CloudTroop Weekly #013 — 2026-w21
24 de maio de 2026
Resumo da Semana
A semana foi dominada por segurança em múltiplas camadas: de identidade IAM e AWS Organizations até agentes de IA em produção. O lançamento do suporte a APIs compatíveis com OpenAI no SageMaker e a escolha do Cedar no Bedrock AgentCore sinalizam que IA agêntica está saindo do laboratório e exigindo controles reais. No lado de fundação, Aurora MySQL 8.4 LTS chega com TLS obrigatório, e o CloudWatch Logs Insights ganhou músculo para investigações mais profundas. Quem gerencia ambientes multi-conta precisa revisar proteções no Organizations agora.
O que muda na prática
- Agentes de IA em produção agora têm um modelo de autorização determinístico via Cedar no Bedrock AgentCore — guardrails deixam de ser opcionais e passam a ser parte da arquitetura.
- Security Hub consolida detecção de permissões IAM ociosas sem custo extra no plano Essentials, eliminando a desculpa operacional para não monitorar postura de identidade continuamente.
- Aurora MySQL 8.4 LTS impõe TLS obrigatório e novo plugin de autenticação por padrão — upgrades sem planejamento de compatibilidade podem quebrar conexões de aplicações existentes.
Ações da semana
- Ative o Security Hub Essentials e revise as findings de acessos IAM não utilizados nas suas contas — priorize credenciais com mais de 90 dias sem uso e desative ou remova.
- Valide se suas contas AWS Organizations têm SCPs bloqueando a ação `organizations:LeaveOrganization` nas contas-membro — é o controle mais direto contra o vetor de remoção não autorizada documentado pelo CIRT.
Top 10 da Semana
CIRT AWS: Como prevenir remoção não autorizada de contas do Organizations
Tática crescente de atacantes para escapar de SCPs e visibilidade centralizada — entender e bloquear esse vetor é crítico para qualquer ambiente multi-conta.
Para quem: Arquitetos de segurança e times de cloud governance que gerenciam ambientes AWS Organizations.
Segurança, Identidade
Security Hub detecta riscos de identidade por acessos IAM não utilizados
Consolida detecção de permissões ociosas no mesmo console de ameaças, sem custo extra para usuários do Essentials — reduz superfície de ataque com zero fricção operacional.
Para quem: Times de segurança e cloud ops que gerenciam postura IAM em contas AWS.
Segurança, IAM
Governança de IaC com OPA em pipelines CI/CD antes do deploy
Shift-left de segurança real: validar políticas antes de criar recursos evita a janela de exposição que ferramentas reativas como AWS Config não cobrem.
Para quem: Engenheiros de plataforma e DevSecOps que mantêm pipelines de infraestrutura como código.
DevSecOps, IaC
APIs do AWS Directory Service automatizam ciclo de vida de identidades
Permite resposta automática a contas comprometidas via GuardDuty + Step Functions, transformando detecção em remediação sem intervenção manual.
Para quem: Times de segurança e engenheiros de identidade que operam ambientes com Active Directory gerenciado na AWS.
Segurança, Automação
SageMaker AI suporta APIs compatíveis com OpenAI nos endpoints de inferência
Migrar workloads agênticos e LangChain para infraestrutura própria com controle de GPU e residência de dados agora exige apenas trocar a URL do endpoint.
Para quem: Engenheiros de ML e arquitetos que querem soberania sobre modelos sem reescrever aplicações existentes.
IA, Inferência
AWS AI Security Framework: controles certos, camadas certas, fases certas
Oferece um modelo estruturado e acionável para proteger cargas de trabalho de IA, essencial para times que precisam justificar controles de segurança para liderança.
Para quem: Líderes de segurança e arquitetos responsáveis por cargas de trabalho de IA em produção.
Segurança, IA
Por que o Bedrock AgentCore escolheu Cedar para proteger agentes de IA
Autorização determinística e verificável matematicamente é o que separa agentes autônomos seguros de sistemas não confiáveis — entender Cedar é essencial para quem projeta guardrails de IA.
Para quem: Arquitetos de segurança e engenheiros que constroem ou avaliam sistemas agênticos em produção.
Segurança, IA Agêntica
Amazon Aurora MySQL 8.4 GA: TLS obrigatório e novo plugin de autenticação
Versão LTS com segurança mais rígida por padrão e verificações automáticas de compatibilidade — decisão de upgrade que afeta todos os ambientes Aurora MySQL em produção.
Para quem: DBAs e arquitetos de dados que operam bancos Aurora MySQL e precisam planejar janelas de upgrade.
Banco de Dados
Relatório AWS KY3P disponível para due diligence de fornecedores terceiros
Empresas de setores regulados (financeiro, saúde) podem usar os 200+ controles mapeados em NIST CSF v2, PCI DSS 4.0 e ISO 27001:2022 para acelerar auditorias de terceiros.
Para quem: Times de compliance, GRC e líderes de segurança em empresas de setores regulados.
Compliance, Governança
CloudWatch Logs Insights ganha 13 novos comandos e funções de consulta
Parsing de formatos não-JSON, funções geográficas e codificação/decodificação ampliam significativamente o que é possível investigar diretamente no console sem exportar dados.
Para quem: Engenheiros de operações e SREs que usam CloudWatch Logs Insights para troubleshooting e observabilidade.
Observabilidade
Patrocínio
Quer patrocinar a CloudTroop Weekly? Entre em contato
Leave a Reply