

Vous pouvez grouper deux origines (Primaire + Secondaire).
Si le Primaire renvoie une erreur (500, 502, 503, 504), CloudFront bascule automatiquement la requête vers le Secondaire sans que l'utilisateur ne le voie.

Config: - Primary: ALB-Region-A - Secondary: S3-Maintenance-Page (ou ALB-Region-B) - Trigger: HTTP 502, 503, 504

Cache Behaviors : L'Aiguillage Intelligent

Le Behavior est le cœur logique. Il intercepte l'URL et décide : "Quel cache ? Quelle origine ? Quelle sécurité ?". L'ordre des règles est CRITIQUE (Priorité 0 gagne toujours).

Priorité	Path Pattern	Origin	Cache Policy	Explication
0	`/api/payments/*`	Secure-ALB	CachingDisabled	Pas de cache pour les paiements. On passe tout (Headers, Cookies, QueryString).
1	`/images/*.jpg`	S3-Assets	CachingOptimized	Cache agressif (1 an). Ignore les cookies pour maximiser le Hit Ratio.
Default	`*`	S3-Frontend	CachingOptimized	Le "Catch-all". Sert l'index.html de l'application React/Vue.

Concept Clé : La "Cache Key"
CloudFront stocke les objets sous un ID unique : URL + QueryString + Headers configurés.
Attention : Si vous mettez "All QueryStrings" dans la policy, alors /img.jpg?v=1 et /img.jpg?v=2 seront deux objets différents dans le cache. Si vous mettez "None", CloudFront servira le même fichier peu importe le `?v=...`.

Verrouiller S3 : OAC vs OAI

Ne laissez jamais votre Bucket S3 "Public". Tout le monde doit passer par la porte d'entrée (CloudFront).

❌ OAI (Origin Access Identity)

Obsolète (Legacy).
Ne supporte pas : SSE-KMS (chiffrement), requêtes POST/PUT vers S3, ni les régions opt-in.

✅ OAC (Origin Access Control)

Standard actuel (2024+).
Supporte tout : SSE-KMS, POST/PUT, S3 dans toutes les régions. Plus sécurisé (SigV4).

La Bucket Policy S3 (Copier-Coller)

Voici la politique à mettre sur votre bucket pour n'autoriser QUE votre distribution :

                    {
                    "Version": "2012-10-17",
                    "Statement": {
                    "Sid": "AllowCloudFrontServicePrincipalReadOnly",
                    "Effect": "Allow",
                    "Principal": {
                    "Service": "cloudfront.amazonaws.com"
                    },
                    "Action": "s3:GetObject",
                    "Resource": "arn:aws:s3:::MON-NOM-DE-BUCKET/*",
                    "Condition": {
                    "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1ABCD2EFGHIJK"
                    }
                    }
                    }
                    }

Remplacez MON-NOM-DE-BUCKET et l'ARN de la distribution (E1ABCD...) par vos valeurs.

1.1 Le Concept : Puissance de l'Edge & Backbone

La réalité physique : Régions vs Edge Locations

Beaucoup confondent les "Régions AWS" (là où sont les serveurs) et les "Edge Locations" (là où sont les utilisateurs).

Régions (33+)

Ex: eu-west-3 (Paris), us-east-1 (Virginie).
C'est là que vous stockez vos données (S3) et lancez vos serveurs (EC2). C'est l'Usine.

Edge Locations (600+)

Ex: Marseille, Lyon, Bordeaux, Munich, Palerme...
Ce sont des points de présence légers. C'est le Magasin de proximité. Il y en a partout, même dans les pays sans "Région AWS".

Pourquoi cette distinction ?

La vitesse de la lumière est finie. Un paquet réseau met ~150ms pour faire Paris -> Tokyo (aller-retour).

Le but de CloudFront : Casser cette latence physique en servant le contenu depuis un point situé à moins de 10ms de l'utilisateur, peu importe où il se trouve.

Le secret de la vitesse : "TLS Termination at Edge"

CloudFront ne sert pas juste à mettre en cache. Il accélère aussi les contenus dynamiques (API) grâce à la physique des connexions.

Phase	Sans CloudFront (Direct S3/EC2)	Avec CloudFront
1. Handshake TCP/IP (Se dire "Bonjour")	Le client (Japon) fait 3 allers-retours vers le serveur (Paris). Latence : 150ms x 3 = 450ms	Le client (Japon) fait 3 allers-retours vers l'Edge (Tokyo). Latence : 10ms x 3 = 30ms
2. Handshake SSL/TLS (Échange de clés crypto)	Encore des allers-retours transcontinentaux coûteux.	Négocié localement à Tokyo. Gain énorme sur le TTFB.
3. Requête	Voyage sur l'Internet public (aléatoire).	Voyage sur le réseau privé AWS (optimisé).

Conclusion : Même si vous ne faites AUCUN cache (ex: API bancaire), CloudFront accélère votre site car la connexion s'établit beaucoup plus vite.

Internet Public vs AWS Backbone

Quand un utilisateur accède à votre serveur sans CDN, ses données passent par des dizaines de routeurs de différents FAI (Orange -> Level3 -> Tata -> AWS). C'est l'Internet public : embouteillages, pertes de paquets, routes sous-optimales.

Avec CloudFront, dès que l'utilisateur touche l'Edge Location la plus proche, ses données entrent dans le Réseau Mondial AWS (Backbone).

Fibre optique dédiée propriétaire.
Pas de congestion publique.
Chemin le plus court garanti vers l'Origine.

Le concept de "Cold Start Acceleration"
Même si le fichier n'est PAS dans le cache (Miss), CloudFront le récupère plus vite depuis l'Origine que le client ne le ferait en direct, grâce à ce réseau privé.

La Magie de l'IP Unique (Anycast)

Comment CloudFront sait-il où envoyer l'utilisateur ?

DNS Classique (Unicast)

Une IP = Un Serveur spécifique.
Si le serveur à Paris tombe, il faut changer le DNS pour pointer vers Berlin (lent à propager).

CloudFront (Anycast)

Une IP = Tous les serveurs en même temps.
L'IP publique de votre distribution est annoncée partout dans le monde.
C'est le réseau (BGP) qui dit : "Pour toi qui est à Madrid, cette IP se trouve physiquement à Madrid".

Avantage : Résilience totale. Si l'Edge de Madrid tombe en panne, le réseau redirige instantanément les paquets vers l'Edge de Marseille ou Lisbonne, sans changer de DNS.

1.2 Architecture : Origins & Behaviors (Routage)

CloudFront comme "Reverse Proxy" Unifié

La puissance de CloudFront réside dans sa capacité à faire passer plusieurs serveurs différents pour un seul site web aux yeux de l'utilisateur.

https://www.monsite.com (Point d'entrée unique) │ ├── /api/* ➔ Redirigé vers ALB (Node.js) ├── /blog/* ➔ Redirigé vers WordPress (EC2) ├── /videos/* ➔ Redirigé vers MediaStore └── * (Défaut) ➔ Redirigé vers S3 (React App)

Pourquoi cette architecture ?

Zero CORS : Le front-end (S3) et le back-end (API) sont sur le même domaine. Plus de problèmes de Cross-Origin.
Sécurité unique : Le WAF et le certificat SSL sont gérés une seule fois à l'entrée.
Performance : Connexions persistantes (Keep-Alive) entre CloudFront et les origines.

Les types d'Origins supportés

Type	Format Endpoint	Détails Techniques
S3 Bucket	`bucket.s3.region.amazonaws.com`	Mode "REST". Supporte OAC (Sécurité privée). Idéal pour assets statiques.
ALB (Load Balancer)	`my-alb-123...amazonaws.com`	CloudFront maintient des connexions TCP ouvertes pour réduire la latence. Attention : Le protocole vers l'ALB peut être HTTP ou HTTPS (config "Origin Protocol Policy").
MediaStore / Elemental	Endpoint spécifique vidéo.	Optimisé pour les écritures haute fréquence (Live Streaming).
Custom Origin	IP ou Domaine (ex: on-premise).	Permet d'utiliser CloudFront devant un serveur dans votre datacenter ou chez un autre cloud provider.

La Logique de Priorité des Behaviors

CloudFront analyse l'URL demandée et cherche le premier "Path Pattern" qui correspond. L'ordre est CRITIQUE.

Règle d'Or : CloudFront s'arrête à la première correspondance (Match First).

