Category: Uncategorized

O que é IAM Policy Autopilot

A AWS tornou público o IAM Policy Autopilot, uma ferramenta de análise estática disponível em código aberto. Seu propósito principal é auxiliar assistentes de IA na criação rápida de políticas de acesso (Controle de Identidade e Acesso — IAM) que servem como ponto de partida sólido, permitindo que desenvolvedores revisem e ajustem as permissões conforme suas aplicações evoluem.

A ferramenta funciona de duas formas: como comando de linha (CLI) e como servidor de protocolo de contexto de modelo (MCP). Ao analisar o código da aplicação localmente, gera políticas baseadas em identidade que controlam o acesso para as funções da aplicação. Com essa abordagem, desenvolvedores conseguem focar na escrita do código da aplicação, acelerando o desenvolvimento na AWS e economizando tempo que seria gasto com configuração de políticas de acesso e resolução de problemas de permissão.

O contexto do problema

Profissionais que desenvolvem na AWS enfrentam três desafios relacionados às permissões de IAM. Primeiro, muitos preferem dedicar tempo à construção da aplicação em vez de estudar documentações complexas sobre permissões, escrever políticas ou diagnosticar erros de acesso. Segundo, assistentes de IA para codificação — como Kiro, Claude Code, Cursor e Cline — são excelentes em gerar código de aplicação, mas enfrentam dificuldades com as nuances do IAM e necessitam de ferramentas que garantam políticas confiáveis com requisitos complexos entre múltiplos serviços. Terceiro, tanto desenvolvedores quanto seus assistentes de IA precisam manter-se atualizados com os requisitos e padrões de integração mais recentes sem precisar consultar manualmente toda a documentação da AWS.

Como o IAM Policy Autopilot responde aos desafios

A ferramenta enderça esses três pontos de forma integrada. Primeiro, executa análise determinística do código da aplicação, gerando as políticas de acesso baseadas em identidade necessárias a partir das chamadas reais do AWS SDK presentes no código. Isso agiliza a criação inicial da política e reduz o tempo de diagnóstico de problemas. Segundo, oferece aos assistentes de IA configurações confiáveis e precisas através do MCP, impedindo alucinações que frequentemente geram erros nas políticas e garantindo que as políticas geradas sejam sintaticamente corretas. Terceiro, mantém-se atualizada com o catálogo expandido de serviços da AWS, atualizando regularmente sua expertise com novos serviços, permissões e padrões de integração, garantindo que desenvolvedores e seus assistentes tenham acesso a requisitos atualizados sem pesquisa manual.

Como funciona internamente

Análise de código e geração de políticas

O IAM Policy Autopilot analisa o código da aplicação e gera políticas de acesso baseadas em identidade conforme os SDK calls da AWS detectados no código. A capacidade essencial da ferramenta reside na análise determinística que produz resultados consistentes e confiáveis. Além de mapeamentos diretos entre SDK e IAM, o Autopilot compreende relacionamentos complexos de dependência entre serviços da AWS.

Por exemplo, ao identificar uma chamada para s3.putObject(), a ferramenta não gera apenas a permissão do Amazon S3 (s3:PutObject), mas também inclui permissões do AWS KMS (kms:GenerateDataKey) que podem ser necessárias em cenários de criptografia. Ao compreender dependências entre serviços e padrões de uso comum, o Autopilot intencionalmente adiciona essas permissões relacionadas à API PutObject em sua primeira análise, garantindo que a aplicação funcione corretamente independentemente da configuração de criptografia desde a primeira implantação.

Resolução de erros de acesso negado

Após as permissões serem criadas, se ainda assim surgirem erros de Acesso Negado durante testes, o IAM Policy Autopilot os detecta e oferece diagnóstico imediato. Quando habilitado, o assistente de IA invoca o Autopilot para analisar a negação e propor correções direcionadas. Após revisão e aprovação da análise e mudanças sugeridas, o Autopilot atualiza as permissões.

Suporte a MCP e CLI

A ferramenta opera em dois modos para se adequar a diferentes fluxos de desenvolvimento. Como servidor MCP, integra-se com assistentes compatíveis, incluindo Kiro, Amazon Q Developer, Cursor, Cline e Claude Code. Também está disponível como ferramenta CLI autônoma para gerar políticas ou corrigir permissões faltantes. Ambas as abordagens oferecem as mesmas capacidades de criação e resolução de problemas.

Demonstração prática: criando uma função segura de upload de arquivos

Cenário: aplicação com Lambda e S3 criptografado

Imagine um desenvolvedor que precisa criar uma função AWS Lambda para upload de documentos em S3 com criptografia do lado do servidor usando uma chave KMS gerenciada pelo cliente. O fluxo aconteceria assim:

Passo 1: O desenvolvedor descreve os requisitos

O desenvolvedor comunica ao assistente Cline: “Preciso criar uma função Lambda para fazer upload de arquivos para S3. Os arquivos devem ser criptografados usando uma chave KMS gerenciada pelo cliente. Pode ajudar?”

