Résumé
- Le paradoxe de la redevabilité n'est pas de savoir si AWS offre plus d'une région. C'est le cas. Le test consiste à déterminer si un client peut utiliser cette diversité lors d'un incident fournisseur sans avoir d'abord à solliciter des plans de contrôle défaillants, des chemins d'identité, des API de gestion DNS, des systèmes de surveillance ou des canaux d'assistance. Une deuxième région qui existe mais n'est pas provisionnée, authentifiée, observable ou accessible sans modification de configuration en direct n'est qu'un inventaire, pas une résilience opérationnelle.
- Les 19 et 20 octobre 2025, une condition de concurrence latente dans le système automatisé de gestion DNS de DynamoDB a entraîné la perte de toutes les adresses IP du point de terminaison régional public d'US-East-1. Trois exécuteurs DNS indépendants fonctionnant dans trois zones de disponibilité différentes n'ont pas contenu la défaillance car ils partageaient une seule séquence de plan régional et une même logique de nettoyage. L'automatisation est entrée dans un état incohérent et a nécessité une réparation manuelle.
- La restauration de la résolution du point de terminaison DynamoDB après environ trois heures n'a pas rétabli la région. Le système de gestion des hôtes EC2 avait perdu des baux et était entré en effondrement congestif; la propagation de l'état réseau a accumulé un arriéré; les contrôles de santé du Network Load Balancer ont supprimé la capacité saine dont la configuration n'était pas encore arrivée; et les services dépendants ont subi un ralentissement, des échecs ou ont vidé leurs files d'attente pendant de nombreuses heures supplémentaires. AWS a décrit trois principales périodes d'impact client, certaines récupérations de Redshift se poursuivant jusqu'au 21 octobre.
- L'événement ne signifie pas que chaque machine d'US-East-1 soit tombée en panne. Les instances EC2 existantes sont restées saines, et certains plans de données provisionnés de manière statique ont continué à fonctionner. La défaillance a plutôt altéré la capacité à trouver DynamoDB, à lancer ou mettre en réseau de nouvelles capacités, à traiter les événements, à authentifier certaines requêtes, à remplacer les composants défaillants et à exploiter les fonctions d'assistance et de centre de contacts. Cette distinction explique à la fois pourquoi certains clients ont survécu et pourquoi les conceptions classiques de mise à l'échelle automatique ont échoué plus tard dans la journée sous la charge.
- Les documents du secteur public rendent la conséquence sur la continuité concrète sans étayer les affirmations d'une panne gouvernementale universelle. La NOAA a indiqué que pratiquement tous les produits NESDIS ont été affectés et retardés plutôt que perdus. L'USPTO a signalé des interruptions intermittentes du Patent Center et a redirigé les déposants vers des méthodes alternatives. Une plateforme scientifique de la NASA a averti que l'allocation de blocs-notes pouvait expirer. Chaque cas illustre une exigence de continuité différente: préserver les produits urgents, préserver les voies de dépôt légales ou préserver l'accès à une capacité de calcul de remplacement.
- AWS contrôle les rouages internes des services gérés, l'architecture des services mondiaux, les algorithmes de récupération, la publication des statuts et les preuves de remédiation. Les clients et les éditeurs de logiciels en aval contrôlent le placement des charges de travail, le préprovisionnement, la cartographie des dépendances, les modes dégradés, la surveillance indépendante et les procédures de continuité. Les organismes publics contrôlent également la classification des missions, les exigences d'approvisionnement et les solutions de repli non numériques. La responsabilité partagée n'est pas une responsabilité égale: elle incombe à celui qui aurait pu modifier la capacité défaillante avant l'incident.
Un produit régional confronté à un problème d'échappement non régional
La proposition commerciale du cloud repose sur des domaines de défaillance sélectionnables. Un client peut répartir une application sur plusieurs zones de disponibilité au sein d'une région, répliquer les données vers une autre région et payer pour une copie chaude ou active ailleurs. En théorie, cela fait de la résilience une propriété achetable. En pratique, l'achat ne devient réel que lorsque le client peut l'exercer pendant que l'environnement principal est dégradé.
C'est là que le paradoxe du plan de contrôle commence. Un serveur déjà en cours d'exécution peut continuer à traiter alors que l'API utilisée pour le décrire ou le remplacer est indisponible. Un enregistrement DNS peut continuer à répondre alors que l'API utilisée pour le modifier est hors service. Une réplique dans une autre région peut être saine alors que l'application envoie encore chaque requête au point de terminaison régional défaillant. Un service d'assistance peut basculer vers une autre région tout en rejetant les utilisateurs parce qu'une dépendance de métadonnées de compte renvoie une réponse apparemment autoritaire mais invalide.
Le propre guide d'AWSFault Isolation Boundaries guidance on global servicesest inhabituellement explicite à ce sujet. Dans la partition commerciale standard, les services IAM, AWS Organizations, Account Management, Route 53 Public DNS, CloudFront et plusieurs plans de contrôle connexes sont hébergés dans une seule région, souvent US-East-1. Leurs plans de données peuvent être distribués mondialement, et cette séparation peut préserver le service établi. Mais le guide indique aux clients de ne pas compter sur ces plans de contrôle pendant la récupération et énumère les opérations dans des services par ailleurs régionaux qui dépendent encore de Route 53 ou d'autres fonctions de contrôle à région unique.
La bonne question de redevabilité n'est donc pas: « Le client a-t-il acheté une deuxième région? » C'est:Le client pouvait-il entrer, observer, autoriser, router et exploiter la deuxième région en utilisant des chemins qui étaient déjà actifs et ne nécessitaient pas l'autorité dégradée?
Ce test est plus strict que les diagrammes d'architecture. Il demande si la capacité était préprovisionnée; si les données étaient suffisamment à jour; si les informations d'identification et les politiques de confiance fonctionnaient; si le contrôle de basculement était une action du plan de données; si le personnel disposait de communications indépendantes; si les preuves d'état provenaient de l'extérieur du fournisseur; et si le service public derrière le système pouvait tolérer la transition. Il demande également si AWS avait maintenu ses propres systèmes de récupération et d'information client en dehors de la défaillance qu'elle tentait d'expliquer.
Octobre 2025 a apporté une réponse détaillée. Certains aspects ont fonctionné exactement comme le prévoit la théorie de la stabilité statique. Les instances EC2 existantes sont restées disponibles. Les réplicas de DynamoDB Global Tables dans d'autres régions étaient directement adressables. D'autres aspects ont révélé le prix des dépendances de contrôle cachées: le point de terminaison de la base de données régionale a disparu, les baux des hôtes ont expiré, la capacité n'a pu être lancée, les nouvelles instances manquaient d'état réseau, les contrôles de santé ont retiré la capacité utile de l'équilibreur de charge, et l'accès au support a été bloqué malgré le basculement régional.