Priorité	Path Pattern	Origin	Scénario
0	`/images/secret/*`	S3-Secure	Contenu privé. Auth requise (Signed URL). Si je demande `/images/secret/a.jpg`, je m'arrête ici.
1	`/images/*`	S3-Public	Contenu public. Cache agressif. Si je demande `/images/logo.png`, je matche ici (car la règle 0 ne matche pas).
2	`*.php`	EC2-Legacy	Vieux scripts PHP non cachés.
Default	`*`	S3-Frontend	Obligatoire. Le "Catch-All". Si rien d'autre ne matche, on va ici (souvent l'index.html du SPA).

Origin Groups : Haute Disponibilité (Failover)

Que se passe-t-il si votre serveur principal (Origin A) plante (Erreur 500) ?

Le Mécanisme

Créer un "Origin Group" contenant [Origin A, Origin B].
Définir les "Failover Criteria" (ex: 500, 502, 503, 504).
Assigner ce Groupe à un Behavior.

Use Case : Maintenance Page

Origin A : Application API (ALB).
Origin B : Bucket S3 avec une page HTML "Site en maintenance".

Si l'ALB renvoie une 503 (surchargé), CloudFront sert automatiquement la page S3. L'utilisateur ne voit pas d'erreur technique brute.

⚠️ Le Piège S3 : Website vs REST Endpoint

Quand vous configurez un Origin S3, CloudFront vous propose deux choix. Ne vous trompez pas !

Type Endpoint	Format	Fonctionnalités	Verdict
REST API Endpoint	`bucket.s3.amazonaws.com`	Supporte OAC (Bucket Privé) Supporte HTTPS vers l'origine	Recommandé C'est le standard de sécurité.
Website Endpoint	`bucket.s3-website.region...`	Bucket doit être PUBLIC Gère les redirections S3	À éviter Sauf si vous avez besoin des règles de redirection XML spécifiques à S3.

1.3 Mécanique du Cache : TTL, Headers & Policies

Le Jeu de la Négociation : Qui décide de la durée ?

CloudFront possède ses propres réglages (Min/Default/Max TTL), mais votre serveur (Origin) envoie aussi des instructions (Headers). Comment CloudFront tranche-t-il ?

L'Origin envoie...	Config CloudFront (TTL)	Résultat (Durée de cache)	Explication
Rien (Pas de header)	Default TTL (ex: 24h)	24h	CloudFront applique sa valeur par défaut.
`max-age=3600` (1h)	Min=0, Max=1an	1h	CloudFront respecte l'Origin car c'est dans les bornes.
`max-age=10` (10s)	Min TTL = 60s	60s	CloudFront force le cache à durer plus longtemps que l'Origin ne le voulait (Overrule).
`no-store`	N/A	0s	L'objet n'est jamais écrit sur le disque.

Astuce : Utilisez le Min TTL pour protéger votre backend. Même si un développeur publie un code qui dit "ne pas cacher", CloudFront forcera un cache minimum pour éviter l'écroulement du serveur.

Maîtriser les Headers HTTP

C'est le langage universel du cache web. Voici les directives que CloudFront comprend.

Directive "max-age"

Cache-Control: max-age=3600

Standard. Dit au navigateur ET au CDN de garder l'objet 1 heure.

Directive "s-maxage" (CDN Only)

Cache-Control: s-maxage=86400, max-age=60

Magique : Dit au CDN (s=shared) de garder 24h, mais au navigateur du client de ne garder que 60s. Idéal pour mettre à jour le contenu rapidement tout en déchargeant l'Origin.

Directive "no-store"

Cache-Control: no-store

Interdiction stricte d'écrire sur le disque. Pour les données bancaires ou personnelles.

Directive "private"

Cache-Control: private

CloudFront (Public) ne doit PAS cacher. Mais le navigateur (Privé) a le droit.

Cache Policy : Définir la "Cache Key"

La Cache Key est l'identifiant unique d'un objet. Par défaut, c'est juste l'URL. Une Cache Policy permet d'ajouter des variables à cette clé.

Exemple : L'impact des Query Strings

Mauvaise Config (Include ALL QueryStrings)

User A : /image.jpg?ref=twitter
User B : /image.jpg?ref=facebook

CloudFront voit 2 objets différents. Il va chercher l'image 2 fois à l'origine.
Resultat : Cache Miss inutile.

Bonne Config (Managed-CachingOptimized)

Policy : Ignore Query Strings.

CloudFront ignore le ?ref=.... Il sert la même image cached pour tout le monde.
Resultat : Cache Hit massif.

La confusion classique : Cache vs Origin Request

C'est la nuance la plus importante pour l'architecture avancée.

Cache Policy (CP)		Origin Request Policy (ORP)
"Qu'est-ce qui fait varier le contenu stocké ?"	VS	"Quelles données je transmets au backend ?"
Si j'inclus "Cookie: SessionID" ici, je crée un cache différent par utilisateur. (Cache inefficace)		Si j'inclus "Cookie: SessionID" ici, CloudFront ne cache pas par cookie, mais transmet le cookie à l'ALB pour qu'il sache qui est connecté.
Impact : Cache Hit Ratio.		Impact : Fonctionnalité backend.

Cas pratique : Google Analytics (UTM parameters) - URL : /page.html?utm_source=google - Config recommandée : 1. Cache Policy : Exclure "utm_*" (pour servir la même page cached à tout le monde). 2. Origin Request Policy : Inclure "All Query Strings" (si le serveur a besoin de logger l'UTM).

3. Sécurité Infrastructure : TLS, Accès & Compliance

Le Chiffrement en Transit (HTTPS)

CloudFront termine la connexion SSL/TLS aux Edge Locations. Cela décharge vos serveurs du calcul cryptographique coûteux.

1. Certificats (ACM) : Le piège classique

Attention Région !
Pour utiliser un certificat ACM avec CloudFront, il DOIT être émis dans la région US East (N. Virginia) us-east-1. Même si votre bucket S3 est à Paris ou Tokyo. C'est une contrainte immuable de l'architecture globale.

2. Redirection HTTP vers HTTPS

Dans le "Behavior", configurez toujours Viewer Protocol Policy sur Redirect HTTP to HTTPS. Ne laissez jamais HTTP ouvert, sauf pour des besoins très spécifiques (legacy IoT).

3. Security Policy (TLS Versions)

Vous choisissez quels protocoles cryptographiques sont autorisés.

Politique	Détail	Usage
TLSv1.2_2021	Désactive TLS 1.0 et 1.1 (obsolètes).	Recommandé (Standard)
TLSv1	Supporte les très vieux navigateurs/Android.	À éviter (Vulnérable POODLE/BEAST)

CloudFront supporte TLS 1.3 automatiquement si le client est compatible (plus rapide et sécurisé).

Contrôler QUI peut voir le contenu

Geo-Restriction (Geo-Blocking)

Filtrage basé sur une base de données GeoIP maintenue par AWS (précision 99.8%).

Allow List : "Je ne vends mes produits qu'en France et Belgique". Tout le reste est bloqué (403).
Block List : "Je suis sous embargo avec tel pays".
Note : Facilement contournable avec un VPN. Pour une sécurité forte, préférez les Signed URLs.

Contenu Privé : Signed URLs vs Signed Cookies

Pour Netflix, formations payantes, ou documents privés.

Méthode	Cas d'usage idéal
Signed URL	Accès à un seul fichier (ex: lien de téléchargement envoyé par email).
Signed Cookie	Accès à tout un site ou un dossier (ex: zone membre premium, streaming HLS segmenté).

# Exemple de Policy pour URL Signée (JSON) { "Statement": [ { "Resource": "http://d123.cloudfront.net/training/video1.mp4", "Condition": { "DateLessThan": { "AWS:EpochTime": 1698000000 }, "IpAddress": { "AWS:SourceIp": "192.0.2.0/24" } } } ] }

Verrouiller l'arrière-boutique (Origin Security)

Si un attaquant découvre l'URL directe de votre ALB ou S3, il peut contourner le WAF et le CDN. Il faut fermer cette porte.

1. Pour S3 : Origin Access Control (OAC)

S3 doit être Privé (Block All Public Access). Seule l'identité CloudFront (Principal) a le droit s3:GetObject via la Bucket Policy.
(Voir modal Architecture pour le JSON).

2. Pour ALB / EC2 : Le "Shared Secret"

L'ALB ne supporte pas l'OAC. L'astuce consiste à injecter un mot de passe dans les headers.

Dans CloudFront (Origin Settings), ajoutez un header custom :
X-Origin-Secret: mon-mot-de-passe-tres-long-12345
Sur l'ALB (Listener Rule), créez une règle :
IF Header 'X-Origin-Secret' != 'mon-mot-de-passe...' THEN Return 403.

