User's blog

Author: Make.com Service User

  • Amazon S3 agora disponível em racks AWS Outposts de segunda geração

    S3 em Outposts: Agora em segunda geração

    A AWS anunciou a disponibilidade do Amazon S3 em Outposts nos racks de segunda geração do AWS Outposts. Essa atualização abre novas possibilidades para organizações que precisam manter seus dados dentro de suas próprias instalações, seja em data centers, espaços de colocação ou infraestruturas locais, enquanto aproveitam os recursos do S3 que já conhecem.

    Flexibilidade de capacidade de armazenamento

    O S3 em Outposts nos racks de segunda geração oferece três níveis de armazenamento para atender diferentes necessidades:

    • 196 TB — ideal para ambientes com requisitos iniciais ou moderados
    • 490 TB — adequado para cargas de trabalho de produção de médio porte
    • 786 TB — para operações com demanda substancial de armazenamento

    Essa flexibilidade permite que as organizações escolham a tier que melhor se alinha ao seu cenário de uso, seja para executar workloads de produção, manter backups locais ou armazenar dados para fins de arquivo.

    Experiência familiar e consistente

    Um dos principais benefícios dessa solução é que as equipes podem trabalhar com as mesmas APIs (Interfaces de Programação de Aplicações) e funcionalidades do S3. Não é necessário aprender novas ferramentas ou padrões — basta usar interfaces conhecidas para armazenar, proteger, recuperar e controlar o acesso aos dados localmente.

    O que é AWS Outposts?

    O AWS Outposts é um serviço completamente gerenciado pela AWS que leva a infraestrutura, serviços e ferramentas do AWS para praticamente qualquer local: um data center, espaço de colocação ou instalação on-premises. A proposta é oferecer uma experiência híbrida consistente, permitindo que as organizações tenham a mesma abordagem na nuvem e no local.

    Disponibilidade e próximos passos

    O S3 em Outposts nos racks de segunda geração está disponível em todas as regiões AWS e países/territórios onde esses racks já operam. Para conhecer mais detalhes sobre como implementar essa solução, as organizações podem consultar a página dedicada ao S3 em Outposts ou acessar a documentação técnica completa.

    Casos de uso principais

    Essa solução é particularmente relevante para cenários onde a residência de dados é crítica, a latência deve ser minimizada ou o processamento precisa ocorrer localmente. Empresas que enfrentam restrições regulatórias de soberania de dados, setores que exigem acesso ultrarrápido aos dados ou operações híbridas complexas encontram no S3 em Outposts uma alternativa poderosa.

    Fonte

    Amazon S3 on Outposts is now available on second-generation AWS Outposts racks (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-s3-second-generation-aws-outposts-racks)

  • Automatize Relatórios Empresariais com IA Generativa no Amazon Bedrock

    O Desafio dos Relatórios Empresariais Tradicionais

    Os processos convencionais de elaboração de relatórios empresariais enfrentam desafios significativos. Colaboradores gastam aproximadamente duas horas mensais apenas preparando seus relatórios, enquanto gestores dedicam até dez horas compilando, revisando e formatando as submissões recebidas. Essa abordagem manual frequentemente resulta em inconsistências de formato e qualidade, demandando múltiplos ciclos de revisão antes de um relatório estar pronto para uso.

    Além disso, as informações costumam estar fragmentadas em diferentes sistemas, dificultando ainda mais a consolidação e análise dos dados. É um cenário comum em organizações que buscam melhorar sua eficiência operacional.

    A Oportunidade da Inteligência Artificial Generativa

    A inteligência artificial generativa oferece uma solução promissora para esses desafios. Conforme aponta uma pesquisa do Gartner, a IA generativa tornou-se a tecnologia de IA mais amplamente adotada nas organizações, com 29% delas já implementando-a ativamente.

    A AWS apresentou uma abordagem inovadora: um assistente empresarial de escrita orientado por IA generativa que simplifica e acelera os processos internos de comunicação e relatórios. Essa solução aborda três desafios práticos reais:

    • Extrair insights valiosos de grandes volumes de dados
    • Gerenciar riscos associados à implementação de IA
    • Impulsionar crescimento por meio de eficiência e tomada de decisão melhoradas

    Com essa abordagem, as organizações podem gastar menos tempo escrevendo relatórios e mais tempo focando em resultados de negócio.

    Como a Solução Funciona

    A solução aproveita processamento de modelos de linguagem grande (LLM) para gerar relatórios em linguagem natural, responder perguntas complementares e tornar insights mais acessíveis para stakeholders não-técnicos. Essa automação reduz custos, diminui a necessidade de recursos humanos extensivos e minimiza erros e vieses. O resultado é um nível de precisão e objetividade difícil de alcançar em processos manuais, levando a relatórios mais eficientes e eficazes.

    Arquitetura Técnica da Solução

    O assistente de escrita empresarial demonstra uma arquitetura moderna e sem servidor que aproveita os serviços da AWS. Construída com foco em escalabilidade e segurança, a solução combina funções e serviços AWS para criar um assistente de escrita de nível empresarial que ajuda organizações a otimizar processos de criação de conteúdo mantendo altos padrões de qualidade e consistência.

    Camada de Interação do Usuário

    Os usuários acessam a solução através de um navegador conectado a uma aplicação web hospedada no Amazon S3 e distribuída globalmente via Amazon CloudFront para desempenho otimizado. O Amazon Cognito gerencia pools de usuários, tratando autenticação e gestão segura de usuários.

    Camada de API

    Dois tipos de API no Amazon API Gateway gerenciam a comunicação entre frontend e backend:

    • A API WebSocket habilita comunicação bidirecional em tempo real para escrita e edição de relatórios
    • A API REST gerencia operações transacionais como submissão e recuperação de relatórios

    O Amazon CloudWatch monitora ambas as APIs para visibilidade operacional. Autorizadores dedicados do AWS Lambda protegem ambas as APIs validando credenciais de usuário.

    Camada de Orquestração

    Funções especializadas do AWS Lambda orquestram a lógica de negócio central:

    • Business Report Writing Lambda manipula rascunhos de relatórios e assistência ao usuário
    • Rephrase Lambda melhora clareza e profissionalismo dos relatórios
    • Submission Lambda processa as submissões finais de relatórios
    • View Submission Lambda recupera relatórios previamente submetidos

    Camada de IA e Armazenamento

    O Amazon Bedrock fornece as capacidades de LLM para escrita e reformulação de relatórios. Duas tabelas do Amazon DynamoDB armazenam diferentes tipos de dados:

    • Tabela de Gestão de Sessão mantém contexto de conversa durante sessões ativas
    • Tabela de Armazenamento de Relatórios de Negócio arquiva permanentemente relatórios concluídos

    Essa arquitetura facilita alta disponibilidade, escalabilidade automática e otimização de custos usando componentes sem servidor que cobram apenas pelo uso real.

    Fluxo de Trabalho: Geração e Reformulação de Relatórios

    O sistema começa analisando e categorizando cada entrada do usuário através de um processo de classificação que determina como o sistema processa e responde. Três caminhos distintos guiam o processamento:

    Pergunta ou Comando

    Quando o sistema classifica a entrada como pergunta ou comando, ativa o LLM com instruções apropriadas para gerar uma resposta relevante. O sistema armazena essas interações na memória de conversa, permitindo manter contexto para consultas futuras relacionadas. Essa consciência contextual proporciona respostas coerentes e consistentes que se constroem sobre interações anteriores.

    Verificação de Submissão

    Para entradas que requerem verificação, o sistema ativa seus protocolos de avaliação para fornecer feedback detalhado sobre a submissão. Embora armazene essas interações na memória de conversa, deliberadamente contorna a recuperação de memória durante a verificação. Essa escolha de design permite que a verificação se baseie unicamente nos méritos da submissão atual, sem influência de conversas anteriores. Essa abordagem reduz latência do sistema e facilita resultados de verificação mais precisos e imparciais.

    Fora do Escopo

    Quando a entrada cai fora dos parâmetros definidos do sistema, ele responde com a mensagem padronizada: “Desculpe, posso responder apenas perguntas relacionadas à escrita.” Isso mantém limites claros para as capacidades do sistema e ajuda a prevenir confusão ou respostas inadequadas.

    Experiência do Usuário na Prática

    Página Inicial

    A página inicial oferece duas visualizações: uma para colaboradores (Associate) e outra para gestores (Manager).