L'horloge d'octobre 2025 contenait trois pannes
Lerésumé post-incidentd'AWS date l'événement de 23h48, heure du Pacifique, le 19 octobre, à 14h20 le 20 octobre et distingue trois périodes: les erreurs de l'API DynamoDB, les échecs de lancement et de connectivité EC2, et les erreurs de connexion du Network Load Balancer. Cette approche est plus précise que de n'attribuer à l'événement qu'un seul début et une seule fin. Différents services, chemins de contrôle et arriérés clients se sont rétablis à des vitesses différentes.
| Heure du Pacifique | Événement | Signification pour la redevabilité |
|---|---|---|
| 19 oct., 23h48 | Un ancien plan DNS est appliqué après un plan plus récent; le nettoyage supprime l'ancien plan désormais actif, retirant toutes les adresses IP du point de terminaison régional de DynamoDB. | Des exécutants redondants partagent un défaut d'ordonnancement des plans et créent une réponse régionale invalide. L'automatisation ne peut pas s'auto-réparer. |
| 20 oct., 00h38 | Les ingénieurs identifient l'état DNS de DynamoDB comme source. | La détection et le diagnostic sont relativement rapides, mais l'identification ne rétablit pas l'état autoritaire. |
| 01h15 | Des mesures temporaires permettent à certains services internes d'atteindre DynamoDB et de rétablir des outils internes clés. | La récupération nécessite d'abord de réparer la capacité du fournisseur à s'opérer lui-même. |
| 02h25 | Les informations DNS sont restaurées; les réponses mises en cache expirent vers 02h40. | Le déclencheur est atténué après environ trois heures, mais l'état dépendant s'est déjà dégradé. |
| 02h32 | Les réplicas de DynamoDB Global Tables sont signalés comme étant à jour. | Les réplicas inter-régionaux ont survécu en tant que cible disponible, bien que la latence de réplication et le routage client aient encore dû être gérés. |
| 04h14 | Après plusieurs tentatives d'atténuation, les ingénieurs limitent le travail entrant et redémarrent sélectivement les hôtes du gestionnaire de flux de travail EC2 DropletWorkflow. | La flotte de gestion des hôtes est entrée en effondrement congestif, et AWS indique qu'aucune procédure de récupération opérationnelle établie ne couvrait cet état. |
| 05h28 | Les baux des hôtes EC2 sont rétablis et certains lancements réussissent sous limitation. | La capacité revient progressivement; un succès de l'API ne signifie pas encore une instance réseau utilisable. |
| À partir de 05h30 | Certains Network Load Balancers rencontrent des erreurs de connexion. | Une phase de récupération ultérieure crée une nouvelle conséquence sur le plan de données pour des points de terminaison auparavant sains. |
| 06h21 | Le gestionnaire de réseau EC2 développe des délais de propagation lors du traitement de l'état réseau différé. | La file d'attente de récupération devient un goulet d'étranglement distinct après l'amélioration de la gestion des hôtes. |
| 06h52 | La surveillance détecte des échecs alternés des contrôles de santé NLB. | De nouvelles instances sans état réseau complet apparaissent comme défaillantes, de sorte que l'automatisation de protection supprime de la capacité. |
| 09h36 | AWS désactive le basculement automatique des contrôles de santé NLB. | Les opérateurs suspendent temporairement un mécanisme de sécurité car ses hypothèses sont fausses dans l'état de récupération. |
| 10h36 | La propagation de la configuration réseau revient à la normale. | Les instances nouvellement lancées peuvent à nouveau être entièrement connectées, mais les limitations demeurent. |
| 11h23 | Les ingénieurs commencent à relâcher les limitations de requêtes EC2. | La récupération est contrôlée à l'admission pour éviter de recréer une surcharge. |
| 13h50 | Les API et lancements EC2 sont signalés comme normaux. | Le plan de contrôle récupère plus de onze heures après la défaillance initiale du point de terminaison régional. |
| 14h09 | Le basculement DNS automatique des NLB est réactivé. | Le système de protection normal ne revient qu'une fois ses entrées à nouveau fiables. |
| 14h20 | Le rapport détaillé d'AWS indique la fin de l'événement principal. | Il s'agit d'un jalon pour le fournisseur, pas de la preuve que tous les arriérés de service ou les opérations client sont réconciliés. |
| 15h01 | Lamise à jour publique d'Amazonindique que tous les services AWS sont revenus à un fonctionnement normal. | Un jalon public ultérieur reflète une restauration plus large des services. |
| 21 oct., 04h05 | Les opérateurs finissent de restaurer les clusters Redshift bloqués dans des processus de remplacement. | Certaines ressources dépendantes restent dégradées au-delà de la fenêtre de l'événement principal. |
Les mesures externes aident à tester les limites du compte fournisseur. L'analyse de panne de Cisco ThousandEyesa observé une perte de paquets précoce à la périphérie d'AWS près d'Ashburn, suivie plus tard de délais d'attente d'application et de réponses 503 lorsque la défaillance passait par les phases de récupération. Ces observations ne peuvent pas révéler les rouages internes propriétaires, mais elles corroborent la conclusion que l'accessibilité réseau et la disponibilité applicative se sont rétablies à des moments différents.
L'historique public des événementsd'AWS reste utile en tant qu'enregistrement de communication contemporain. Il ne doit pas être traité comme un rapport médico-légal complet. Un historique des statuts rapporte ce que le fournisseur savait et a choisi de publier à un moment donné; le rapport post-incident ajoute des mécanismes et des réconciliations ultérieures.
La chronologie montre également pourquoi « le DNS a été réparé » est une affirmation de récupération inadéquate. La réparation du DNS a rétabli une route vers DynamoDB. Elle n'a pas restauré les baux expirés, les mises à jour réseau en file d'attente, les instances non créées, les livraisons d'événements limitées, les sessions de centre de contacts échouées ou les processus client ayant expiré. La durée de la récupération a été la somme des transitions d'état dépendantes, pas la durée du premier défaut.
Le déclencheur était DNS; la racine était l'autorité partagée sur l'état
Le mécanisme déclencheur était précis. DynamoDB maintient des centaines de milliers d'enregistrements DNS pour une grande flotte régionale d'équilibreurs de charge. Un planificateur DNS crée des plans décrivant les points de terminaison, les équilibreurs de charge et les poids. Des exécuteurs DNS, fonctionnant indépendamment dans trois zones de disponibilité, appliquent ces plans via Route 53. Avant d'agir, un exécuteur vérifie que son plan est plus récent que celui déjà appliqué.
