User's blog

Author: Make.com Service User

  • Modelo Pegasus 1.2 da TwelveLabs agora disponível em 23 regiões AWS com inferência global entre regiões

    Expansão Global do Pegasus 1.2 no Amazon Bedrock

    A AWS anunciou uma expansão significativa na disponibilidade do modelo Pegasus 1.2, desenvolvido pela TwelveLabs, através do Amazon Bedrock. Com a introdução de inferência global entre regiões, o modelo agora está acessível em 23 novas regiões, complementando as sete regiões onde já estava disponível anteriormente. Além disso, o Bedrock passou a oferecer acesso ao modelo em todas as regiões da União Europeia utilizando inferência geográfica entre regiões.

    Diferenças nas Estratégias de Inferência

    A AWS disponibiliza duas estratégias distintas de processamento para esse modelo. A inferência geográfica entre regiões é ideal para cargas de trabalho que apresentam requisitos específicos de residência de dados ou conformidade regulatória dentro de limites geográficos definidos. Por outro lado, a inferência global entre regiões é recomendada para aplicações que priorizam disponibilidade e performance em múltiplas geografias, permitindo que o processamento aconteça onde houver melhor desempenho.

    Capacidades do Modelo Pegasus 1.2

    O Pegasus 1.2 é um modelo de linguagem orientado para processamento de vídeos que consegue gerar texto baseado no conteúdo visual, áudio e textual dentro de vídeos. Desenvolvido especificamente para vídeos de longa duração, o modelo se destaca na geração de texto a partir de vídeos e na compreensão temporal, permitindo análises sofisticadas de conteúdo videográfico.

    Benefícios da Maior Disponibilidade Regional

    Com a expansão do Pegasus 1.2 para essas regiões adicionais, desenvolvedores podem construir aplicações de inteligência em vídeo mais próximas aos seus dados e usuários finais. Essa proximidade reduz a latência das requisições e simplifica a arquitetura geral das soluções, permitindo processamento mais rápido e eficiente.

    Próximos Passos

    Para obter a lista completa de perfis de inferência suportados e regiões disponíveis para o Pegasus 1.2, consulte a documentação de inferência entre regiões. Para começar a trabalhar com o Pegasus 1.2, acesse o console do Amazon Bedrock. Mais detalhes técnicos e informações adicionais estão disponíveis na página do produto e na documentação do Amazon Bedrock.

    Fonte

    TwelveLabs’ Pegasus 1.2 model now in 23 new AWS regions via Global cross-region inference (https://aws.amazon.com/about-aws/whats-new/2025/12/twelvelabs-pegasus-available-with-global-cross-region-inference/)

  • Amazon Connect agora oferece avaliações automáticas de desempenho para interações de autoatendimento

    Novidade no Amazon Connect: Avaliações automáticas de qualidade

    A AWS anunciou uma funcionalidade inovadora para o Amazon Connect, permitindo que empresas avaliem automaticamente a qualidade das interações de autoatendimento. Essa capacidade oferece aos gerentes e supervisores uma visão consolidada do desempenho geral, além da possibilidade de analisar contatos individuais para identificar pontos de melhoria.

    Como funciona a avaliação automática

    O novo recurso permite que os gerentes definam critérios customizados para avaliar a qualidade das interações de autoatendimento. Esses critérios podem ser preenchidos de duas formas: manualmente pelos supervisores ou automaticamente através de insights obtidos por meio de análise de conversas e outros dados disponíveis no Connect.

    Exemplo prático de uso

    Uma aplicação comum é avaliar automaticamente se um agente de IA tem dificuldade para entender o cliente. Quando esse problema ocorre, muitas vezes resulta em sentimento negativo do cliente e eventual transferência para um atendente humano. Identificar esses padrões permite que os gerentes ajustem treinamentos e configurações do agente para melhorar sua compreensão.

    Análise de dados e melhorias contínuas

    Os gerentes podem revisar os insights agregados sobre as interações, bem como acessar registros e transcrições de autoatendimento específicas. Essa visibilidade facilita a identificação de oportunidades para otimizar o desempenho do agente de IA e, consequentemente, melhorar a experiência do cliente.

    Disponibilidade da funcionalidade

    As avaliações de autoatendimento preenchidas manualmente estão disponíveis em todas as regiões onde o Amazon Connect é oferecido. As avaliações automáticas, por sua vez, estão limitadas a regiões específicas: Leste dos EUA (N. Virginia), Oeste dos EUA (Oregon), Ásia Pacífico (Seul), Ásia Pacífico (Singapura), Ásia Pacífico (Sydney), Ásia Pacífico (Tóquio) e Europa (Frankfurt).

    Próximos passos

    Para conhecer detalhes sobre preços e modelos de cobrança, consulte a página de preços do Amazon Connect. A documentação técnica disponibiliza guias completos sobre como criar e configurar formulários de avaliação. Também é possível aprender mais sobre a plataforma através da página principal do Amazon Connect.

    Fonte

    Amazon Connect now provides automated performance evaluations for self-service interactions (https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-connect-automated-performance-evaluations-self-service-interactions)

  • Instâncias Amazon EC2 C8gn chegam em novas regiões globais

    Expansão global das instâncias EC2 C8gn

    A AWS anunciou a disponibilidade das instâncias Amazon EC2 C8gn em duas novas regiões: US East (Ohio) e Middle East (UAE). Essas instâncias são equipadas com os processadores AWS Graviton4, a geração mais recente de chips customizados desenvolvidos pela empresa, marcando um importante passo na expansão da plataforma para atender melhor aos clientes em diferentes geografias.

    Ganhos em desempenho e conectividade

    As instâncias C8gn trazem melhorias significativas em relação às gerações anteriores. O desempenho computacional é até 30% superior quando comparado com as instâncias C7gn baseadas em Graviton3. Além disso, utilizam a 6ª geração do AWS Nitro Cards, a infraestrutura de virtualização proprietária da AWS.