Passo 2: O assistente planeja a solução

O Cline responde descrevendo o plano: criar a função Lambda, configurar integração com S3 com criptografia KMS gerenciada pelo cliente, criar as permissões IAM necessárias e construir a infraestrutura usando CDK.

Passo 3: O assistente escreve o código Lambda

O Cline gera o arquivo uploadHandler.js:

const { S3Client, PutObjectCommand } = require('@aws-sdk/client-s3');
const s3Client = new S3Client({ region: 'us-west-2' });

exports.handler = async (event) => {
  const { fileName, fileContent } = JSON.parse(event.body);
  const putObjectParams = {
    Bucket: process.env.BUCKET_NAME,
    Key: fileName,
    Body: fileContent,
    ServerSideEncryption: 'aws:kms',
    SSEKMSKeyId: process.env.KMS_KEY_ID
  };

  try {
    await s3Client.send(new PutObjectCommand(putObjectParams));
    return {
      statusCode: 200,
      body: JSON.stringify({ message: 'File uploaded successfully' })
    };
  } catch (error) {
    return {
      statusCode: 500,
      body: JSON.stringify({ error: error.message })
    };
  }
};

Passo 4: O assistente descobre o IAM Policy Autopilot

O Cline reconhece que precisa criar a função IAM com as permissões corretas e descobre que tem acesso ao MCP server do IAM Policy Autopilot. Invoca a ferramenta solicitando análise do código para gerar políticas.

Passo 5: A ferramenta analisa e gera a política

O IAM Policy Autopilot escaneia o código, identifica a chamada PutObjectCommand (API do S3) e, baseado em padrões típicos de uso dos clientes AWS, também sugere permissões de criptografia e permissões de CloudWatch Logs. Gera a seguinte política de acesso:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::*/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:us-west-2:123456789012:*"
    }
  ]
}

Passo 6: O assistente cria a infraestrutura completa

Com as permissões geradas, o Cline procede à criação do template CloudFormation com a política fornecida pelo Autopilot. O desenvolvedor recebe uma solução completa pronta para implantação.

Uso direto via CLI: geração simplificada

Para quem prefere interação direta com linha de comando, a ferramenta oferece as mesmas capacidades de análise sem necessidade de assistente de IA. Com o arquivo uploadHandler.js existente, basta executar:

$ iam-policy-autopilot generate-policy --region us-west-2 --account 123456789012 --pretty Users/user/workspace/uploadHandler.js

O comando produz a mesma política JSON anterior, que pode ser copiada diretamente para templates CloudFormation, AWS CDK ou configurações Terraform. Essa abordagem CLI integra-se naturalmente em fluxos de linha de comando e pipelines de implantação automatizados.

Boas práticas e considerações importantes

Comece com as políticas geradas e refine

O IAM Policy Autopilot gera políticas que priorizam funcionalidade sobre permissões mínimas, assegurando que as aplicações executem com sucesso desde a primeira implantação. Essas políticas representam um ponto de partida sólido que pode ser refinado conforme a aplicação amadurece. Recomenda-se revisar as políticas geradas para garantir alinhamento com requisitos de segurança antes da implantação em produção.

Compreender o escopo de análise

O Autopilot destaca-se na identificação de chamadas diretas ao AWS SDK, fornecendo cobertura abrangente de políticas para a maioria dos cenários de desenvolvimento. Porém, há limitações. Se o código chama s3.getObject(bucketName) onde o bucketName é determinado em tempo de execução, o Autopilot atualmente não prevê qual bucket será acessado. Para aplicações usando bibliotecas terceirizadas que envolvem SDKs da AWS, pode ser necessário complementar a análise com revisão manual.

Atualmente, o IAM Policy Autopilot foca em políticas baseadas em identidade para funções e usuários IAM, mas não cria políticas baseadas em recursos, como políticas de bucket S3 ou políticas de chave KMS.

Integrar com fluxos IAM existentes

O Autopilot funciona melhor como parte de uma estratégia IAM abrangente. Use-o para gerar políticas funcionais rapidamente, depois empregue outras ferramentas da AWS para refinamento contínuo. Por exemplo, o AWS IAM Access Analyzer ajuda a identificar permissões não utilizadas ao longo do tempo. Essa combinação cria um fluxo desde implantação rápida até otimização com privilégio mínimo.

Entender a divisão entre ferramenta e assistente

O IAM Policy Autopilot gera políticas com ações específicas baseadas em análise determinística. Quando integrado como servidor MCP com um assistente de IA, o assistente recebe essa política e pode modificá-la ao criar templates de infraestrutura como código. Essas mudanças vêm da interpretação do assistente sobre o contexto mais amplo do código, não da análise estática fornecida pelo Autopilot. Sempre revise o conteúdo gerado pelo assistente antes da implantação para verificar conformidade com requisitos de segurança.