    Imagem original — fonte: Aws

    Visão do Colaborador

    Na visão do colaborador, há três opções disponíveis: Escrever Realização, Escrever Desafio ou Ver Suas Submissões. Ao selecionar Escrever Realização, o sistema solicita que o usuário faça uma pergunta ou faça uma submissão. As entradas passam pelo fluxo de IA generativa.

    Imagem original — fonte: Aws

    O sistema avalia a submissão com base em diretrizes predefinidas e fornece feedback visual destacando componentes faltantes ou completos. Nesse estágio, o foco está no conceito geral, não em gramática ou formatação. Se questionado com uma pergunta irrelevante, o sistema recusa responder para evitar uso indevido.

    Imagem original — fonte: Aws

    Durante toda a conversa, o usuário pode fazer perguntas relacionadas a escrever relatórios de negócio. Quando todos os critérios são atendidos, o sistema pode reformular automaticamente o texto para corrigir problemas gramaticais e de formatação. Se precisar fazer alterações, pode clicar em Anterior para voltar ao estágio anterior. Após reformulação, o sistema exibe ambas as versões — original e reformulada — com diferenças destacadas. O sistema também extrai automaticamente metadados de nome do cliente. Quando concluído, pode salvar ou continuar editando a saída.

    Visão do Gestor

    Na visão do gestor, está disponível a capacidade de agregar múltiplas submissões de colaboradores diretos em um relatório consolidado.

    Imagem original — fonte: Aws
    Imagem original — fonte: Aws

    Pré-requisitos para Implantação

    Para implantar essa solução na sua conta AWS, você precisará de:

    • Uma conta AWS com acesso administrativo
    • AWS CLI (2.22.8) instalado e configurado
    • Acesso aos modelos do Amazon Bedrock (Claude ou Anthropic Claude)
    • Node.js (20.12.7)
    • Git para clonar o repositório

    Implantando a Solução

    O Assistente de Escrita de Relatórios Empresariais usa o AWS CDK para implantação de infraestrutura, tornando a configuração direta no ambiente AWS. Siga estes passos:

    Clone o repositório GitHub:

    git clone https://github.com/aws-samples/sample-genai-enterprise-report-writing-assistant.git && cd sample-genai-enterprise-report-writing-assistant

    Instale as dependências:

    npm install

    Implante a aplicação na AWS:

    cdk deploy

    Após a conclusão da implantação, aguarde 1-2 minutos para o processo do AWS CodeBuild ser finalizado. Acesse a aplicação utilizando a VueAppUrl obtida dos outputs do CDK/CloudFormation.

    A implantação cria os recursos necessários, incluindo funções Lambda, API Gateways, tabelas DynamoDB e a aplicação frontend hospedada no S3 e CloudFront. Para opções de configuração detalhadas e personalizações, consulte o README no repositório do GitHub.

    Limpeza de Recursos

    Para evitar cobranças futuras, delete os recursos criados por essa solução quando não forem mais necessários:

    cdk destroy

    Esse comando remove os recursos da AWS provisionados pela pilha CDK, incluindo:

    • Funções Lambda
    • Endpoints do API Gateway
    • Tabelas DynamoDB
    • Buckets S3
    • Distribuições CloudFront
    • Pools de usuários Cognito

    Observe que alguns recursos, como buckets S3 contendo artefatos de implantação, podem precisar ser esvaziados antes de serem deletados.

    Conclusão

    Os relatórios empresariais tradicionais são demorados e manuais, levando a ineficiências em toda a organização. A solução apresentada representa um avanço significativo em como as organizações abordam seus processos internos de relatórios. Ao aproveitar tecnologia de IA generativa, aborda os pontos fracos tradicionais da elaboração de relatórios enquanto introduz capacidades anteriormente inatingíveis.

    Por meio de assistência inteligente na escrita de relatórios com feedback em tempo real, reformulação automática para clareza e profissionalismo, processos simplificados de submissão e revisão, e sistemas robustos de verificação, a solução oferece suporte abrangente para necessidades modernas de relatórios empresariais. A arquitetura facilita processamento seguro e eficiente, equilibrando adequadamente automação e supervisão humana.

    Conforme as organizações continuam navegando problemas de negócio cada vez mais complexos, a capacidade de gerar relatórios claros, precisos e perspicazes rapidamente torna-se não apenas uma vantagem, mas uma necessidade. A solução fornece um framework que pode escalar com as necessidades da sua organização mantendo consistência e qualidade em todos os níveis de relatórios.

    Explore o repositório do GitHub para implantar e personalizar essa solução para suas necessidades específicas. Você pode também contribuir para o projeto enviando solicitações de pull ou abrindo issues para sugestões de melhorias e correções de bugs. Para mais informações sobre IA generativa na AWS, consulte o centro de recursos de IA Generativa da AWS.

    Referências Técnicas

    Fonte

    Build a generative AI-powered business reporting solution with Amazon Bedrock (https://aws.amazon.com/blogs/machine-learning/build-a-generative-ai-powered-business-reporting-solution-with-amazon-bedrock/)

  • Proteja Aplicações de IA Generativa com Amazon Bedrock Guardrails

    Desafios na Governança de IA Generativa

    Organizações que buscam automatizar processos através de agentes de IA ou potencializar a produtividade de seus colaboradores com assistentes baseados em chat enfrentam um desafio significativo: implementar salvaguardas abrangentes e controles de auditoria para garantir o uso responsável de IA e o processamento seguro de dados sensíveis pelos modelos de linguagem grandes (LLMs).

    Muitas empresas desenvolveram gateways de IA generativa personalizados ou adotaram soluções prontas, como LiteLLM ou Kong AI Gateway, para fornecer aos seus desenvolvedores acesso a LLMs de diferentes provedores. No entanto, manter políticas consistentes de segurança de prompts e proteção de dados sensíveis em um portfólio crescente de modelos de múltiplos fornecedores em escala representa um obstáculo considerável.

    Solução Centralizada com Guardrails

    A AWS apresenta uma abordagem para esse desafio através do Amazon Bedrock Guardrails. Essa ferramenta oferece um conjunto de funcionalidades de segurança que permitem às organizações construir aplicações de IA generativa responsáveis em escala. A solução integra a API ApplyGuardrail do Amazon Bedrock a um gateway de IA generativa multi-provider personalizado, possibilitando a aplicação de políticas consistentes de segurança de prompts e proteção de dados sensíveis tanto para modelos do Amazon Bedrock quanto de provedores terceirizados, como Azure OpenAI.

    A solução proposta oferece benefícios adicionais: logging e monitoramento centralizados, análise de padrões de uso e um mecanismo de chargeback para atribuição de custos.

    Arquitetura e Componentes Principais

    O fluxo da solução começa quando usuários autenticados enviam requisições HTTPS para o gateway de IA generativa, uma aplicação centralizada executada no Amazon Elastic Container Service (Amazon ECS) que funciona como interface principal para as interações com LLMs. Dentro da lógica da aplicação, cada requisição recebida é primeiro encaminhada para a API ApplyGuardrail do Amazon Bedrock para triagem de conteúdo.

    Imagem original — fonte: Aws

    O gateway avalia o conteúdo contra configurações predefinidas, tomando decisões críticas para bloquear integralmente a requisição, mascarar informações sensíveis ou permitir que prossiga sem modificações. Para requisições aprovadas, a lógica do gateway determina o provedor de LLM apropriado — seja Amazon Bedrock ou um serviço terceirizado — com base nas especificações do usuário. O conteúdo filtrado é então encaminhado ao LLM selecionado, e o gateway retorna a resposta ao usuário.

    Stack Tecnológico

    A aplicação do gateway é hospedada no AWS Fargate e construída usando FastAPI. A aplicação interage com diversos serviços da Amazon Web Services: Amazon Simple Storage Service (Amazon S3), Amazon Bedrock, Amazon Kinesis e Amazon Data Firehose.

    Para escalabilidade, a solução utiliza: nginx para balanceamento de carga e estabilidade; Gunicorn, servidor HTTP WSGI de alto desempenho; Uvicorn para processamento assíncrono de requisições; cluster Amazon ECS Fargate com Amazon Elastic Container Registry (Amazon ECR); Elastic Load Balancing (ELB) e Application Load Balancer; e HashiCorp Terraform para provisionamento de infraestrutura como código.

