User's blog

Author: Make.com Service User

  • Acesso Simplificado à AWS para Desenvolvedores com o Comando ‘aws login’

    Uma Nova Abordagem para Credenciais de Desenvolvimento

    Obter credenciais programáticas para desenvolvimento local na AWS agora se tornou mais simples e seguro. A AWS introduziu um novo comando na CLI (Command Line Interface), o aws login, que permite aos desenvolvedores começar a trabalhar imediatamente após criar uma conta, sem precisar gerar e manter chaves de acesso com validade ilimitada. O diferencial é que você utiliza o mesmo método de autenticação já utilizado no Console de Gerenciamento da AWS.

    Esta abordagem representa uma mudança importante na forma como a AWS trata a segurança de credenciais locais. Em vez de lidar com chaves estáticas, os desenvolvedores agora recebem credenciais temporárias que são gerenciadas e renovadas automaticamente, reduzindo significativamente o risco de exposição de credenciais de longa duração.

    Como Funciona o Acesso Programático

    O comando aws login está disponível a partir da AWS CLI versão 2.32.0 ou posterior. Ao executar o comando, ele abre automaticamente seu navegador padrão para autenticação. Dependendo do seu cenário de uso, existem duas formas principais de utilizar este recurso.

    Cenário 1: Usando Credenciais IAM (Usuário Root ou IAM)

    Para desenvolvedores que autenticam com nome de usuário e senha de uma conta root ou usuário IAM, o fluxo é o seguinte:

    Primeiro, instale a versão mais recente da AWS CLI em sua máquina local. Em seguida, execute o comando aws login no terminal.

    Se você ainda não configurou uma Região AWS padrão, a CLI solicitará que você escolha uma região de sua preferência (por exemplo, us-east-2, eu-central-1). A configuração é memorizada, então você não precisará inserir novamente na próxima vez.

    Após definir a região, a CLI abre seu navegador automaticamente. Se você já estiver autenticado no Console de Gerenciamento da AWS, verá uma opção para continuar com a sessão ativa. Caso contrário, será apresentada a página de opções de autenticação, onde você selecionará “Continuar com usuário Root ou IAM” e fará login em sua conta AWS.

    Ao completar o processo, você estará pronto para executar comandos da AWS CLI. Para verificar a identidade atual, você pode executar o comando aws sts get-caller-identity, que confirmará qual usuário ou função você está utilizando.

    Cenário 2: Autenticação Federada

    Este cenário aplica-se quando sua autenticação passa por um provedor de identidade corporativo. Para obter credenciais programáticas para funções assumidas via federação, você segue os mesmos passos iniciais do primeiro cenário e, em seguida, prossegue com as instruções adicionais.

    Se você já estiver autenticado no Console de Gerenciamento da AWS, o navegador oferecerá a opção de selecionar sua sessão IAM ativa proveniente do login federado no console. Caso você tenha ativado o suporte a múltiplas sessões no Console de Gerenciamento, você poderá alternar entre até 5 sessões AWS ativas.

    Se você ainda não estiver autenticado no Console de Gerenciamento ou deseja obter credenciais temporárias para uma função IAM diferente, você pode fazer login em sua conta AWS utilizando seu mecanismo de autenticação atual em outra aba do navegador. Após fazer login com sucesso, retorne à aba anterior e clique no botão “Atualizar”. Sua sessão no console agora deve estar disponível nas sessões ativas.

    Independentemente do método escolhido, as credenciais temporárias emitidas pelo comando aws login são renovadas automaticamente a cada 15 minutos pela CLI, AWS Tools for PowerShell e pelos SDKs da AWS. Elas permanecem válidas até a duração máxima definida para o principal IAM (máximo de 12 horas). Após atingir esse limite, você será solicitado a fazer login novamente.

    Trabalhando com Ferramentas de Desenvolvimento Local

    O comando aws login oferece suporte para alternar entre múltiplas contas AWS e funções através de perfis. Você pode configurar um perfil específico executando aws login --profile <PROFILE_NAME> e, posteriormente, executar comandos da AWS utilizando esse perfil com a opção --profile <PROFILE_NAME>.

    As credenciais de curta duração geradas pelo aws login funcionam com muito mais do que apenas a CLI. A AWS disponibiliza integração com diversos tipos de ferramentas:

    SDKs da AWS: Se você estiver desenvolvendo com os SDKs da AWS, os clientes dos SDK podem autenticar-se utilizando essas credenciais temporárias.

    AWS Tools for PowerShell: Utilize o comando Invoke-AWSLogin para autenticar com AWS Tools for PowerShell.

