IAM Roles Anywhere passa a aplicar políticas de endpoint VPC para a API CreateSession

O que mudou no IAM Roles Anywhere

A AWS anunciou uma atualização importante no Gerenciamento de Identidade e Acesso (IAM) Roles Anywhere: a partir de agora, as políticas de endpoint de Nuvem Privada Virtual (VPC) passam a ser aplicadas também à API CreateSession. Antes dessa mudança, essa operação específica ficava de fora do escopo das políticas de endpoint — uma lacuna que a AWS agora fecha.

Entendendo o contexto: o que é o IAM Roles Anywhere e a API CreateSession

O IAM Roles Anywhere foi criado para resolver um desafio comum em ambientes híbridos: como conceder credenciais temporárias da AWS para cargas de trabalho que rodam fora da nuvem AWS. O mecanismo funciona com certificados X.509 — a carga de trabalho externa apresenta um certificado válido e, em troca, recebe credenciais temporárias para acessar recursos AWS.

A API CreateSession é exatamente o ponto de entrada desse fluxo: é ela que processa o certificado e devolve as credenciais temporárias. Por ser tão central no processo, controlar quem pode chamá-la via endpoint privado de VPC é uma necessidade crítica de segurança.

Como funcionam as políticas de endpoint VPC agora

Com a atualização, as regras de permissão e negação definidas nas políticas de endpoint de VPC passam a valer para o CreateSession da mesma forma que já valiam para as demais operações do IAM Roles Anywhere. Na prática, isso significa:

• Se a política de endpoint VPC não incluir explicitamente o CreateSession no bloco Allow, a operação será bloqueada.
• Da mesma forma, se a política não permitir todas as operações — por exemplo, usando rolesanywhere:* como ação — o IAM Roles Anywhere não retornará credenciais temporárias para requisições feitas por aquele endpoint.
• Para manter o comportamento atual sem interrupções, basta garantir que a política de endpoint permita explicitamente o CreateSession ou use o curinga rolesanywhere:*.

Por que essa atualização importa para a segurança

Antes dessa mudança, havia uma inconsistência: as políticas de endpoint VPC controlavam todas as operações do IAM Roles Anywhere — exceto justamente a CreateSession, que é a mais sensível delas, pois é quem emite as credenciais temporárias. Isso criava um ponto cego no controle de acesso.

Agora, com a aplicação uniforme das políticas, as equipes de segurança conseguem definir controles granulares e consistentes em todas as operações do IAM Roles Anywhere realizadas via endpoint privado. É o tipo de ajuste que parece pequeno, mas que faz diferença real na postura de segurança de ambientes híbridos.

Disponibilidade

A funcionalidade já está disponível em todas as regiões AWS onde o IAM Roles Anywhere opera, incluindo as regiões AWS GovCloud (EUA), AWS European Sovereign Cloud (Alemanha) e as regiões da China.

Para entender como configurar as políticas de endpoint de VPC para o IAM Roles Anywhere, a AWS disponibiliza o Guia do Usuário do IAM Roles Anywhere com orientações detalhadas.

Fonte

IAM Roles Anywhere now enforces VPC endpoint policies for the CreateSession API (https://aws.amazon.com/about-aws/whats-new/2026/05/iam-roles-anywhere-vpc/)