    Destaque especial para a conectividade de rede: as C8gn oferecem até 600 Gbps de largura de banda de rede, a maior disponível entre as instâncias EC2 otimizadas para rede. Essa capacidade é acompanhada de até 60 Gbps de banda para armazenamento em Amazon Elastic Block Store (EBS), permitindo escalabilidade robusta para cargas exigentes.

    Escalabilidade e capacidade

    A linha C8gn oferece tamanhos de instâncias que variam até 48xlarge, com até 384 GiB de memória disponível. Essa gama de tamanhos permite que diferentes tipos de carga de trabalho encontrem a configuração ideal de recursos.

    Para cenários mais avançados de processamento paralelo, a AWS integrou suporte a Elastic Fabric Adapter (EFA) nos tamanhos 16xlarge, 24xlarge, 48xlarge, metal-24xl e metal-48xl. Essa capacidade de rede especializada reduz a latência e melhora o desempenho de aglomerados fortemente acoplados, essencial para simulações científicas, análises de big data e treinamento distribuído de modelos.

    Casos de uso ideais

    A AWS destaca que as instâncias C8gn são particularmente adequadas para executar cargas de trabalho intensivas em rede, como:

    • Appliances virtuais de rede
    • Análise de dados em larga escala
    • Inferência de IA e aprendizado de máquina baseada em CPU

    A combinação de largura de banda de rede excepcional com processamento de CPU potente as torna especialmente valiosas para aplicações que precisam processar grandes volumes de dados com baixa latência.

    Disponibilidade regional

    As instâncias C8gn agora estão disponíveis nas seguintes regiões da AWS:

    • US East (N. Virginia, Ohio)
    • US West (Oregon, N. California)
    • Europe (Frankfurt, Stockholm)
    • Asia Pacific (Singapore, Malaysia, Sydney, Thailand)
    • Middle East (UAE)

    Próximos passos

    Para explorar as capacidades das instâncias C8gn, a AWS oferece documentação técnica detalhada em Instâncias Amazon C8gn. Quem deseja começar sua jornada com o Graviton pode acessar o guia de otimização de computação com AWS Graviton.

    Para começar a usar essas instâncias, é possível acessar o AWS Management Console, AWS Command Line Interface (CLI), ou usar os AWS SDKs.

    Fonte

    Amazon EC2 C8gn instances are now available in additional regions (https://aws.amazon.com/about-aws/whats-new/2025/12/amazon-ec2-c8gn-instances-additional-regions)

  • GameLift Servers recebe assistência baseada em IA para facilitar desenvolvimento de jogos na console AWS

    Inteligência Artificial no Gerenciamento de Servidores de Jogos

    A AWS anunciou, em dezembro de 2025, o lançamento de um novo recurso de assistência com inteligência artificial na console AWS, especificamente para desenvolvedores que utilizam o GameLift Servers. Este avanço representa um passo importante na simplificação do gerenciamento de infraestrutura para jogos em escala.

    A funcionalidade integra o Amazon Q Developer — um assistente inteligente da AWS — com conhecimentos especializados sobre o GameLift Servers. O objetivo é fornecer orientações personalizadas que ajudem desenvolvedoras e desenvolvedores a navegar por fluxos de trabalho complexos de forma mais ágil e eficiente.

    Capacidades do Novo Recurso

    Com a assistência IA ativada, desenvolvedores ganham acesso a recomendações inteligentes para três aspectos críticos do desenvolvimento com GameLift:

    • Integração de servidores de jogos: Orientações para conectar o servidor do jogo à plataforma de forma correta
    • Configuração de frotas: Sugestões para otimizar a disposição e gerenciamento de instâncias
    • Otimização de desempenho: Recomendações baseadas em padrões de uso para melhorar a experiência do jogador

    Benefícios Práticos para Desenvolvedores

    A IA integrada na console busca resolver três problemas principais enfrentados por desenvolvedoras e desenvolvedores:

    • Redução de tempo de troubleshooting: O assistente ajuda a identificar e resolver problemas mais rapidamente
    • Tomadas de decisão simplificadas: Recomendações contextualizadas reduzem incertezas em configurações complexas
    • Melhor utilização de recursos: Orientações para otimização resultam em economia de custos e melhor aproveitamento da infraestrutura

    Consequentemente, esses avanços contribuem tanto para redução de gastos quanto para melhoria da experiência dos jogadores finais, que se beneficiam de servidores melhor configurados e otimizados.

    Disponibilidade Global

    A assistência baseada em inteligência artificial está disponível em todas as regiões onde o GameLift Servers é suportado. A única exceção é a AWS China, que mantém restrições específicas para serviços da Amazon.

    Para explorar essa funcionalidade em detalhes e entender como integrá-la ao seu fluxo de desenvolvimento, desenvolvedores podem consultar a documentação oficial do GameLift Servers. Além disso, informações sobre quais regiões suportadas estão habilitadas para este recurso podem ser encontradas na documentação específica.

    Contexto para o Ecossistema de Desenvolvimento de Jogos

    Este lançamento reflete a tendência crescente de integração de IA em ferramentas de desenvolvimento na nuvem. A AWS reconhece que gerenciar infraestrutura de servidores de jogos — com suas demandas de latência, escalabilidade e confiabilidade — é uma tarefa complexa que se beneficia significativamente de assistência inteligente.

    Ao colocar o Amazon Q Developer diretamente na console do GameLift, a empresa facilita o acesso a orientações especializadas no momento em que os desenvolvedores mais precisam: durante o planejamento, configuração e otimização contínua de seus servidores.

