Conformidade com Residência de Dados em Ambientes Globais
Organizações distribuídas em múltiplas geografias enfrentam desafios significativos para manter seus dados dentro de limites específicos. Regulamentações como a Lei Geral de Proteção de Dados (LGPD) no Brasil, o Regulamento Geral de Proteção de Dados (GDPR) na Europa, leis de soberania de dados específicas de cada país e políticas de conformidade internas criam um cenário complexo que exige soluções técnicas robustas.
A Amazon Quick com extensões do Microsoft 365 oferece suporte a roteamento regional, permitindo que organizações mantenham dados em seus locais geográficos apropriados. A plataforma suporta implantações em múltiplas regiões da AWS, direcionando usuários automaticamente para recursos do Amazon Quick específicos de cada região — como agentes de chat, fluxos automatizados, bases de conhecimento e outros componentes.
Setores altamente regulados, como serviços financeiros, saúde, energia e telecomunicações, adotam esse padrão com frequência para garantir que informações sensíveis permaneçam dentro de fronteiras geográficas específicas. A integração com o Microsoft Teams oferece uma experiência contínua para usuários corporativos que já trabalham dentro do ecossistema Microsoft 365.
Visão Geral da Solução
Quando o Amazon Quick é integrado a aplicações Microsoft 365, como o Microsoft Teams, os usuários precisam se autenticar e conectar aos recursos regionais apropriados do Amazon Quick. Este processo garante que cada usuário acesse apenas os agentes de chat e recursos construídos na região AWS designada para sua localização geográfica.
A solução apresentada aqui utiliza um exemplo prático: uma organização global fictícia (MyCompany) com matriz europeia acessando o Amazon Quick na região Europa (Irlanda) e uma filial nos EUA usando a região Leste dos EUA (N. Virgínia). Uma única conta do Amazon Quick mantém agentes de chat específicos por região, cada um contendo informações corporativas localizadas.
Para implementar o roteamento regional, é necessário configurar o AWS IAM Identity Center com um emissor de token confiável para autenticação entre sistemas. Esta solução utiliza o Microsoft Entra ID para controle de acesso baseado em grupos, demonstrando como organizações podem rotear automaticamente usuários para suas regiões AWS apropriadas. A extensão do Amazon Quick para Microsoft Teams é o ponto de integração principal neste cenário.
A arquitetura integra o Microsoft Entra ID com o IAM Identity Center, automatizando o roteamento de usuários entre múltiplas regiões AWS. Ao usar a associação de grupos do Microsoft Entra ID para direcionar usuários a suas implantações regionais designadas do Amazon Quick, organizações mantêm a residência de dados dentro de limites geográficos específicos enquanto oferecem uma experiência consistente a sua força de trabalho global.
Processo de Implementação
A implementação segue uma abordagem faseada que começa com configuração no AWS Management Console e culmina na implantação de complementos regionais para os usuários. O processo envolve uma configuração única de identidade e confiança, seguida por um conjunto pequeno de etapas regionais repetidas para cada região AWS ativa.
As etapas gerais do fluxo de trabalho incluem:
- Iniciar a configuração no console do Amazon Quick e selecionar a região AWS a configurar
- Configurar a integração regional da extensão Microsoft Teams, incluindo uma função AWS Identity and Access Management (IAM) e um segredo do AWS Secrets Manager para aquela região AWS, e confiar no IAM Identity Center como um emissor de token
- Ativar a extensão no Amazon Quick para gerar o arquivo de manifesto regional
- Registrar os retornos de chamada da extensão na aplicação Microsoft Entra ID e completar o retorno de chamada de ativação para a aplicação em todas as regiões AWS
- Implantar o complemento Microsoft Teams para grupos de usuários regionais através do Microsoft Entra ID
- Mapear o complemento regional para seu agente de conhecimento designado, concedendo aos usuários acesso a dados localizados
Pré-requisitos e Configuração
Antes de começar a implementação, o ambiente AWS deve atender a requisitos específicos. Para os serviços AWS, é necessário ter uma conta do Amazon Quick ativa, o IAM Identity Center configurado e gerenciando identidades de usuários com integração SAML com Microsoft Entra ID, Secrets Manager disponível em ambas as regiões AWS alvo, e acesso IAM para criar funções e políticas.
Para o Microsoft 365, os requisitos incluem funções de Administrador Global ou Administrador de Aplicações no Microsoft Entra ID, acesso ao Centro de Administração do Microsoft 365 para implantação de aplicações, e permissões para criar e configurar aplicações corporativas no Microsoft Entra ID.
