O que é a Nova Capacidade de Validação

A AWS anunciou uma importante adição ao recurso de Aprovação Multiparte (MPA — Multi-Party Approval): agora os administradores podem executar testes de aprovação para verificar se sua equipe está configurada corretamente. Essa funcionalidade permite que os responsáveis pela administração da MPA confirmem que os aprovadores estão ativos e acessíveis antes de depender desse fluxo para operações sensíveis.

Por Que Isso Importa para Sua Organização

Equipes de aprovação podem se tornar inativas por diversos motivos: rotatividade de pessoal, configurações incorretas de aprovadores ou simplesmente falta de engajamento. Sem uma forma de validar regularmente a saúde da equipe, sua organização corre o risco de descobrir problemas críticos apenas quando uma aprovação urgente é necessária — e aí é tarde demais.

Com esse novo recurso, os administradores e equipes de segurança podem avaliar proativamente suas configurações de aprovação. Isso significa identificar problemas antes que eles impactem operações críticas.

Recursos Principais da Validação

A funcionalidade de validação base (baselining) oferece várias capacidades importantes:

• Verificação manual de testes: Permite iniciar sessões de teste de aprovação diretamente pelo console do AWS Organizations
• Validação de disponibilidade: Confirma que os aprovadores conseguem realmente responder quando necessário
• Identificação de membros inativos: Detecta membros da equipe que não estão mais participando do fluxo
• Conformidade interna: Ajuda a manter a equipe alinhada com os requisitos de governança interna

Casos de Uso Recomendados

A AWS recomenda usar a validação de equipes em três cenários principais:

Verificação Regular de Responsividade

A validação deve ser executada regularmente — a AWS recomenda a cada 90 dias — utilizando o Console de MPA. Esse ciclo garante que sua equipe de aprovação continue funcional e responsiva ao longo do tempo.

Validação de Novas Configurações

Quando você implementa uma nova configuração de aprovação, execute testes antes de colocá-la em produção. Isso reduz significativamente o risco de falhas quando aprovações reais forem necessárias.

Verificações de Saúde Operacional

Utilize a validação para garantir que os fluxos de aprovação funcionem conforme esperado em momentos críticos. Identificar problemas durante testes é muito mais seguro do que descobri-los durante uma operação sensível real.

Disponibilidade

Esse recurso está disponível em todas as regiões comerciais da AWS. Para aprender como implementar testes de validação em seus fluxos de aprovação multiparte, consulte a documentação de aprovação multiparte.

Fonte

Multi-party approval now supports approval team baselining (https://aws.amazon.com/about-aws/whats-new/2026/03/multi-party-approval-team-baselining/)

Integração do AWS Shield Network Security Director com o Security Hub

A AWS anunciou que os achados gerados pelo Network Security Director, que se encontrava em fase de prévia, agora estão disponíveis diretamente no AWS Security Hub. Esta integração representa um avanço significativo na forma como as organizações podem gerenciar e monitorar a segurança de suas redes na nuvem.

O que é o Network Security Director

O Network Security Director é um componente do AWS Shield que funciona como uma ferramenta de diagnóstico contínuo para infraestruturas de segurança de rede. Seu propósito principal é identificar quando serviços críticos de proteção estão ausentes ou mal configurados em toda uma organização AWS. Entre os serviços que monitora estão o AWS WAF (Firewall de Aplicações Web), Security Groups de VPC e Network Access Control Lists (ACLs de controle de acesso à rede).

Capacidades de Análise e Recomendações

Ao integrar-se ao Security Hub, o Network Security Director oferece uma análise contínua da rede distribuída entre múltiplas contas e unidades organizacionais. Além de identificar problemas, ele fornece recomendações de remediação baseadas nas melhores práticas da AWS. Os achados gerados aparecem agora na seção Inventory (Inventário) do console do Security Hub, facilitando a visualização centralizada.

Um aspecto importante é como a severidade de cada achado é calculada. A AWS não utiliza apenas a misconfiguration (configuração incorreta) identificada como critério de gravidade. Ao contrário, leva em consideração a topologia de rede do recurso associado ao achado, oferecendo uma avaliação contextualizada e mais precisa dos riscos reais enfrentados pela organização.

Benefícios para Organizações

Esta integração simplifica o gerenciamento de segurança de rede ao centralizar os achados em uma única plataforma. Times de segurança podem identificar lacunas em sua postura de proteção sem necessidade de navegar entre múltiplas ferramentas. A abordagem contínua garante que novas misconfigurações ou desvios das melhores práticas sejam detectados rapidamente.