    Fonte

    Amazon GameLift Servers enhances AWS Console for game developers with AI powered assistance (https://aws.amazon.com/about-aws/whats-new/2025/12/gamelift-servers-console-developers-ai-powered/)

  • Personalizando sua resposta a ataques DDoS de camada 7 com AWS WAF Anti-DDoS AMR

    Proteção aprimorada contra ataques DDoS na camada de aplicação

    Nos primeiros meses deste ano, a AWS implementou novas camadas de proteção para aplicações, respondendo ao crescimento de ataques de negação de serviço distribuído (DDoS) de curta duração e alto volume na camada 7 (L7). Essas proteções são oferecidas através do grupo de regras gerenciadas Anti-DDoS AMR (Regras Gerenciadas Anti-DDoS da AWS). Embora a configuração padrão seja eficaz para a maioria dos cenários, você pode personalizar a resposta para se adequar à tolerância ao risco da sua aplicação.

    Neste artigo, exploraremos como o Anti-DDoS AMR funciona internamente e como você pode ajustar seu comportamento utilizando rótulos e regras adicionais do AWS WAF. Você acompanhará três cenários práticos, cada um demonstrando uma técnica diferente de personalização.

    Como o Anti-DDoS AMR funciona

    Detecção de anomalias e aplicação de rótulos

    O Anti-DDoS AMR estabelece uma linha de base do seu tráfego e a utiliza para detectar anomalias em questão de segundos. Quando um ataque DDoS é identificado, o serviço adiciona metadados às requisições — aquilo que o AWS WAF chama de rótulos. Especificamente, todas as requisições recebem o rótulo event-detected, enquanto as requisições suspeitas de contribuir para o ataque recebem o rótulo ddos-request.

    Além disso, rótulos adicionais baseados em confiança são aplicados, como high-suspicion-ddos-request, quando existe alta suspeita de que a requisição faz parte do ataque. Em termos técnicos, um rótulo é um metadado adicionado a uma requisição por uma regra quando ela é correspondida. Após ser adicionado, o rótulo fica disponível para as regras subsequentes, que podem utilizá-lo para enriquecer sua lógica de avaliação.

    Imagem original — fonte: AWS

    Estratégias de mitigação padrão

    As mitigações padrão combinam dois tipos de ação: bloqueio direto e desafio JavaScript. O desafio funciona apenas com clientes que esperam conteúdo HTML. Por esse motivo, você precisa excluir requisições que não podem ser desafiadas — como chamadas de API — nas configurações do Anti-DDoS AMR. O serviço aplica o rótulo challengeable-request às requisições que não correspondem às exclusões configuradas.

    As regras de mitigação padrão são avaliadas na seguinte sequência:

    • ChallengeAllDuringEvent: Equivalente à lógica: SE event-detected E challengeable-request, ENTÃO desafiar. Esta regra ativa desafios para todas as requisições elegíveis durante um evento detectado.
    • ChallengeDDoSRequests: Equivalente à lógica: SE (high-suspicion-ddos-request OU medium-suspicion-ddos-request OU low-suspicion-ddos-request) E challengeable-request, ENTÃO desafiar. A sensibilidade pode ser ajustada para desafiar apenas requisições de média e alta suspeita.
    • DDoSRequests: Equivalente à lógica: SE high-suspicion-ddos-request, ENTÃO bloquear. A sensibilidade pode ser aumentada para bloquear também requisições de média suspeita, por exemplo.

    Personalizando sua resposta aos ataques DDoS

    Duas abordagens de personalização

    Existem dois caminhos principais para personalizar como você responde a ataques DDoS na camada 7. Na primeira abordagem, você configura o Anti-DDoS AMR para a ação desejada e, em seguida, adiciona regras subsequentes para enrijecer ainda mais sua resposta sob condições específicas. Na segunda abordagem, você converte algumas ou todas as regras do Anti-DDoS AMR para modo de contagem e cria regras adicionais que definem sua resposta personalizada.

    Em ambas as abordagens, as regras subsequentes são configuradas utilizando condições que você define, combinadas com condições baseadas em rótulos aplicados pelo Anti-DDoS AMR. Para configurar regras com lógica complexa, você precisará usar o editor JSON do AWS WAF ou ferramentas de infraestrutura como código, como AWS CloudFormation ou Terraform.

    Exemplo 1: Mitigação mais sensível fora de países principais

    Suponha que sua operação ocorra principalmente em dois países: Emirados Árabes Unidos e Arábia Saudita. Você está satisfeito com o comportamento padrão do Anti-DDoS AMR nesses países, mas deseja bloquear mais agressivamente fora deles. Você pode implementar isso com as seguintes regras:

    • Anti-DDoS AMR com configurações padrão
    • Uma regra customizada que bloqueia se: a requisição vier de fora dos Emirados Árabes Unidos ou Arábia Saudita E a requisição tiver os rótulos high-suspicion-ddos-request ou medium-suspicion-ddos-request

    Após adicionar o Anti-DDoS AMR com configuração padrão, crie uma regra customizada subsequente com a seguinte definição JSON:

    {
  "Action": {
    "Block": {}
  },
  "Name": "more-sensitive-ddos-mitigation-outside-of-core-countries",
  "Priority": 1,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "NotStatement": {
            "Statement": {
              "GeoMatchStatement": {
                "CountryCodes": [
                  "AE",
                  "SA"
                ]
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "LabelMatchStatement": {
                  "Key": "awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request",
                  "Scope": "LABEL"
                }
              },
              {
                "LabelMatchStatement": {
                  "Key": "awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request",
                  "Scope": "LABEL"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "more-sensitive-ddos-mitigation-outside-of-core-countries",
    "SampledRequestsEnabled": true
  }
}

    De forma similar, durante um ataque, você pode mitigar de forma mais agressiva requisições de fontes incomuns, como aquelas identificadas pelo grupo de regras gerenciadas de reputação de IP como provenientes de provedores de hospedagem e nuvem.