    Capacidades de Segurança e Guardrails Centralizados

    O gateway centralizado implementa controles de segurança abrangentes através do Amazon Bedrock Guardrails, oferecendo quatro funcionalidades de segurança principais:

    • Filtragem de conteúdo — triagem de conteúdo inadequado ou prejudicial
    • Tópicos negados — prevenção de discussões sobre assuntos específicos
    • Filtros de palavras — bloqueio de termos ou frases específicas
    • Detecção de informações sensíveis — proteção de dados pessoais e confidenciais

    As organizações podem implementar esses controles em três níveis de intensidade configuráveis — baixo, médio e alto — permitindo que diferentes unidades de negócio alinhem sua postura de segurança com sua tolerância a risco e requisitos de conformidade. Por exemplo, um time de marketing pode operar com guardrails de intensidade baixa para geração criativa de conteúdo, enquanto divisões financeiras ou de saúde podem exigir guardrails de intensidade alta para lidar com dados sensíveis de clientes.

    Além dessas proteções básicas, o Amazon Bedrock Guardrails inclui funcionalidades avançadas como grounding contextual e verificações de raciocínio automatizado, que ajudam a detectar e prevenir alucinações de IA — instâncias onde modelos geram informações falsas ou enganosas.

    Integração Multi-Provider e Acesso Centralizado

    O gateway é agnóstico quanto ao provedor de LLM e modelo, permitindo integração perfeita com múltiplos fornecedores. Os usuários podem especificar seu modelo de LLM preferido diretamente no payload da requisição, permitindo que o gateway direcione requisições ao endpoint apropriado. O AWS Secrets Manager armazena tokens de acesso do gateway e de LLMs terceirizados, como Azure OpenAI.

    Observabilidade, Monitoramento e Conformidade

    Uma vantagem fundamental da implementação de um gateway de IA generativa é sua abordagem centralizada para logging e monitoramento. Cada interação — requisições de usuários, prompts, respostas do LLM e contexto do usuário — é capturada e armazenada em formato e local padronizados. Isso facilita análise, resolução de problemas e extração de insights.

    A observabilidade é ativada através de: Amazon CloudWatch para capturar logs de container e aplicação, permitindo criar métricas personalizadas e alarmes proativos; Amazon Simple Notification Service (Amazon SNS) para notificações; Amazon Kinesis Data Streams e Data Firehose para streaming de dados de requisição e resposta até Amazon S3; AWS Glue Crawler API e Amazon Athena para expor tabelas SQL de metadados de transações para análise e chargeback.

    Implantação e Primeiros Passos

    O código-fonte completo está disponível no repositório no GitHub. Para implantar a solução, são necessários: conta AWS, função AWS Identity and Access Management (IAM) com permissões apropriadas para S3, Secrets Manager, CloudWatch, Bedrock e Guardrails.

    O processo de implantação envolve: clonar o repositório GitHub, executar ./deploy.sh para configurar automaticamente o bucket de estado do Terraform, criar política IAM e provisionar infraestrutura, invocar ./verify.sh para verificar a implantação e gerar tokens de autorização para consumidores.

    Exemplos de Funcionalidade

    O primeiro exemplo demonstra a eficácia do mecanismo de segurança no bloqueio de tópicos negados. Uma solicitação com guardrail de intensidade alta contendo uma pergunta sobre investimentos em ações resulta em intervenção do guardrail, retornando uma mensagem de conteúdo bloqueado conforme configurado.

    O segundo exemplo testa a proteção de informações pessoalmente identificáveis (PII). Uma consulta de usuário contendo nome, SSN e email é processada, com o guardrail intervindo e mascarando os dados PII antes de enviar a consulta ao LLM, evidenciado pelo campo guardrail_action indicando a aplicação de política de informações sensíveis.

    Análise de Custos

    A implementação dessa solução envolve várias categorias de custo: custos de provedor de LLM (input/output tokens, modelo e volume de uso); custos de infraestrutura AWS (computação Fargate, balanceamento, armazenamento, monitoramento, processamento de dados, segurança); e custos específicos do Amazon Bedrock Guardrails.

    Uma estimativa de cenário moderado — cerca de 50 a 200 queries por dia, comprimento médio de input de 500 tokens e output de 250 tokens — indica custos entre $170 e $260 mensais para infraestrutura base e processamento de IA combinados. Esses valores podem variar significativamente baseado em volume de chamadas, comprimento de conversas, seleção de modelos e quantidade de chamadas por requisição.

    Conclusão

    A solução de guardrails centralizados integrada a um gateway de IA generativa multi-provider customizado oferece uma abordagem robusta e escalável para empresas utilizarem LLMs com segurança, mantendo padrões rigorosos de conformidade. Através da implementação da API ApplyGuardrail do Amazon Bedrock Guardrails, a solução oferece aplicação consistente de políticas de segurança de prompts e proteção de dados sensíveis em provedores Amazon Bedrock e terceirizados.

    Os principais benefícios dessa arquitetura incluem: guardrails centralizados com níveis de segurança configuráveis, capacidades de integração multi-provider de LLM, recursos abrangentes de logging e monitoramento, escalabilidade de nível produção através de containerização e capacidades built-in de conformidade e auditoria. Organizações em indústrias altamente reguladas podem adotar essa arquitetura para escalar suas implementações de IA generativa mantendo controle sobre proteção de dados e conformidade com regulações de segurança de IA.

    Fonte

    Safeguard generative AI applications with Amazon Bedrock Guardrails (https://aws.amazon.com/blogs/machine-learning/safeguard-generative-ai-applications-with-amazon-bedrock-guardrails/)

  • Descoberta de Ativos Criativos em Escala com Amazon Nova Multimodal Embeddings

    O Desafio da Descoberta de Ativos Criativos em Larga Escala

    Empresas de games enfrentam um desafio sem precedentes ao gerenciar bibliotecas massivas de ativos criativos. Organizações modernas produzem milhares de anúncios em vídeo para campanhas de testes A/B, com algumas mantendo acervos com mais de 100 mil ativos audiovisuais que crescem por milhares de arquivos mensalmente. Para campanhas de aquisição de usuários, encontrar o ativo criativo correto pode representar a diferença entre um lançamento bem-sucedido e um fracasso custoso.

    Métodos tradicionais para organizar, armazenar e buscar ativos criativos não conseguem acompanhar as necessidades dinâmicas das equipes criativas. Historicamente, esses ativos eram marcados manualmente para permitir buscas por palavras-chave e organizados em hierarquias de pastas, sendo pesquisados manualmente conforme necessário. Essa abordagem apresenta limitações significativas: sistemas de busca por palavras-chave exigem marcação manual que é tanto trabalhosa quanto inconsistente, enquanto soluções baseadas em modelos de linguagem grande (LLM) podem oferecer capacidades multimodais poderosas, mas não conseguem escalar para atender às necessidades de equipes criativas que realizam buscas variadas e em tempo real em acervos enormes.

    A Transformação com Amazon Nova Multimodal Embeddings

    O núcleo do desafio reside na busca semântica para descoberta de ativos criativos. O sistema precisa oferecer suporte a requisições de busca imprevisíveis que não podem ser pré-organizadas com prompts fixos ou tags predefinidas. Quando profissionais criativos procuram por expressões como “personagem beliscado pela mão” ou “dedo tocando carta no jogo”, o sistema deve compreender não apenas as palavras-chave, mas o significado semântico através de diferentes tipos de mídia.

    Amazon Nova Multimodal Embeddings representa uma transformação neste cenário. Trata-se de um modelo de embedding multimodal de ponta para aplicações de Recuperação Aumentada por Geração (RAG) e busca semântica, disponível em Amazon Bedrock. A característica mais importante é que o modelo gera embeddings diretamente de ativos de vídeo sem necessidade de etapas intermediárias de conversão ou marcação manual.

    A geração de embeddings de vídeo permite compreensão semântica genuína do conteúdo. O modelo consegue analisar cenas visuais, ações, objetos e contexto dentro dos vídeos para criar representações semânticas ricas. Quando você busca por “personagem beliscado pela mão”, o modelo compreende a ação específica, elementos visuais e contexto descritos — não apenas correspondências de palavras-chave. Essa capacidade semântica evita as limitações fundamentais dos sistemas de busca tradicionais, permitindo que equipes criativas encontrem conteúdo de vídeo relevante usando descrições em linguagem natural que seria impossível marcar ou organizar manualmente com abordagens convencionais.