Résultat : Même si quelqu'un connaît l'IP de votre serveur, il se fait rejeter s'il ne passe pas par CloudFront.

Informer le Navigateur (Response Headers Policy)

CloudFront peut injecter des en-têtes HTTP pour durcir la sécurité côté client (navigateur).

Header	Fonction	Pourquoi l'activer ?
Strict-Transport-Security (HSTS)	Force le navigateur à utiliser HTTPS.	Protège contre le "SSL Stripping" (attaque Man-in-the-Middle).
X-Frame-Options	`DENY` ou `SAMEORIGIN`.	Empêche votre site d'être affiché dans une iframe (Anti-Clickjacking).
X-Content-Type-Options	`nosniff`.	Empêche le navigateur d'exécuter un fichier .jpg comme du script JS.
*CORS (Access-Control-Allow-)**	Gère les requêtes cross-domaine.	Indispensable si votre API (api.site.com) est appelée par le front (www.site.com).

Astuce : AWS fournit des "Managed Policies" (ex: SecurityHeadersPolicy) prêtes à l'emploi à attacher à vos Behaviors.

Conformité & Field-Level Encryption

Certifications

CloudFront est certifié pour les workloads critiques :

PCI-DSS (Paiements, Cartes bancaires).
HIPAA (Données de santé US).
SOC 1, 2, 3 et ISO 27001.

Field-Level Encryption (Avancé)

Permet de chiffrer des champs sensibles (ex: Numéro de carte bleue dans un formulaire POST) dès l'Edge avec une clé publique.

Seule votre application backend privée possède la clé privée pour déchiffrer.
Même CloudFront ou AWS ne peuvent pas voir la donnée en clair.
Ajoute une couche de sécurité ultime pour la conformité PCI-DSS.

2.1 Chiffrement : HTTPS, ACM & TLS Termination

Checklist de mise en production HTTPS

Ne laissez jamais CloudFront générer son domaine par défaut (d123...cloudfront.net) en production. Utilisez votre propre domaine.

#	Action	Détail Technique
1	Certificat	Demander un certificat public dans AWS ACM (Gratuit). Voir onglet 2 pour la région.
2	Alternate Domain	Dans CloudFront (General Settings), ajouter `www.monsite.com` dans le champ CNAMEs.
3	Attacher Cert	Sélectionner "Custom SSL Certificate" et choisir le cert ACM créé à l'étape 1.
4	Route 53	Créer un enregistrement A (Alias) pointant vers la distribution CloudFront.
5	Forcer HTTPS	Dans le Behavior, régler "Viewer Protocol Policy" sur Redirect HTTP to HTTPS.

L'erreur n°1 du débutant : La Région ACM

US-EAST-1 OBLIGATOIRE

Pour CloudFront, vous DEVEZ demander votre certificat ACM dans la région US East (N. Virginia).

Si vous créez votre certificat à Paris (eu-west-3), il n'apparaîtra JAMAIS dans la liste déroulante de CloudFront.

Pourquoi cette contrainte ?

CloudFront est un service Global. Son plan de contrôle (le cerveau qui copie les certificats vers les 600+ Edge Locations) est situé physiquement en Virginie. Il ne peut lire que les certificats locaux.

Validation DNS vs Email

DNS (Recommandé) : AWS vous donne un CNAME à ajouter. Si vous utilisez Route53, c'est un clic automatique. Renouvellement auto.
Email : Envoie un mail à admin@monsite.com. Galère si vous n'avez pas accès à cette boite.

Sécuriser le tuyau : Quelle politique TLS choisir ?

CloudFront vous demande de choisir une "Security Policy". C'est la liste des algorithmes de chiffrement autorisés.

TLSv1.2_2021 (Recommandé)

Protocoles : TLS 1.2 et TLS 1.3 uniquement.
Compatibilité : Navigateurs post-2015.
Sécurité : A+ sur SSLLabs. Bloque les vieux algos faibles (CBC, RC4).

TLSv1 (Obsolète)

Protocoles : TLS 1.0, 1.1, 1.2.
Risque : Vulnérable aux attaques POODLE, BEAST.
Usage : Uniquement si vous devez supporter Windows XP ou Android 4.

Le Bonus : TLS 1.3 & 0-RTT

CloudFront active automatiquement TLS 1.3 pour les clients compatibles.
Gain : Le "Handshake" (la poignée de main de sécurité) se fait en 1 seul aller-retour au lieu de 2. C'est vital pour la performance mobile.

SNI vs VIP : Le piège à 600$

Lors de l'ajout du certificat, CloudFront propose une option obscure. Attention à la facture.

Option	Technique	Coût	Verdict
SNI (Server Name Indication)	Le navigateur dit "Je veux le site A" pendant le handshake SSL. CloudFront sert le bon certificat parmi des milliers sur la même IP.	Gratuit	Standard Supporté par 99.9% des clients modernes.
Legacy Clients (Dedicated IP / VIP)	CloudFront vous réserve une IP physique dédiée dans chaque POP du monde.	600$ / mois / distribution	Danger Utile UNIQUEMENT pour supporter de très vieux clients corporate (Banques sous IE6, vieux IoT).

OCSP Stapling

CloudFront gère l'OCSP Stapling par défaut. Au lieu que le navigateur demande à l'autorité de certif "Ce certif est-il révoqué ?", c'est CloudFront qui le fait et agrafe (staple) la preuve signée à la réponse.
Gain : +30% de vitesse sur la connexion SSL.

2.2 Contenu Privé : Signed URLs & Cookies

Comment servir du contenu privé S3 via le CDN ?

Votre bucket S3 est totalement privé (OAC). Personne ne peut y accéder. Mais vous voulez qu'un utilisateur payant puisse télécharger son eBook PDF.

La solution n'est pas d'ouvrir le bucket, mais de signer la requête. C'est comme un "billet d'entrée" infalsifiable avec une date d'expiration.

Le Workflow

L'utilisateur se logue sur votre app (ex: Django/Node).
Votre backend vérifie qu'il a payé.
Votre backend génère une URL Signée (avec une clé privée RSA).
Le backend renvoie l'URL au navigateur : https://cdn.site.com/doc.pdf?Signature=...
L'utilisateur clique. CloudFront vérifie la signature avec la Clé Publique.
Si valide et non expiré : 200 OK. Sinon 403 Forbidden.

Le Dilemme : Signed URL ou Signed Cookie ?

C'est la première question d'architecture à se poser.

Signed URL (Le Billet Unitaire)	Signed Cookie (Le Passe-Partout)
Principe : La signature est dans l'URL (QueryString). `file.mp4?Policy=...&Signature=...`	Principe : La signature est dans un header `Set-Cookie` HTTP. L'URL reste propre.
Avantages : - Simple à débugger. - Fonctionne hors navigateur (curl, mobile app).	Avantages : - Accès à plusieurs fichiers d'un coup (`/videos/*`). - URL propre (SEO friendly).
Inconvénients : - Inutilisable pour le streaming HLS/DASH (car le player appelle des centaines de segments .ts sans la signature).	Inconvénients : - Complexe (CORS, SameSite). - Certains clients mobiles gèrent mal les cookies.
Usage : Lien de téléchargement unique, PDF, Installation logiciel.	Usage : Streaming Vidéo (HLS), Site membre complet, SPA.

Infrastructure : Trusted Key Groups

Ne faites plus ça : N'utilisez plus la "CloudFront Key Pair" du compte racine (Root Account). C'est une pratique obsolète et dangereuse niveau sécurité.

La méthode moderne (2024+) :

Générer une paire RSA (Local) :
openssl genrsa -out private_key.pem 2048
openssl rsa -pubout -in private_key.pem -out public_key.pem
Uploader la Clé Publique :
Dans la console CloudFront > Public keys.
Créer un Key Group :
Grouper une ou plusieurs clés publiques (pour permettre la rotation de clés sans downtime).
Associer au Behavior :
Dans le Behavior (ex: /premium/*), activer "Restrict Viewer Access" et sélectionner le "Trusted Key Group".