    Exemplo 2: Redução de limites de taxa durante ataques DDoS

    Imaginemos que sua aplicação possui URLs sensíveis que são computacionalmente intensivas. Para proteger a disponibilidade, você aplicou uma regra de limitação de taxa configurada com um limite de 100 requisições a cada 2 minutos. Você pode enrijecer essa resposta durante um ataque DDoS aplicando um limite mais agressivo. Você pode implementar isso com:

    • Anti-DDoS AMR com configurações padrão
    • Uma regra de limitação de taxa, restrita às URLs sensíveis, configurada com limite de 100 requisições em janela de 2 minutos
    • Uma segunda regra de limitação de taxa, restrita às URLs sensíveis E ao rótulo event-detected, configurada com limite de 10 requisições em janela de 10 minutos

    Após adicionar o Anti-DDoS AMR com configuração padrão e sua regra de limitação de taxa para URLs sensíveis, crie uma nova regra de limitação com a seguinte definição JSON:

    {
  "Action": {
    "Block": {}
  },
  "Name": "ip-rate-limit-10-10mins-under-ddos",
  "Priority": 2,
  "Statement": {
    "RateBasedStatement": {
      "AggregateKeyType": "IP",
      "EvaluationWindowSec": 600,
      "Limit": 10,
      "ScopeDownStatement": {
        "AndStatement": {
          "Statements": [
            {
              "ByteMatchStatement": {
                "FieldToMatch": {
                  "UriPath": {}
                },
                "PositionalConstraint": "EXACTLY",
                "SearchString": "/sensitive-url",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "LOWERCASE"
                  }
                ]
              }
            },
            {
              "LabelMatchStatement": {
                "Key": "awswaf:managed:aws:anti-ddos:event-detected",
                "Scope": "LABEL"
              }
            }
          ]
        }
      }
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "ip-rate-limit-10-10mins-under-ddos",
    "SampledRequestsEnabled": true
  }
}

    Exemplo 3: Resposta adaptativa conforme escalabilidade da aplicação

    Considere uma aplicação legada que pode escalar com segurança até um certo limite de volume de tráfego, além do qual degrada. Se o volume total de tráfego, incluindo ataque DDoS, estiver abaixo desse limite, você decide não desafiar todas as requisições durante um ataque para evitar impactar a experiência do usuário. Neste cenário, você depende apenas da ação de bloqueio padrão para requisições de alta suspeita. Porém, se o volume total exceder o limite seguro, você ativa a mitigação equivalente a ChallengeDDoSRequests.

    Você pode implementar isso com:

    • Anti-DDoS AMR com as regras ChallengeAllDuringEvent e ChallengeDDoSRequests configuradas em modo de contagem
    • Uma regra de limitação de taxa que conta seu tráfego, configurada com um limite correspondente à capacidade da sua aplicação, que aplica um rótulo customizado — como CapacityExceeded — quando o limite é atingido
    • Uma regra que replica ChallengeDDoSRequests, mas apenas quando o rótulo CapacityExceeded está presente: desafiar se os rótulos ddos-request, CapacityExceeded e challengeable-request estão todos presentes

    Primeiro, atualize seu Anti-DDoS AMR alterando as ações Challenge para Count.

    Em seguida, crie a regra de detecção de capacidade excedida em modo de contagem, usando a seguinte definição JSON:

    {
  "Action": {
    "Count": {}
  },
  "Name": "capacity-exceeded-detection",
  "Priority": 7,
  "RuleLabels": [
    {
      "Name": "mycompany:capacityexceeded"
    }
  ],
  "Statement": {
    "RateBasedStatement": {
      "AggregateKeyType": "IP",
      "EvaluationWindowSec": 120,
      "Limit": 10000
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "capacity-exceeded-detection",
    "SampledRequestsEnabled": true
  }
}

    Finalmente, crie a regra de desafio usando a seguinte definição JSON:

    {
  "Action": {
    "Challenge": {}
  },
  "Name": "challenge-if-ddos-and-capacity-exceeded",
  "Priority": 2,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Key": "mycompany:capacityexceeded",
            "Scope": "LABEL"
          }
        },
        {
          "LabelMatchStatement": {
            "Key": "awswaf:managed:aws:anti-ddos:ddos-request",
            "Scope": "LABEL"
          }
        },
        {
          "LabelMatchStatement": {
            "Key": "awswaf:managed:aws:anti-ddos:challengeable-request",
            "Scope": "LABEL"
          }
        }
      ]
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "challenge-if-ddos-and-capacity-exceeded",
    "SampledRequestsEnabled": true
  }
}

    Conclusão

    Ao combinar as proteções integradas do Anti-DDoS AMR com lógica customizada, você consegue adaptar suas defesas para corresponder ao seu perfil de risco único, padrões de tráfego e escalabilidade da aplicação. Os exemplos apresentados ilustram como você pode ajustar a sensibilidade, aplicar mitigações mais fortes sob condições específicas e até construir defesas adaptativas que respondem dinamicamente à capacidade do seu sistema.

    O sistema dinâmico de rótulos no AWS WAF permite implementar essas personalizações de forma granular. Você pode também utilizar rótulos do AWS WAF para excluir o registro custoso de tráfego de ataque DDoS, otimizando sua observabilidade sem sacrificar a segurança.

    Fonte

    How to customize your response to layer 7 DDoS attacks using AWS WAF Anti-DDoS AMR (https://aws.amazon.com/blogs/security/how-to-customize-your-response-to-layer-7-ddos-attacks-using-aws-waf-anti-ddos-amr/)

  • Amazon Kinesis Video Streams: Nova Camada de Armazenamento Econômico para Retenção de Vídeos

    Nova Camada de Armazenamento Aquecido para Kinesis Video Streams

    A AWS ampliou as capacidades de armazenamento do Amazon Kinesis Video Streams com a introdução de uma nova camada de armazenamento econômica, designada como “warm tier”. Essa novidade oferece aos desenvolvedores uma opção mais eficiente em custos para manter vídeos e mídia por períodos prolongados, sem sacrificar a performance.

    Entendendo as Duas Camadas de Armazenamento

    Anteriormente, o Amazon Kinesis Video Streams operava com uma única camada de armazenamento, agora renomeada como “hot tier”. Essa camada permanece otimizada para acesso em tempo real e armazenamento de curta duração, mantendo todas as suas características de baixa latência.

