AWS Transfer Family & AWS Backup — Cheat Sheet
Deux services complémentaires pour la gestion et la protection des données : Transfer Family pour faire entrer les fichiers dans AWS, Backup pour les protéger une fois dans AWS.
1. AWS Transfer Family — Transferts de fichiers sécurisés
Qu'est-ce que c'est ?
Service entièrement managé pour transférer des fichiers vers Amazon S3 ou Amazon EFS via les protocoles standards, sans modifier les applications ni l'infrastructure existante.
Protocoles supportés
| Protocole | Description | Chiffrement |
|---|---|---|
| SFTP | SSH File Transfer Protocol | ✅ Oui (SSH) |
| FTPS | FTP over SSL/TLS | ✅ Oui (TLS) |
| FTP | File Transfer Protocol classique | ❌ Non (non recommandé) |
Architecture typique
Partenaire A ──┐
Partenaire B ──┼── SFTP / FTPS ──► AWS Transfer Family ──► Amazon S3
Partenaire C ──┘ /partenaireA/
/partenaireB/
/partenaireC/
Chaque partenaire a son propre répertoire isolé dans S3 — accès en écriture uniquement dans son dossier, sans visibilité sur les fichiers des autres.
Authentification
- AWS IAM — utilisateurs IAM avec permissions sur les buckets S3
- Active Directory / LDAP — fournisseurs d'identité d'entreprise existants
- Base de données personnalisée — logique d'auth sur mesure
Intégrations clés
| Service | Rôle |
|---|---|
| Amazon S3 | Stockage de destination des fichiers |
| Amazon EFS | Alternative pour les systèmes de fichiers partagés |
| AWS Lambda | Traitements automatiques après réception (extraction, transformation) |
| Amazon CloudWatch | Surveillance et alertes sur les transferts |
| AWS CloudTrail | Audit complet de toutes les activités de transfert |
Workflows automatisés post-transfert
Après dépôt d'un fichier, vous pouvez déclencher automatiquement :
- Traitement Lambda → extraction de données, validation du fichier
- Mise à jour DynamoDB → enregistrement en base de données
- Déplacement S3 → tri vers des dossiers spécifiques selon le contenu
Cas d'usage
- EDI / B2B : partenaires commerciaux qui déposent des commandes, factures, manifestes
- Migration : remplacer un serveur FTP legacy sans toucher aux clients existants
- Intégration SI : ERP, WMS qui utilisent encore SFTP pour échanger des données
- Distribution sécurisée : livraison de rapports ou exports à des clients externes
Bonnes pratiques
- Utiliser SFTP ou FTPS (jamais FTP en production — pas de chiffrement)
- Appliquer le principe du moindre privilège IAM par partenaire
- Activer CloudTrail pour l'audit complet des transferts
- Configurer des notifications CloudWatch sur les échecs de transfert
2. AWS Backup — Sauvegardes centralisées et automatisées
Qu'est-ce que c'est ?
Service entièrement managé pour centraliser, automatiser et sécuriser les sauvegardes de toutes vos ressources AWS depuis une interface unique.
Services AWS sauvegardés
| Catégorie | Services |
|---|---|
| Calcul | Amazon EC2 |
| Stockage bloc | Amazon EBS |
| Stockage fichiers | Amazon EFS, Amazon FSx |
| Bases de données | Amazon RDS, Aurora, DynamoDB |
| Stockage objet | Amazon S3 |
| Hybride | AWS Storage Gateway |
Concepts clés
Backup Plan (Plan de sauvegarde)
Définit quoi, quand et combien de temps sauvegarder :
Backup Plan exemple :
├── Règle 1 : Toutes les 12h → rétention 7 jours
├── Règle 2 : Quotidien → rétention 30 jours
└── Règle 3 : Hebdomadaire → rétention 3 mois
Fréquences disponibles : toutes les X heures, quotidien, hebdomadaire, mensuel, ou expression cron personnalisée.
Sélection des ressources par tag : ex. toutes les ressources avec Name = Application1
→ sauvegarde automatique sans lister les ressources une par une.