Fonte

AWS Shield network security director findings are now available in AWS Security Hub (https://aws.amazon.com/about-aws/whats-new/2026/03/network-security-director-findings/)

Renovação da Certificação DESC 2026

A Amazon Web Services (AWS) concluiu com sucesso sua auditoria anual de certificação junto ao Dubai Electronic Security Centre (DESC) para continuar operando como provedor de serviços em nuvem (Provedor de Serviços em Nuvem – CSP) Tier 1 na região do Oriente Médio (EAU). Esta certificação reafirma o compromisso contínuo da plataforma em atender aos rigorosos requisitos de segurança e conformidade esperados de provedores de nuvem de alto nível.

Para clientes governamentais que utilizam a AWS, esta certificação representa uma garantia importante: seus aplicativos podem ser executados com confiança em regiões de nuvem certificadas pelo DESC. A conformidade foi validada de forma independente pela BSI, uma auditoria terceirizada antes da emissão do certificado renovado pelo DESC. O certificado atualizado permanecerá válido por um ano, até 22 de janeiro de 2027.

Ampliação do Escopo de Serviços Certificados

Um destaque importante desta certificação é a expansão significativa de serviços incluídos no escopo de conformidade. A AWS adicionou dez novos serviços ao programa, aumentando de 98 para 108 o total de serviços certificados na região do Oriente Médio (EAU) — um crescimento de 10%.

Os serviços recém-adicionados ao escopo de certificação DESC incluem:

• AWS Elastic Beanstalk
• AWS Managed Services
• AWS Resource Explorer
• Amazon Application Recovery Controller
• Amazon Bedrock (excluindo Amazon Bedrock Marketplace)
• Amazon Inspector
• Amazon Managed Service for Prometheus
• Amazon Quick Suite (anteriormente Amazon QuickSight)
• Amazon Simple Email Service (Amazon SES)
• Amazon Verified Permissions

Acesso à Documentação de Conformidade

A certificação renovada está disponível através do AWS Artifact, um portal de autoatendimento que fornece acesso sob demanda a relatórios de conformidade da AWS. Usuários podem acessar o AWS Artifact no Console de Gerenciamento da AWS ou consultar a documentação sobre como começar com o AWS Artifact para obter mais detalhes sobre seu funcionamento.

Estratégia de Expansão Contínua

Esta expansão reflete a estratégia da AWS de incorporar continuamente novos serviços ao escopo de seus programas de conformidade. O objetivo é ajudar clientes a atender suas necessidades arquiteturais e regulatórias específicas, especialmente em regiões com requisitos rigorosos de segurança.

Organizações interessadas podem consultar a página de serviços no escopo de conformidade para visualizar a lista completa de serviços certificados. Clientes com dúvidas sobre conformidade DESC podem entrar em contato com sua equipe de conta AWS ou utilizar os canais de suporte disponibilizados.

Para aprofundar o entendimento sobre todos os programas de conformidade da AWS, consulte a página Programas de Conformidade da AWS. A plataforma permanece aberta a feedback e questões através da página de contato dedicada à conformidade.

Fonte

AWS completes the 2026 annual Dubai Electronic Security Centre (DESC) certification audit (https://aws.amazon.com/blogs/security/aws-completes-the-2026-annual-dubai-electronic-security-centre-desc-certification-audit/)

O desafio da inteligência artificial conversacional em ambientes empresariais

As organizações enfrentam dois obstáculos significativos ao implementar IA conversacional. Primeiro, os usuários precisam acessar respostas inteligentes no contexto onde trabalham — dentro do seu sistema de CRM, console de suporte ou portal de análise — sem precisar alternar entre diferentes plataformas. Segundo, construir uma solução de chat embarcada de forma segura frequentemente demanda semanas de desenvolvimento, envolvendo autenticação, validação de tokens, segurança de domínio e infraestrutura global de distribuição.

A Amazon Quick Suite oferece um chat embarcado que endereça o primeiro desafio trazendo IA conversacional diretamente para dentro das aplicações empresariais. Dessa forma, usuários conseguem consultar dados estruturados, pesquisar documentos e executar ações sem abandonar a ferramenta em que já trabalham. Este artigo explora como resolver o segundo desafio — segurança e implantação — através de uma solução de implantação com um clique, utilizando o Embedding SDK para integrar agentes de chat em portais corporativos.