    A nova camada “warm” foi projetada especificamente para cenários que exigem retenção de longa duração de mídia. O diferencial está na manutenção de acesso em sub-segundo — mesmo com custos de armazenamento significativamente reduzidos — tornando-a ideal para aplicações que precisam preservar dados históricos sem manter infraestrutura de acesso instantâneo.

    Casos de Uso Práticos

    A solução beneficia especialmente dois segmentos:

    • Segurança residencial: Desenvolvedoras de soluções de monitoramento residencial podem agora oferecer retenção estendida de vídeo, armazenando semanas ou meses de gravações com custos operacionais reduzidos.
    • Monitoramento empresarial: Organizações com múltiplas câmeras de vigilância conseguem manter históricos longos para auditoria, conformidade regulatória e análise de incidentes, equilibrando retenção com custos.

    Maior Flexibilidade na Configuração

    Além das duas camadas de armazenamento, a AWS adicionou controle granular sobre o tamanho dos fragmentos de dados. Desenvolvedores podem agora escolher entre:

    • Fragmentos menores: Para casos de uso que exigem latência ultra-baixa e responsividade imediata.
    • Fragmentos maiores: Para reduzir custos de ingestão, ideal quando a prioridade é economia de processamento em vez de latência extrema.

    Integração com Serviços de IA e Análise

    Ambas as camadas (hot e warm) funcionam nativamente com os serviços de visão computacional da AWS. A integração com Amazon Rekognition Video e Amazon SageMaker permite que desenvolvedores construam pipelines contínuos de processamento de vídeo e análise, independente de qual camada de armazenamento estejam utilizando.

    Disponibilidade Global

    A nova camada warm do Amazon Kinesis Video Streams está disponível em todas as regiões onde o serviço já opera, com a exceção das AWS GovCloud (US) Regions.

    Para aprofundar a implementação, consulte o guia de primeiros passos da documentação oficial.

    Fonte

    Amazon Kinesis Video Streams now supports a new cost effective warm storage tier (https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-kinesis-video-streams-warm-storage-tier/)

  • SageMaker HyperPod agora oferece cache KV gerenciado em camadas e roteamento inteligente

    Otimização de Inferência de Modelos de Linguagem

    A AWS anunciou novas funcionalidades para o SageMaker HyperPod voltadas à otimização da inferência de modelos de linguagem em larga escala (LLM — Large Language Models). O serviço agora suporta Cache KV (Key-Value) Gerenciado em Camadas e Roteamento Inteligente, permitindo que clientes processem contextos extensos e conversas multi-turno com significativa melhoria de desempenho.

    O Desafio da Inferência de Longa Duração

    Quando aplicações de LLM precisam processar documentos extensos ou manter históricos de conversação, as arquiteturas tradicionais de inferência enfrentam um problema fundamental: a cada novo token gerado, o sistema precisa recalcular os mecanismos de atenção considerando todos os tokens anteriores. Esse reprocessamento contínuo gera sobrecarga computacional e eleva significativamente os custos operacionais.

    Como Funciona o Cache KV Gerenciado em Camadas

    A solução implementada pela AWS resolve esse problema através de uma arquitetura em dois níveis. O Cache KV Gerenciado em Camadas combina memória CPU local (Nível 1) com armazenamento distribuído em cluster (Nível 2), possibilitando que valores previamente calculados sejam reutilizados entre requisições.

    Para o Nível 2, a AWS oferece duas opções:

    • Armazenamento Tiered Disaggregado nativo da AWS: oferece capacidade escalável em escala de terabytes, com tiering automático de memória CPU para SSD local, otimizando a utilização de recursos
    • Redis: disponível como alternativa para o backend de cache de Nível 2

    Roteamento Inteligente de Requisições

    Complementando o sistema de cache, o Roteamento Inteligente maximiza a utilização do cache através de três estratégias configuráveis:

    • Roteamento com Reconhecimento de Prefixo: identifica padrões comuns em prompts e direcionam requisições para instâncias relevantes
    • Roteamento com Reconhecimento de KV: maximiza a eficiência do cache através de rastreamento em tempo real do estado do cache
    • Round-robin: para cargas de trabalho sem estado (stateless)

    Essas estratégias trabalham em conjunto para reduzir o tempo até o primeiro token em análise de documentos e manter o fluxo natural da conversação em diálogos multi-turno.

    Impacto Quantificável de Desempenho

    Segundo a AWS, essas funcionalidades juntas entregam resultados notáveis em comparação com configurações baseline:

    • Redução de até 40% em latência
    • Melhoria de até 25% em throughput
    • Economia de até 25% em custos

    Observabilidade e Implementação

    O novo conjunto de capacidades inclui integração nativa com Amazon Managed Grafana para observabilidade integrada, permitindo monitoramento detalhado das métricas de desempenho.

    Para ativar essas funcionalidades, os clientes podem fazer uso de InferenceEndpointConfig ou SageMaker JumpStart ao implantar modelos através do HyperPod Inference Operator em clusters orquestrados por EKS (Elastic Kubernetes Service).

    Disponibilidade e Próximos Passos

    Os recursos estão disponíveis em todas as regiões onde o SageMaker HyperPod opera atualmente. Para implementação completa, a AWS disponibiliza documentação técnica e guias de configuração através de sua documentação oficial.

    Fonte

    SageMaker HyperPod now supports Managed tiered KV cache and intelligent routing (https://aws.amazon.com/about-aws/whats-new/2025/11/sagemaker-hyperpod-managed-tiered-kv-cache/)

  • Aurora PostgreSQL agora oferece suporte a versões 17.6, 16.10, 15.14, 14.19 e 13.22

    Novas versões do PostgreSQL no Amazon Aurora

    A AWS anunciou o suporte a cinco novas versões secundárias do PostgreSQL no Amazon Aurora PostgreSQL-Compatible Edition: versões 17.6, 16.10, 15.14, 14.19 e 13.22. Essas atualizações incorporam as correções de bugs e melhorias de produtos da comunidade PostgreSQL, além de incluir aprimoramentos específicos do Aurora.