Code Backend : Générer une URL (Python/Boto3)

Exemple de code à mettre dans votre Lambda ou serveur Django.

                    import datetime
                    from cryptography.hazmat.primitives import serialization
                    from cryptography.hazmat.backends import default_backend
                    from botocore.signers import CloudFrontSigner

                    # 1. Charger la clé privée
                    def rsa_signer(message):
                    with open('private_key.pem', 'rb') as key_file:
                    private_key = serialization.load_pem_private_key(
                    key_file.read(), password=None, backend=default_backend()
                    )
                    return private_key.sign(message, padding.PKCS1v15(), hashes.SHA1())

                    # 2. Configurer le Signer
                    key_id = 'K2JCJMDEHXQW5F' # ID de la Public Key dans CloudFront
                    url = 'https://d123.cloudfront.net/premium/video.mp4'
                    expire_date = datetime.datetime.now() + datetime.timedelta(hours=1)

                    cloudfront_signer = CloudFrontSigner(key_id, rsa_signer)

                    # 3. Générer l'URL
                    signed_url = cloudfront_signer.generate_presigned_url(
                    url, date_less_than=expire_date
                    )

                    print(signed_url)

Custom Policy : Aller plus loin que la date

Il existe deux types de politiques : Canned Policy (Juste une date de fin, URL courte) et Custom Policy (Complexe, URL longue).

Structure d'une Custom Policy (JSON)

Permet de restreindre l'IP ou d'autoriser un dossier complet avec le wildcard *.

                    {
                    "Statement": [
                    {
                    "Resource": "http://d123.cloudfront.net/training/*",
                    "Condition": {
                    "DateLessThan": { "AWS:EpochTime": 1698500000 },
                    "DateGreaterThan": { "AWS:EpochTime": 1698400000 },
                    "IpAddress": { "AWS:SourceIp": "192.168.0.0/24" }
                    }
                    }
                    ]
                    }

Resource : Notez l'étoile * à la fin. Utile pour signer l'accès à tout un cours vidéo d'un coup.
IpAddress : Empêche l'utilisateur de partager son lien URL avec un ami sur un autre réseau.

4. Performance : Maîtriser le Cache & l'Edge

Le secret de la performance : La "Cache Key"

Pour savoir si une page est déjà en mémoire, CloudFront crée une "clé unique". Si vous configurez mal cette clé, vous tuez vos performances.

L'Équation de la Cache Key

Cache Key = Domaine + URL Path + {QueryStrings?} + {Cookies?} + {Headers?}

Le piège : Si vous dites à CloudFront de "Tout forwarder" (Query Strings, Headers), la moindre variation crée une nouvelle clé.

/page?user=A vs /page?user=B → 2 caches différents (MISS).
User-Agent: iPhone vs User-Agent: iPad → 2 caches différents (MISS).

🎯 Objectif : Cache Hit Ratio (CHR)

C'est le % de requêtes servies par l'Edge sans toucher le serveur.

> 90% : Excellent (Site statique).
50-80% : Correct (E-commerce, mix dynamique).
< 10% : Problème de config (ou API temps réel).

Cache Policies & Compression

Ne réinventez pas la roue, utilisez les "Managed Policies" d'AWS.

Managed Policy	Comportement	Usage Recommandé
CachingOptimized	Active la compression Brotli/Gzip. Ignore QueryStrings & Cookies. TTL Long.	Pour 90% des assets statiques (Images, CSS, JS).
CachingDisabled	Pas de cache (TTL 0). Forward tous les Headers/Cookies à l'origine.	Pour les appels API dynamiques (POST, PUT) ou contenus privés temps réel.
Elemental-MediaPackage	Optimisé pour le streaming vidéo (segments).	Pour la VOD / Live Streaming.

Pourquoi Brotli ?

CloudFront supporte Gzip (standard) et Brotli (Google). Brotli compresse le CSS/JS 20% mieux que Gzip. Assurez-vous de l'activer, c'est gratuit et réduit la facture de Data Transfer.

Mettre à jour le contenu : La Guerre des Méthodes

Vous venez de déployer une nouvelle version de votre site. Comment s'assurer que les utilisateurs voient le nouveau logo ?

Méthode 1 : Invalidation (Bourrin)

On demande à AWS : "Supprime /images/logo.png de tous les caches du monde".

Temps : ~60 secondes.
Coût : 1000 gratuits/mois, puis payant (0.005$/path).
Défaut : Si vous invalidez /*, votre serveur d'origine va prendre une vague de trafic (Thundering Herd).

Méthode 2 : Versioning (Expert)

On change le nom du fichier : logo-v2.png ou main.a1b2c3.js.

Temps : Instantané (c'est un nouveau fichier).
Coût : Gratuit.
Avantage : Pas de risque de cache périmé. On peut rollback instantanément en remettant l'ancien fichier HTML.

Verdict : Utilisez le Versioning pour les assets (CSS/JS/IMG) et l'Invalidation uniquement pour les fichiers d'entrée (index.html).

Edge Compute : Exécuter du code au plus près du client

AWS propose deux moteurs pour exécuter du code sur le CDN. Ne vous trompez pas de choix.

Caractéristique	CloudFront Functions (CFF)	Lambda@Edge
Coût	Très faible (1/6 du prix de Lambda).	Standard Lambda + surcoût.
Latence	Sub-milliseconde (Immédiat).	Quelques ms à 100ms (Cold starts possibles).
Limites	JS pur, pas d'accès réseau/AWS, pas de body.	Accès complet (S3, DynamoDB, Réseau), accès au Body.
Use Case	Normalisation headers, Redirections, JWT check simple.	SSR, Redimensionnement d'image, Auth complexe.

Exemple : Redirection WWW vers non-WWW (CFF)

                    function handler(event) {
                    var request = event.request;
                    var host = request.headers.host.value;

                    if (host.startsWith('www.')) {
                    var newUrl = 'https://' + host.slice(4) + request.uri;
                    return {
                    statusCode: 301,
                    statusDescription: 'Moved Permanently',
                    headers: { "location": { "value": newUrl } }
                    };
                    }
                    return request;
                    }

Origin Shield : Le Bouclier Ultime

Par défaut, CloudFront a des "Regional Caches". Si vous avez des utilisateurs en Europe et aux USA, votre origine reçoit au moins 2 requêtes pour le même objet (une de chaque région).

Origin Shield ajoute une couche de cache centralisée supplémentaire.
Edge → Regional Cache → Origin Shield → Origin S3/ALB.

Avantage : Réduit drastiquement la charge sur l'origine (dédoublonnage mondial).
Coût : Payant (par requête).
Quand l'activer ? Si vous avez une audience mondiale dispersée et une origine qui souffre (ex: Serveur On-Premise fragile).

5. Monitoring : Tour de Contrôle & Logs

Les KPIs vitaux à afficher sur votre Dashboard

Ne surveillez pas tout. Surveillez ce qui impacte l'utilisateur ou le portefeuille.

1. Cache Hit Rate (Global)

Le % de requêtes servies par CloudFront.
Objectif : >80% pour du statique.
Si ça chute, votre origine va souffrir.

2. 5xx Error Rate (Total)

Indique une panne serveur grave.
Attention : CloudFront renvoie parfois des 504 si l'origine est trop lente (timeout).

3. Origin Latency

Le temps que met VOTRE serveur à répondre à CloudFront.
C'est la métrique n°1 pour debugger une lenteur d'application.

4. Requests (Volume)

Pour détecter les pics de trafic soudains (Campagne marketing ou... attaque DDoS).

Logging : Standard ou Temps Réel ?

CloudFront propose deux types de logs. Le choix dépend de votre besoin de réactivité et de votre budget.

Caractéristique	Standard Logs (S3)	Real-Time Logs (Kinesis)
Délai	Lent (livré toutes les 10 à 30 min).	Immédiat (quelques secondes).
Coût	Gratuit (juste le stockage S3).	Payant (Coût Kinesis + Stockage).
Champs	Tous les champs disponibles.	Configurable (on choisit les champs).
Usage	Audit, Analyse post-mortem, Facturation.	Monitoring live, Blocage d'IP dynamique.

Conseil FinOps : Activez toujours les logs Standard (S3) avec une règle de Lifecycle (suppression après 30 jours). C'est votre seule preuve en cas d'incident de sécurité passé.

L'outil magique : Requêter les logs avec Athena

Une fois vos logs dans S3, utilisez Amazon Athena pour lancer des requêtes SQL dessus. Voici les "Golden Queries" :

1. Top 10 des URLs les plus lentes (Optimisation Perf)

                    SELECT 
                    cs_uri_stem as URL, 
                    avg(time_taken) as "Latence Moyenne (s)", 
                    max(time_taken) as "Max (s)", 
                    count(*) as "Nb Requêtes"
                    FROM cloudfront_logs
                    WHERE date >= current_date - interval '1' day
                    GROUP BY cs_uri_stem
                    ORDER BY avg(time_taken) DESC
                    LIMIT 10;

2. Identifier les erreurs 404 (Liens morts / Scans)

                    SELECT 
                    cs_uri_stem as "Page Introuvable", 
                    count(*) as Count, 
                    c_ip as "IP Client"
                    FROM cloudfront_logs
                    WHERE sc_status = '404'
                    GROUP BY cs_uri_stem, c_ip
                    ORDER BY Count DESC
                    LIMIT 20;

Quand réveiller l'astreinte ? (CloudWatch Alarms)

Configurez ces alarmes pour ne pas découvrir les pannes via Twitter.