Escolher a abordagem de integração correta

Use a integração servidor MCP ao trabalhar com assistentes de IA para criação contínua e natural de políticas. A ferramenta CLI funciona bem para processamento em lote ou quando há preferência por interação direta. Ambas oferecem as mesmas capacidades analíticas — a escolha depende das preferências do fluxo de desenvolvimento.

Conclusão

O IAM Policy Autopilot transforma o gerenciamento de políticas de acesso de um desafio de desenvolvimento em uma capacidade automatizada que funciona perfeitamente nos fluxos existentes. Ao utilizar análise determinística de código e capacidades de criação de políticas, desenvolvedores conseguem focar na construção de aplicações confiando que possuem as permissões necessárias para executar com sucesso na AWS.

Seja através da integração servidor MCP com assistentes de IA ou pela abordagem direta de CLI, o Autopilot identifica dependências comuns entre serviços (como operações S3 com criptografia KMS), gera políticas sintaticamente corretas e permanece atualizado conforme o catálogo de serviços da AWS se expande. O resultado prático: ciclos de implantação mais rápidos, menos falhas relacionadas a permissões e maior tempo dedicado à criação de valor ao negócio em vez de depuração de problemas de acesso.

A ferramenta está disponível agora, sem custo adicional. Para começar, faça o download do repositório GitHub e experimente como a criação automatizada de políticas pode acelerar o desenvolvimento na AWS.

Fonte

IAM Policy Autopilot: An open-source tool that brings IAM policy expertise to builders and AI coding assistants (https://aws.amazon.com/blogs/security/iam-policy-autopilot-an-open-source-tool-that-brings-iam-policy-expertise-to-builders-and-ai-coding-assistants/)

Segurança aprimorada no Amazon SES com VPC endpoints

A Amazon Web Services anunciou uma novidade importante para o Simple Email Service (SES): o suporte para acessar endpoints de API através de Virtual Private Cloud (VPC) endpoints. Essa funcionalidade permite que clientes da AWS trabalhem com as APIs do SES de forma mais segura, mantendo o tráfego isolado dentro de suas redes privadas.

O que muda na prática

Até agora, empresas que executavam suas aplicações dentro de uma VPC precisavam configurar um Internet Gateway para acessar o SES. Essa abordagem funcionava, mas criava um potencial risco de segurança: o tráfego da VPC era exposto à internet para atingir os endpoints públicos do serviço de email.

Com os VPC endpoints, esse cenário muda significativamente. As organizações agora conseguem acessar as APIs do SES — utilizadas para enviar emails e gerenciar configurações de recursos — sem necessidade de um Internet Gateway. Isso reduz drasticamente as chances de exposição de atividades da VPC à internet pública.

Recursos disponíveis e alcance

Os VPC endpoints para o SES funcionam tanto para operações de envio de emails quanto para gerenciamento de configurações do serviço. A AWS disponibilizou este recurso em todos os AWS Regions onde o SES opera, garantindo consistência global.

Para equipes interessadas em implementar essa solução em suas infraestruturas, a AWS fornece documentação técnica completa. Mais detalhes sobre como configurar os VPC endpoints com Amazon SES estão disponíveis na documentação oficial.

Impacto para o setor

Essa adição reforça o compromisso da AWS em oferecer opções de segurança mais robustas para empresas que utilizam seus serviços. Para organizações em setores regulados ou com requisitos rigorosos de conformidade, a capacidade de manter tráfego sensível isolado dentro de redes privadas é um passo importante na redução de vetores de ataque e exposição potencial de dados.

Fonte

Amazon SES adds VPC support for API endpoints (https://aws.amazon.com/about-aws/whats-new/2025/12/amazon-ses-vpc-api-endpoints/)

Etiquetagem de backups automatizados no RDS e Aurora

A AWS expandiu as capacidades de gerenciamento de recursos nos serviços RDS (Relational Database Service) e Aurora. Agora é possível atribuir tags aos backups automatizados independentemente da instância ou cluster de banco de dados de origem. Essa mudança oferece mais flexibilidade para organizar, controlar e rastrear a infraestrutura de dados na nuvem.

O que muda com as tags de backups automatizados

Anteriormente, as tags estavam vinculadas apenas à instância ou cluster pai. Com esse novo recurso, os backups ganham autonomia na etiquetagem. Isso significa que você pode aplicar diferentes conjuntos de tags aos backups automatizados, criando uma estrutura mais granular de controle e organização.

Como utilizar as tags

A etiquetagem pode ser realizada por meio do AWS Management Console, da API ou do SDK. Uma vez aplicadas as tags aos backups, elas funcionam como critério para políticas IAM, permitindo controle de acesso baseado em atributos (ABAC — Attribute-Based Access Control). Com isso, você define quem pode descrever, deletar ou restaurar backups específicos com base nas tags associadas.