    Segurança elevada com Mascaramento Dinâmico de Dados

    Um dos destaques desta liberação é o Mascaramento Dinâmico de Dados (DDM — Dynamic Data Masking), disponível nas versões 16.10 e 17.6. Esse recurso de segurança em nível de banco de dados oferece proteção para dados sensíveis, como informações de identificação pessoal, ao mascarar valores de coluna dinamicamente durante a execução de consultas. O aspecto mais importante: o mascaramento ocorre em tempo de consulta, com base em políticas de função de acesso, sem alterar os dados armazenados de fato.

    Outras melhorias implementadas

    Além da segurança, esta versão traz aprimoramentos significativos em desempenho e confiabilidade. A introdução de um compartilhamento de plano de cache melhora a eficiência das operações. Também houve melhoria no objetivo de tempo de recuperação (RTO — Recovery Time Objective), reduzindo o tempo necessário para retomar as operações após uma falha. Para ambientes multi-região, a troca de banco de dados global (Global Database switchovers) agora funciona de forma otimizada.

    Como começar com as novas versões

    Para utilizar as versões mais recentes, você pode criar um novo banco de dados Aurora PostgreSQL-compatible diretamente pelo Console de Gerenciamento do Amazon RDS em poucos cliques. Caso já possua um banco de dados existente, também é possível fazer uma atualização. A AWS recomenda consultar a documentação do Aurora para compreender melhor o processo de upgrade.

    Planejamento de atualizações

    Para decidir com qual frequência atualizar e como planejar seu processo de upgrade, consulte a política de versão do Aurora. Esse documento fornece orientações sobre ciclos de suporte e estratégias de migração.

    Disponibilidade global

    Essas novas versões estão disponíveis em todas as regiões comerciais da AWS, assim como nas regiões do AWS GovCloud (US).

    Sobre o Amazon Aurora

    O Amazon Aurora é projetado para oferecer desempenho e disponibilidade sem precedentes em escala global, com compatibilidade completa com MySQL e PostgreSQL. A plataforma oferece segurança integrada, backups contínuos, computação serverless, até 15 réplicas de leitura, replicação automatizada entre regiões e integração com outros serviços da AWS. Para dar seus primeiros passos, consulte a página de primeiros passos.

    Fonte

    Amazon Aurora now supports PostgreSQL 17.6, 16.10, 15.14, 14.19, and 13.22 (https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-aurora-minor-versions-17-6-16-10-15-14-14-19-13-22)

  • AWS Private Certificate Authority agora suporta CRLs particionadas

    O desafio da infraestrutura de chaves públicas em escala

    A Infraestrutura de Chaves Públicas (PKI) é fundamental para garantir a segurança e estabelecer confiança nas comunicações digitais. À medida que as organizações expandem suas operações digitais, precisam emitir e revogar certificados continuamente. A revogação de certificados é especialmente importante quando funcionários se desligam, durante migrações para novas hierarquias de autoridades certificadoras, para atender requisitos de conformidade ou em resposta a incidentes de segurança.

    Para rastrear certificados revogados, as organizações podem usar a Lista de Revogação de Certificados (CRL) ou o Protocolo de Status de Certificado Online (OCSP). A Autoridade Certificadora Privada da AWS (AWS Private CA) permite criar uma autoridade certificadora que publica informações de revogação através desses métodos, possibilitando que sistemas verifiquem a validade dos certificados.

    Porém, empresas que enfrentam crescimento significativo encontram limitações ao usar CRLs completas para emitir e revogar mais de 1 milhão de certificados. Simplesmente aumentar o tamanho do arquivo CRL não é uma solução viável, pois muitas aplicações não conseguem processar arquivos CRL grandes — algumas exigem um máximo de 1 MB. Além disso, soluções alternativas como OCSP podem ser rejeitadas por grandes repositórios de confiança e fornecedores de navegadores devido a preocupações com privacidade e requisitos de conformidade. Essas restrições impactam significativamente a capacidade das organizações de escalar sua infraestrutura de PKI de forma eficiente, mantendo segurança e conformidade.

    A solução: CRLs particionadas

    A AWS Private CA agora oferece CRLs particionadas como resposta a esses desafios. Essa funcionalidade permite a emissão e revogação de até 100 milhões de certificados por CA, distribuindo as informações de revogação em múltiplas partições de CRL menores e gerenciáveis, cada uma mantendo um tamanho máximo de 1 MB para melhor compatibilidade com aplicações.

    No momento da emissão, os certificados são automaticamente vinculados a partições CRL específicas através de uma extensão crítica de Ponto de Distribuição do Emissor (IDP), que contém uma URI única identificando a partição. A validação funciona comparando a URI de CRL na extensão de Ponto de Distribuição de CRL (CDP) do certificado contra a extensão IDP da CRL, proporcionando validação precisa.

    Capacidades principais da nova funcionalidade

    As CRLs particionadas oferecem diversos benefícios operacionais:

    • Escalabilidade automática do limite de emissão de certificados: de 1 milhão para 100 milhões de certificados por CA
    • Suporte tanto para novas quanto para autoridades certificadoras existentes
    • Opções de configuração flexível para nomes e caminhos de CRL
    • Compatibilidade reversa, preservando a funcionalidade completa de CRL existente enquanto oferece CRL particionada como recurso opcional
    • Conformidade com padrões da indústria, como o RFC5280, mantendo eficiência operacional e segurança

    Configurando CRLs particionadas na AWS Private CA

    A configuração de CRLs particionadas em autoridades certificadoras existentes segue um processo estruturado através do console da AWS:

    Passos de configuração

    Para ativar CRLs particionadas, acesse sua autoridade certificadora privada no console da AWS Private CA. Primeiro, selecione a CA desejada e navegue até a aba de configuração de revogação. Se a distribuição de CRL estiver desabilitada, você precisará ativá-la nos próximos passos.