Visão geral da solução arquitetônica

A solução constrói um portal web seguro para o chat embarcado, combinando vários serviços da AWS em uma arquitetura bem definida. O Amazon CloudFront gerencia a distribuição global de conteúdo, Amazon Cognito orquestra autenticação via OAuth 2.0, Amazon API Gateway expõe endpoints REST, AWS Lambda processa as requisições sem servidor, e OpenID Connect (OIDC) integra identidades com a Quick Suite.

Arquitetura de defesa em profundidade

A segurança é implementada em múltiplas camadas de proteção. O DDoS (Proteção contra Ataques de Negação de Serviço) atua no CloudFront, um bucket privado do Amazon Simple Storage Service (S3) com controle de acesso de origem previne acesso direto aos assets do frontend, o AWS WAF (Firewall de Aplicação Web) implementa rate limiting no API Gateway, e JSON Web Token (JWT) valida assinaturas criptográficas usando chaves públicas do Amazon Cognito antes de gerar URLs de embed temporárias e específicas por usuário, com permissões de privilégio mínimo via AWS Identity and Access Management (IAM).

Fluxo de autenticação e autorização

O processo começa quando usuários acessam a URL do portal web, que é roteada através do CloudFront. O CloudFront usa controle de acesso de origem para buscar arquivos HTML, CSS e JavaScript de um bucket S3 privado. A aplicação web verifica a validade do token de autenticação e redireciona usuários não autenticados para a interface de login do Amazon Cognito com OAuth 2.0.

Após inserir credenciais, o Amazon Cognito valida as informações e redireciona de volta para a URL do CloudFront com um código de autorização de uso único. A aplicação extrai esse código e faz uma chamada HTTPS para o API Gateway, que passa pelo filtro de rate limiting do AWS WAF. O API Gateway invoca uma função Lambda com o código de autorização.

A função Lambda faz uma chamada servidor-a-servidor ao endpoint OAuth do Amazon Cognito, trocando o código de autorização por tokens JWT (token de ID, token de acesso, token de atualização). A função valida a assinatura criptográfica do token de ID usando o JSON Web Key Set (JWKS) do Amazon Cognito, com caching thread-safe.

Obtenção de credenciais temporárias e validação de usuário

A função Lambda invoca o AWS Security Token Service (STS) através da API AssumeRoleWithWebIdentity, usando o token de ID verificado para assumir um papel IAM de identidade web e receber credenciais temporárias da AWS.

Com essas credenciais, a função consulta a API ListUsers da Quick Suite para confirmar que o usuário existe, e então chama a API GenerateEmbedUrlForRegisteredUser para gerar uma URL de embed segura com restrições de domínio.

A função retorna a URL de embed em uma resposta JSON com headers de compartilhamento de recursos entre origens (CORS) através do API Gateway para o CloudFront. A aplicação CloudFront utiliza o Quick Suite Embedding SDK para criar um contexto de embedding e renderizar a interface de chat em um iframe HTML com comunicação segura entre origens.

Pré-requisitos para implementação

A solução requer uma conta AWS, uma assinatura Quick Suite com método de autenticação baseado em senha ou Single-Sign On, o AWS CDK CLI, o AWS SDK para Python (Boto3), um perfil AWS CLI com permissões apropriadas (incluindo listagem de namespaces Quick Suite, criação de papéis IAM e recursos AWS como distribuição CloudFront, bucket S3, API Gateway REST, AWS WAF Web ACL e função Lambda), Node.js 20+, jq 1.7+, e Docker Desktop em execução.

Implantação da infraestrutura serverless

Para implantar a infraestrutura usando AWS CDK, comece clonando o repositório GitHub:

git clone git@github.com:aws-samples/sample-quicksuite-chat-embedding.git
cd sample-quicksuite-chat-embedding

Em seguida, execute o script de configuração:

./setup.sh

Você será solicitado a informar seu código de região AWS, o ID da stack do AWS CloudFormation, o título do portal, e seu perfil AWS CLI.

Provisionamento de usuários

Após a infraestrutura estar implantada, crie um usuário no Amazon Cognito:

python scripts/create_cognito_user.py --profile  

Em seguida, crie um usuário federado na Quick Suite:

python scripts/create_quicksuite_user.py --profile  

Para compartilhar agentes de chat, acesse o console Quick Suite com credenciais de função Author Pro, navegue até Chat agents, selecione os agentes desejados e escolha Share. Pesquise pelo nome de usuário criado anteriormente e confirme o compartilhamento. Lembre-se de que cada recurso vinculado ao agente também precisa ser compartilhado separadamente para garantir funcionalidade completa.