    Servidores de Desenvolvimento Remoto: Use aws login --remote em um servidor remoto sem acesso a navegador. Isso entrega credenciais temporárias do seu dispositivo com acesso a navegador para o console da AWS.

    SDKs Mais Antigos: Se você estiver usando versões anteriores dos SDKs da AWS que não suportam o novo provedor de credenciais do console, você ainda pode usar as credenciais do aws login através do provedor credential_process com a CLI.

    Controle de Acesso por Meio de Políticas IAM

    O comando aws login é controlado por duas ações IAM específicas: signin:AuthorizeOAuth2Access e signin:CreateOAuth2Token. Para permitir que usuários IAM e funções IAM com acesso ao console utilizem este recurso, você pode usar a política gerenciada SignInLocalDevelopmentAccess ou adicionar essas ações às suas políticas IAM customizadas.

    Clientes que utilizam AWS Organizations e desejam controlar o uso dessa funcionalidade em contas membros podem negar essas duas ações através de Políticas de Controle de Serviço (SCPs). Essas ações IAM e seus recursos podem ser utilizados em todas as políticas IAM relevantes.

    A AWS recomenda que clientes empresariais utilizem gerenciamento centralizado de acesso root através do AWS Organizations para eliminar credenciais root de longa duração das contas membros. Esse modelo permite que equipes de segurança executem tarefas privilegiadas através de sessões root de curta duração e escopo específico da conta de gerenciamento central. Após habilitar essa funcionalidade e deletar as credenciais root das contas membros, o login programático com credenciais root via aws login também será bloqueado automaticamente.

    Para desenvolvedores que utilizam credenciais root ou usuários IAM, o aws login oferece uma alternativa segura às tradicionais chaves de acesso estáticas, entregando credenciais de vida útil muito reduzida diretamente às ferramentas de desenvolvimento.

    Auditoria e Segurança do Acesso Programático

    Os eventos de login relacionados ao aws login são registrados através do AWS CloudTrail, que agora inclui dois novos tipos de evento específicos para esse comando. O serviço registra eventos com os nomes AuthorizeOAuth2Access e CreateOAuth2Token na Região AWS onde o usuário realiza o login.

    Quando um desenvolvedor executa aws login, o CloudTrail captura eventos estruturados contendo informações de identidade, timestamps, endereço IP de origem, agente de usuário e detalhes de TLS. Esses registros fornecem à equipe de segurança uma visibilidade completa sobre quem está obtendo credenciais, quando está obtendo, e de onde, facilitando auditorias de conformidade e investigações de segurança.

    O fluxo de autorização utiliza o padrão OAuth 2.0 com PKCE (Proof Key for Code Exchange) para proteger contra ataques de interceptação de código de autorização. Esse modelo oferece uma alternativa significativamente mais segura em comparação com a configuração tradicional de chaves de acesso IAM para começar o desenvolvimento na AWS.

    Próximos Passos e Recomendações

    O recurso de login para desenvolvimento local na AWS representa uma melhoria importante na postura de segurança padrão, ajudando clientes a eliminarem o uso de credenciais de longa duração para acesso programático. Com o aws login, desenvolvedores podem começar a trabalhar imediatamente utilizando as mesmas credenciais que usam para acessar o Console de Gerenciamento.

    O comando está disponível em todas as Regiões AWS comerciais (com exceção da China e GovCloud) sem custos adicionais para clientes. Para informações mais detalhadas sobre como implementar e configurar, consulte a documentação da CLI. Adicionalmente, recomenda-se a leitura sobre abordagens modernas de autenticação para a AWS além das chaves de acesso IAM, que exploram outras estratégias de segurança complementares.

    Fonte

    Simplified developer access to AWS with ‘aws login’ (https://aws.amazon.com/blogs/security/simplified-developer-access-to-aws-with-aws-login/)

  • Padrões de Implantação do Claude Code com Amazon Bedrock: Guia de Boas Práticas para Empresas

    Entendendo a Solução: Claude Code no Amazon Bedrock

    O Claude Code é um assistente de programação baseado em inteligência artificial, desenvolvido pela Anthropic. Ele auxilia desenvolvedores na escrita, revisão e modificação de código através de interações em linguagem natural. Por outro lado, o Amazon Bedrock é um serviço gerenciado pela AWS que fornece acesso a modelos de fundação de empresas líderes em IA por meio de uma única API.