Métrique	Seuil recommandé	Signification
5xxErrorRate	> 1% pendant 5 min	CRITIQUE. L'origine plante ou timeout.
4xxErrorRate	> 5% pendant 5 min	Liens cassés massifs ou scan de vulnérabilité en cours.
OriginLatency	> 2000ms (selon app)	L'application backend rame. Risque de 504 Gateway Timeout.

Aller plus loin : CloudWatch RUM

Les logs serveurs ne disent pas tout. Ils ne voient pas le temps de rendu du navigateur ou les erreurs JavaScript client.

RUM (Real User Monitoring) est un petit script JS fourni par AWS à mettre dans votre ``.

Ce que RUM vous donne :

Temps de chargement réel (LCP, FCP - Core Web Vitals).
Erreurs JS (console.error) des utilisateurs.
Carte du monde des latences réelles.
Appareils et navigateurs utilisés.

6. FinOps : Maîtriser la Facture CloudFront

Ce que vous payez réellement

Contrairement à un serveur classique, vous ne payez pas "à l'heure", mais au volume. La facture se compose de 3 étages :

1. Data Transfer Out (Le gros morceau)

Volume de données (GB) envoyées du CDN vers vos utilisateurs.
Prix : Dégressif. ~0.085$/GB (USA/EU).
Plus c'est loin (Amérique du Sud, Australie), plus c'est cher.

2. Requêtes HTTP/HTTPS

Nombre de "hits" reçus par le CDN.
Prix : ~0.010$ pour 10 000 requêtes.
Attention aux API très bavardes ou aux attaques DDoS (millions de hits).

3. Services Annexes

- Invalidations : Payant après 1000/mois. - Functions : 0.10$/million d'exécutions. - Lambda@Edge : 0.60$/million + temps de calcul (Cher !).

Bonne nouvelle : Le transfert de données ENTRANT (Origin S3 vers CloudFront) est toujours GRATUIT. Vous ne payez que la sortie vers le client.

Le Levier Puissant : Les "Price Classes"

Pourquoi payer des serveurs chers à Sydney si vos clients sont tous à Paris ? CloudFront permet de désactiver les régions coûteuses.

Price Class	Régions Incluses	Impact Business
PriceClass_100 Le moins cher	USA, Canada, Europe, Israel.	Idéal si votre cible est occidentale. Un client au Japon pourra accéder au site, mais sera servi depuis les USA (Latence + élevée).
PriceClass_200 Intermédiaire	Class_100 + Asie (Singapour, Tokyo, Hong Kong...), Afrique du Sud, Moyen-Orient.	Bon compromis pour une couverture mondiale standard.
PriceClass_All Premium	Le monde entier (Inclus Amérique du Sud, Australie, Inde).	Performance maximale partout. Coût le plus élevé.

# Exemple Terraform pour économiser de l'argent resource "aws_cloudfront_distribution" "example" { # ... price_class = "PriceClass_100" # ... }

Réductions & Offre Gratuite

1. AWS Free Tier (Toujours gratuit)

Depuis 2021, l'offre gratuite CloudFront est très généreuse et s'applique tous les mois (pas juste la 1ère année).

1 TB (Téraoctet) de Data Transfer Out / mois.
10 Millions de requêtes HTTP/HTTPS / mois.
2 Millions d'invocations CloudFront Functions.

Suffisant pour 95% des sites personnels ou PME.

2. CloudFront Security Savings Bundle

Si vous dépassez le Free Tier, ne restez pas en "On-Demand".

Principe : Vous vous engagez à dépenser un montant minimum (ex: 10$/mois) pendant 1 an.
Gain : Jusqu'à 30% de réduction sur la facture CloudFront.
Bonus : AWS vous OFFRE le coût du WAF (Web Application Firewall) à hauteur de 10% de votre engagement.

⚠️ Attention aux Coûts Cachés : Invalidations

Vider le cache manuellement coûte cher si on s'y prend mal.
Tarif : Les 1 000 premiers chemins par mois sont gratuits. Ensuite : 0,005 $ par chemin.

Mauvaise Pratique

aws cloudfront create-invalidation \ --paths "/images/img1.jpg" "/images/img2.jpg" ... (x2000 fichiers)

Ici, vous payez pour 2000 chemins individuels.
Coût : (2000 - 1000) * 0.005 = 5 USD juste pour ça.

Bonne Pratique

aws cloudfront create-invalidation \ --paths "/images/*"

L'utilisation du wildcard * compte pour 1 seul chemin.
Coût : 0 USD (inclus dans le quota gratuit).
Inconvénient : Vous videz peut-être trop de choses.

Checklist d'Optimisation FinOps

Action	Impact FinOps	Complexité
Activer la Compression (Brotli/Gzip)	Réduit le volume (GB) de 70% sur le texte/JS/CSS.	Facile
Augmenter le TTL (Cache-Control)	Réduit le nombre de requêtes vers l'Origine et les refetchs.	Facile
Utiliser PriceClass_100	Élimine les coûts élevés des régions "exotiques".	Facile
Filtrer les Bots (WAF)	Empêche les robots inutiles de consommer vos requêtes/bande passante.	Moyen
Passer de Lambda@Edge à CF Functions	Divise le coût de calcul par 6.	Difficile (Refonte code)

3.1 Performance : Dompter la Latence & le Réseau

TTFB (Time To First Byte) : L'ennemi n°1

Le TTFB est le temps qui s'écoule entre le moment où le client envoie la requête et le moment où il reçoit le premier octet de réponse. CloudFront réduit ce temps drastiquement, même pour le contenu dynamique.

Anatomie d'une Latence (Paris → New York)

Action	Internet Public	Via CloudFront
Distance Physique	~6 000 km	~10 km (Edge local)
Ping (RTT)	80 ms	2 ms
Handshake TLS (3 RTT)	240 ms (Lent !)	6 ms (Rapide !)
Total TTFB	~300 ms	~20 ms (si Cache Hit)

Pourquoi c'est plus rapide même sans cache ?

Même si CloudFront doit contacter l'origine (Cache Miss), le client a déjà fini son handshake SSL avec l'Edge. La connexion entre l'Edge et l'Origine utilise une connexion persistante (Keep-Alive) pré-chauffée sur le réseau AWS.

Résultat : On économise les temps de négociation TCP/SSL à chaque requête.

Anycast : Une IP pour les gouverner tous

CloudFront n'utilise pas le DNS pour diriger le trafic (comme les vieux load balancers). Il utilise BGP Anycast.

L'Analogie du "112" (Urgences)

Quand vous composez le 112, vous ne cherchez pas à joindre "le centre d'appel de Paris". Vous cherchez "le centre d'appel le plus proche". Le réseau téléphonique vous route automatiquement vers le centre local.
CloudFront fait pareil : Une seule IP annoncée mondialement.

Avantages Techniques

Stabilité : Pas de dépendance à la propagation DNS (TTL).
Failover instantané : Si l'Edge de Madrid tombe, BGP route les paquets vers Barcelone en quelques millisecondes.
Anti-DDoS : L'attaque est "diluée" sur les 600 points de présence au lieu de concentrer sur un seul serveur.

L'Arme Secrète : Regional Edge Caches (REC)

Les 600+ Edge Locations (PoP) sont petits. Ils doivent souvent vider leur mémoire (Eviction). C'est là qu'interviennent les 13 Regional Edge Caches.

Edge Location (PoP)		Regional Edge Cache (REC)
Le magasin de quartier		L'entrepôt régional
Très nombreux (+600).		Peu nombreux (~13 majeurs).
Cache petit (SSD/RAM). Données "chaudes".		Cache énorme (Disques durs). Données "froides".
Proche de l'utilisateur (10ms).		Proche des Edges (20-40ms).

Avantage : Le REC est GRATUIT et automatique. Il agit comme un bouclier. Si un objet n'est plus dans l'Edge, CloudFront le cherche dans le REC avant de déranger votre Origine.

AWS Backbone : L'Autoroute Privée

Internet est un réseau "Best Effort". Vos paquets passent par des opérateurs tiers (ISP) qui peuvent être saturés.

Dès qu'un paquet touche une Edge Location, il entre dans le Backbone AWS : un réseau mondial de fibre optique propriétaire.

Cold Potato Routing

AWS garde le paquet sur son réseau le plus longtemps possible et ne le relâche sur l'Internet public qu'au tout dernier moment (près de l'utilisateur).