Benefícios práticos de gerenciamento

As tags funcionam como categorias para organizar recursos por aplicação, projeto, departamento, ambiente ou qualquer outra dimensão relevante para seu negócio. Um exemplo prático: você pode criar tags específicas de aplicação para controlar permissões sobre os backups dessa aplicação e, simultaneamente, rastrear quanto ela está custando em termos de armazenamento de backups.

Esse nível de granularidade simplifica o rastreamento de custos e o gerenciamento de permissões, especialmente em ambientes com múltiplas equipes ou aplicações compartilhando a mesma infraestrutura.

Disponibilidade e documentação

O recurso está disponível em todas as regiões AWS, incluindo as regiões AWS GovCloud (US). Para aprofundar-se na implementação, a AWS oferece documentação completa sobre etiquetagem de recursos do Amazon Aurora e etiquetagem de recursos do Amazon RDS, além de um guia sobre como usar tags para controle de acesso baseado em atributos.

Fonte

Amazon RDS and Aurora now support resource tagging for Automated Backups (https://aws.amazon.com/about-aws/whats-new/2025/12/rds-aurora-resource-tagging-automated-backups/)

Uma integração estratégica para pesquisa mais eficiente

A AWS anunciou uma nova integração entre o Amazon Quick Research e a S&P Global. Esta integração oferece aos clientes do Quick Research acesso tanto aos dados de energia, pesquisa e insights da S&P Global quanto à inteligência de mercado da empresa, tudo consolidado em um único agente de pesquisa profundo.

A integração com a S&P Global expande significativamente as capacidades do Quick Research, permitindo que profissionais de negócios analisem múltiplas fontes de dados — incluindo notícias globais de energia e inteligência financeira premium — em um único espaço de trabalho. O resultado prático é a eliminação da necessidade de alternar entre plataformas diferentes, transformando semanas de pesquisa em minutos de geração de insights focados.

O Quick Suite, que integra informações de repositórios internos, aplicações populares, serviços da AWS e, através do Protocolo de Contexto de Modelo (MCP), conexões com mais de 1.000 aplicativos, está reformulando como o trabalho é executado. Esta aplicação de IA agentica transforma a forma como equipes encontram insights, conduzem pesquisas profundas, automatizam tarefas, visualizam dados e executam ações entre diferentes aplicativos.

A arquitetura da solução

Implementações MCP inovadoras

A S&P Global desenvolveu duas implementações de servidor MCP na AWS, permitindo que organizações integrem facilmente conteúdo confiável de serviços financeiros e energia em fluxos de trabalho alimentados por IA. A abordagem mantém a qualidade, segurança e confiabilidade que líderes de negócios exigem.

S&P Global Energy: inteligência abrangente em commodities e energia

A integração S&P Global Energy, agora disponível no Amazon Quick Research, utiliza um servidor MCP de Dados Prontos para IA para entregar acesso abrangente à inteligência de mercado de commodities e energia. Essa inteligência abrange setores de Óleo, Gás, Energia, Metais, Energia Limpa, Agricultura e Transporte Marítimo em mercados globais.

Construída sobre a reputação da S&P Global como autoridade confiável de mercado, a solução utiliza centenas de milhares de documentos criados por especialistas — incluindo análises, comentários e artigos de notícias — que refletem décadas de expertise industrial. A solução oferece uma perspectiva única multihorizontal, proporcionando inteligência desde atualizações diárias de mercado até projeções de um ano, estendendo-se a análises de cenários de 20 anos ou mais.

Com dados atualizando a cada 30 minutos, líderes de negócios ganham acesso quase em tempo real à inteligência de commodities e energia, acelerando dramaticamente a velocidade de decisão ao explorar desafios regulatórios, oportunidades de investimento ou implicações ambientais.

S&P Global Market Intelligence: inteligência financeira confiável

A integração S&P Global Market Intelligence, também disponível no Amazon Quick Research, utiliza o servidor MCP de API pronta para LLM desenvolvido pela Kensho, o hub de inovação em IA da S&P Global. Este servidor MCP torna dados financeiros confiáveis acessíveis através de consultas em linguagem natural, integrando-se perfeitamente ao Amazon Quick Research.

Profissionais de finanças podem acessar S&P Capital IQ Financials, transcrições de chamadas de resultados, informações de empresas, transações e muito mais, simplesmente fazendo perguntas. A solução Kensho aborda um desafio crítico em serviços financeiros: tornar repositórios vastos de dados financeiros imediatamente acessíveis sem exigir linguagens de consulta complexas ou expertise técnica.

Equipes de engenharia, produto e negócios economizam tempo e recursos significativos ao transformar o que antes exigia horas de extração de dados em consultas conversacionais que retornam informações precisas e confiáveis em segundos.