Acesso e utilização do portal

Procure pela senha temporária no email de verificação do Amazon Cognito. Acesse a URL do CloudFront usando o ID de usuário e a senha temporária fornecida. Na primeira autenticação, você será solicitado a alterar sua senha. Após o login bem-sucedido, selecione a região para conectar aos agentes de chat personalizados da Quick Suite. Para visualizar os agentes compartilhados, escolha Shared with me no filtro e inicie uma conversa com o agente desejado.

Limpeza de recursos

Para remover os recursos implantados e evitar custos contínuos, execute:

./cleanup.sh

Considerações finais

Essa solução aborda os desafios centrais da integração de IA conversacional em escala: autenticação segura para milhares de usuários simultâneos em diferentes localizações geográficas, manutenção de segurança de nível empresarial com trilhas de auditoria abrangentes, e simplificação da implantação através do provisionamento automatizado de infraestrutura. O portal pode ser personalizado quanto à marca, as políticas de segurança ajustadas, e integrado com provedores de identidade existentes. A solução escala automaticamente para milhares de usuários simultâneos mantendo modelo de pagamento conforme você usa.

Para experimentar essa solução, clone o repositório GitHub e implante a infraestrutura completa com um clique para integrar agentes de chat Quick Suite em suas aplicações empresariais.

Fonte

Embed Amazon Quick Suite chat agents in enterprise applications (https://aws.amazon.com/blogs/machine-learning/embed-amazon-quick-suite-chat-agents-in-enterprise-applications/)

O Que Mudou na AWS

A AWS aprimorou significativamente as mensagens de erro de acesso negado ao incluir o Amazon Resource Name (ARN) da política que está causando a negação. Essa inovação complementa uma melhoria anterior de 2021 que já identificava o tipo de política envolvida. Agora, a plataforma vai além: fornece a identificação precisa da política responsável pela restrição.

É importante notar que o ARN da política é fornecido apenas em cenários envolvendo a mesma conta AWS ou a mesma organização. A funcionalidade está sendo distribuída gradualmente em todos os serviços AWS em todas as regiões.

Quais Políticas Recebem essa Melhoria?

A atualização abrange AWS Identity and Access Management (IAM) e AWS Organizations, cobrindo os seguintes tipos de políticas:

• Políticas de Controle de Serviço (SCPs — Service Control Policies)
• Políticas de Controle de Recursos (RCPs — Resource Control Policies)
• Políticas de Limite de Permissões (Permissions Boundaries)
• Políticas de Sessão (Session Policies)
• Políticas Baseadas em Identidade (Identity-Based Policies)

Comparação: Antes e Depois

Para ilustrar a diferença prática, considere um desenvolvedor tentando executar a ação ListRoles no IAM, mas sendo bloqueado por uma SCP:

Mensagem Anterior

An error occurred (AccessDenied) when calling the ListRoles operation: User: arn:aws:iam::123456789012:user/Matt is not authorized to perform: iam:ListRoles on resource: arn:aws:iam::123456789012:role/* with an explicit deny in a service control policy

Mensagem Aprimorada

An error occurred (AccessDenied) when calling the ListRoles operation: User: arn:aws:iam::123456789012:user/Matt is not authorized to perform: iam:ListRoles on resource: arn:aws:iam::123456789012:role/* with an explicit deny in a service control policy: arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-2kgnabcd

Note a diferença fundamental: a mensagem aprimorada inclui o ARN completo da política — arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-2kgnabcd — eliminando a necessidade de investigar todas as políticas do mesmo tipo.

Os Princípios por Trás da Melhoria

A AWS estruturou essa funcionalidade com três pilares principais:

1. Escopo Limitado para Segurança

Os ARNs das políticas aparecem apenas quando a solicitação origina-se da mesma conta ou da mesma organização que a política. Essa limitação reduz o fluxo de informações sensíveis.

2. Informação Contextual Sem Exposição de Detalhes

A mensagem fornece apenas o ARN da política — um identificador de recurso — e não o conteúdo completo do documento de política. Isso significa que as permissões específicas e condições não são reveladas. Usuários ainda precisam de permissões apropriadas para acessar o conteúdo real da política ou tomar ações corretivas.