    Arquitetura e Capacidades Principais

    Características do Nova Multimodal Embeddings

    Nova Multimodal Embeddings é o primeiro modelo de embedding unificado que oferece suporte a texto, documentos, imagens, vídeo e áudio através de um único modelo para ativar recuperação entre modalidades com precisão líder da indústria. O modelo oferece capacidades-chave significativas:

    • Arquitetura de espaço vetorial unificado: Ao contrário de sistemas tradicionais baseados em tags ou pipelines de conversão multimodal-para-texto que requerem mapeamentos complexos entre diferentes espaços vetoriais, o Nova Multimodal Embeddings gera embeddings que existem no mesmo espaço semântico independentemente da modalidade de entrada. Isso significa que uma descrição textual de “carro de corrida” fica espacialmente próxima a imagens e vídeos contendo carros de corrida, permitindo busca intuitiva entre modalidades.
    • Dimensões de embedding flexíveis: O modelo oferece quatro opções de dimensão (256, 384, 1024 e 3072), treinadas usando Aprendizado de Representação Matryoshka (MRL), permitindo recuperação de baixa latência com perda mínima de precisão entre dimensões. A opção de 1024 dimensões oferece equilíbrio ideal para a maioria das aplicações empresariais, enquanto 3072 dimensões fornecem precisão máxima para casos críticos.
    • APIs síncronas e assíncronas: O modelo oferece suporte tanto à geração de embedding em tempo real para conteúdo menor quanto ao processamento assíncrono para arquivos grandes com segmentação automática. Essa flexibilidade permite que sistemas lidem desde recuperação rápida de consultas textuais até indexação de horas de conteúdo de vídeo.
    • Compreensão avançada de vídeo: Para conteúdo de vídeo, o Nova Multimodal Embeddings oferece capacidades sofisticadas de segmentação, dividindo vídeos longos em segmentos significativos (1 a 30 segundos) e gerando embeddings para cada segmento. Para gerenciamento de criativos publicitários, essa abordagem segmentada se alinha perfeitamente com fluxos de trabalho típicos de produção onde equipes criativas precisam gerenciar e recuperar segmentos de vídeo específicos em vez de vídeos inteiros.

    Integração com Serviços AWS

    O modelo se integra perfeitamente com outros serviços da AWS para criar uma arquitetura de busca multimodal pronta para produção:

    • Amazon Bedrock: fornece acesso a modelos de fundação com segurança e escalabilidade de nível empresarial
    • Amazon OpenSearch Service: funciona como banco de dados vetorial para armazenar e pesquisar embeddings com tempos de resposta em nível de milissegundos
    • AWS Lambda: gerencia processamento sem servidor para geração de embeddings e operações de busca
    • Amazon Simple Storage Service (Amazon S3): armazena arquivos de mídia originais e resultados de processamento com escalabilidade ilimitada
    • Amazon API Gateway: oferece APIs RESTful para integração com interface de usuário

    Fluxo de Trabalho Técnico

    Imagem original — fonte: Aws

    O sistema opera através de dois fluxos primários: ingestão de conteúdo e recuperação de buscas. Os usuários acessam a interface web através de Amazon CloudFront, enviando arquivos de mídia (imagens, vídeos e áudio) usando arrastar-e-soltar ou seleção de arquivo. Os arquivos são validados, convertidos em formato base64 e enviados através de API Gateway para a função Lambda principal.

    A função Lambda decodifica os dados base64 e faz upload dos arquivos brutos para Amazon S3. O S3 automaticamente dispara uma função Lambda dedicada para geração de embeddings quando novos arquivos são enviados, que invoca de forma assíncrona o modelo Nova Multimodal Embeddings em Amazon Bedrock para gerar vetores de embedding unificados para múltiplos tipos de mídia. Esses vetores são armazenados junto com metadados no Amazon OpenSearch Service, criando um banco de dados vetorial pesquisável.

    No fluxo de busca e recuperação, usuários iniciavam buscas através da interface usando arquivos enviados ou consultas em texto. A função Lambda de API de busca cria registros de tarefas de busca em Amazon DynamoDB e envia mensagens para uma fila Amazon Simple Queue Service (Amazon SQS) para processamento assíncrono. A função Lambda do worker é acionada por mensagens SQS, extrai parâmetros de busca, invoca o modelo Nova Multimodal Embeddings para gerar vetores de embedding para as consultas, realiza busca de similaridade usando similaridade de cosseno no OpenSearch Service e atualiza os resultados no DynamoDB para consulta pela interface.

    Recursos Técnicos Principais

    A implementação oferece espaço vetorial unificado onde todos os tipos de mídia (imagens, vídeos, áudio e texto) são incorporados no mesmo espaço dimensional, permitindo busca autêntica entre modalidades. O processamento assíncrono gerencia os requisitos da API do Nova Multimodal Embeddings e garante processamento escalável através de filas SQS e funções Lambda do worker.

    O sistema oferece suporte a busca multimodal abrangendo busca de texto-para-imagem, texto-para-vídeo, texto-para-áudio e similaridade entre arquivos. A arquitetura sem servidor se dimensiona automaticamente conforme a demanda, enquanto mecanismo de polling oferece atualizações sobre status do processamento assíncrono e resultados de busca.

    Resultados e Validação de Desempenho

    Em testes com parceiros da indústria de games utilizando uma biblioteca de 170 ativos (130 vídeos e 40 imagens) em 30 casos de teste, o Nova Multimodal Embeddings demonstrou desempenho excepcional:

    • Taxa de recall bem-sucedida: 96,7% dos casos de teste recuperaram com sucesso o conteúdo alvo
    • Recall de alta precisão: 73,3% dos casos de teste retornaram o conteúdo alvo nos dois primeiros resultados
    • Precisão em recuperação entre modalidades: Precisão superior em recuperação texto-para-vídeo comparada com abordagens tradicionais

    Os testes revelaram que para fluxos de trabalho de criação publicitária, a segmentação com 5 segundos se alinha com requisitos típicos de produção. Equipes criativas geralmente precisam segmentar materiais publicitários originais para gerenciamento e recuperar clipes específicos durante fluxos de trabalho de produção, tornando a funcionalidade de segmentação do Nova Multimodal Embeddings particularmente valiosa.

    O modelo também demonstra capacidades robustas em múltiplos idiomas. Em testes com consultas em chinês, o modelo obteve pontuação de 78,2 comparado a consultas em inglês com 89,3 (dimensão 3072), representando uma diferença de idioma de apenas 11,1 — significativamente melhor do que modelos multimodais concorrentes que mostram degradação substancial de desempenho entre idiomas.

    Otimização de Custos e Escalabilidade

    A arquitetura sem servidor oferece dimensionamento automático enquanto otimiza custos. A dimensão de 3072 oferece maior precisão (89,3 para inglês e 78,2 para chinês) mas com custos de armazenamento mais altos. A dimensão 1024 oferece desempenho equilibrado (85,7 para inglês e 68,3 para chinês) e é recomendada para a maioria dos casos empresariais. As opções de 384 e 256 dimensões são otimizadas para custo em implantações de larga escala.

    As estratégias de otimização incluem selecionar a dimensão baseada em requisitos de precisão versus custos de armazenamento, usar processamento assíncrono para arquivos grandes para evitar custos de timeout, e aproveitar embeddings pré-calculados para reduzir custos de inferência recorrente de LLM. A arquitetura sem servidor com precificação sob demanda reduz custos durante períodos de baixo uso.

    Implementação e Próximos Passos

    A implementação completa pode ser implantada usando scripts de automação. Os requisitos essenciais incluem uma conta AWS com acesso ao Amazon Bedrock e disponibilidade do modelo Nova Multimodal Embeddings, AWS Command Line Interface (AWS CLI) v2 configurada com permissões apropriadas para criação de recursos, Node.js 18+ e AWS CDK v2 instalados, e Python 3.11 para implantação de infraestrutura.

    O código-fonte completo e scripts de implantação estão disponíveis em um repositório de demonstração. Após implantação bem-sucedida, o sistema oferece interfaces web para upload de arquivos de mídia à biblioteca, realização de consultas multimodais e monitoramento do status de processamento.