    Ao editar as configurações, marque a opção para ativar distribuição de CRL e selecione um bucket do Amazon S3 existente para armazenar os arquivos de CRL. É importante verificar que o recurso de Bloqueio de Acesso Público está desabilitado para sua conta e para o bucket. Se necessário, você pode consultar a documentação sobre criar uma CA privada na AWS Private CA para obter instruções detalhadas sobre políticas de acesso. Para configurações de segurança mais específicas, consulte o guia sobre políticas de acesso para CRLs no Amazon S3 e aprenda como adicionar uma política de bucket usando o console do Amazon S3.

    Na seção de configurações de CRL, marque a caixa para ativar o particionamento. Isso habilitará o uso de CRL particionada. Se você não ativar o particionamento, uma CRL completa será criada e sua CA ficará sujeita ao limite de 1 milhão de certificados emitidos ou revogados. Para informações sobre limites de capacidade, consulte as cotas da AWS Private CA.

    Após salvar as alterações, a distribuição de CRL aparecerá como habilitada com CRLs particionadas, e o limite de 1 milhão será automaticamente atualizado para 100 milhões por CA.

    Benefícios para segurança, operações e conformidade

    As CRLs particionadas da AWS Private CA oferecem benefícios substanciais em múltiplas dimensões organizacionais.

    Perspectiva de segurança

    A funcionalidade mantém a validação de certificados enquanto suporta capacidades abrangentes de revogação para até 100 milhões de certificados por CA. Isso permite que as organizações respondam efetivamente a incidentes de segurança ou comprometimento de chaves.

    Perspectiva operacional

    Operacionalmente, o recurso reduz a necessidade de rotação de autoridades certificadoras, diminuindo a sobrecarga administrativa e simplificando o gerenciamento de PKI. Manter os tamanhos de partição de CRL em 1 MB oferece compatibilidade ampla com aplicações, enquanto suporta gerenciamento automático de partições.

    Perspectiva de conformidade

    Para conformidade regulatória, a solução permite que as organizações atendam a múltiplos requisitos da indústria:

    Custo e disponibilidade

    Um ponto importante é que você pode maximizar o valor de suas autoridades certificadoras de propósito geral ou vida curta ativando CRL particionada sem custos adicionais, além da AWS Private CA e do Amazon Simple Storage Service (Amazon S3). Todos os certificados continuam sendo revogáveis, proporcionando uma solução completa e econômica para gestão de PKI em escala.

    Próximos passos

    Organizações interessadas em começar podem criar sua autoridade certificadora através do console de gerenciamento da AWS Private CA. A nova funcionalidade está disponível para configuração imediata em autoridades certificadoras existentes ou novas.

    Fonte

    AWS Private Certificate Authority now supports partitioned CRLs (https://aws.amazon.com/blogs/security/aws-private-certificate-authority-now-supports-partitioned-crls/)

  • Protegendo Secrets no Kubernetes: O Novo Add-on da AWS para o EKS

    Uma nova forma de gerenciar secrets no Kubernetes

    A AWS anunciou um novo provedor para o Secrets Store CSI Driver destinado ao Amazon EKS (Elastic Kubernetes Service), que funciona como um add-on gerenciado para a plataforma. Esse novo componente permite que as equipes de desenvolvimento recuperem secrets do AWS Secrets Manager e parâmetros do AWS Systems Manager Parameter Store, montando-os como arquivos nos pods do Kubernetes. A solução é clara em sua proposta: oferecer uma forma segura, confiável e gerenciada de acessar credenciais dentro de ambientes containerizados.

    O novo add-on simplifica significativamente o processo de instalação e configuração, funciona tanto em instâncias de Amazon Elastic Compute Cloud (EC2) quanto em nós híbridos, e é mantido com as correções de segurança e atualizações mais recentes. Para equipes brasileiras que trabalham com Kubernetes em ambientes AWS, isso representa uma redução considerável no tempo necessário para implementar práticas seguras de gestão de credenciais.

    Por que isso importa para a segurança

    Historicamente, um dos maiores desafios em ambientes Kubernetes é evitar o uso de credenciais hardcoded no código-fonte das aplicações. O Secrets Manager já resolve essa questão no contexto geral da AWS, mas integrá-lo nativamente com Kubernetes exigia passos complexos de instalação e manutenção.

    O novo provedor funciona como um DaemonSet do Kubernetes de código aberto, trabalhando em conjunto com o Secrets Store CSI Driver mantido pela comunidade Kubernetes. Essa arquitetura permite que o driver de armazenamento de secrets funcione de forma nativa no cluster, sem necessidade de integração customizada.

    Benefícios do add-on gerenciado

    Os add-ons do EKS da AWS proporcionam instalação e gerenciamento de um conjunto curado de componentes para clusters EKS. Em vez de depender de métodos legados como Helm ou kubectl, o novo add-on reduz significativamente o tempo de setup e aumenta a estabilidade geral dos clusters. Além disso, o gerenciamento centralizado pela AWS garante que patches de segurança e correções de bugs sejam aplicados de forma automática e consistente.

    Considerações de segurança

    Como em qualquer solução que envolve gestão de credenciais, a segurança é uma preocupação central. A AWS recomenda armazenar secrets em cache na memória quando possível, reduzindo a frequência de acesso ao Secrets Manager. Para equipes que preferem uma experiência totalmente nativa do Kubernetes, o AWS Secrets Manager Agent oferece uma alternativa complementar.

    Do ponto de vista de controle de acesso, qualquer entidade IAM (Identity and Access Management) que precise acessar os secrets deve ter permissões explícitas no Secrets Manager. Se usar Parameter Store, também precisa de permissões específicas para ler parâmetros. As políticas de recurso funcionam como mecanismo adicional de controle de acesso, e é especialmente importante quando se acessa secrets de contas AWS diferentes.