Moins de "Jitter" (variation de latence).
Pas de perte de paquets.
Bande passante massive garantie.

Optimisations TCP & Réseau (Sous le capot)

CloudFront applique des réglages noyau (Kernel) avancés pour booster la vitesse.

Technologie	Effet
TCP Fast Open	Permet d'envoyer des données dès le début du handshake TCP (avant qu'il ne soit fini). Réduit la latence de démarrage.
TLS 1.3 & 0-RTT	Reprise de session instantanée pour les utilisateurs qui reviennent (0 Round Trip Time).
TCP Window Scaling	Agrandit la fenêtre de réception pour permettre des débits plus élevés sur les connexions à haute latence (High Bandwidth-Delay Product).
HTTP/2 & HTTP/3 (QUIC)	Multiplexing (plusieurs requêtes en parallèle sur 1 seule connexion TCP/UDP). Élimine le "Head-of-line blocking".

3.2 Tuning : Cache Policies & Hit Ratio

La "Cache Key" : L'ADN de votre performance

La Cache Policy ne sert qu'à une chose : définir la Cache Key.
C'est la formule que CloudFront utilise pour savoir si deux requêtes sont identiques ou différentes.

Formule Simplifiée

KEY = Domaine + URI + {QueryString?} + {Headers?} + {Cookies?}

Plus vous ajoutez d'éléments (variables) dans cette équation, plus vous fragmentez votre cache.

Exemple de fragmentation (Mauvais Hit Ratio)

Si vous incluez le Header User-Agent dans la clé :
Un utilisateur sur Chrome 120 crée un cache.
Un utilisateur sur Chrome 121 crée un nouveau cache (Miss).
Un utilisateur sur Safari crée encore un autre cache.
Résultat : Votre Origin est inondé de requêtes identiques.

Ne réinventez pas la roue : AWS Managed Policies

AWS maintient des politiques optimisées. Utilisez-les dans 95% des cas.

Nom de la Policy	ID (Approximatif)	Configuration	Usage Idéal
CachingOptimized Standard	`658327ea-...`	- Query Strings : None - Headers : None - Cookies : None - Compression : Gzip + Brotli	Sites statiques, SPA (React/Vue), Images, CSS, JS. Maximise le Hit Ratio.
CachingDisabled	`4135ea2d-...`	- TTL : 0 (Pas de cache) - Forward tout vers l'origine.	API dynamiques, WebSockets, contenus temps réel.
Amplify	`2e54312a-...`	Optimisé pour les déploiements AWS Amplify.	Apps hébergées via Amplify Console.

Le Piège des Headers et Cookies

Si vous devez absolument varier le cache selon un paramètre (ex: langue, devise), soyez chirurgical.

À ne JAMAIS inclure

User-Agent : Trop de variations (millions).
Referer : Change à chaque provenance.
Cookie: session_id : Rend le cache unique par utilisateur (donc inutile).

Acceptable (Whitelist)

Accept-Language : Si votre backend sert du HTML différent selon la langue.
Origin : Indispensable pour le CORS si votre API est sur un autre domaine.
Accept-Encoding : Géré automatiquement par CloudFront (ne pas l'ajouter manuellement).

Astuce : Si vous avez besoin du Cookie de session pour savoir "qui" est connecté, mais que la page est la même pour tout le monde, utilisez une Origin Request Policy (transmet le cookie) et non une Cache Policy (cache le cookie).

Gérer les Query Strings (UTM & Tracking)

Les marketeurs adorent ajouter des ?utm_source=facebook&utm_campaign=summer. Si vous configurez mal votre Cache Policy, ces paramètres tuent votre cache.

Stratégie	Comportement	Impact Hit Ratio
None (Ignorer tout)	`/page?a=1` et `/page?b=2` servent le même fichier cache.	Excellent (100%)
Whitelist (Recommandé)	Je n'autorise que `?page=` et `?sort=`. CloudFront ignore les autres (UTM).	Très Bon
All (Tout inclure)	Le moindre tracking ID crée une nouvelle entrée cache.	Catastrophique

Compression : Gzip vs Brotli

La Cache Policy gère aussi la compression automatique. CloudFront compresse les fichiers à la volée entre l'Origin et l'Edge.

Comparatif

Gzip : Le standard historique. Rapide, compatible partout.
Brotli (br) : Algorithme Google. 20% à 30% plus efficace que Gzip sur le texte (HTML, CSS, JS, JSON).

Activez TOUJOURS Brotli + Gzip dans vos policies.

Comment ça marche ?

Le navigateur envoie Accept-Encoding: gzip, br.
CloudFront voit "br", compresse le fichier en Brotli, le met en cache et l'envoie.
Le prochain client reçoit directement la version Brotli depuis l'Edge.
Note : CloudFront ne compresse pas les images (déjà compressées) ni les fichiers > 10MB.

3.3 Use Case : Site Statique Sécurisé (S3 + CloudFront)

L'Architecture de Référence 2025

Oubliez la méthode "S3 Static Website Hosting" (bucket public). C'est obsolète, non sécurisé et sans HTTPS. Voici la méthode professionnelle :

Client (Browser) │ ▼ [CloudFront (Edge)] ───  HTTPS (ACM Cert) │ │ │ └─ Cache (Performances) │ └─ WAF (Sécurité) │ ▼ (Via Backbone AWS) [S3 Bucket (Privé)] ───  OAC (Origin Access Control) │ └─ index.html, style.css...

Pourquoi cette stack ?

Sécurité : Le bucket S3 est fermé au monde entier ("Block Public Access"). Seul CloudFront peut y lire.
HTTPS : S3 seul ne supporte pas HTTPS personnalisé. CloudFront le fait gratuitement.
Coût : Le trafic sortant de CloudFront est moins cher que celui de S3 direct.
SPA Friendly : Permet de gérer les routes React/Angular proprement (voir onglet 3).

Étape 1 : Verrouiller le Bucket (OAC)

OAC (Origin Access Control) est le remplaçant moderne de l'OAI. Il supporte le chiffrement KMS et toutes les régions.

Côté CloudFront

Créer une distribution.
Origin Domain : Choisir le bucket S3.
Origin Access : Sélectionner "Origin Access Control settings".
Cliquer sur "Create control setting".

Côté S3

Aller dans "Permissions".
Block Public Access : Tout cocher (ON).
Bucket Policy : Copier la policy générée par CloudFront (voir ci-dessous).

La Bucket Policy (Copier-Coller)

                    {
                    "Version": "2012-10-17",
                    "Statement": {
                    "Sid": "AllowCloudFrontServicePrincipalReadOnly",
                    "Effect": "Allow",
                    "Principal": {
                    "Service": "cloudfront.amazonaws.com"
                    },
                    "Action": "s3:GetObject",
                    "Resource": "arn:aws:s3:::MON-BUCKET/*",
                    "Condition": {
                    "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/E1XXXXXX"
                    }
                    }
                    }
                    }

Le problème "404" des Single Page Apps

Le Symptôme :

Vous allez sur monsite.com (ça marche). Vous cliquez sur "Contact" -> l'URL devient monsite.com/contact (ça marche).
VOUS RAFRAÎCHISSEZ LA PAGE (F5).
Boom : 404 Not Found ou 403 Forbidden.

Pourquoi ? CloudFront cherche un fichier nommé contact dans le dossier S3. Il n'existe pas (c'est une route virtuelle JS).

La Solution : Error Pages

Il faut dire à CloudFront : "Si tu ne trouves pas le fichier, renvoie index.html et laisse React se débrouiller".

Config "Error Pages"

HTTP Error Code : 403 (et 404)
Customize Error Response : Yes
Response Page Path : /index.html
HTTP Response Code : 200 (OK)

Déployer comme un Pro (AWS CLI)

Ne glissez-déposez pas vos fichiers à la main. Utilisez un script de déploiement.

Commande de Sync Optimisée

                    # 1. Uploader les assets (CSS/JS/Img) avec un cache LONG (1 an)
                    aws s3 sync ./build s3://mon-bucket \
                    --exclude "index.html" \
                    --cache-control "max-age=31536000,public"

                    # 2. Uploader index.html avec un cache COURT (0s)
                    aws s3 cp ./build/index.html s3://mon-bucket/index.html \
                    --cache-control "max-age=0,no-cache,no-store,must-revalidate"

                    # 3. Invalider le cache CloudFront (pour voir les changements de suite)
                    aws cloudfront create-invalidation \
                    --distribution-id E1XXXXXX \
                    --paths "/index.html"

Pourquoi ? Cette stratégie garantit que vos utilisateurs ont toujours la dernière version de l'app (index.html frais) tout en chargeant les images/scripts depuis le cache du navigateur (max perf).