    A integração entre essas duas tecnologias permite que organizações implementem assistentes de codificação com IA de forma segura e escalável. Para empresas que desejam adotar essa solução, a AWS oferece um Guidance for Claude Code with Amazon Bedrock, que implementa padrões comprovados e pode ser implantado em poucas horas.

    Arquitetura Recomendada para a Maioria das Empresas

    Para organizações de qualquer porte que buscam uma implementação segura e eficiente, a AWS recomenda uma pilha tecnológica bem definida:

    Esta arquitetura proporciona acesso seguro com atribuição de usuários, gerenciamento de capacidade e visibilidade completa sobre custos e produtividade dos desenvolvedores.

    Métodos de Autenticação: Escolhendo a Abordagem Correta

    A decisão sobre qual método de autenticação usar impacta diretamente a segurança, monitoramento, operações e experiência do desenvolvedor. A AWS apresenta quatro alternativas, cada uma com trade-offs específicos.

    Chaves de API: Prototipagem Rápida

    O Amazon Bedrock suporta chaves de API como o caminho mais rápido para prova de conceito. Tanto chaves de curta duração (12 horas) quanto de longa duração (indefinidas) podem ser geradas através do Console de Gerenciamento AWS, AWS CLI ou SDKs.

    Porém, chaves de API criam vulnerabilidades de segurança: acesso persistente sem autenticação multifator, exigência de distribuição manual e risco de serem commitadas em repositórios. Além disso, não permitem atribuição de usuários para rastreamento de custos. Recomenda-se usar esse método apenas para testes de curta duração (menos de uma semana, com expiração de 12 horas).

    Credenciais do Console via aws login

    O comando aws login utiliza credenciais do Console de Gerenciamento AWS para acessar o Amazon Bedrock através de um fluxo de autenticação baseado em navegador. Oferece configuração rápida sem necessidade de chaves de API e é recomendado para testes e pequenas implantações.

    Single Sign-On (SSO) com IAM Identity Center

    O AWS IAM Identity Center integra-se com provedores de identidade corporativos existentes através do OpenID Connect (OIDC), um protocolo que permite autenticação única ao permitir que provedores de identidade verifiquem identidades de usuários e compartilhem informações de autenticação com aplicações.

    Essa integração permite que desenvolvedores usem credenciais corporativas para acessar o Amazon Bedrock sem distribuição de chaves. Desenvolvedores autenticam usando o comando aws sso login, que gera credenciais temporárias com durações de sessão configuráveis. Essas credenciais se renovam automaticamente, reduzindo a sobrecarga operacional de gerenciamento de credenciais.

    Uma organização que já usa IAM Identity Center para acesso à AWS pode estender esse padrão ao Claude Code. Porém, há uma limitação: esse método não expõe tokens JWT do OIDC para extração de atributos em OpenTelemetry, reduzindo detalhes de monitoramento por usuário.

    Federação Direta com Provedor de Identidade

    A federação OIDC direta com seu provedor de identidade (Okta, Azure AD, Auth0 ou AWS Cognito User Pools) é recomendada para implantações de Claude Code em produção. Essa abordagem conecta o provedor de identidade corporativo diretamente ao AWS IAM, gerando credenciais temporárias com contexto de usuário completo para monitoramento.

    O process credential provider orquestra a autenticação OAuth2 com PKCE, uma extensão de segurança que ajuda a prevenir interceptação de código de autorização. Desenvolvedores autenticam no navegador, trocando tokens OIDC por credenciais temporárias do AWS.

    Um script auxiliar usa o AWS Security Token Service (STS) com AssumeRoleWithWebIdentity para assumir uma função com permissões para InvokeModel e InvokeModelWithStreaming no Amazon Bedrock.

    A federação IAM direta suporta durações de sessão de até 12 horas e mantém o token JWT acessível durante toda a sessão, permitindo monitoramento através do OpenTelemetry para rastrear atributos de usuário como email, departamento e equipe. O Guidance for Claude Code with Amazon Bedrock implementa tanto padrões de Cognito Identity Pool quanto federação IAM direta, mas recomenda federação IAM por ser mais simples. A solução oferece um assistente de configuração interativo que configura integração com o provedor OIDC, implanta infraestrutura IAM necessária e gera pacotes de distribuição para Windows, macOS e Linux.

    Decisões Arquiteturais: Infraestrutura e Gerenciamento

    Endpoints Públicos vs. Gateway LLM

    O Amazon Bedrock fornece endpoints públicos de API gerenciados em múltiplas regiões AWS com mínima sobrecarga operacional. A AWS gerencia infraestrutura, escalabilidade, disponibilidade e patches de segurança. Desenvolvedores usam credenciais AWS padrão através de perfis AWS CLI ou variáveis de ambiente.