    Implicações para Profissionais Criativos

    A abordagem tradicional para descoberta de ativos criativos exigia marcação manual de milhares de vídeos (trabalhosa e inconsistente), busca por palavras-chave que perdia nuances semânticas, ou análise baseada em LLM que era lenta e custosa demais para consultas em tempo real. Com o Nova Multimodal Embeddings, profissionais criativos conseguem realizar buscas diretas por texto que se traduzem em compreensão semântica genuína, resultando em busca que gera embedding semântico da consulta, pesquisa entre todos os segmentos de vídeo no espaço vetorial unificado, retorno de resultados ordenados por similaridade semântica, e fornecimento de timestamps precisos para segmentos de vídeo relevantes.

    Fonte

    Scale creative asset discovery with Amazon Nova Multimodal Embeddings unified vector search (https://aws.amazon.com/blogs/machine-learning/scale-creative-asset-discovery-with-amazon-nova-multimodal-embeddings-unified-vector-search/)

  • Políticas IPAM da Amazon VPC agora funcionam com RDS e Application Load Balancers

    Gerenciamento centralizado de IPs para mais recursos

    A AWS anunciou a expansão das políticas do Amazon Virtual Private Cloud (VPC) IP Address Manager (IPAM) para oferecer suporte a instâncias do Amazon Relational Database Service (RDS) e Application Load Balancers (ALB). Com essa atualização, administradores de IP conseguem configurar e executar centralizadamente estratégias de alocação de endereços IP para esses recursos, elevando o padrão operacional e simplificando significativamente a gestão de redes e segurança.

    Como funcionam as políticas IPAM

    Por meio das políticas IPAM, os administradores de IP podem definir centralmente regras de alocação de endereços IP públicos para diversos recursos da AWS, incluindo instâncias RDS, Application Load Balancers, NAT Gateways (quando utilizados em modo de disponibilidade regional) e Elastic IP addresses. O diferencial está na impossibilidade de as equipes de aplicação sobrescreverem as políticas de alocação de IP configuradas centralmente, assegurando conformidade contínua e eliminando desvios.

    Benefícios para arquitetura e compliance

    Anteriormente, administradores de IP precisavam comunicar e educar constantemente administradores de banco de dados e desenvolvedores de aplicações sobre os requisitos de alocação de IP para RDS e ALB, dependendo da adesão manual às melhores práticas. Agora, é possível adicionar filtros baseados em IP para o tráfego de RDS e ALB em construtos de rede e segurança, como listas de controle de acesso, tabelas de roteamento, grupos de segurança e firewalls, com segurança de que os endereços IPv4 públicos atribuídos a esses recursos sempre provenham de pools IPAM específicos.

    Disponibilidade e níveis de suporte

    O recurso está disponível em todas as regiões comerciais da AWS e nas regiões AWS GovCloud (US), funcionando tanto na camada Free Tier quanto na Advanced Tier do VPC IPAM. Quando utilizado com a Advanced Tier do VPC IPAM, os clientes conseguem definir políticas entre contas e regiões AWS.

    Próximos passos

    Para começar, consulte a documentação de políticas IPAM. Para aprender mais sobre o IPAM, visite a documentação completa do IPAM. Detalhes sobre precificação estão disponíveis na página de precificação do Amazon VPC.

    Fonte

    Amazon VPC IPAM policies now support RDS and Application Load Balancers (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-vpc-ipam-policies-rds-alb/)

  • Amazon Bedrock expande autenticação por chaves API em regiões GovCloud

    Chaves de API para Amazon Bedrock agora disponíveis em GovCloud

    A AWS anunciou a disponibilização de chaves de API para o Amazon Bedrock nas regiões AWS GovCloud (US), expandindo um recurso que havia sido lançado originalmente em regiões comerciais da AWS em julho de 2025. Essa expansão permite que desenvolvedores acessem modelos de IA generativa de forma simplificada, sem a necessidade de configurar manualmente estruturas complexas de autenticação baseadas em princípios do IAM (Controle de Acesso por Identidade e Gestão).

    Como as chaves de API funcionam

    As chaves de API para Amazon Bedrock permitem que os desenvolvedores gerem rapidamente credenciais de acesso diretamente através do console do Amazon Bedrock ou do AWS SDK (Kit de Desenvolvimento de Software da AWS). Essa abordagem elimina a necessidade de configuração manual de políticas e princípios do IAM, acelerando significativamente o processo de desenvolvimento.

    Dois tipos de autenticação

    A AWS oferece duas modalidades de chaves de API para atender a diferentes necessidades:

    • Chaves de curta duração: válidas apenas durante a sessão do console ou até 12 horas (o que for menor), ideais para testes e desenvolvimentos temporários
    • Chaves de longa duração: oferecem flexibilidade para definir o período de validade conforme necessário, podendo ser gerenciadas diretamente através do console do AWS IAM

    Disponibilidade e próximos passos

    A autenticação por chaves de API para Amazon Bedrock está agora disponível tanto nas regiões AWS GovCloud (US) quanto nas regiões comerciais da AWS onde o Amazon Bedrock funciona.

    Para começar, desenvolvedores podem consultar a documentação de chaves de API no guia do usuário do Amazon Bedrock, ou explorar o blog da AWS para encontrar exemplos de código e guias práticos de implementação. Essas informações complementam o conteúdo disponível no guia completo do Amazon Bedrock.

    Fonte

    Amazon Bedrock introduces API keys to streamline development in GovCloud regions (https://aws.amazon.com/about-aws/whats-new/2025/12/amazon-bedrock-api-keys-streamline-development-govcloud/)

  • AWS Transform Custom agora oferece suporte a PrivateLink e expande para Europa

    AWS Transform Custom: novas regiões e segurança aprimorada

    A AWS anunciou duas melhorias importantes para o serviço AWS Transform Custom: suporte a PrivateLink (Conexão Privada) e disponibilidade em uma nova região geográfica. Além da região existente US East (N. Virginia), o serviço agora está disponível em Europe (Frankfurt), expandindo as opções para organizações que necessitam de infraestrutura mais próxima aos usuários europeus.

    O que é AWS Transform Custom?

    O AWS Transform Custom é uma ferramenta desenhada para ajudar as organizações a reduzir débito técnico — aquele acúmulo de código desatualizado e processos manuais que compromete a produtividade. O serviço automatiza tarefas repetitivas de transformação de código, como:

    • Atualizações de versão de linguagens de programação
    • Migrações de APIs
    • Atualizações de frameworks

    A solução é voltada especialmente para equipes de desenvolvimento empresariais e parceiros de consultoria que precisam executar transformações de código consistentes e repetíveis em grandes repositórios de código.

    Como funciona a transformação de código?

    O AWS Transform Custom permite que as equipes criem definições de transformação personalizadas usando linguagem natural, documentação e exemplos de código. Alternativamente, a AWS oferece transformações gerenciadas já pronta para cenários comuns, incluindo:

    • Atualizações de versão de Java
    • Atualizações de versão de Python
    • Atualizações de versão de Node.js

    Um diferencial importante é que o serviço funciona com aprendizado contínuo: a qualidade das transformações melhora com cada execução ao longo do tempo, tornando o processo progressivamente mais eficiente e preciso.

    Segurança com PrivateLink

    A adição de suporte a AWS PrivateLink (Conexão Privada) é uma mudança significativa para organizações com requisitos rigorosos de segurança. Com essa funcionalidade, os clientes conseguem acessar o AWS Transform Custom diretamente de suas Amazon VPCs (Nuvens Privadas Virtuais) sem rotear tráfego pela internet pública.

    Essa abordagem ajuda as organizações a:

    • Atender requisitos de conformidade regulatória mais rigorosos
    • Reduzir a exposição a riscos de segurança
    • Manter o tráfego de rede isolado em uma rede privada

    Próximos passos

    Para conhecer mais detalhes sobre o AWS Transform Custom, a AWS disponibiliza a página do produto e o guia do usuário com informações completas sobre como começar a usar o serviço.

    Fonte

    AWS Transform custom adds AWS PrivateLink support and expands to Europe (Frankfurt) Region (https://aws.amazon.com/about-aws/whats-new/2026/01/aws-transform-custom-privatelink-europe-frankfurt-region/)

  • Segurança na Inferência Distribuída do Amazon Bedrock: Estratégias Geográficas e Globais

    Inferência Distribuída em Escala: O Desafio da Segurança

    A adoção de IA generativa vem acelerando significativamente. Organizações enfrentam agora o desafio de construir aplicações de IA operacionais em produção, em larga escala, mantendo a eficiência e a confiabilidade. O Amazon Bedrock introduz uma funcionalidade estratégica para esse cenário: os perfis de inferência distribuída (CRIS), que permitem distribuir o processamento de inferência de forma contínua por múltiplas Regiões AWS. Esse mecanismo oferece maior throughput e mantém as aplicações responsivas, mesmo sob carga intensa.