Backup Vault (Coffre de sauvegarde)
Espace de stockage sécurisé où sont conservées les sauvegardes :
- Chiffrement automatique des données au repos
- Contrôles d'accès IAM granulaires
- Plusieurs vaults possibles pour isoler les environnements (prod, dev, compliance)
Point-in-Time Recovery (PITR)
Restauration à un instant précis (à la seconde près) pour les services compatibles :
| Service | PITR disponible |
|---|---|
| DynamoDB | ✅ Jusqu'à 35 jours |
| RDS / Aurora | ✅ |
| S3 | ✅ |
Utile pour annuler une suppression accidentelle ou une corruption de données.
Backup Vault Lock — Protection WORM
Empêche toute modification ou suppression des sauvegardes, même par un administrateur.
| Mode | Qui peut modifier | Cas d'usage |
|---|---|---|
| Governance | Utilisateurs avec permissions spéciales | Phase de test, mise en place progressive |
| Compliance | Personne (même root) | Données réglementées, audit légal |
Équivalent de S3 Object Lock mais pour les sauvegardes AWS Backup. Protège contre les ransomwares, suppressions accidentelles et actions malveillantes.
Cross-Region Backup
Copie automatique des sauvegardes vers une autre région AWS.
Région A (primaire) Région B (DR)
Backup Vault ──────────► Backup Vault copie
(eu-west-1) réplication (eu-west-3)
- Protège contre une panne complète de région
- Politiques de rétention indépendantes par région cible
- Indispensable pour les stratégies de Disaster Recovery
Cross-Account Backup
Copie des sauvegardes vers un autre compte AWS.
Compte principal (prod) ──► Compte de sauvegarde (dédié)
Backup Vault Backup Vault isolé
Clé KMS partagée ────────────► Clé KMS cible
- Isole les sauvegardes du compte principal (si compromis, les sauvegardes restent intactes)
- La clé KMS du compte source doit être partagée avec le compte cible pour le déchiffrement
- Requiert des politiques IAM et des rôles cross-account correctement configurés
Architecture complète AWS Backup
Ressources AWS (EBS, RDS, DynamoDB, EFS, FSx, S3, EC2)
│
▼
[Backup Plan]
Fréquence + Rétention + Sélection par tags
│
▼
[Backup Vault] ──── Vault Lock (WORM) ────► Conformité réglementaire
Chiffré (KMS)
│
├──► Cross-Region ──► Backup Vault (Région B)
└──► Cross-Account ──► Backup Vault (Compte dédié)
Tableau comparatif : Transfer Family vs Backup
| AWS Transfer Family | AWS Backup | |
|---|---|---|
| Objectif | Faire entrer des fichiers dans AWS | Protéger les ressources déjà dans AWS |
| Action principale | Transfert de fichiers (SFTP/FTPS/FTP) | Sauvegarde et restauration |
| Stockage cible | S3, EFS | Backup Vault (EBS, RDS, DynamoDB…) |
| Automatisation | Lambda post-transfert | Plans de sauvegarde, PITR |
| Sécurité avancée | IAM, AD, CloudTrail | Vault Lock (WORM), KMS |
| Multi-région | ❌ | ✅ Cross-Region |
| Multi-compte | ❌ | ✅ Cross-Account |
Bonnes pratiques AWS Backup
- Taguer toutes les ressources → simplifie la sélection automatique dans les Backup Plans
- Activer Vault Lock en mode Compliance pour les données soumises à réglementation
- Configurer le Cross-Region pour toute application critique (RPO/RTO)
- Tester régulièrement les restaurations — une sauvegarde non testée n'est pas fiable
- Surveiller avec CloudWatch → alertes sur les échecs de sauvegarde
- Utiliser AWS Organizations pour gérer les Backup Plans sur tous les comptes depuis un point central
À retenir pour l'examen AWS
- Transfer Family = SFTP/FTPS/FTP managé → S3 ou EFS, sans modifier les clients existants
- AWS Backup = console unique pour sauvegarder EBS, RDS, DynamoDB, EFS, FSx, S3, EC2
- Backup Plan = règles de fréquence + rétention + sélection par tags
- Backup Vault = coffre chiffré KMS qui stocke les sauvegardes
- Vault Lock = WORM (Write Once Read Many) → mode Governance ou Compliance
- PITR = restauration à la seconde près (DynamoDB, RDS, S3)
- Cross-Region = copie vers autre région pour le Disaster Recovery
- Cross-Account = copie vers autre compte pour isoler les sauvegardes