3. Lógica de Autorização Inalterada

Essa melhoria afeta exclusivamente a mensagem de erro exibida. A lógica de tomada de decisão sobre autorização permanece a mesma — as mesmas políticas continuam negando ou permitindo acesso da forma anterior.

Benefícios Práticos para Organizações

Resolução Mais Rápida de Problemas

Anteriormente, ao receber um erro de acesso negado originário de uma SCP, era necessário revisar todas as SCPs da organização, determinar quais se aplicavam à conta e avaliar cada uma — um processo demorado. Com o ARN específico incluído na mensagem, qualquer pessoa com permissão adequada pode acessar a política identificada e resolver o problema em minutos.

Redução da Carga Investigativa

A precisão do diagnóstico elimina investigações desnecessárias, economizando tempo de administradores e desenvolvedores.

Comunicação Melhorada Entre Equipes

Mensagens claras com ARNs da política oferecem um ponto de referência comum, eliminando ambiguidades e reduzindo trocas de mensagens entre equipes de desenvolvimento e operações.

Validação Rápida de Controles de Segurança

Ao validar controles de segurança, o ARN na mensagem de erro fornece confirmação imediata de qual política está aplicando a restrição, permitindo que clientes verifiquem rapidamente se suas políticas estão funcionando conforme esperado.

Um Exemplo Prático: Diagnóstico em Ação

Imagine um cenário em que você tenta descrever snapshots do Amazon Relational Database Service (Amazon RDS) na região us-east-2:

aws rds describe-db-snapshots --region us-east-2

Você recebe um erro de acesso negado com a seguinte mensagem:

An error occurred (AccessDenied) when calling the DescribeDBSnapshots operation: User: arn:aws:sts::123456789012:assumed-role/ReadOnly/ReadOnlySession is not authorized to perform: rds:DescribeDBSnapshots on resource: arn:aws:rds:us-east-2:123456789012:snapshot:* with an explicit deny in a service control policy: arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-lvi9abcd

O Que Essa Mensagem Nos Diz

• Tipo de negação: É uma negação explícita — não é simplesmente a ausência de permissão, mas uma política que nega ativa e intencionalmente a ação.
• Origem da negação: A restrição vem da SCP com o ARN específico: arn:aws:organizations::987654321098:policy/o-qv5af4abcd/service_control_policy/p-lvi9abcd

Passos para Resolução

Passo 1: Verifique se você tem permissão para visualizar a SCP. Se não tiver, contate o administrador e forneça a mensagem que inclui o ARN da política.

Passo 2: Se tiver as permissões necessárias, acesse a SCP através do Console de Gerenciamento AWS para AWS Organizations.

Passo 3: Procure por uma instrução Deny (negação) para a ação específica. No exemplo, a ação é rds:DescribeDBSnapshots.

Passo 4: Modifique a instrução para remover a Deny se ela não for mais aplicável. Para mais informações, consulte Atualizar uma política de controle de serviço (SCP).

Passo 5: Tente novamente a operação. Se continuar recebendo erros de acesso negado por razões ou políticas diferentes, repita o processo de diagnóstico.

Quando Essa Funcionalidade Estará Disponível

A atualização está sendo distribuída gradualmente em todos os serviços AWS em todas as regiões, com início previsto para o início de 2026.

Suporte e Assistência

Caso tenha dúvidas ou enfrente problemas relacionados a essa funcionalidade, entre em contato com AWS Support ou seu Technical Account Manager (TAM).

Fonte

Enhanced access denied error messages with policy ARNs (https://aws.amazon.com/blogs/security/enhanced-access-denied-error-messages-with-policy-arns/)

Novas certificações da AWS em conformidade e segurança

A Amazon Web Services (AWS) finalizou com êxito o ciclo anual de auditoria de recertificação sem achados em conformidade para um conjunto abrangente de normas internacionais. Os padrões validados incluem ISO 9001:2015, 27001:2022, 27017:2015, 27018:2019, 27701:2019, 20000-1:2018 e 22301:2019, além da certificação Cloud Security Alliance (CSA) STAR Cloud Controls Matrix (CCM) v4.0.

Ampliação do escopo de certificação

Como parte do processo de recertificação, o objetivo da auditoria foi expandir as certificações existentes para incorporar novos componentes ao escopo de validação. Dois elementos foram adicionados especificamente: a região Ásia Pacífico (Taipei) e o serviço AWS Deadline Cloud. Essas inclusões reforçam o compromisso da AWS em manter controles de segurança robustos e expandir a proteção de dados dos clientes em suas operações globais.