Criar Aplicação no Microsoft Entra ID
O primeiro passo estabelece a base de identidade compartilhada usada por todas as regiões AWS. Cria-se uma aplicação no Microsoft Entra ID que as extensões Microsoft 365 utilizarão para autenticar usuários contra o Amazon Quick através do IAM Identity Center.
O processo começa selecionando Registros de Aplicação e criando um novo registro com suporte apenas para contas no diretório organizacional. Após o registro, configura-se a guia de Autenticação para adicionar URLs de redirecionamento. A solução utiliza dois URLs de redirecionamento seguindo o padrão https://qbs-cell001.dp.appintegrations.[AWS_REGION].prod.plato.ai.aws.dev/auth/idc-tti/callback:
https://qbs-cell001.dp.appintegrations.eu-west-1.prod.plato.ai.aws.dev/auth/idc-tti/callbackhttps://qbs-cell001.dp.appintegrations.us-east-1.prod.plato.ai.aws.dev/auth/idc-tti/callback
O Microsoft Entra ID usa esses URLs de retorno para devolver a resposta de login do usuário ao IAM Identity Center para a região AWS correta. É essencial usar esses URLs exatos — eles são os valores reais necessários para implantações do Amazon Quick. A aplicação deve receber permissão do Microsoft Graph para User.Read, permitindo que ela faça login de usuários e leia suas informações básicas de perfil.
Criar Emissores de Token Confiáveis no IAM Identity Center
Nesta etapa, configuram-se emissores de token confiáveis no IAM Identity Center. Um emissor de token confiável é uma configuração que valida tokens emitidos pelo Microsoft Entra ID, permitindo autenticação entre sistemas para que usuários se movimentem entre Microsoft 365 e AWS sem logins repetidos.
Na configuração do emissor de token confiável, define-se a URL do emissor no formato https://login.microsoftonline.com/[SEU_ID_LOCATARIO]/v2.0 e um nome descritivo para referência organizacional. Esta configuração é aplicada a cada região AWS onde as extensões serão implantadas.
Configurar Permissões IAM e Entradas no Secrets Manager
Para cada região AWS, é necessário criar um segredo no Secrets Manager seguindo a convenção de nomenclatura [NOME_EMPRESA]/MS365/Extensions/[AWS_REGION] contendo as credenciais:
{ "client_id":"[SEU_CLIENT_ID]", "client_secret":"[SEU_CLIENT_SECRET]"}Cria-se uma política IAM que concede acesso para ler esses segredos:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "[ARN_SECRET_EU_WEST_1]", "[ARN_SECRET_US_EAST_1]" ] }, { "Sid": "TokenIssuerPermissions", "Effect": "Allow", "Action": [ "sso:DescribeTrustedTokenIssuer" ], "Resource": "[ARN_SEU_TTI]" } ] }A relação de confiança da função deve permitir que os principais de serviço regionais específicos do Amazon Quick assumam a função:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "eu-west-1.prod.appintegrations.plato.aws.internal", "us-east-1.prod.appintegrations.plato.aws.internal" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] }Cada vez que uma nova região AWS é ativada, é necessário criar um novo segredo no Secrets Manager e adicionar seu ARN à lista de recursos da política IAM, além de adicionar a nova região ao campo de Principal de Serviço na relação de confiança da função.
Configurar Extensões no Amazon Quick
No console do Amazon Quick, para cada região AWS, realiza-se a seguinte sequência:
Seleciona-se a região desejada (por exemplo, EU – Irlanda) e acessa-se Gerenciar Quick. Em Permissões na navegação, escolhe-se Acesso de Extensão e adiciona-se um novo acesso de extensão. Configura-se o emissor de token confiável informando seu ARN e o ID do cliente como a alegação de Audiência, que funciona como um identificador de segurança validando que o token de autenticação é utilizado apenas pela aplicação específica para a qual foi destinado.
Seleciona-se Microsoft Teams entre os tipos de extensão disponíveis e configuração com o ID de locatário Microsoft 365, atributos de segurança e configurações de autenticação. Insere-se um nome descritivo, o ID de locatário Microsoft, o ARN da função Secrets Manager e o ARN do segredo específico da região.
Ao retornar ao console do Amazon Quick, cria-se uma extensão Microsoft Teams. Ao acessar o menu de opções da extensão (três pontos), escolhe-se Instalar. Este processo cria uma aplicação corporativa no Microsoft Entra ID com URLs únicos e instruções que o Microsoft 365 Teams precisa para comunicar com os ativos AWS regionais específicos.