Detalhes técnicos da implementação

Fluxo de arquitetura

Quando usando uma das integrações S&P, o tráfego flui do Quick Research através do Amazon API Gateway para um Balanceador de Carga de Aplicação AWS com os serviços MCP hospedados no Amazon Elastic Kubernetes Service (Amazon EKS). O servidor MCP utiliza dados hospedados no Amazon S3 e no Serviço de Banco de Dados Relacional AWS para PostgreSQL para dados estruturados, e no Amazon OpenSearch Service para armazenamento vetorial. Esta arquitetura oferece servidores MCP prontos para empresas com segurança em profundidade, dimensionamento automatizado e observabilidade abrangente.

O MCP é um padrão aberto que suporta comunicação perfeita entre agentes de IA e fontes de dados externas, ferramentas e serviços. Opera em uma arquitetura cliente-servidor em que servidores MCP tratam chamadas de ferramentas — normalmente compostas por múltiplas chamadas de API — e expõem implementações de lógica de negócios como funções chamáveis. Isso permite que agentes de IA descubram capacidades dinamicamente, negociem recursos e compartilhem contexto de forma segura, atendendo a todos os requisitos críticos para aplicações de nível empresarial.

Componentes principais da solução

Pipeline automatizado de dados com Amazon Bedrock: No coração da solução está um pipeline de ingestão de dados de Geração Aumentada por Recuperação (RAG) usando o Amazon Bedrock. Este pipeline transforma dados brutos de mercado em Dados Prontos para IA. Documentos dos repositórios proprietários da S&P Global passam por pré-processamento, fragmentação e enriquecimento antes de serem convertidos em embeddings vetoriais usando o modelo Cohere Embed hospedado em Bedrock. O pipeline de ingestão executa em base agendada, atualizando o armazenamento vetorial OpenSearch a cada 30 minutos para acesso quase em tempo real aos dados de energia.

Busca vetorial e semântica: O Amazon OpenSearch serve como banco de dados vetorial, armazenando embeddings gerados pelo Bedrock e habilitando capacidades de busca semântica nos dados de energia da S&P Global. O armazenamento vetorial OpenSearch é otimizado para operações vetoriais de alta dimensionalidade, suportando buscas de similaridade rápidas que potencializam a capacidade dos servidores MCP de recuperar informações contextualmente relevantes em resposta a consultas em linguagem natural.

Resiliência e escala: A solução utiliza Amazon EKS para hospedar todas as soluções de servidor MCP com dois clusters de produção habilitando divisão de tráfego e capacidades de failover. Esta abordagem de cluster duplo oferece disponibilidade contínua mesmo durante falhas inesperadas. Tanto o Cluster Autoscaler quanto o Horizontal Pod Autoscaler habilitam dimensionamento dinâmico baseado em demanda. Os servidores MCP são construídos com o framework FastMCP, oferecendo endpoints HTTP de alto desempenho que em conformidade com a especificação de Transporte HTTP Fluxível exigida pelo protocolo MCP.

Segurança em camadas: A segurança é integrada em cada camada da solução. O API Gateway serve como endpoint para acesso ao servidor MCP. O provedor de identidade empresarial da S&P Global é utilizado para autenticação OAuth. O API Gateway é ainda protegido com o Firewall de Aplicação Web AWS (WAF) com detecção avançada de ameaças. As funções e políticas do AWS IAM impõem princípios de privilégio mínimo, garantindo que cada componente tenha apenas as permissões que necessita. O AWS Secrets Manager armazena de forma segura credenciais para acessar recursos e serviços AWS. Os Grupos de Segurança AWS e as configurações de VPC oferecem isolamento de rede, enquanto TLS 1.2+ com o AWS Certificate Manager valida que todos os dados em trânsito permanecem criptografados. Essa segurança multicamada inclui controles de segurança em profundidade.

Observabilidade: O Amazon CloudWatch oferece registro centralizado, coleta de métricas e monitoramento em tempo real de todo o pipeline, desde ingestão de dados até respostas de servidor MCP. O AWS CloudTrail captura logs de atividade de API detalhados e trilhas de auditoria, essenciais para conformidade em indústrias reguladas.

Conclusão

Juntos, esses servidores MCP construídos na AWS e integrados ao Amazon Quick Research demonstram a visão da S&P Global para o futuro de serviços financeiros e inteligência de energia: manter a confiança, precisão e profundidade que líderes de negócios exigem enquanto abraçam o potencial transformador da IA para tornar essa inteligência mais acessível, acionável e integrada em fluxos de trabalho modernos.

Próximos passos

Para mais detalhes sobre como começar, consulte a documentação de Dados de Terceiros do Quick Research.