O que as normas ISO cobrem

As certificações ISO validadas abrangem áreas essenciais para operações em nuvem, incluindo gestão da qualidade, segurança da informação, segurança específica para ambientes em nuvem, proteção de privacidade, gestão de serviços e continuidade de negócios. Juntas, essas normas formam um framework completo que demonstra o comprometimento da AWS com padrões internacionais de segurança e confiabilidade.

Acesso às certificações e recursos

Clientes que desejam consultar a lista completa de serviços AWS certificados sob os padrões ISO e CSA STAR podem acessar a página ISO and CSA STAR Certified. Além disso, essas certificações estão disponíveis diretamente no AWS Management Console através do serviço AWS Artifact, facilitando a auditoria e conformidade para organizações que utilizam a plataforma.

Fonte

2025 ISO and CSA STAR certificates are now available with one additional service and one new region (https://aws.amazon.com/blogs/security/2025-iso-and-csa-star-certificates-are-now-available-with-one-additional-service-and-one-new-region/)

Simplificação na criação de funções IAM

A AWS Identity and Access Management (IAM) recebeu uma importante melhoria que torna o processo de criação e configuração de funções significativamente mais direto e eficiente. A novidade permite que você estabeleça e customize funções de acesso sem necessidade de alternar entre múltiplas abas ou navegadores.

Quando você realiza tarefas no console que envolvem configuração de funções, um novo painel aparece para definir as permissões necessárias. Essa abordagem integrada reduz a complexidade de um processo que tradicionalmente exigia navegação entre diferentes seções da plataforma.

Como as funções IAM funcionam

As funções do IAM desempenham um papel essencial na segurança das conexões entre serviços AWS. Elas habilitam conexões seguras entre diferentes serviços usando credenciais temporárias, eliminando completamente a necessidade de chaves de acesso hardcoded (fixas no código). Essa é uma prática de segurança fundamental em ambientes de produção.

Com essa integração, o processo de configuração de funções e permissões agora ocorre diretamente dentro dos fluxos de trabalho dos serviços, sem que você precise navegar para o console específico de IAM. Você pode tanto utilizar políticas padrão já disponíveis quanto usar um construtor simplificado de declarações para personalizar suas permissões conforme necessário.

Serviços e disponibilidade

Este recurso já está disponível ao trabalhar com os seguintes serviços AWS:

• Amazon EC2
• AWS Lambda
• Amazon EKS
• Amazon ECS
• AWS Glue
• AWS CloudFormation
• AWS Database Migration Service
• AWS Systems Manager
• AWS Secrets Manager
• Amazon Relational Database Service
• AWS IoT Core

No momento do anúncio, a funcionalidade está disponível na região US East (N. Virginia). A AWS planeja uma expansão gradual para serviços adicionais e outras regiões.

Mantendo a funcionalidade completa

A simplificação do processo não significa perda de funcionalidade. O novo painel integrado mantém toda a potência e controle fino do gerenciamento de funções IAM, permitindo que você configure permissões granulares e customize políticas com a mesma profundidade que teria acessando diretamente o console de IAM.

Para mais informações técnicas e detalhes de implementação, você pode consultar o guia do usuário de cada serviço específico ou a documentação de IAM.

Fonte

AWS simplifies IAM role creation and setup in service workflows (https://aws.amazon.com/about-aws/whats-new/2026/03/aws-simplifies-iam-role-creation-and-setup/)

Conformidade Regulatória Suíça em Destaque

A AWS anunciou a disponibilidade do relatório de atestação Type II da Autoridade Supervisora do Mercado Financeiro Suíço (FINMA) referente a 2025, cobrindo 183 serviços em seu portfólio. A FINMA estabeleceu uma série de exigências e diretrizes específicas para instituições financeiras reguladas na Suíça que utilizam serviços terceirizados na nuvem.

Uma empresa de auditoria independente emitiu o relatório com objetivo de assegurar aos clientes que o ambiente de controles da AWS foi apropriadamente estruturado e está funcionando de maneira eficaz para suportar a conformidade com os requisitos da FINMA.