Un exécuteur est devenu inhabituellement lent et a retenté les mises à jour sur plusieurs points de terminaison. Pendant ce temps, le planificateur a généré des plans plus récents et un autre exécuteur en a rapidement appliqué un. L'exécuteur plus récent a ensuite commencé à nettoyer les anciens plans. À ce moment-là, l'exécuteur retardé a atteint le point de terminaison régional principal de DynamoDB et a appliqué son plan plus ancien. Sa vérification de fraîcheur était antérieure et désormais périmée. Le nettoyage a supprimé l'ancien plan qui venait de devenir actif. Toutes les adresses IP du point de terminaison ont disparu, et l'état de l'automatisation est devenu suffisamment incohérent pour que les plans ultérieurs ne puissent pas être appliqués.
« Une erreur DNS » décrit le déclencheur visible par le client. Elle n'explique pas la défaillance de contrôle. Les conditions plus profondes étaient:
- la fraîcheur était vérifiée une fois au début d'une opération multi-points de terminaison plutôt qu'atomiquement à chaque écriture décisive;
- un plan plus ancien pouvait écraser une génération plus récente après un délai prolongé;
- le nettoyage pouvait supprimer un plan sans prouver qu'il n'était plus actif;
- des exécutants indépendants dans des zones distinctes partageaient les mêmes hypothèses d'ordre et de suppression;
- un plan régional unique simplifiait la gestion pour plusieurs types de points de terminaison, augmentant l'autorité attachée au plan;
- l'état invalide était en dehors de l'enveloppe d'auto-réparation de l'automatisation et a nécessité une intervention humaine pour être restauré.
Cette distinction est importante car ajouter un quatrième exécuteur ne résoudrait pas nécessairement un défaut de protocole partagé par tous les exécuteurs. Les zones de disponibilité séparaient les processus et l'infrastructure; elles ne créaient pas une correction indépendante. La redondance multipliait les acteurs exécutant la même transition non sécurisée.
Les engagements de remédiation d'AWS suivent ce diagnostic. L'entreprise a désactivé l'automatisation du planificateur et de l'exécuteur dans le monde entier en attendant les modifications, s'est engagée à corriger la condition de concurrence et à empêcher l'application de plans incorrects, a proposé une limite de vitesse sur la quantité de capacité qu'un seul NLB pourrait supprimer lors d'un basculement de zone de disponibilité, a ajouté des tests de récupération EC2 et a promis une limitation de débit sensible aux files d'attente pour la propagation de l'état réseau. Ces mesures sont plus fortes que d'augmenter simplement la capacité car elles contraignent l'autorité et la vitesse de récupération.
Il s'agit encore d'engagements dans un rapport rédigé par le fournisseur. Le dossier public examiné ici ne contient pas un seul registre de clôture audité indépendamment montrant la date de déploiement, la couverture des tests, les cas de test échoués, les exceptions restantes et la performance soutenue de chaque action. La confiance dans le récit causal peut être élevée tandis que la confiance dans l'efficacité actuelle de la remédiation reste plus faible.
Un serveur sain n'était pas un service récupérable
AWS a souligné à juste titre que les instances EC2 lancées avant l'incident sont restées saines. Ce fait empêche l'analyse de glisser vers l'affirmation inexacte que US-East-1 a été physiquement hors ligne. Il expose également le risque exact que les clients achetaient.
AWS définit les plans de contrôle comme les systèmes qui créent, décrivent, mettent à jour, suppriment et listent les ressources, tandis que les plans de données effectuent le travail principal du service. Songuide sur les plans de contrôle et de donnéesexplique pourquoi le lancement d'EC2 est une orchestration complexe impliquant des hôtes, des interfaces réseau, du stockage, des informations d'identification et une configuration de sécurité. L'instance en cours d'exécution est plus simple. Elle peut survivre à une période pendant laquelle cette orchestration ne peut pas en créer une nouvelle.
C'est la stabilité statique dans sa forme pratique. Un service survit parce qu'il n'a pas besoin de changer. La faiblesse apparaît lorsque la demande augmente, qu'un hôte tombe en panne, qu'un déploiement remplace la capacité, qu'un certificat ou un secret doit être renouvelé, qu'un conteneur se termine, ou qu'un opérateur tente de basculer. Alors, le service prétendument stable appelle le plan de contrôle au moment le moins opportun.
Larevue post-incident client de Buildkiteillustre la défaillance retardée. L'expérience de ses clients a d'abord été stable. À mesure que le trafic commercial américain a augmenté, les échecs de lancement EC2 ont empêché la mise à l'échelle automatique, les shards ont épuisé leurs différentes marges de capacité, et la latence et les erreurs ont augmenté des heures après le début de l'incident AWS. Buildkite a préservé la capacité en interrompant les déploiements et a ensuite déplacé la charge vers un shard autrement inutilisé. L'atout décisif en matière de résilience était la capacité de calcul préexistante et en cours d'exécution, pas l'existence d'une politique de mise à l'échelle automatique.
Postman a documenté une deuxième forme de couplage. Sarevue de panneindique que les flux critiques ont été perturbés, que sa page de statut hébergée sur AWS a retardé la communication, et que sa création automatisée de canaux d'incident internes dépendait de l'infrastructure affectée. Postman a accepté sa propre part de responsabilité et a décrit des travaux sur la dégradation gracieuse, la capacité multi-région, les communications redondantes et, à terme, le fonctionnement actif-actif à travers les régions et les fournisseurs. C'est la bonne répartition: AWS est propriétaire de la défaillance en amont; Postman est responsable de la décision de laisser la communication et la coordination client en hériter.
L'événement d'octobre divise donc les architectures client en catégories plus utiles que « région unique » et « multi-région »:
- En cours d'exécution mais dépendant des changements.Le service existant continue jusqu'à ce que la mise à l'échelle, le remplacement, le déploiement ou le renouvellement des informations d'identification nécessite une activité de contrôle.
- Multi-zone mais dépendant du contrôle régional.Les défaillances de zone physique sont couvertes, tandis que les points de terminaison régionaux partagés, les plans de contrôle et les systèmes de récupération restent communs.
- Multi-région mais dépendant de l'activation.Les données et les modèles existent ailleurs, mais le basculement nécessite un provisionnement, des modifications IAM, des modifications Route 53 ou des opérateurs indisponibles.
- Multi-région statiquement stable.La capacité, les chemins de données, les identités, les contrôles de santé et les contrôles de routage sont déjà disponibles, le basculement utilisant des mécanismes de plan de données prépositionnés.