Fonte

S&P Global Data integration expands Amazon Quick Research capabilities (https://aws.amazon.com/blogs/machine-learning/sp-global-data-integration-expands-amazon-quick-research-capabilities/)

Automação inteligente em migrações do VMware

A AWS expandiu as capacidades do AWS Transform com poderosos recursos de IA agêntica para automatizar migrações do VMware para a plataforma. O agente de migração funciona em colaboração com as equipes técnicas, compreendendo as prioridades empresariais e orquestrando de forma inteligente o planejamento e a migração de centenas de aplicações distribuídas em milhares de servidores. Essa abordagem reduz significativamente o esforço manual, o tempo total de projeto e a complexidade operacional.

Descoberta e priorização intelligent

O agente agora consegue descobrir automaticamente o ambiente on-premises e priorizar as aplicações para migração usando diversas fontes de dados. Ele integra informações do AWS Transform discovery tool, dados de inventário provenientes de ferramentas de descoberta de terceiros e informações não estruturadas, como documentos, anotações e regras de negócio.

Uma vez coletados esses dados, o agente analisa os detalhes de infraestrutura, banco de dados e aplicações, mapeando dependências entre componentes. Com base nessa análise, gera planos de migração agrupados conforme prioridades empresariais e técnicas — considerando propriedade, departamento, função, subnet e sistemas operacionais.

Geração de configurações de rede

O agente é capaz de gerar configurações de rede em topologias hub-and-spoke ou isoladas, oferecendo opções flexíveis de gerenciamento de endereços IP. Além disso, suporta deployment em múltiplas contas da AWS e gera configurações de rede alinhadas com landing zones da empresa. O serviço migra também infraestrutura de rede de ambientes como NSX, Palo Alto, Fortigate e Cisco ACI.

Migração segura e iterativa

A migração dos servidores para a AWS ocorre de forma segura e iterativa, em ondas sucessivas, com atualizações claras de progresso durante todo o deployment. O agente suporta a migração de servidores x86 Windows e Linux, hipervisores como VMware, HyperV, Nutanix e KVM, além de ambientes bare-metal em múltiplas contas de destino.

Interação e colaboração durante a migração

Ao longo de toda a jornada de migração, as equipes podem fazer perguntas ao agente e orientar suas decisões — como repetir ou pular etapas ou ajustar planos conforme necessário. Para simplificar aprovações internas, o agente gera um relatório detalhado contendo o plano de migração e o mapeamento completo de redes, servidores e aplicações.

Disponibilidade e escopo

Essas novas capacidades estão disponíveis em todas as Regiões da AWS onde o AWS Transform é oferecido, com suporte para migração de servidores e redes para 16 Regiões da AWS. Para explorar a ferramenta, você pode acessar a página do produto e o guia do usuário, além de começar com o AWS Transform.

Benefícios práticos

Com o AWS Transform, as organizações conseguem acelerar o tempo para gerar valor, reduzir riscos e diminuir a complexidade operacional de migrações do VMware. A combinação de automação, inteligência artificial e colaboração interativa torna toda a operação mais previsível, rápida e menos propensa a erros.

Fonte

AWS Transform adds new agentic AI capabilities for enterprise VMware migrations (https://aws.amazon.com/about-aws/whats-new/2025/12/transform-vmware-agentic-ai-enterprise-migration/)

Novos processadores Graviton5 para EC2

A AWS anunciou nesta semana a disponibilidade em prévia das novas instâncias M9g do Amazon EC2, equipadas com os processadores AWS Graviton5. Trata-se da evolução mais recente da linha de processadores Graviton, desenvolvidos especificamente pela AWS para entregar o melhor custo-benefício em cargas de trabalho rodando no Amazon EC2.

Melhorias de desempenho

As instâncias M9g trazem ganhos significativos em relação à geração anterior (M8g, baseada em Graviton4). Segundo a empresa, os novos processadores oferecem até 25% melhor desempenho de computação. Além disso, proporcionam maior largura de banda tanto para rede quanto para o Amazon EBS (Elastic Block Store, o serviço de armazenamento em blocos da AWS).

Em cenários específicos, os ganhos são ainda mais expressivos: as instâncias M9g apresentam até 35% de velocidade maior para aplicações web e até 35% de aceleração para cargas de machine learning. Para bancos de dados, o ganho chega a 30%.

Arquitetura e recursos

Essas instâncias foram construídas sobre o AWS Nitro System, um conjunto de inovações em hardware e software desenvolvidas pela AWS. O Nitro System é projetado para viabilizar serviços em nuvem eficientes, flexíveis e seguros, com suporte a multitenância isolada, redes privadas e armazenamento local de rápido acesso.

Casos de uso

De acordo com a AWS, as instâncias Amazon EC2 M9g são ideais para uma variedade de cargas de trabalho, incluindo servidores de aplicação, microsserviços, servidores de gaming, armazenamentos de dados de médio porte e frotas de cache.

Próximos passos

Quem deseja explorar essas novas instâncias pode solicitar acesso à prévia através da página de instâncias M9g. Para quem está começando sua jornada com processadores Graviton, a AWS disponibiliza recursos complementares sobre como potencializar seu compute com AWS Graviton.