Período de Cobertura e Circulares Aplicáveis

O relatório mais recente cobre um período de 12 meses, de 1º de outubro de 2024 a 30 de setembro de 2025, abrangendo as seguintes circulares regulatórias:

• Circular 2018/03 – Externalização de Serviços para bancos, seguradoras e instituições financeiras selecionadas sob a Lei FinIA
• Circular 2023/01 – Riscos Operacionais e Resiliência para bancos
• Normas mínimas de Gestão de Continuidade de Negócios (BCM) propostas pela Associação Suíça de Seguros

Novos Serviços Adicionados ao Escopo

Na versão atualizada, a AWS incluiu cinco novos serviços ao escopo de conformidade FINMA:

• Amazon Verified Permissions
• AWS B2B Data Interchange
• AWS Resource Explorer
• AWS Security Incident Response
• AWS Transform

Acessando o Relatório

Clientes podem acessar o relatório FINMA ISAE 3000 através do AWS Artifact, um portal de autoatendimento que oferece acesso sob demanda a relatórios de conformidade. Para começar, faça login no AWS Artifact no Console de Gerenciamento da AWS ou consulte a documentação de Primeiros Passos com AWS Artifact.

Responsabilidade Compartilhada em Segurança

É importante destacar que segurança e conformidade representam uma responsabilidade compartilhada entre a AWS e seus clientes. Quando organizações migram sistemas e dados para a nuvem, as responsabilidades de segurança são distribuídas entre o cliente e o provedor de serviços em nuvem. Para compreender melhor essa divisão, consulte o Modelo de Responsabilidade Compartilhada de Segurança da AWS.

Instituições financeiras na Suíça que utilizam infraestrutura da AWS podem verificar mais informações sobre os programas de conformidade e segurança em Programas de Conformidade da AWS. Dúvidas adicionais podem ser encaminhadas à equipe de conformidade através da página de contato.

Fonte

2025 FINMA ISAE 3000 Type II attestation report available with 183 services in scope (https://aws.amazon.com/blogs/security/2025-finma-isae-3000-type-ii-attestation-report-available-with-183-services-in-scope/)

O que é o Policy no AgentCore

A AWS anunciou a disponibilidade geral do Policy no Amazon Bedrock AgentCore, uma solução que oferece às organizações controles centralizados e refinados sobre como os agentes de inteligência artificial interagem com ferramentas. O diferencial dessa abordagem está em sua arquitetura: o Policy opera fora do código do agente, permitindo que equipes de segurança, conformidade e operações definam regras de acesso e validação de entrada sem necessidade de modificar o código da aplicação.

Como funciona

O fluxo é relativamente simples, mas poderoso. As equipes podem criar políticas usando linguagem natural, que são convertidas automaticamente para Cedar, a linguagem de políticas de código aberto da AWS. Essas políticas são armazenadas em um mecanismo de políticas e vinculadas a um AgentCore Gateway, que atua como intermediário das requisições.

Quando um agente tenta acessar uma ferramenta, o AgentCore Gateway intercepta a requisição, compara com as políticas definidas e decide se deve permitir ou negar o acesso. Dessa forma, todos os acessos são avaliados antes de qualquer execução ocorrer, garantindo que os agentes operem dentro de limites bem definidos, mantendo visibilidade e governança sobre as operações.

Benefícios para organizações

Essa abordagem centralizada traz várias vantagens. As equipes de segurança ganham controle fino sobre quais ferramentas cada agente pode acessar, sem necesidade de envolver desenvolvedores a cada mudança de política. A conformidade regulatória fica mais robusta, já que as regras são aplicadas de forma consistente e auditável. Além disso, operações e governança tornam-se mais ágeis, permitindo ajustes rápidos de políticas conforme a necessidade.

Disponibilidade regional

O Policy no AgentCore está disponível em treze regiões da AWS: US East (N. Virginia), US East (Ohio), US West (Oregon), Asia Pacific (Mumbai), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), Asia Pacific (Tokyo), Europe (Frankfurt), Europe (Ireland), Europe (London), Europe (Paris) e Europe (Stockholm).

Próximos passos

Organizações interessadas em começar a usar esse recurso podem acessar a documentação do Policy no AgentCore para conhecer todos os detalhes técnicos. Além disso, a AWS disponibiliza o AgentCore Starter Toolkit, um kit de início rápido que facilita os primeiros passos com a plataforma.

Fonte

Policy in Amazon Bedrock AgentCore is now generally available (https://aws.amazon.com/about-aws/whats-new/2026/03/policy-amazon-bedrock-agentcore-generally-available/)