- Diversifié en fournisseurs ou manuellement continu.Un sous-ensemble critique peut fonctionner en dehors d'AWS, ou la fonction publique continue via un processus non numérique borné lorsque l'opération cloud n'est pas économique.
Seules les quatrième et cinquième catégories répondent directement au paradoxe du plan de contrôle. Les autres peuvent encore être des choix rationnels pour des charges de travail à moindre impact, mais elles ne devraient pas être présentées comme une résilience équivalente.
L'automatisation de la récupération est devenue le deuxième incident
Une fois le DNS DynamoDB rétabli, le gestionnaire de flux de travail DropletWorkflow d'EC2 a tenté de rétablir les baux avec les hôtes physiques qu'il gérait. Pendant la panne du point de terminaison, ces baux avaient expiré. Un hôte sans bail actif ne pouvait pas accepter en toute sécurité une nouvelle instance. Les tentatives de la flotte ont pris suffisamment de temps pour que le travail expire et soit remis en file d'attente. AWS indique que le système est entré en effondrement congestif et qu'il n'existait aucune procédure établie pour cet état de récupération.
C'est un aveu important. La condition de concurrence initiale était une rare défaillance d'ordonnancement. La dégradation prolongée d'EC2 provenait d'une classe prévisible de charge de récupération: de nombreux objets expirés tentant de redevenir actuels ensemble. L'échelle exacte a pu être exceptionnelle, mais les files d'attente, les délais d'attente, les tentatives et les baux sont des mécanismes ordinaires des systèmes distribués. Une conception de récupération doit être testée à la taille de la flotte qu'elle est censée restaurer, et pas seulement pour les performances en régime permanent ou la perte incrémentielle d'hôtes.
La phase suivante a rendu la dépendance visible pour le trafic en cours. Le gestionnaire de réseau a dû propager un arriéré de configuration pour les instances nouvelles ou modifiées. Certaines nouvelles instances existaient avant que leur état réseau ne soit complet. Les contrôles de santé NLB ont vu des échecs, ont alterné entre sain et malsain, et ont retiré des nœuds et des cibles du DNS. Le système de vérification lui-même est devenu chargé, et le basculement automatique de la zone de disponibilité a supprimé la capacité des équilibreurs de charge multi-zones. AWS a désactivé la protection automatique à 09h36 pour l'empêcher d'agir sur des preuves trompeuses.
Aucun composant individuel ne s'est comporté de manière irrationnelle isolément. La gestion des baux a refusé les hôtes non possédés. Le gestionnaire de réseau a mis en file d'attente la configuration. Les contrôles de santé ont supprimé les cibles inaccessibles. Le basculement de zone de disponibilité a retiré la capacité dégradée. La cascade a émergé parce que chaque mécanisme a interprété la récupération partielle comme une défaillance locale ordinaire. La redevabilité se situe dans la conception intersystèmes: l'état de récupération doit être représenté suffisamment bien pour qu'un contrôle de sécurité n'en punisse pas un autre pour être temporairement incomplet.
Les effets en aval étaient spécifiques aux services. Lambda a limité le travail asynchrone et piloté par des files d'attente pour protéger l'invocation synchrone. ECS, EKS et Fargate ont connu des échecs de lancement et de mise à l'échelle. Amazon Connect a vu des appels entrants et sortants échouer, des tonalités occupées, des silences, des échecs de messages audio et de routage d'appels, des problèmes de connexion du personnel du centre de contacts et des rapports retardés. STS a connu deux périodes d'erreurs élevées. Redshift avait à la fois une dépendance régionale et un défaut qui envoyait une requête de résolution de groupe IAM à US-East-1 depuis toutes les régions; les utilisateurs de bases de données locales n'ont pas été affectés par cette défaillance inter-régionale particulière.
Ce détail Redshift est particulièrement révélateur. Une ressource peut être physiquement située en dehors d'US-East-1 et appeler un point de terminaison là-bas en raison d'un choix d'implémentation. Le déploiement géographique et la géographie des dépendances ne sont pas identiques. Les clients ont besoin de la seconde carte, mais seul le fournisseur peut divulguer de manière autoritaire chaque dépendance de service à service interne.
Le statut et le support font partie du système de sécurité
Lors d'un incident cloud, les clients doivent décider s'ils sont confrontés à leur propre défaut, à une restriction spécifique au compte, à un événement régional ou à une dépendance mondiale. Ils doivent savoir s'il faut basculer, geler les déploiements, réduire la charge, préserver les files d'attente ou invoquer une continuité manuelle. Les informations de statut sont donc un contrôle opérationnel, pas une communication après coup.
En octobre 2025, le centre de support AWS a bien basculé vers une autre région. Pourtant, un sous-système de métadonnées de compte a renvoyé des réponses qui empêchaient les utilisateurs légitimes de consulter ou de mettre à jour les cas. AWS avait conçu un contournement pour les réponses en échec; la dépendance a plutôt renvoyé des réponses invalides. De 23h48 à 02h40, les clients ne pouvaient pas créer, consulter ou mettre à jour les cas de support via la console ou l'API.
C'est un problème classique de défaillance sémantique. Une dépendance peut être indisponible, lente, erronée, périmée ou incorrecte avec assurance. Une logique de basculement qui ne gère qu'un délai d'attente n'est pas indépendante d'un système qui renvoie une mauvaise autorité. La continuité du support doit valider la signification de l'état du compte, préserver un chemin borné du dernier état connu et offrir une voie d'authentification distincte pour les événements fournisseur graves.
Le dossier montre à la fois une amélioration et une récurrence. Lors de l'événement de service AWS du 7 décembre 2021, la congestion entre les réseaux principal et interne d'AWS a altéré la surveillance, les outils de déploiement, les plans de contrôle, le centre de contacts de support et le basculement du tableau de bord de santé des services vers une région de secours. AWS avait promis une nouvelle architecture de support active dans plusieurs régions. Le centre de support 2025 a bien changé de région comme prévu, ce qui est une preuve de progrès architectural. Sa dépendance de métadonnées a quand même empêché le service de remplir son objectif.
Les clients doivent également distinguer le statut public d'AWS des preuves personnalisées. Ladocumentation actuelle du tableau de bord AWS Healthindique que la page publique non signée montre les événements de service publics, tandis que les vues connectées fournissent des événements et des ressources spécifiques au compte. AWS recommande une surveillance programmatique via EventBridge. Songuide pour les événements de santé publics et spécifiques au compterecommande une règle de sauvegarde pour que les événements puissent être livrés à une région alternative. Leguide des règles d'événements régionauxd'AWS indique que les événements de santé mondiaux tels que les notifications IAM nécessitent une règle dans US-East-1, une autre raison de tester plutôt que de présumer l'indépendance.