Fonte

Announcing new Amazon EC2 M9g instances powered by AWS Graviton5 processors (Preview) (https://aws.amazon.com/about-aws/whats-new/2025/12/ec2-m9g-instances-graviton5-processors-preview/)

O contexto de segurança em expansão com IA

A conferência re:Invent 2025 trouxe consigo um importante reconhecimento sobre a evolução das despesas em segurança corporativa. Conforme apontam dados de pesquisa do mercado, as organizações devem aumentar seus investimentos em segurança de forma substancial nos próximos anos. O panorama de investimentos reflete uma preocupação crescente das empresas em proteger suas implementações de inteligência artificial generativa enquanto expandem suas operações digitais. Esse direcionamento de recursos demonstra como a segurança permanece como prioritária nas estratégias de transformação digital, especialmente em um cenário onde as tecnologias de IA se tornam cada vez mais centrais nos negócios.

A AWS respondeu a essa demanda apresentando uma abordagem integrada que combina inteligência artificial, machine learning e automação para fortalecer a segurança de forma proativa. As inovações anunciadas cobrem múltiplas camadas de proteção — desde aplicações até infraestrutura, passando por redes e dados — criando uma defesa em profundidade capaz de enfrentar ameaças sofisticadas, vulnerabilidades emergentes e configurações incorretas que possam interromper operações.

Agentes de segurança com IA integrados aos fluxos de trabalho

Uma das principais novidades apresentadas foi a incorporação de agentes de IA diretamente nos processos de segurança corporativa. Esses agentes executam tarefas especializadas como revisões de código, consolidação de sinais de resposta a incidentes e proteção de acesso para outros agentes autônomos.

AWS Security Agent — segurança desde o design

O AWS Security Agent funciona como um agente de fronteira que atua de forma proativa durante todo o ciclo de desenvolvimento das aplicações. Sua função inclui realizar revisões automatizadas de segurança adaptadas aos requisitos específicos de cada organização, além de oferecer testes de penetração sob demanda com contexto específico do ambiente. Ao validar continuamente a segurança desde a fase de design até o lançamento em produção, esse agente contribui para prevenir vulnerabilidades nos estágios iniciais do desenvolvimento, reduzindo riscos e custos de remediação posterior.

Resposta a incidentes com capacidades agentic

O AWS Security Incident Response traz capacidades de investigação potencializadas por IA agentic, projetadas para aprimorar e acelerar a resposta a eventos de segurança, bem como o tempo de recuperação. A automação nesse nível permite que equipes de segurança se dediquem a tarefas estratégicas enquanto o sistema executa investigações em paralelo.

Controle de identidade para agentes IA

O AgentCore Identity agora oferece autenticação melhorada que proporciona controles de acesso específicos para agentes IA. Esses controles determinam precisamente com quais serviços e dados os agentes podem interagir, respeitando permissões e atributos do usuário. Estabelecer limites granulares sobre como agentes autônomos interagem com aplicações corporativas diminui significativamente os riscos de acesso não autorizado ou exposição de dados.

Detecção de ameaças impulsionada por machine learning e automação

Os modelos de machine learning e processos automatizados agora aceleram a detecção de ameaças em mais ambientes da AWS. Essa capacidade permite identificar correlações que seriam difíceis de discernir manualmente, especialmente em ataques sofisticados com múltiplas etapas coordenadas, operando em escala.

Detecção estendida para EC2 e ECS

O GuardDuty extended threat detection para EC2 e ECS utiliza algoritmos avançados de IA e machine learning para identificar ataques sofisticados em múltiplas etapas direcionados a contas AWS, cargas de trabalho e dados em máquinas virtuais, contêineres e ambientes sem servidor. A automatização reduz o tempo necessário ao correlacionar sinais de diferentes fontes em sequências consolidadas, facilitando a análise de investigadores.

Proteção contra malware em backups

O GuardDuty malware protection para AWS Backup realiza varreduras automáticas de backups de EC2, EBS e S3 em busca de malware. Esse serviço ajuda as organizações a identificar seu último backup conhecido como limpo, minimizando interrupções durante o processo de recuperação. Adicionalmente, suporta varredura incremental de novos dados entre execuções de backup, otimizando tempo e recursos.

Análise em tempo quase real da postura de segurança

O Security Hub com análise em tempo quase real correlaciona sinais de segurança de múltiplas fontes — Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM e Amazon Macie — oferecendo análise de risco praticamente em tempo real. Essa unificação de sinais simplifica as operações de segurança em nuvem, permitindo uma visão consolidada e acionável da postura de proteção.

Gerenciamento de identidades e acesso centrado em agentes

Os controles de acesso inteligente estão redefinindo a forma como as organizações gerenciam identidades e permissões. Essas soluções automatizam a geração de políticas e elevam o nível de maturidade em modelos de confiança zero, tornando mais acessível o uso dos serviços AWS.