Lier le Nom de Domaine (Route53)

Dernière étape : Brancher www.monsite.com.

Service	Action
ACM	Certificat SSL généré en us-east-1 (Obligatoire).
CloudFront	1. Ajouter `www.monsite.com` dans "Alternate Domain Names (CNAMEs)". 2. Sélectionner le certificat ACM.
Route 53	Créer un Record Type A. Cocher "Alias" = Oui. Choisir "Alias to CloudFront distribution".

Contrairement à un CNAME classique, l'Alias Route53 est gratuit et résout l'IP à la racine du domaine (Apex domain support).

4.1 Use Case : Accélérer & Sécuriser une API REST

Architecture : Le "Bouclier" d'API

Même si votre API est 100% dynamique (pas de cache), CloudFront apporte 3 avantages majeurs par rapport à une exposition directe de l'ALB ou API Gateway.

Accélération TLS

Le "Handshake SSL" (coûteux) se fait à l'Edge Location (proche du client). Ensuite, CloudFront parle à l'ALB via une connexion Keep-Alive persistante sur le réseau AWS.
Gain : -30% de latence sur les appels API.

WAF & DDoS

Bloquez les injections SQL et les bots au niveau de CloudFront. Votre ALB ne reçoit que du trafic "propre". En cas de DDoS, c'est le réseau global AWS qui absorbe, pas votre petit Load Balancer.

Coût Data Transfer

Le Data Transfer Out depuis CloudFront est souvent moins cher que depuis un ALB/EC2 direct, surtout si vous avez du volume.

Intégration : Quelle source choisir ?

Scénario A : CloudFront + ALB (EC2/EKS)

Protocole Origin : HTTPS (Recommandé).
Host Header : CloudFront doit transmettre le Header Host de la requête originale pour que l'ALB puisse faire son routing (Host-based routing).
Policy : Utiliser AllViewerExceptHostHeader ou une policy custom.

Scénario B : CloudFront + API Gateway

Astuce : N'utilisez PAS un API Gateway de type "Edge Optimized" si vous mettez CloudFront devant. Utilisez un API Gateway de type "Regional".
Sinon, vous avez deux CloudFront à la suite (Double saut) = Latence inutile.

Le Cache sur une API : Risque ou Opportunité ?

Cacher une API peut être désastreux (fuite de données utilisateur) ou génial (sauve la DB). Tout est dans la nuance.

Type de Route	Exemple	Stratégie Recommandée
Donnée Utilisateur	`GET /me/profile` `GET /orders`	CachingDisabled Ne JAMAIS cacher. Risque que l'utilisateur A voie le profil de B.
Catalogue Public	`GET /products` `GET /categories`	CachingOptimized TTL court (ex: 60s). Réduit la charge DB de 90% lors des pics de trafic.
Mutations	`POST`, `PUT`, `DELETE`	Auto (No Cache) CloudFront ne cache jamais les méthodes non-idempotentes par défaut.

Empêcher le contournement (Bypass)

Si un attaquant trouve l'URL directe de votre ALB (ex: my-alb-123.aws.com), il peut attaquer votre serveur sans passer par le WAF CloudFront.

La technique du "Shared Secret Header"

1. Côté CloudFront (Origin Settings)

Ajouter un Custom Header :

X-Origin-Secret: mon-mot-de-passe-secret-12345

2. Côté ALB (Listener Rule)

Ajouter une règle prioritaire :

IF Header "X-Origin-Secret" != "mon-mot-de-passe..." THEN Return "403 Forbidden"

Résultat : Seul CloudFront (qui connaît le secret) peut parler à l'ALB. Tout accès direct est rejeté.

Timeouts & Keep-Alive

Les problèmes classiques en prod et comment les éviter.

Problème	Symptôme	Solution
504 Gateway Timeout	L'API met plus de 30s à répondre (ex: gros export PDF).	1. Augmenter le timeout CloudFront (max 60s). 2. Mieux : Passer en asynchrone (L'API répond "202 Accepted" et le client poll le statut).
502 Bad Gateway	Erreur de handshake TLS entre CloudFront et ALB.	Vérifier que le certificat sur l'ALB est valide et correspond au domaine visé.
Latence Intermittente	Connexions TCP qui se ferment trop vite.	Augmenter le `Keep-Alive Timeout` sur l'ALB pour qu'il soit supérieur à celui de CloudFront (60s).

4.2 Use Case : Streaming Vidéo à l'échelle (VOD)

Pourquoi on n'utilise plus de MP4 unique ?

Envoyer un fichier movie.mp4 de 4GB est inefficace. Si l'utilisateur a une mauvaise connexion, ça coupe (Buffering). La solution moderne est l'ABR (Adaptive Bitrate Streaming).

Les Protocoles Standards

HLS (HTTP Live Streaming) : Créé par Apple. Standard de fait. Utilise des playlists .m3u8 et des segments .ts.
MPEG-DASH : Standard ouvert. Utilise des manifestes .mpd et des segments .m4s.

Le principe de l'ABR

La vidéo est encodée en plusieurs qualités (1080p, 720p, 360p).
Chaque qualité est découpée en petits morceaux de 2 à 6 secondes (Segments).
Le lecteur vidéo (Player) télécharge le "Manifeste" (la carte).
Le Player mesure la bande passante et choisit le segment suivant dans la meilleure qualité possible.

Pipeline de VOD sur AWS

Comment passer d'un fichier brut (MOV/AVI) à une diffusion mondiale Netflix-style.

Étape	Service AWS	Action
1. Source	S3 (Raw)	Upload du fichier maître haute qualité (Mezzanine file).
2. Transcodage	MediaConvert	Convertit le fichier en HLS + DASH avec plusieurs "Renditions" (High, Med, Low). Découpe en segments.
3. Stockage	S3 (Public/Privé)	Stocke les milliers de petits fichiers (.ts, .m3u8) générés.
4. Delivery	CloudFront	Cache et distribue les segments mondialement. C'est le "Moteur" du streaming.

Configuration Cache : Manifest vs Segments

C'est l'erreur classique. On ne cache pas un fichier de menu (.m3u8) comme on cache un morceau de vidéo (.ts).

Fichiers Manifest (.m3u8 / .mpd)

C'est la "carte" de la vidéo. Pour du Live ou des mises à jour, elle change souvent.

TTL Recommandé : Court (Quelques secondes pour le Live, quelques minutes pour la VOD).
Stratégie : Doit être revalidé souvent.

Fichiers Segments (.ts / .m4s)

Ce sont des blocs de données statiques. Un segment "vidéo_001.ts" ne changera JAMAIS.

TTL Recommandé : Très Long (1 an).
Stratégie : Cache-Control: max-age=31536000.

Optimisations Réseau

Activer CORS : Indispensable car le Player (JS) va faire des requêtes XHR vers le domaine CDN. Headers : Access-Control-Allow-Origin: *.
Range Requests : CloudFront supporte les requêtes partielles (Byte-Range) nativement. Vital pour permettre à l'utilisateur d'avancer dans la vidéo sans tout télécharger.

Protéger le Contenu (Anti-Piratage)

Comment empêcher qu'on vole vos vidéos ?

Niveau	Solution	Efficacité
Basique	Referer Check (WAF)	Bloque si la vidéo n'est pas jouée sur `monsite.com`. Facilement contournable.
Intermédiaire	Signed Cookies	L'utilisateur s'authentifie, reçoit un Cookie. CloudFront valide le cookie pour chaque segment. Mieux que Signed URL car on ne peut pas signer les 1000 liens du fichier .m3u8.
Hollywood	DRM (Digital Rights Management)	Chiffrement du fichier (AES-128). La clé de déchiffrement n'est délivrée que si l'utilisateur a une licence valide (Widevine, FairPlay).

Réduire la facture Streaming

La vidéo consomme énormément de bande passante (Data Transfer Out). Voici comment limiter la casse.

1. Origin Shield

Les fichiers vidéo sont lourds. Si chaque Edge va les chercher dans S3, vous payez des requêtes S3 et du transfert interne.
Origin Shield met en cache le fichier une seule fois pour le monde entier.

2. Compression & Bitrate

Utilisez des codecs modernes :
H.265 (HEVC) ou AV1 réduisent la taille de 30% à 50% par rapport au H.264 classique pour la même qualité visuelle.