Aucune organisation ne devrait compter sur un seul canal. Une disposition défendable combine la santé publique du fournisseur, des événements spécifiques au compte livrés dans plus d'une région, des sondes synthétiques provenant d'un autre fournisseur ou d'un réseau sur site, des métriques commerciales au niveau applicatif et une page d'incident avec un hébergement et une identité indépendants. Les listes de contacts, les détails du pont et les seuils de décision devraient être récupérables sans le compte cloud ordinaire.
L'impact sur le service public était un problème de continuité, pas un décompte de sites Web
La panne d'octobre a atteint les systèmes publics d'une manière qui rend trompeurs les simples totaux de pannes. La meilleure preuve est spécifique au service.
L'Administration nationale des océans et de l'atmosphère (NOAA) a signalé que ses installations cloud des Centres nationaux d'information environnementale ont commencé à recevoir des alarmes de faible ingestion vers 06h57 UTC. Unmessage opérationnel de la NOAA/NESDISa indiqué que pratiquement tous les produits NESDIS étaient affectés et que les données semblaient retardées plutôt que perdues. C'est une conséquence matériellement différente de la destruction permanente de données. Cela peut néanmoins être grave: les produits environnementaux sont sensibles au temps, et un retard de six heures peut comprimer le temps disponible pour utiliser les observations dans les prévisions, la planification ou l'analyse en aval.
L'Office américain des brevets et des marques a indiqué que sonPatent Center a connu des interruptions intermittenteset a redirigé les utilisateurs incapables de soumettre des dépôts vers des méthodes de dépôt alternatives. Cet avis démontre un principe de continuité mature: la fonction légale ou administrative est le dépôt, pas la disponibilité d'une application Web. Une voie alternative préserve la fonction même lorsque l'interface principale est dégradée. Le dossier n'établit pas combien d'utilisateurs ont eu recours à l'alternative, si chaque dépôt a respecté son délai, ni pourquoi l'incident n'a pas été marqué comme résolu avant le 23 octobre; ces questions devraient rester ouvertes.
La plateforme scientifique Fornax de la NASA a averti quele démarrage d'un serveur de notebook pourrait expirerpendant que les ressources de calcul étaient allouées. Cela correspond directement à la défaillance du plan de contrôle EC2. Il n'est pas nécessaire que les données scientifiques ou les notebooks existants aient disparu pour que la recherche s'arrête; l'incapacité à allouer un environnement de travail suffit.
Ces enregistrements ne prouvent pas que tous les services gouvernementaux utilisant AWS ont été affectés, que les appels d'urgence ont échoué à cause de cet événement, ni qu'un résultat de sécurité publique s'est produit. Ils montrent pourquoi l'approvisionnement doit regarder au-delà de l'endroit où les données sont stockées. Un service public peut dépendre du contrôle cloud pour la génération de produits, le dépôt, l'analyse, les communications ou le calcul nécessaire pour examiner les données.
Le document d'août 2024 de la CISA sur lesdépendances des communications de sécurité publiqueavertit que l'infrastructure non-agence peut entraîner un risque de continuité corrélé et recommande une redondance explicite, des procédures de temps d'arrêt, des sauvegardes, du personnel et des exigences de support. Leguide plus large sur les dépendances d'infrastructurede la CISA demande si un fournisseur redondant est également partagé par d'autres systèmes et combien de temps une solution de contournement peut être maintenue. Ces questions s'appliquent exactement à l'architecture cloud.
Un organisme public devrait classer la continuité au niveau de la mission:
- Quel résultat doit encore être produit si le contrôle cloud est indisponible pendant trois, quinze ou quarante-huit heures?
- Quel travail peut continuer sur la capacité déjà en cours d'exécution, et quelle marge de demande existe-t-il?
- Quels enregistrements peuvent être retardés, et quels délais légaux ou de sécurité nécessitent une voie alternative?
- Le personnel peut-il s'authentifier, communiquer et publier des conseils publics sans le fournisseur affecté?
- Une deuxième région est-elle réellement active, ou l'organisation doit-elle la provisionner via le plan de contrôle défaillant?
- Un processus manuel peut-il accepter le travail, créer un accusé de réception horodaté et le réconcilier ultérieurement sans perdre son intégrité?
- Le contrat fournit-il des preuves techniques et des voies de support, et pas seulement des crédits après l'incident?
Lesconseils de planification d'urgence du NISTrestent pertinents car ils se concentrent sur l'impact commercial, les priorités de récupération, le traitement alternatif et les plans testés. La technologie a changé; le devoir de préserver la fonction publique, lui, n'a pas changé.
US-East-1 a un historique, pas un seul bogue récurrent
Il serait trompeur de décrire chaque événement en Virginie du Nord comme le même défaut de plan de contrôle. Les mécanismes diffèrent. La valeur de l'historique est que différents déclencheurs ont exposé à plusieurs reprises des questions communes sur la portée, les dépendances internes, la vitesse de récupération et la visibilité client.