    Porém, escalar globalmente exige compreensão profunda dos controles de segurança envolvidos. Este artigo examina as práticas e considerações de segurança para implementar perfis de inferência distribuída do Bedrock, orientando organizações que precisam atender requisitos regionais de conformidade ou que desejam otimizar recursos em escala global.

    Entendendo a Arquitetura de Inferência Distribuída

    Como Funciona o Roteamento de Requisições

    Os perfis de inferência distribuída operam sobre dois conceitos-chave. A Região de Origem é aquela de onde a chamada de API é feita. A Região de Destino é uma Região para onde o Amazon Bedrock roteia a requisição de processamento.

    Quando você invoca um perfil de inferência distribuída, a requisição segue um caminho de roteamento inteligente. Ela origina-se na Região de origem e é automaticamente direcionada para uma das Regiões de destino definidas no perfil. Todo esse fluxo ocorre pela Rede Global da AWS, gerenciada pelo Amazon Bedrock, com criptografia de ponta a ponta para dados em trânsito.

    Um detalhe crítico: a inferência distribuída não altera o local onde seus dados são armazenados. Nenhum dado do cliente é persistido em Regiões de destino. Logs gerenciados pelo cliente, bases de conhecimento e configurações armazenadas permanecem exclusivamente na Região de origem. As respostas retornam criptografadas para sua aplicação na Região de origem.

    Dois Modelos de Operação: Geográfico e Global

    O Bedrock oferece dois tipos de perfis de inferência distribuída, cada um atendendo diferentes necessidades de conformidade e otimização.

    Inferência Distribuída Geográfica: O Amazon Bedrock seleciona automaticamente a Região ótima dentro de uma geografia definida (EUA, União Europeia, Austrália, Japão) para processar sua requisição. Este modelo mantém o processamento dentro de limites geográficos específicos, atendendo requisitos de residência de dados regional. É ideal para organizações com regulamentações rigorosas de conformidade regional.

    Inferência Distribuída Global: Este modelo amplifica as capacidades da inferência distribuída, roteando requisições para Regiões comerciais da AWS em todo o mundo, otimizando recursos disponíveis e habilitando maior throughput de modelo. Roteia requisições sem restrições geográficas. Adequado para organizações que desejam cobertura mais ampla e custo-benefício em throughput.

    Se sua organização possui requisitos rigorosos de residência de dados ou conformidade, é essencial avaliar cuidadosamente se a inferência distribuída alinha-se com suas políticas e regulamentações, pois os dados de inferência podem ser processados em múltiplas Regiões pré-configuradas.

    Controles de Acesso e Conformidade Regulatória

    Permissões IAM e Políticas de Controle de Serviço

    Por padrão, usuários e funções dentro de sua conta AWS não possuem permissão para criar, modificar ou usar recursos do Amazon Bedrock. O acesso é controlado através de dois mecanismos principais: políticas AWS Identity and Access Management (IAM) para permissões granulares de usuário e função, e Políticas de Controle de Serviço (SCPs) para guardrails e restrições em toda a organização.

    Para usar inferência distribuída no Bedrock, os usuários devem possuir permissões IAM específicas. Se SCPs estão anexadas à sua conta, elas também devem permitir as ações necessárias. A complexidade aumenta porque os requisitos diferem entre os dois tipos de perfil.

    Diferenças de Requisitos: Geográfico vs. Global

    Para inferência distribuída geográfica, as políticas IAM devem permitir acesso aos seguintes recursos:

    • O perfil de inferência distribuída específico da geografia (com prefixos como “us”, “au”, “jp”, “eu”)
    • O modelo de fundação na Região de origem
    • O modelo de fundação em TODAS as Regiões de destino listadas no perfil

    As Políticas de Controle de Serviço devem ser atualizadas para incluir condições específicas de Região, permitindo TODAS as Regiões de destino listadas no perfil geográfico.

    Para inferência distribuída global, as políticas IAM devem permitir:

    • O perfil de inferência distribuída global na Região de origem (com prefixo “global” no ID)
    • O modelo de fundação na Região de origem
    • O modelo de fundação global usando a condição aws:RequestedRegion com valor “unspecified”

    As Políticas de Controle de Serviço globais devem garantir que aws:RequestedRegion: "unspecified" não esteja incluído em listas de Regiões negadas, pois as requisições de inferência distribuída global usam este valor.

    Implementação Prática de Políticas IAM

    Para inferência distribuída geográfica, um exemplo de política permite que um usuário IAM invoque um perfil de inferência distribuída do Claude Sonnet 4.5 para o EUA, originário de us-east-1 com destinos em us-east-1, us-east-2 e us-west-2:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GrantGeoCrisInferenceProfileAccess",
      "Effect": "Allow",
      "Action": "bedrock:InvokeModel",
      "Resource": [
        "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/us.anthropic.claude-sonnet-4-5-20250929-v1:0"
      ]
    },
    {
      "Sid": "GrantGeoCrisModelAccess",
      "Effect": "Allow",
      "Action": "bedrock:InvokeModel",
      "Resource": [
        "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0",
        "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0",
        "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0"
      ],
      "Condition": {
        "StringEquals": {
          "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/us.anthropic.claude-sonnet-4-5-20250929-v1:0"
        }
      }
    }
  ]
}

    A primeira declaração concede acesso à invocação do perfil de inferência distribuída. A segunda declaração concede acesso aos modelos de fundação em todas as Regiões (origem e destinos), mas apenas quando a chamada é feita através do perfil especificado.

    Para inferência distribuída global, a política é ligeiramente diferente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GrantGlobalCrisInferenceProfileRegionAccess",
      "Effect": "Allow",
      "Action": "bedrock:InvokeModel",
      "Resource": [
        "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/global.anthropic.claude-sonnet-4-5-20250929-v1:0"
      ]
    },
    {
      "Sid": "GrantGlobalCrisInferenceProfileInRegionModelAccess",
      "Effect": "Allow",
      "Action": "bedrock:InvokeModel",
      "Resource": [
        "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0"
      ],
      "Condition": {
        "StringEquals": {
          "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/global.anthropic.claude-sonnet-4-5-20250929-v1:0"
        }
      }
    },
    {
      "Sid": "GrantGlobalCrisInferenceProfileGlobalModelAccess",
      "Effect": "Allow",
      "Action": "bedrock:InvokeModel",
      "Resource": [
        "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0"
      ],
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "unspecified",
          "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/global.anthropic.claude-sonnet-4-5-20250929-v1:0"
        }
      }
    }
  ]
}

    Nesta política, a primeira declaração concede permissão para invocar o perfil na Região de origem. A segunda permite invocar o modelo na Região de origem, mas apenas através do perfil especificado. A terceira permite invocar o modelo global em qualquer Região comercial suportada, restringindo através da condição aws:RequestedRegion: "unspecified".

    Governança: Desabilitando Inferência Distribuída

    Organizações com requisitos rigorosos de residência de dados podem precisar desabilitar completamente a inferência distribuída. Para isso, existem duas abordagens complementares.

    Para restringir inferência distribuída geográfica, implemente uma Política de Controle de Serviço de negação que bloqueie todas as invocações de perfis de inferência distribuída que não usem prefixos específicos:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyNonUSGeographicCRIS",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "bedrock:InferenceProfileArn": "false"
        },
        "ArnNotLike": {
          "bedrock:InferenceProfileArn": [
            "arn:aws:bedrock:*:*:inference-profile/us.*"
          ]
        }
      }
    }
  ]
}

    Para desabilitar inferência distribuída global, implemente uma política que negue requisições com aws:RequestedRegion: "unspecified":

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:RequestedRegion": [
            "unspecified"
          ]
        },
        "ArnLike": {
          "bedrock:InferenceProfileArn": "arn:aws:bedrock:*:*:inference-profile/global.*"
        }
      }
    }
  ]
}

    Monitoramento e Auditoria

    Todas as chamadas de inferência distribuída são registradas na Região de origem. As entradas do AWS CloudTrail incluem um campo adicional additionalEventData para rastreamento. Este campo especifica a Região real onde a inferência foi processada, permitindo auditoria completa do fluxo de dados.