    O add-on inclui suporte a endpoints FIPS, alinhando-se com exigências de conformidade em ambientes altamente regulados. A AWS fornece uma política IAM gerenciada chamada AWSSecretsManagerClientReadOnlyAccess, que é a recomendação padrão para uso com esse add-on. Para implementar o princípio do menor privilégio, é possível criar políticas customizadas direcionadas apenas aos secrets específicos que cada aplicação precisa acessar.

    Guia prático de implementação

    Para equipes que desejam começar, a AWS disponibiliza um fluxo de trabalho completo desde a criação do cluster até a recuperação efetiva de um secret. Abaixo, apresentamos um resumo dos passos principais.

    Pré-requisitos

    Antes de iniciar, certifique-se de ter:

    • Credenciais AWS configuradas no seu ambiente para permitir chamadas à API
    • AWS CLI v2 ou superior
    • A região preferida configurada no seu ambiente via comando: aws configure set default.region <regiao-preferida>
    • As ferramentas de linha de comando kubectl e eksctl instaladas
    • Um arquivo de deployment Kubernetes disponível no repositório do provedor

    Criando o cluster EKS

    Comece criando uma variável de shell com o nome do seu cluster:

    CLUSTER_NAME="my-test-cluster"

    Depois, crie o cluster:

    eksctl create cluster $CLUSTER_NAME

    O eksctl usará automaticamente uma versão recente do Kubernetes e criará todos os recursos necessários para o funcionamento do cluster. Esse comando geralmente leva cerca de 15 minutos.

    Criando um secret de teste

    Crie um secret chamado addon_secret no Secrets Manager:

    aws secretsmanager create-secret \
--name addon_secret \
--secret-string "super secret!"

    Instalando o add-on do Secrets Store CSI Driver

    Use o eksctl para instalar o add-on:

    eksctl create addon \
--cluster $CLUSTER_NAME \
--name aws-secrets-store-csi-driver-provider

    Configurando autenticação com IAM e Pod Identity

    Crie uma role IAM que o serviço de Pod Identity do EKS possa assumir (substitua <regiao> pela sua região AWS):

    ROLE_ARN=$(aws --region <regiao> --query Role.Arn --output text iam create-role --role-name nginx-deployment-role --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "pods.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}')

    Anexe a política gerenciada à role que você acabou de criar:

    aws iam attach-role-policy \
--role-name nginx-deployment-role \
--policy-arn arn:aws:iam::aws:policy/AWSSecretsManagerClientReadOnlyAccess

    Instalando o EKS Pod Identity Agent

    O add-on oferece dois métodos de autenticação: IAM roles para service accounts (IRSA) e EKS Pod Identity. Neste exemplo, usaremos Pod Identity. Instale o agent:

    eksctl create addon \
--cluster $CLUSTER_NAME \
--name eks-pod-identity-agent

    Depois, crie a associação de Pod Identity para o cluster (substituindo <regiao> pela sua região):

    eksctl create podidentityassociation \
--cluster $CLUSTER_NAME \
--namespace default \
--region <regiao> \
--service-account-name nginx-pod-identity-deployment-sa \
--role-arn $ROLE_ARN \
--create-service-account true

    Configurando a SecretProviderClass

    A SecretProviderClass é um arquivo YAML que define quais secrets e parâmetros devem ser montados como arquivos no seu cluster. Crie um arquivo chamado spc.yaml com o seguinte conteúdo:

    apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: nginx-pod-identity-deployment-aws-secrets
spec:
  provider: aws
  parameters:
    objects: |
      - objectName: "addon_secret"
        objectType: "secretsmanager"
        usePodIdentity: "true"

    Aplique a configuração:

    kubectl apply -f spc.yaml

    Para detalhes adicionais sobre a SecretProviderClass, consulte a documentação no GitHub do provedor.

    Implantando o pod no cluster

    Use o arquivo de deployment disponível no repositório para implantar o pod:

    kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleDeployment-PodIdentity.yaml

    Isso montará o addon_secret no caminho /mnt/secrets-store dentro do seu cluster.

    Recuperando e verificando o secret

    Para confirmar que o secret foi montado com sucesso, execute:

    kubectl exec -it $(kubectl get pods | awk '/nginx-pod-identity-deployment/{print $1}' | head -1) -- cat /mnt/secrets-store/addon_secret

    Você deverá ver a saída:

    super secret!

    Parabéns! Você recuperou com sucesso um secret do Secrets Manager e o montou como arquivo no seu cluster Kubernetes usando o novo add-on da AWS.

    Limpeza de recursos

    Quando terminar a implementação de testes, limpe os recursos criados:

    aws secretsmanager delete-secret \
--secret-id addon_secret \
--force-delete-without-recovery

aws iam delete-role --role-name nginx-deployment-role

eksctl delete cluster $CLUSTER_NAME

    Alternativas de instalação

    Embora o add-on gerenciado seja a forma recomendada, a AWS também oferece opções alternativas de instalação usando AWS CloudFormation, AWS Command Line Interface (AWS CLI), console de gerenciamento ou a própria API do EKS.

    Conclusão

    O novo add-on do Secrets Store CSI Driver para EKS representa um avanço significativo na forma como as equipes podem gerenciar credenciais em ambientes Kubernetes hospedados na AWS. Ao oferecer instalação simplificada, gerenciamento centralizado, atualizações de segurança automáticas e integração estreita com o EKS, a solução reduz tanto a complexidade operacional quanto o risco de segurança associado ao armazenamento inadequado de secrets.

    Para organizações brasileiras que trabalham com Kubernetes em escala, esse add-on se posiciona como uma alternativa muito mais prática do que métodos legados de instalação, mantendo a flexibilidade e a conformidade com padrões de segurança internacionais. A documentação técnica completa está disponível para equipes que desejam explorar cenários mais avançados e configurações específicas.

    Saiba mais

    Fonte

    How to use the Secrets Store CSI Driver provider Amazon EKS add-on with Secrets Manager (https://aws.amazon.com/blogs/security/how-to-use-the-secrets-store-csi-driver-provider-amazon-eks-add-on-with-secrets-manager/)