Repetem-se esses passos para criar uma extensão e instalar a aplicação na região us-east-1, seguindo a mesma convenção de nomenclatura com o sufixo da região AWS e usando o ARN do segredo apropriado para aquela região.
Criar Agentes de Chat Regionais
Após as aplicações regionais serem implantadas, criam-se os agentes específicos de cada região AWS que cada complemento acessará. Cada região AWS mantém seu próprio agente com bases de conhecimento localizadas.
No console do Amazon Quick de eu-west-1, na navegação, escolhe-se Agentes de Chat e Criar Agente de Chat. Cria-se um agente de chat regional em eu-west-1 com conhecimento corporativo europeu, seguindo a convenção de nomenclatura [NOME_EMPRESA]-Knowledge-Agent-eu-west-1 para facilitar gerenciamento entre múltiplas regiões.
Repete-se o processo para criar um agente de chat em us-east-1 com informações corporativas específicas dos EUA, denominado [NOME_EMPRESA]-Knowledge-Agent-us-east-1.
Implantar Aplicações Microsoft Teams
A etapa final envolve atribuir cada aplicação Microsoft Teams a seus respectivos grupos regionais. No Microsoft Teams Admin Center, acessa-se Aplicativos de Equipe, escolhe-se Gerenciar Aplicativos e filtra-se pela Amazon Quick. Seleciona-se a primeira aplicação (da região eu-west-1) e edita-se sua Disponibilidade.
É fundamental atribuir a extensão a grupos de usuários regionais específicos em vez de toda a organização. Essa implantação baseada em grupos roteia automaticamente os usuários para seus recursos corretos de conta do Amazon Quick regional.
Repete-se o mesmo processo com a aplicação Microsoft Teams da região us-east-1.
Verificar a Implementação
Após a implantação se propagar, valida-se que usuários são roteados automaticamente para o agente regional correto. Usuários europeus podem utilizar o agente MyCompany-Teams-eu-west-1, embora o complemento selecione Meu Assistente como agente de chat padrão, sendo necessário acessar as configurações (ícone de engrenagem) e escolher o agente de chat MyCompany-Knowledge-Agent-eu-west-1.
Usuários nos EUA podem utilizar o agente MyCompany-Knowledge-Agent-us-east-1, demonstrando roteamento regional bem-sucedido sem configuração manual.
Resolução de Problemas Comuns
Durante a configuração, podem surgir desafios específicos:
- Extensão do Quick não aparece no Microsoft Teams: Aguardar 24-48 horas para propagação de implantação do Microsoft 365, verificar se o usuário está no grupo Microsoft Entra ID correto e limpar o cache de complementos do Microsoft Office antes de reiniciar Teams
- Problemas com autenticação na extensão do Amazon Quick: Verificar se os URLs de redirecionamento correspondem exatamente no Microsoft Entra ID, confirmar a configuração do emissor de token confiável e validar que a relação de confiança da função IAM inclui o principal de serviço correto
- Agente incorreto listado na extensão do Amazon Quick: Verificar a associação ao grupo de usuários (deve estar apenas em um grupo regional), consultar a atribuição de manifesto para grupo no Microsoft 365 Admin Center e solicitar que o usuário faça logout e login novamente
- Lista de agentes vazia na extensão do Amazon Quick: Validar que o agente está compartilhado com usuários no console do Amazon Quick, verificar se o agente existe na mesma região AWS que a extensão e confirmar que as permissões do agente estão configuradas pelo menos como Nível de Usuário
Limpeza de Recursos
Para evitar custos contínuos, recomenda-se remover os recursos criados durante a implementação se eles não forem mais necessários.
Conclusão
A solução de extensões do Amazon Quick em múltiplas regiões para Microsoft 365 oferece capacidades de inteligência artificial em conformidade com leis regionais para força de trabalho global. A arquitetura e os passos de implementação apresentados demonstram como integrar IA corporativa com ferramentas de produtividade mantendo limites de residência de dados e conformidade. Para mais detalhes sobre assistentes com tecnologia de IA que aumentam produtividade sem troca de aplicações, consulte Acesso de Extensão. Para iniciar o uso do Amazon Quick, consulte Primeiros Passos com Amazon Quick.
Fonte
Enforce data residency with Amazon Quick extensions for Microsoft Teams (https://aws.amazon.com/blogs/machine-learning/enforce-data-residency-with-amazon-quick-extensions-for-microsoft-teams/)
Leave a Reply