    Um exemplo típico mostra uma chamada InvokeModel com inferência distribuída global, originária de ap-southeast-2, sendo processada em ap-southeast-4, com o CloudTrail registrando essa Região de processamento para fins de conformidade e auditoria.

    Integração com AWS Control Tower

    Para organizações que usam AWS Control Tower, o gerenciamento de inferência distribuída requer ajustes nas Políticas de Controle de Serviço. A recomendação é usar Customizações para AWS Control Tower em vez de editar manualmente as SCPs, evitando desvios de configuração.

    Para habilitar inferência distribuída global em ambientes Control Tower, é necessário modificar as SCPs criadas automaticamente para incluir “unspecified” na lista de Regiões permitidas especificamente para ações do Amazon Bedrock, mantendo restrições regionais para outros serviços.

    Considerações Sobre Regiões AWS

    O Amazon Bedrock utiliza perfis de inferência para rotear requisições através de todas as Regiões listadas no perfil, sejam Regiões ativadas por padrão ou que requeiram ativação manual na sua conta AWS. A abordagem simplifica a operação ao eliminar a necessidade de ativar múltiplas Regiões manualmente.

    Existem dois tipos de Regiões Regiões comerciais da AWS. Regiões ativadas por padrão (como N. Virginia, Irlanda e Sydney) e Regiões que requerem ativação manual (como Melbourne, Emirados Árabes e Hyderabad). As Regiões ativadas manualmente são mais recentes, introduzidas após 20 de março de 2019.

    Conclusão: Segurança em Escala

    A inferência distribuída no Amazon Bedrock oferece capacidades poderosas para construir aplicações de IA generativa escaláveis e resilientes. Compreender as interações fundamentais entre inferência distribuída e controles de segurança permite que organizações desbloqueiem essa funcionalidade de forma segura, mantendo sua postura de segurança.

    Implementando políticas IAM precisas, Políticas de Controle de Serviço bem estruturadas e monitoramento robusto via CloudTrail, sua organização consegue inovar com inferência distribuída sem comprometer conformidade ou governança.

    Fonte

    Securing Amazon Bedrock cross-Region inference: Geographic and global (https://aws.amazon.com/blogs/machine-learning/securing-amazon-bedrock-cross-region-inference-geographic-and-global/)

  • Amazon Lex aprimora modelos de reconhecimento de voz para inglês

    Reconhecimento de voz neural no Amazon Lex

    A AWS anunciou a disponibilização de um modelo de Reconhecimento Automático de Fala Neural (ASR neural) no Amazon Lex dedicado ao idioma inglês. Essa atualização representa um avanço significativo na capacidade das aplicações em reconhecer e processar comandos de voz com maior precisão e naturalidade.

    Capacidades do novo modelo

    O modelo neural foi treinado utilizando dados de múltiplas variantes de inglês, permitindo que sistemas de bots de voz identifiquem com maior acurácia padrões de fala conversacional em diferentes contextos. Uma característica importante é sua capacidade de lidar com sotaques regionais e de falantes que utilizam inglês como segundo idioma.

    Essa melhoria na compreensão de fala reduz a necessidade de clientes finais repetirem comandos, o que aumenta as taxas de sucesso em interações de autoatendimento. Para sistemas que dependem fortemente de automação por voz, essa é uma evolução particularmente relevante.

    Como ativar o recurso

    A configuração é direta: para aproveitar o novo modelo neural, basta selecionar a opção “Neural” nas configurações de reconhecimento de voz no painel de localização do seu bot. O processo não requer alterações complexas na infraestrutura existente.

    Disponibilidade

    O recurso está disponível em todas as regiões comerciais AWS onde os serviços Amazon Connect e Lex operacionalizam suas funcionalidades. Para mais informações técnicas e detalhes de implementação, a AWS oferece documentação completa do Amazon Lex e também mantém informações adicionais no site do Amazon Connect sobre como integrar esses serviços para entregar experiências de autoatendimento mais eficientes.

    Impacto para arquiteturas de voz e atendimento

    Para empresas que constroem soluções de autoatendimento por voz, essa atualização contribui para reduzir fricções na experiência do usuário final. O melhor reconhecimento de padrões de fala conversacional impacta diretamente na redução de transferências para atendimento humano e melhora indicadores de satisfação em sistemas automatizados.

    Fonte

    Amazon Lex launches improved speech recognition models for English (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-lex-improved-speech-recognition-models-english)

  • Automatize sua resposta de segurança em escala com o AWS Security Hub

    A evolução da gestão centralizada de segurança na nuvem

    A AWS lançou uma versão melhorada do AWS Security Hub, oferecendo novas formas para organizações gerenciarem e responderem a achados de segurança. O Security Hub aprimorado auxilia na melhoria da postura de segurança organizacional e simplifica operações de segurança em nuvem ao centralizar a gestão de segurança em todo o ambiente da Amazon Web Services (AWS).

    O Security Hub transformou a maneira como as organizações tratam achados de segurança através de capacidades avançadas de automação, incluindo análise de risco em tempo real, correlação automática e contexto enriquecido. Essas funcionalidades permitem que as equipes priorizem problemas críticos e reduzam tempos de resposta.

    A automação também garante que procedimentos de resposta sejam consistentes e que requisitos de conformidade sejam atendidos. O AWS Security Hub CSPM (Gerenciamento de Postura de Segurança em Nuvem) agora é parte integral dos mecanismos de detecção do Security Hub.

    Visibilidade centralizada e priorização baseada em risco

    O Security Hub oferece visibilidade centralizada através de múltiplos serviços de segurança da AWS, proporcionando uma visão unificada do ambiente em nuvem. Isso inclui visualizações de priorização baseada em risco, visualização de caminhos de ataque e análise de tendências que ajudam a compreender padrões de segurança ao longo do tempo.

    Este é o terceiro artigo de uma série sobre as novas capacidades do Security Hub. Para contexto: a série anterior discutiu como o Security Hub unifica achados entre serviços da AWS para simplificar a gestão de risco, e também apresentou as etapas para realizar uma Prova de Conceito bem-sucedida.

    Por que automação importa em segurança em nuvem

    As organizações frequentemente operam em centenas de contas da AWS, múltiplas regiões e diversos serviços, cada um gerando achados que precisam ser triados, investigados e processados. Sem automação, equipes de segurança enfrentam alto volume de alertas, duplicação de esforço e risco de respostas atrasadas a questões críticas.

    Processos manuais não conseguem acompanhar operações em nuvem. A automação transforma as operações de segurança de três formas fundamentais:

    • Filtragem e priorização: A automação filtra e prioriza achados conforme seus critérios, mostrando à equipe apenas alertas relevantes.
    • Resposta imediata: Quando problemas são detectados, respostas automatizadas disparam instantaneamente, sem necessidade de intervenção manual.
    • Consistência em escala: Ao gerenciar múltiplas contas da AWS, a automação aplica políticas e fluxos de trabalho consistentes através do seu ambiente, transferindo a equipe de segurança de “apagar incêndios” para gerenciamento proativo de risco.

    Desenhando estratégias de roteamento para achados de segurança

    Com o Security Hub configurado, é hora de desenhar uma estratégia de roteamento para seus achados e notificações. Ao projetar essa estratégia, questione se sua configuração atual do Security Hub atende seus requisitos de segurança. Considere se as automações do Security Hub podem ajudá-lo a atender frameworks de conformidade como NIST 800-53 e identifique KPIs e métricas para mensurar se sua estratégia de roteamento funciona.

    As automações e respostas automáticas do Security Hub podem ajudar a cumprir esses requisitos, mas é crucial compreender como suas equipes de conformidade, respondentes de incidentes, pessoal de operações de segurança e demais stakeholders operam diariamente. Por exemplo: suas equipes usam o Console de Gerenciamento da AWS para o Security Hub regularmente? Ou você precisa enviar a maioria dos achados para ferramentas de gerenciamento de sistemas de TI (ITSM), como Jira ou ServiceNow, ou plataformas terceirizadas de orquestração, automação e resposta de segurança (SOAR)?