6. FinOps : Maîtriser la Facture CloudFront

Ce que vous payez réellement

Contrairement à un serveur classique, vous ne payez pas "à l'heure", mais au volume. La facture se compose de 3 étages :

1. Data Transfer Out (Le gros morceau)

Volume de données (GB) envoyées du CDN vers vos utilisateurs.
Prix : Dégressif. ~0.085$/GB (USA/EU).
Plus c'est loin (Amérique du Sud, Australie), plus c'est cher.

2. Requêtes HTTP/HTTPS

Nombre de "hits" reçus par le CDN.
Prix : ~0.010$ pour 10 000 requêtes.
Attention aux API très bavardes ou aux attaques DDoS (millions de hits).

3. Services Annexes

- Invalidations : Payant après 1000/mois. - Functions : 0.10$/million d'exécutions. - Lambda@Edge : 0.60$/million + temps de calcul (Cher !).

Bonne nouvelle : Le transfert de données ENTRANT (Origin S3 vers CloudFront) est toujours GRATUIT. Vous ne payez que la sortie vers le client.

Le Levier Puissant : Les "Price Classes"

Pourquoi payer des serveurs chers à Sydney si vos clients sont tous à Paris ? CloudFront permet de désactiver les régions coûteuses.

Price Class	Régions Incluses	Impact Business
PriceClass_100 Le moins cher	USA, Canada, Europe, Israel.	Idéal si votre cible est occidentale. Un client au Japon pourra accéder au site, mais sera servi depuis les USA (Latence + élevée).
PriceClass_200 Intermédiaire	Class_100 + Asie (Singapour, Tokyo, Hong Kong...), Afrique du Sud, Moyen-Orient.	Bon compromis pour une couverture mondiale standard.
PriceClass_All Premium	Le monde entier (Inclus Amérique du Sud, Australie, Inde).	Performance maximale partout. Coût le plus élevé.

# Exemple Terraform pour économiser de l'argent resource "aws_cloudfront_distribution" "example" { # ... price_class = "PriceClass_100" # ... }

Réductions & Offre Gratuite

1. AWS Free Tier (Toujours gratuit)

Depuis 2021, l'offre gratuite CloudFront est très généreuse et s'applique tous les mois (pas juste la 1ère année).

1 TB (Téraoctet) de Data Transfer Out / mois.
10 Millions de requêtes HTTP/HTTPS / mois.
2 Millions d'invocations CloudFront Functions.

Suffisant pour 95% des sites personnels ou PME.

2. CloudFront Security Savings Bundle

Si vous dépassez le Free Tier, ne restez pas en "On-Demand".

Principe : Vous vous engagez à dépenser un montant minimum (ex: 10$/mois) pendant 1 an.
Gain : Jusqu'à 30% de réduction sur la facture CloudFront.
Bonus : AWS vous OFFRE le coût du WAF (Web Application Firewall) à hauteur de 10% de votre engagement.

⚠️ Attention aux Coûts Cachés : Invalidations

Vider le cache manuellement coûte cher si on s'y prend mal.
Tarif : Les 1 000 premiers chemins par mois sont gratuits. Ensuite : 0,005 $ par chemin.

Mauvaise Pratique

aws cloudfront create-invalidation \ --paths "/images/img1.jpg" "/images/img2.jpg" ... (x2000 fichiers)

Ici, vous payez pour 2000 chemins individuels.
Coût : (2000 - 1000) * 0.005 = 5 USD juste pour ça.

Bonne Pratique

aws cloudfront create-invalidation \ --paths "/images/*"

L'utilisation du wildcard * compte pour 1 seul chemin.
Coût : 0 USD (inclus dans le quota gratuit).
Inconvénient : Vous videz peut-être trop de choses.

Checklist d'Optimisation FinOps

Action	Impact FinOps	Complexité
Activer la Compression (Brotli/Gzip)	Réduit le volume (GB) de 70% sur le texte/JS/CSS.	Facile
Augmenter le TTL (Cache-Control)	Réduit le nombre de requêtes vers l'Origine et les refetchs.	Facile
Utiliser PriceClass_100	Élimine les coûts élevés des régions "exotiques".	Facile
Filtrer les Bots (WAF)	Empêche les robots inutiles de consommer vos requêtes/bande passante.	Moyen
Passer de Lambda@Edge à CF Functions	Divise le coût de calcul par 6.	Difficile (Refonte code)

4. Optimisation : Stratégies de Cache Avancées

Séparer les Flux : La clé de la performance

Ne traitez pas une page HTML comme une image JPG. Utilisez des **Behaviors** différents pour appliquer des stratégies distinctes.

Type	Exemples	Stratégie Cache	TTL Recommandé
Statique (Immutable)	Images, CSS, JS, Fonts, Vidéos (.ts).	Agressif. Ignorer QueryStrings & Cookies.	Min: 1 an Default: 1 an Utiliser le versioning (logo-v2.png) pour mettre à jour.
Semi-Dyn (Mutable)	Page d'accueil (HTML), Catalogue produits (JSON).	Modéré. Varier sur `Accept-Language` ou Device type.	Default: 60s à 1h. Utiliser "stale-while-revalidate" pour servir du vieux contenu pendant la mise à jour.
Dynamique (User Specific)	Panier, Profil utilisateur, API POST/PUT.	Désactivé (Proxy). Forward All Headers/Cookies.	TTL: 0s Policy: CachingDisabled.

Réduire la taille des payloads

1. Algorithmes : Gzip vs Brotli

Gzip : Standard historique. Efficace.
Brotli (br) : Standard moderne (Google). 20 à 30% plus efficace que Gzip sur le texte (CSS/JS/HTML).

Action : Cochez TOUJOURS les deux cases dans votre Cache Policy. CloudFront choisira automatiquement le meilleur selon le navigateur du client.

2. Formats d'Image (AVIF / WebP)

CloudFront ne convertit pas les images nativement (sauf avec Lambda@Edge), mais il gère la Négociation de Contenu.

Le navigateur envoie : Accept: image/avif, image/webp.
Vous devez configurer CloudFront pour Forwarder ce Header à l'origine (S3/Lambda).
L'origine renvoie l'image optimisée.
CloudFront met en cache cette version spécifique pour les clients compatibles.

Cache Policy : Définir la "Cache Key"

C'est ici qu'on décide de la granularité du cache. Plus la clé est précise, moins le hit ratio est élevé.

Composants de la Clé

Headers : Inclure Accept-Language si votre site change de langue sans changer d'URL. Sinon, None.
Cookies : Généralement None pour du statique. Si vous cachez basé sur un cookie de session, le cache devient inutile (1 utilisateur = 1 cache).
Query Strings : None pour les assets (ignorer ?fbclid=...). Whitelist pour les API (?page=1).

Piège Classique

N'utilisez jamais Legacy Cache Settings. Utilisez les nouvelles Policies réutilisables.

Ne cochez pas "Forward All Headers" sauf si vous voulez tuer votre cache (car User-Agent change à chaque mise à jour de Chrome).

La Nuance Critique : Cache vs Origin Request

C'est la distinction la plus importante pour l'architecture CloudFront moderne.

Cache Policy (CP)	VS	Origin Request Policy (ORP)
"Qu'est-ce qui modifie le fichier stocké ?"		"Quelles infos je donne à mon Backend ?"
Exemple : Je n'inclus PAS les cookies Google Analytics. (Sinon je cache 1 version par visiteur).		Exemple : J'inclus TOUS les cookies Analytics. (Le backend a besoin de logger la visite, mais CloudFront sert la même page à tous).
Impacte le Hit Ratio.		Impacte la Logique Backend.

Use Case : Géolocalisation - Cache Policy : Whitelist Header "CloudFront-Viewer-Country". (On a 1 cache par pays). - Origin Request Policy : All Headers. (Le backend reçoit tout le contexte).

Sécurité & CORS (Sans toucher au Backend)

CloudFront peut injecter des en-têtes HTTP dans la réponse après qu'elle soit sortie de l'origine.

Headers de Sécurité (Best Practice)

HSTS : Strict-Transport-Security: max-age=63072000. Force HTTPS.
X-Frame-Options : DENY. Anti-Clickjacking.
X-Content-Type-Options : nosniff. Anti-MIME sniffing.
Referrer-Policy : strict-origin-when-cross-origin. Privacy.

Gestion du CORS (Cross-Origin)

Indispensable si votre API est sur api.site.com et votre front sur www.site.com.

Access-Control-Allow-Origin: https://www.site.com Access-Control-Allow-Methods: GET, POST, OPTIONS Access-Control-Allow-Credentials: true

Avantage : Vous gérez le CORS au niveau CDN, plus besoin de configurer Nginx/Apache/Express.js pour ça.