| Événement | Déclencheur et mécanisme | Signal de dépendance | Action du fournisseur divulguée |
|---|---|---|---|
| Juin 2012 | Un événement électrique a affecté une zone de disponibilité; les plans de contrôle EC2 et EBS dans toute la région ont également été altérés. | Les clients essayant de remplacer la capacité de la zone n'ont pas pu lancer ou attacher des ressources ailleurs dans la région pendant une partie de l'événement. | AWS a décrit des travaux sur les goulots d'étranglement de démarrage et de récupération et des modifications du comportement de transfert électrique. |
| Février 2017 | Un opérateur S3 autorisé a saisi une commande incorrecte, supprimant plus de capacité d'index et de placement que prévu. | Les API S3 et les services AWS dépendants de S3 ont échoué; le tableau de bord de statut a également perdu des informations car sa console d'administration dépendait de S3. | AWS a ajouté des garde-fous pour les commandes, réduit le rayon d'impact et séparé les dépendances d'administration du statut. |
| Novembre 2020 | Un ajout modeste de capacité frontale Kinesis a fait dépasser à chaque serveur une limite de threads du système d'exploitation. | Cognito, CloudWatch, les signaux Auto Scaling, Lambda, EventBridge, ECS et EKS ont hérité de la défaillance du service; l'outil normal de publication du statut dépendait de Cognito. | AWS s'est engagé à la cellularisation frontale, aux améliorations des alarmes et des démarrages à froid, au partitionnement des services et à la formation régulière sur un outil de statut manuel. |
| Décembre 2021 | La mise à l'échelle automatisée a déclenché une vague de connexions clients qui a submergé les dispositifs entre les réseaux internes et principaux d'AWS; un problème latent de réduction a maintenu la congestion. | La surveillance, le DNS interne, l'autorisation, le déploiement, les contrôles EC2, le support et le basculement du statut partageaient le chemin contraint. | AWS a désactivé l'activité déclenchante, ajouté des protections réseau, corrigé le comportement des clients et promis une architecture de support multi-région active. |
| Octobre 2025 | Une condition de concurrence dans le plan DNS a supprimé le point de terminaison régional DynamoDB et laissé l'automatisation incapable de s'auto-réparer. | La dépendance DynamoDB a provoqué l'effondrement des baux EC2, un arriéré réseau, une instabilité des contrôles de santé NLB, une limitation des services, un blocage du support et un impact IAM inter-régional sur Redshift. | AWS a désactivé l'automatisation globalement, s'est engagé à corriger la condition de concurrence et la sécurité des plans, à limiter la vitesse des NLB, à tester la récupération EC2 et à introduire une limitation sensible aux files d'attente. |
Lerésumé de service de 2012est une déclaration précoce du paradoxe: les plans de contrôle sont particulièrement importants lors d'une panne, car c'est à ce moment-là que les clients tentent de créer ou de déplacer des ressources. Lerapport S3 de 2017a montré une commande opérationnelle avec plus d'autorité que prévu et des durées de redémarrage qui n'avaient pas été expérimentées à la nouvelle échelle de la région. Lerapport Kinesis de 2020a explicitement séparé le déclencheur de la cause racine, puis décrit un redémarrage contrôlé de la flotte durant de nombreuses heures et une dépendance à l'outil de statut. Le rapport de 2021 a exposé la visibilité réduite du fournisseur et l'altération du déploiement.
Le motif récurrent n'est pas de la négligence de la part d'un opérateur nommé, ni la preuve qu'AWS n'a pas appris. C'est que l'échelle change la signification d'une opération sûre; des composants redondants peuvent partager une seule défaillance logique; la demande de récupération peut dépasser la demande en régime permanent; et les outils d'incident peuvent partager le sort de la production. Chaque action post-événement devrait donc être testée par rapport au prochain mécanisme, et non seulement par rapport au dernier déclencheur exact.
Il y a des preuves d'apprentissage. Le centre de support de 2025 disposait d'un basculement régional là où l'architecture de 2021 n'avait pas protégé la création de cas. DynamoDB utilisait trois exécuteurs DNS indépendants. EC2 a préservé les instances existantes. Les réplicas Global Tables restaient adressables ailleurs. AWS a publié un rapport causal inhabituellement détaillé. La question qui subsiste est de savoir si ces contrôles échouent en toute sécurité lorsqu'ils reçoivent un état lent, périmé ou invalide, plutôt qu'une panne franche.
Quelle résilience peut réellement être achetée
LePilier de fiabilitéactuel d'AWS indique aux clients de définir des objectifs de récupération, de tester la reprise après sinistre, de mener des journées de jeu, d'utiliser la stabilité statique et de s'appuyer sur les plans de données pendant la récupération. Lesconseils spécifiques REL11-BP04identifient les anti-modèles courants: modifier les enregistrements DNS pendant un incident, faire évoluer la capacité du plan de contrôle parce que les ressources de basculement étaient sous-provisionnées, ou dépendre d'une chaîne d'API de gestion.
Ces conseils sont techniquement solides. Ils définissent également la facture. La stabilité statique signifie payer pour des ressources avant qu'elles ne soient nécessaires, contraindre les déploiements qui supprimeraient la capacité de réserve, garder les identités et les données prêtes dans une autre région, et exploiter un contrôle de routage dont le plan de données est déjà distribué. Un client qui ne paie que pour des sauvegardes a acheté une protection des données, pas une continuité de service immédiate. Un client avec une veilleuse a acheté une reconstruction plus rapide, pas une immunité contre la défaillance du plan de contrôle. Un client avec une veille chaude a acheté une capacité avec une dépendance de mise à l'échelle, à moins que la veille ne puisse supporter la charge promise telle que provisionnée.
Lesoptions de reprise après sinistred'AWS décrivent les modèles de sauvegarde-restauration, veilleuse, veille chaude et actif-actif. Ils conseillent également d'utiliser uniquement les opérations du plan de données pour une résilience maximale. L'implication devrait être inscrite dans les analyses de rentabilité: un coût inférieur achète généralement plus de travail du plan de contrôle au moment de la défaillance. Le propriétaire de la charge de travail doit décider si ce compromis est acceptable, et les cadres doivent financer la réponse qui correspond à la tolérance d'impact qu'ils ont approuvée.
Le multi-région n'est pas un verdict automatique. Les réplicas DynamoDB Global Tables en dehors d'US-East-1 étaient disponibles pendant l'événement de 2025, mais les applications avaient encore besoin d'une route testée vers eux, d'un comportement de cohérence acceptable, d'une capacité adéquate et d'un moyen de réconcilier le réplica récupéré. Les politiques d'identité, les clés KMS, les secrets, les certificats, les images de conteneurs, les files d'attente, l'observabilité et les API tierces nécessitent tous la même revue. Un diagramme avec deux icônes de base de données ne prouve pas qu'une transaction commerciale complète peut se terminer aux deux endroits.
Le multi-cloud n'est pas non plus un verdict automatique. Reconstruire chaque service géré par rapport à un deuxième fournisseur peut introduire une incohérence des données, des erreurs opérationnelles, un coût plus élevé et une plateforme qui n'est exercée qu'en cas d'urgence. La dernièrerevue du GAO sur l'approvisionnement en cloud fédérala révélé que les agences utilisant plusieurs fournisseurs étaient également confrontées à des défis d'interopérabilité, de personnel, d'outillage et de gestion. Le rapport enregistre la formulation plus utile offerte par le Département de la Défense: gérer le risque de concentration et maintenir une sensibilisation architecturale et une stratégie de sortie pour les charges de travail critiques, plutôt que de considérer toute capacité spécifique au fournisseur comme intrinsèquement mauvaise.
La réponse pratique est l'indépendance sélective. Maintenez le chemin le plus critique en état de stabilité statique entre les régions. Préservez un petit mode de lecture seule ou d'ingestion lorsque le service complet est trop coûteux. Utilisez des formats de données ouverts et des exportations testées pour les fonctions qui pourraient nécessiter un autre fournisseur. Maintenez un processus manuel ou hors ligne lorsque les obligations légales et publiques le permettent. Ne dépensez pas une somme égale pour la résilience d'une page d'information publique, d'une instruction de paiement de prestations, d'un travail d'analyse interne et d'une fonction de répartition de sécurité; leurs conséquences diffèrent.