    Combinado com métricas OpenTelemetry da federação IdP direta, é possível rastrear uso através de endpoints públicos por desenvolvedor, departamento ou centro de custo, aplicando limitações no nível do AWS IAM. Para a maioria das organizações, endpoints públicos do Amazon Bedrock são suficientes, oferecendo equilíbrio entre simplicidade, confiabilidade gerenciada pela AWS, alertas de custo e mecanismos de controle apropriados.

    Um gateway LLM introduz uma camada de aplicação intermediária entre desenvolvedores e Amazon Bedrock. A AWS oferece um Guidance for Multi-Provider Generative AI Gateway on AWS descrevendo esse padrão, implantando um serviço proxy containerizado com balanceamento de carga e gerenciamento centralizado de credenciais.

    Gateways são ideais para: suportar múltiplos provedores (roteamento entre Amazon Bedrock, OpenAI e Azure OpenAI), implementar middleware customizado (engenharia de prompts proprietária, filtragem de conteúdo, detecção de injeção de prompts) e aplicar políticas em nível de requisição. Porém, adicionam sobrecarga operacional: gerenciamento de Amazon Elastic Container Service (Amazon ECS) ou Amazon Elastic Kubernetes Service (Amazon EKS), Elastic Load Balancing (ELB) com Application Load Balancers, Amazon ElastiCache, Amazon Relational Database Service (Amazon RDS), aumento de latência e novo ponto de falha.

    Conta Única Dedicada

    A recomendação é consolidar inferências do assistente de codificação em uma conta AWS dedicada, separada de workloads de desenvolvimento e produção. Essa abordagem oferece cinco benefícios principais: simplifica operações ao gerenciar quotas em dashboards unificados, clarifica visibilidade de custos pelo AWS Cost Explorer e Cost and Usage Reports, centraliza segurança com logs CloudTrail, protege produção de esgotamento de quotas e permite foco em aplicações nas contas de desenvolvimento.

    A implementação usa configuração IAM cross-account para que desenvolvedores autentiquem através de provedores de identidade federados para funções restritas, concedendo apenas permissões de invocação de modelo com guardrails apropriados.

    Perfis de Inferência

    O Amazon Bedrock oferece perfis de inferência do Amazon Bedrock para rastreamento de custos através de tagging de recursos, mas não escalam para granularidade por desenvolvedor. Embora seja possível criar perfis de aplicação para alocação de custos, gerenciar perfis para 1000+ desenvolvedores individuais torna-se operacionalmente oneroso. Perfis funcionam melhor para organizações com 10-50 equipes distintas ou quando usando inferência cross-região. Para mais detalhes, consulte a documentação de Inference Profiles do Amazon Bedrock.

    Estratégia de Monitoramento: Visibilidade Progressiva

    Imagem original — fonte: Aws

    Uma estratégia eficaz de monitoramento transforma o Claude Code de uma ferramenta de produtividade em um investimento mensurável. As camadas de monitoramento são complementares — organizações geralmente começam com visibilidade básica e adicionam capacidades conforme justificativas de ROI.

    CloudWatch: Métrica Básica

    O Amazon Bedrock publica métricas no Amazon CloudWatch automaticamente, rastreando contagens de invocação, erros de throttling e latência. Gráficos CloudWatch mostram tendências agregadas com esforço de deployment mínimo. Você pode criar alarmes que notificam quando taxas de invocação disparam, taxas de erro excedem limites ou latência degrada.

    Invocation Logging: Auditoria Detalhada

    O logging de invocação do Amazon Bedrock captura informações detalhadas sobre cada chamada de API para Amazon S3 ou CloudWatch Logs, preservando registros individuais de requisições. Processe logs com Amazon Athena, carregue em data warehouses ou analise com ferramentas customizadas. Os logs exibem padrões de uso, invocações por modelo, utilização de pico e trilha de auditoria de acesso ao Amazon Bedrock.

    OpenTelemetry: Observabilidade Completa

    O Claude Code inclui suporte para OpenTelemetry, um framework open source para coleta de dados de telemetria de aplicações. Quando configurado com endpoint de coletor OpenTelemetry, o Claude Code emite métricas detalhadas sobre suas operações, capturando linhas de código adicionadas/deletadas, arquivos modificados, linguagens de programação usadas e taxas de aceitação das sugestões do Claude.

    A solução guidance implanta infraestrutura OpenTelemetry em Amazon ECS Fargate. Um Application Load Balancer recebe telemetria via HTTP(S) e encaminha métricas para um Coletor OpenTelemetry. O coletor exporta dados para Amazon CloudWatch e Amazon S3.