    Em seguida, crie e mantenha um inventário de aplicações críticas. Isso ajuda a ajustar a severidade de achados baseado em contexto empresarial e seus playbooks de resposta a incidentes. Considere um cenário onde o Security Hub identifica uma vulnerabilidade de severidade média em uma instância de Elastic Compute Cloud. Isoladamente, isso pode não disparar ação imediata. Ao adicionar contexto empresarial — como objetivos estratégicos ou criticidade para o negócio — você pode descobrir que essa instância hospeda uma aplicação crítica de processamento de pagamentos, revelando o risco real. Implementando regras de automação do Security Hub com contexto enriquecido, esse achado pode ser elevado para severidade crítica e automaticamente roteado para ServiceNow para rastreamento imediato.

    Além disso, usando automação do Security Hub com Amazon EventBridge, você pode disparar um documento de automação do AWS Systems Manager Automation para isolar a instância EC2 para trabalho forense de segurança.

    Como o Security Hub oferece formato e esquema OCSF, você pode utilizar os extensos elementos de esquema que o OCSF oferece para direcionar achados para automação e ajudar sua organização a atender requisitos de estratégia de segurança.

    Casos de uso em automação de segurança

    As automações do Security Hub suportam diversos casos de uso. Converse com suas equipes para entender quais se aplicam às suas necessidades e objetivos de segurança:

    Remediação automática de achados

    Use remediação automática de achados para corrigir automaticamente problemas de segurança conforme são detectados. Padrões de suporte incluem remediação direta (disparar funções AWS Lambda para corrigir configurações incorretas), marcação de recursos (adicionar tags em recursos não conformes), correção de configuração (atualizar configurações de recursos para corresponder políticas de segurança) e ajuste de permissões (modificar políticas do AWS Identity and Access Management (IAM) para remover permissões excessivas).

    Exemplo:

    IF finding.type = "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
AND finding.title CONTAINS "S3 buckets should have server-side encryption enabled"
THEN invoke Lambda function "enable-s3-encryption"

    Integração de achados em fluxo de trabalho

    Integre achados em seus fluxos de trabalho roteando-os para as equipes e sistemas apropriados. Padrões de suporte incluem criação de tickets (gerar tickets em Jira ou ServiceNow para revisão manual), atribuição de equipes (rotear achados para equipes específicas baseado em propriedade de recursos) e roteamento baseado em severidade (direcionar achados críticos para resposta a incidentes, outros para filas regulares).

    Exemplo:

    IF finding.severity = "CRITICAL" AND finding.productName = "Amazon GuardDuty"
THEN send to SNS topic "security-incident-response-team"
ELSE IF finding.productFields.resourceOwner = "payments-team"
THEN send to SNS topic "payments-security-review"

    Enriquecimento automático de achados

    Use enriquecimento de achados para adicionar contexto que melhore eficiência de triagem. Padrões incluem adição de contexto de recursos (adicionar contexto empresarial, informações de proprietário e classificação de dados), análise histórica (adicionar informações sobre achados similares anteriores), pontuação de risco personalizada (calcular scores de risco customizados baseado em valor do ativo e contexto de ameaça) e correlação de vulnerabilidades (ligar achados a CVEs conhecidas ou inteligência de ameaças).

    Controles de segurança customizados

    Use controles de segurança customizados para atender requisitos específicos da organização. Padrões incluem imposição de política customizada (verificar conformidade com padrões internos), regras específicas do negócio (aplicar regras baseado em unidade de negócio ou tipo de aplicação), controles compensatórios (implementar alternativas quando controles primários não podem ser aplicados) e exceções temporárias (lidar com desvios aprovados de padrões de segurança).

    Relatório de conformidade e coleta de evidência

    Agilize documentação de conformidade e coleta de evidência. Padrões incluem captura de evidência (armazenar evidência de conformidade em buckets S3 designados), criação de trilha de auditoria (documentar ações de remediação para auditores), dashboard de conformidade (atualizar métricas de status de conformidade) e mapeamento regulatório (rotular achados com frameworks de conformidade relevantes).

    Configurando automação no Security Hub

    Passo 1: Ative o Security Hub e serviços integrados

    Como primeiro passo, siga as instruções para ativar o Security Hub. Nota importante: o Security Hub é potencializado por Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM e Amazon Macie. Esses serviços também precisam ser habilitados para obter valor completo do Security Hub.

    Passo 2: Crie regras de automação

    Após o Security Hub coletar achados, você pode criar regras de automação para atualizar e rotear os achados para as equipes apropriadas. Os passos para criar regras de automação no Security Hub que atualizam detalhes de achados ou configurar integrações terceirizadas como Jira ou ServiceNow podem ser encontrados na documentação específica.

    Com essas regras de automação, o Security Hub avalia achados contra a regra definida e então executa a atualização apropriada ou chama APIs para enviar achados a Jira ou ServiceNow. O Security Hub envia uma cópia de cada achado para o Amazon EventBridge, permitindo que você implemente suas próprias respostas automatizadas se necessário, para casos de uso fora do escopo das regras de automação do Security Hub.

    Além de enviar cópias de cada achado para EventBridge, o Security Hub classifica e enriquece achados de segurança conforme contexto empresarial, entregando-os aos serviços downstream apropriados (como ferramentas ITSM) para resposta rápida.

    Melhores práticas para automação de segurança

    As regras de automação do Security Hub oferecem capacidades para atualização automática de achados e integração com outras ferramentas. Ao implementar regras de automação, siga estas melhores práticas:

    • Gestão centralizada: Apenas a conta administradora do Security Hub pode criar, editar, deletar e visualizar regras de automação. Garanta controle de acesso e gestão apropriados dessa conta.
    • Implantação regional: Regras de automação podem ser criadas em uma região da AWS e aplicadas através de regiões configuradas. Ao usar agregação de região, você pode apenas criar regras na região inicial.
    • Critérios específicos: Defina claramente os critérios que achados devem corresponder para a regra de automação aplicar. Isso pode incluir atributos de achados, níveis de severidade, tipos de recurso ou IDs de conta membro.
    • Entenda a ordem de regras: A ordem importa quando múltiplas regras aplicam ao mesmo achado ou campo de achado. O Security Hub aplica regras com valor numérico menor primeiro. Para mais informações, consulte a documentação sobre atualização da ordem de regras no Security Hub.
    • Descrições claras: Inclua descrição de regra detalhada para fornecer contexto aos respondentes e proprietários de recursos, explicando o propósito e ações esperadas da regra.
    • Use automação para eficiência: Use regras de automação para atualizar automaticamente campos de achados (como severidade e status de fluxo de trabalho), suprimir achados de baixa prioridade, ou criar tickets em ferramentas terceirizadas como Jira ou ServiceNow para achados correspondentes a atributos específicos.
    • Considere EventBridge para ações externas: Enquanto regras de automação lidam com atualizações internas de achados do Security Hub, use regras EventBridge para disparar ações fora do Security Hub, como invocar funções AWS Lambda ou enviar notificações para tópicos Amazon Simple Notification Service (Amazon SNS) baseado em achados específicos. As regras de automação têm efeito antes das regras EventBridge serem aplicadas. Para mais informações, consulte regras de automação em EventBridge.
    • Gerencie limites de regras: Existe um limite máximo de 100 regras de automação por conta administradora. Planeje sua criação de regras estrategicamente para permanecer dentro desse limite.
    • Revise e refine regularmente: Periodicamente revise regras de automação, especialmente regras de supressão, para garantir que permaneçam relevantes e efetivas, ajustando-as conforme sua postura de segurança evolui.

    Consolidando operações de segurança em escala

    As automações do Security Hub permitem triar, rotear e responder a achados mais rapidamente através de uma solução unificada de segurança em nuvem com gestão centralizada. Através da abordagem intuitiva e flexível de automação que o Security Hub oferece, suas equipes de segurança podem tomar decisões confiantes, baseadas em dados, sobre achados do Security Hub que se alinhem com a estratégia de segurança geral da organização.

    Com as capacidades de automação do Security Hub, você pode gerenciar segurança centralmente através de centenas de contas enquanto suas equipes focam em problemas críticos que mais importam para seu negócio. Implementando as capacidades de automação descritas neste artigo, você consegue simplificar tempos de resposta em escala, reduzir esforço manual e melhorar sua postura de segurança geral através de fluxos de trabalho consistentes e automatizados.

    Fonte

    Streamline security response at scale with AWS Security Hub automation (https://aws.amazon.com/blogs/security/streamline-security-response-at-scale-with-aws-security-hub-automation/)