La responsabilité suit la capacité qui aurait pu changer le résultat
La « responsabilité partagée » peut devenir un brouillard si elle est utilisée pour diviser chaque défaillance de manière égale. Le propremodèle de résilienced'AWS attribue la résilience de l'infrastructure cloud et des services gérés à AWS, tandis que les clients choisissent la configuration, le placement, la réplication, la sauvegarde et l'architecture de la charge de travail. La répartition n'est utile que lorsqu'elle est traduite en capacités de contrôle concrètes.
| Capacité | Détenteur principal du contrôle | Test de redevabilité après octobre 2025 |
|---|---|---|
| Exactitude du plan DNS DynamoDB | AWS | Une ancienne génération peut-elle jamais remplacer une nouvelle, le nettoyage peut-il supprimer l'état actif, et l'automatisation peut-elle récupérer sans opérateur? |
| Indépendance logique inter-zone | AWS | Les exécutants redondants ont-ils des hypothèses de défaillance indépendantes, ou seulement des hôtes indépendants? |
| Récupération des baux d'hôtes EC2 | AWS | La perte de baux à l'échelle de la flotte a-t-elle été testée, avec des limites de file d'attente, un contrôle d'admission et une procédure documentée? |
| Contrôle de l'arriéré d'état réseau | AWS | Le taux de travail entrant s'adapte-t-il à la profondeur de la file d'attente avant que les délais d'attente et les tentatives ne créent un effondrement? |
| Santé des NLB et vitesse de basculement | AWS | L'automatisation de la santé peut-elle distinguer une récupération incomplète d'une capacité défaillante, et le taux de suppression est-il limité? |
| Dépendances de service internes | AWS | Quelles opérations régionales et mondiales appellent US-East-1, et les clients reçoivent-ils suffisamment d'informations pour concevoir autour d'elles? |
| Continuité d'AWS Health et du support | AWS | Les mises à jour publiques, les événements personnalisés et le support pour les cas graves peuvent-ils fonctionner avec les chemins d'identité principaux, de métadonnées, de console et régionaux dégradés? |
| Sélection de la région et du service | Client ou fournisseur en aval | L'architecture choisie était-elle proportionnée à l'impact commercial mesuré et aux objectifs de récupération approuvés? |
| Basculement préprovisionné | Client ou fournisseur en aval | Le trafic peut-il être déplacé sans créer de ressources, modifier les plans de contrôle mondiaux ou obtenir une autorité indisponible? |
| Dégradation gracieuse | Client ou fournisseur en aval | Quelles transactions restent disponibles, en file d'attente, en lecture seule ou acceptées manuellement en cas de défaillance des dépendances? |
| Détection et communication indépendantes | Les deux, pour leurs propres opérations | Chaque partie dispose-t-elle de sondes externes, d'un canal d'incident indépendant et d'un chemin de statut qui survit au fournisseur principal? |
| Continuité du service public | Autorité publique et fournisseur de service | Le résultat de la mission est-il préservé par un traitement alternatif, des délais, des conseils publics, du personnel et une réconciliation? |
| Assurance de remédiation | Direction d'AWS, fonctions d'assurance client et, le cas échéant, acheteurs publics | Les changements sont-ils complets, testés à l'échelle, échantillonnés indépendamment et signalés avec les exceptions, plutôt qu'annoncés une seule fois? |
Cette répartition évite deux erreurs. Les clients ne peuvent pas corriger l'exécuteur DNS de DynamoDB ni créer une procédure de récupération EC2 à l'intérieur d'AWS. AWS ne peut pas décider si un portail de dépôt municipal mérite un fonctionnement actif-actif ou si une agence publique dispose d'un processus d'ingestion manuel acceptable. Une entreprise SaaS en aval ne peut pas blâmer AWS pour avoir hébergé sa propre page de statut dans le même domaine de défaillance, mais elle ne peut pas non plus découvrir les rouages internes non divulgués du fournisseur par la seule discipline architecturale.
La responsabilité change également avec l'abstraction du service. Un client gérant EC2 a plus de choix et plus de travail. Un client achetant DynamoDB délègue davantage l'exploitation de la plateforme et devrait s'attendre à ce qu'AWS gère correctement le DNS interne et la récupération du service. Le client contrôle toujours la réplication et le basculement de l'application. Le service géré n'élimine pas le devoir de continuité du client; il restreint les éléments internes que le client peut contrôler et augmente le devoir du fournisseur de divulguer les limites de défaillance utilisables.
Les crédits évaluent une métrique de service, pas la conséquence publique
La redevabilité commerciale a une couche contractuelle étroite et une couche opérationnelle plus large. LeSLA DynamoDBactuel s'engage sur des niveaux de disponibilité régionaux mensuels, avec un objectif plus élevé pour l'utilisation qualifiante des Global Tables. Le remède indiqué est généralement un crédit de service, sous réserve d'éligibilité, de calculs, d'exclusions, de journaux et d'une réclamation déposée via le support AWS.
Ce mécanisme peut faire respecter un engagement de service mesurable. Il ne rembourse pas le coût total des produits environnementaux retardés, du travail de développeur manqué, des appels clients échoués, des transactions en aval perdues ou du personnel public redirigé vers un traitement manuel. Un SLA ne détermine pas non plus si un client particulier a conçu de manière responsable. Les conditions contractuelles varient, et cette analyse ne conclut pas qu'AWS doive des dommages-intérêts à un client au-delà d'un accord en vigueur.
L'événement de 2025 expose une ironie procédurale sans prouver un défaut juridique: le processus de crédit standard utilise le centre de support, alors que les fonctions de cas de support étaient indisponibles pendant la phase initiale DynamoDB. Les clients avaient des fenêtres de réclamation ultérieures, de sorte que le blocage temporaire n'a pas nécessairement empêché une réclamation. Il montre pourquoi les preuves nécessaires à un crédit devraient être collectées en dehors de la pile de surveillance affectée. CloudWatch, les journaux applicatifs, les sondes synthétiques, les événements du fournisseur, les enregistrements de transactions client et les notes d'incident manuelles devraient être conservés indépendamment.
L'échelle du fournisseur augmente l'attente de gouvernance. Leformulaire 10-K 2025 d'Amazonrapporte des ventes nettes d'AWS de 128,725 milliards de dollars, en hausse de 20 %, et reconnaît séparément les risques liés aux interruptions de système et à la redondance incomplète. Le chiffre d'affaires n'est pas une preuve de faute. C'est une preuve de capacité, de portée et d'une relation économique dans laquelle les contrôles de fiabilité, les rapports transparents post-incident et l'assurance de remédiation sont des obligations fondamentales du produit, et non des extras charitables.