    Dashboard: Visualização em Tempo Real

    A solução inclui um dashboard CloudWatch que exibe métricas-chave continuamente, rastreando usuários ativos por hora, dia ou semana. Consumo de tokens é desagregado por tokens de entrada, saída e cached, sendo taxas altas de cache-hit indicativas de reutilização eficiente de contexto. Métricas de atividade de código rastreiam linhas adicionadas e deletadas, correlacionando com uso de tokens. A distribuição de operações mostra frequência de edições de arquivo, buscas de código e solicitações de documentação.

    Analytics: Análise Histórica e Tendências

    Enquanto dashboards excelem em monitoramento em tempo real, tendências de longo prazo e análise complexa de comportamento de usuários exigem ferramentas analíticas. A stack analytics opcional da solução guidance transmite métricas para Amazon S3 usando Amazon Data Firehose. O catálogo de dados do AWS Glue define o schema, tornando dados consultáveis através do Amazon Athena.

    A camada analítica suporta queries como consumo mensal de tokens por departamento, taxas de aceitação de código por linguagem de programação e variações de eficiência de tokens entre equipes. Análise de custos torna-se sofisticada ao unir métricas de tokens com preços do Amazon Bedrock para calcular custos exatos por usuário e depois agregar para repasse em nível de departamento.

    Caminho de Implementação: Do Piloto à Escala Corporativa

    A solução guidance suporta deployment rápido através de um processo de configuração interativo, com autenticação e monitoramento funcionando em poucas horas.

    Deployment Inicial

    Clone o repositório do Guidance for Claude Code with Amazon Bedrock e execute o assistente interativo. O wizard configura seu provedor de identidade, tipo de federação, regiões AWS e monitoramento opcional. Implante as stacks CloudFormation (tipicamente 15-30 minutos), construa pacotes de distribuição e teste autenticação localmente antes de distribuir aos usuários.

    Distribuição e Piloto

    Identifique um grupo piloto de 5-20 desenvolvedores de diferentes equipes. Se monitoramento foi ativado, o dashboard CloudWatch mostra atividade imediatamente. Você pode monitorar consumo de tokens, taxas de aceitação de código e tipos de operação para estimar requisitos de capacidade.

    Expansão e Otimização

    Uma vez validado, expanda adoção por equipe ou departamento. Adicione a stack analytics para análise de tendências históricas, identificação de equipes de alto desempenho e previsão de custos. Use dados de monitoramento para melhoria contínua através de ciclos de revisão regular com liderança de desenvolvimento.

    Desvios da Arquitetura Recomendada

    Embora a arquitetura anterior se adeque à maioria das implantações corporativas, circunstâncias específicas podem justificar abordagens diferentes:

    • Considere um gateway LLM se precisar de múltiplos provedores além do Amazon Bedrock, middleware customizado para processamento de prompts ou operar em ambiente regulatório exigindo imposição de políticas em nível de requisição além de capacidades do AWS IAM.
    • Considere perfis de inferência se tiver menos de 50 equipes exigindo rastreamento separado de custos e preferir alocação de billing nativa da AWS sobre métricas de telemetria.
    • Comece sem monitoramento apenas para pilotos de tempo limitado com menos de 10 desenvolvedores onde métricas básicas CloudWatch suficientes.
    • Use chaves de API apenas para testes cronometrados (menos de uma semana) onde riscos de segurança são aceitáveis.

    Conclusão

    Implantar o Claude Code com Amazon Bedrock em escala corporativa exige decisões cuidadosas sobre autenticação, arquitetura e monitoramento. Implantações prontas para produção seguem um padrão claro: federação IdP direta oferece acesso seguro com atribuição de usuário e uma conta AWS dedicada simplifica gerenciamento de capacidade. Monitoramento OpenTelemetry oferece visibilidade sobre custos e produtividade de desenvolvedores.

    O Guidance for Claude Code with Amazon Bedrock repository implementa esses padrões em solução implantável. Comece com autenticação e monitoramento básico, depois adicione progressivamente recursos conforme escala. À medida que ferramentas de desenvolvimento com IA tornam-se padrão da indústria, organizações que priorizam segurança, monitoramento e excelência operacional em suas implantações ganharão vantagens duradouras.

    Fonte

    Claude Code deployment patterns and best practices with Amazon Bedrock (https://aws.amazon.com/blogs/machine-learning/claude-code-deployment-patterns-and-best-practices-with-amazon-bedrock/)