Quelles preuves changeraient la conclusion
La conclusion actuelle est qu'AWS a fourni une résilience physique et de plan de données substantielle, mais que l'événement d'octobre 2025 a exposé des hypothèses communes évitables dans l'automatisation DNS régionale et des chemins de récupération insuffisamment préparés. Les clients pouvaient acheter une résilience significative, mais seulement en prépositionnant le service et en évitant les dépendances du plan de contrôle qu'AWS documente elle-même. Certaines dépendances inter-régionales et de support sont restées moins indépendantes que les clients ne pouvaient raisonnablement le déduire de la seule géographie.
Plusieurs types de preuves rendraient ce jugement plus favorable:
- un enregistrement public daté de clôture pour la correction de la condition de concurrence DNS, l'application de la fraîcheur par point de terminaison, la protection contre la suppression de plan actif et la récupération automatisée d'un état de plan incohérent;
- des résultats d'injection de fautes montrant que des exécuteurs retardés, des générations périmées, un nettoyage simultané, des écritures Route 53 partielles et une récupération échouée ne peuvent pas supprimer le point de terminaison régional;
- des tests EC2 à une échelle réaliste d'US-East-1 montrant que la reconstruction complète des baux se termine dans un temps limité sans effondrement congestif;
- des preuves de contrôle de la profondeur de file d'attente et d'admission pour le gestionnaire de réseau, y compris le comportement sous un arriéré régional plus important que celui d'octobre;
- des tests NLB prouvant que les contrôles de vitesse empêchent les fausses transitions de santé de retirer trop de capacité multi-zone;
- un inventaire des dépendances de service identifiant les opérations de contrôle mondiales ou à région unique qui peuvent affecter les charges de travail en dehors d'US-East-1, avec des changements suivis dans le temps;
- des exercices démontrés de support et d'AWS Health dans lesquels l'identité, les métadonnées de compte, la console, la livraison EventBridge et une région échouent chacune indépendamment;
- des métriques de récupération orientées client qui séparent la réparation du point de terminaison, la réparation du plan de contrôle, la stabilité du plan de données, l'élimination des arriérés et la réconciliation des ressources;
- un échantillonnage d'assurance indépendant vérifiant l'achèvement et la durabilité des actions correctives pour les incidents graves.
Les preuves pourraient également rendre la conclusion moins favorable. La répétition de la même condition de concurrence après la réactivation de l'automatisation, une autre récupération de flotte sans procédure établie, des appels inter-régionaux non documentés vers US-East-1, ou une défaillance de statut et de support via le même chemin de métadonnées indiqueraient que la remédiation a traité les symptômes plutôt que les limites d'autorité. Une panne plus courte ne réglerait pas à elle seule la question; un modèle de charge de travail chanceux peut cacher un contrôle non sécurisé.
Les preuves des clients comptent aussi. Une agence publique qui peut montrer une journée de jeu régionale complète, des communications indépendantes, des données à jour dans une région secondaire, une capacité préprovisionnée, un service manuel limité et une réconciliation réussie des délais a converti la diversité du cloud en continuité. Un client qui étiquette des sauvegardes ou des modèles comme « multi-région » sans un exercice chronométré ne l'a pas fait.
AWS publie une norme utile pour déterminer quand elle publiera desrésumés post-incident publics, y compris les événements de grande envergure impliquant des défaillances importantes du plan de contrôle ou un impact sur l'infrastructure. Cette archive est précieuse. Une assurance plus forte relierait chaque rapport grave à un registre d'actions durable afin que les clients et les acheteurs publics puissent distinguer une solution annoncée d'un contrôle testé, achevé et maintenu.
Le constat de redevabilité
La panne d'octobre 2025 a commencé par un désaccord temporel entre deux automatismes. L'un a appliqué lentement un ancien plan; un autre a appliqué un nouveau plan et a supprimé l'ancien; ensemble, ils ont effacé l'adresse d'un service de base de données régional. Le long incident est venu de tout ce qui avait fait confiance à cette adresse et de l'état qui s'est dégradé pendant son absence.
AWS est propriétaire de cette chaîne à l'intérieur du cloud. Elle a conçu le protocole de plan, l'autorité de nettoyage, les baux des hôtes, les files d'attente de récupération, les contrôles de santé, les dépendances de service et le chemin de support. Son rapport post-incident est techniquement spécifique, ses remédiations immédiates correspondent aux mécanismes divulgués, et sa préservation des instances EC2 existantes valide la valeur de la séparation du plan de contrôle. La question de redevabilité non résolue est la preuve que les correctifs fonctionnent à l'échelle régionale et que les dépendances inter-régionales cachées sont rendues suffisamment visibles pour que les clients puissent agir.
Les clients sont propriétaires d'une chaîne différente. Ils décident si la demande de pointe peut être satisfaite par la capacité en cours d'exécution, si les réplicas peuvent être atteints sans nouvelle action de contrôle, si le statut et la coordination des incidents sont indépendants, et si la fonction commerciale ou publique peut se dégrader en toute sécurité. Les shards épuisés de Buildkite et la route de statut dégradée de Postman n'étaient pas des causes de la défaillance d'AWS; ils étaient des multiplicateurs d'impact contrôlés par le client. Les produits retardés de la NOAA, le chemin de dépôt alternatif de l'USPTO et l'avertissement d'allocation de la NASA montrent pourquoi le multiplicateur doit être évalué en termes opérationnels, et non par le nombre de serveurs.
Le test central peut maintenant être répondu. Les clients peuvent acheter une résilience régionale sur AWS, mais une deuxième région n'est pas une preuve suffisante de l'achat. Le produit utilisable est un chemin de récupération complet: déjà provisionné, déjà autorisé, déjà observable, déjà routable et répété sans le plan de contrôle principal. Là où les contrôles mondiaux ou les rouages internes du fournisseur convergent encore vers US-East-1, AWS doit soit supprimer la dépendance, clarifier son alternative de plan de données sûre, soit énoncer clairement la limitation.
On parle souvent de concentration cloud en termes de parts de marché. La concentration la plus immédiate est l'autorité exécutable: un plan, un point de terminaison, une réponse de métadonnées, une interprétation de santé, ou une dépendance de support qui peut faire que de nombreux systèmes redondants se comportent de la même manière. La redevabilité commence par nommer cette autorité avant le prochain incident, puis par prouver qu'un chemin séparé existe encore quand elle est erronée.