Geração automática de políticas de IAM

O IAM policy autopilot permite que assistentes de código com IA criem rapidamente políticas de IAM (Gerenciamento de Identidades e Acesso) de linha de base, que as equipes podem refinar conforme a aplicação evolui. Essa abordagem acelera o processo de desenvolvimento sem comprometer os padrões de segurança.

Federação de identidades para serviços externos

O Outbound identity Federation permite que clientes de IAM façam federação segura de suas identidades AWS com serviços externos. Essa capacidade facilita a autenticação de cargas de trabalho AWS com provedores de nuvem, plataformas SaaS e aplicações hospedadas internamente, ampliando a interoperabilidade.

Acesso privado ao console AWS

O Private access sign-in roteia 100% do tráfego do console através de endpoints de VPC em vez de internet pública, utilizando roteamento inteligente para manter a segurança sem prejudicar o desempenho. Essa abordagem fornece camada adicional de proteção para acessos administrativos.

Acesso programático para desenvolvimento local

O Login para desenvolvimento local AWS permite que desenvolvedores utilizem suas credenciais de console existentes para acessar programaticamente a AWS em ambientes de desenvolvimento local. Essa simplificação reduz a complexidade de gerenciamento de credenciais sem sacrificar a segurança.

Transformação da segurança através de IA e automação

Coletivamente, esses avanços em IA e machine learning transformam a segurança de um modelo reativo e manual para um modelo proativo e escalável. As organizações conseguem agora operacionalizar a busca de ameaças e avançar sua postura de segurança mesmo enquanto expandem sua pegada digital. A confiança que as organizações depositam em segurança nativa de nuvem valida essa abordagem. Pesquisa com 2.800 profissionais de segurança e TI tomadores de decisão patrocinada pela AWS revelou dados significativos sobre essa percepção: 81% concordam que as capacidades nativas de segurança e conformidade de seu provedor de nuvem primário superam o que suas equipes conseguiriam entregar de forma independente. Adicionalmente, 56% responderam que nuvem pública está melhor posicionada para entregar segurança em comparação com 37% que selecionaram infraestrutura local, e 51% acreditam que nuvem pública está melhor preparada para atender regulamentações versus 41% que selecionaram ambientes on-premises.

A nuvem permanece como fundação sobre a qual organizações constroem seus negócios, e a AWS segue ampliando seu portfólio de inovações em segurança que reforçam essa fundação. As capacidades apresentadas na re:Invent 2025 refletem essa trajetória contínua de evolução, especialmente no contexto de organizações que buscam proteger suas investidas em inteligência artificial enquanto escalam suas operações digitais.

Fonte

AWS launches AI-enhanced security innovations at re:Invent 2025 (https://aws.amazon.com/blogs/security/aws-launches-ai-enhanced-security-innovations-at-reinvent-2025/)

Integração entre AgentCore Gateway e API Gateway

O desafio de levar dados corporativos para contexto de requisições a modelos de linguagem grandes (LLMs) mantém organizações atentas à segurança e conformidade com políticas empresariais. Para padronizar e proteger essas interações, muitas empresas adotam o Model Context Protocol (MCP), uma especificação que define como aplicações agentic se conectam seguramente a fontes de dados e ferramentas.

Embora o MCP tenha se mostrado vantajoso para novos casos de uso, organizações enfrentam desafios ao trazer seus ecossistemas de API existentes para a era agentic. Enquanto o MCP consegue envolver APIs existentes, isso exige trabalho adicional: tradução de requisições de MCP para REST, garantia de segurança em todo o fluxo e aplicação de observabilidade necessária para ambientes de produção.

A AWS anunciou que o Amazon Bedrock AgentCore Gateway agora suporta o Amazon API Gateway como alvo, traduzindo requisições MCP para o AgentCore Gateway em chamadas REST para o API Gateway. Isso permite expor endpoints de API novos e existentes a aplicações agentic usando MCP, com segurança e observabilidade já integradas.

O que mudou: Suporte a API Gateway no AgentCore Gateway

O AgentCore Gateway agora suporta tipos de alvo existentes ampliados com API Gateway, além de funções Lambda, esquemas OpenAPI, modelos Smithy e servidores MCP. Muitos clientes AWS construíram ecossistemas extensos de APIs usando API Gateway, conectando backends em diversas aplicações. Conforme as empresas evoluem para aplicações agentic de próxima geração, a evolução natural é expor essas APIs existentes e ferramentas de backend para sistemas alimentados por inteligência artificial, permitindo integração perfeita entre infraestrutura estabelecida e agentes inteligentes modernos.

Essa integração entre AgentCore Gateway e API Gateway simplifica a conexão entre os dois serviços. Permite direcionar diretamente o API Gateway, sem necessidade de exportar APIs do API Gateway como especificação OpenAPI 3 e depois adicioná-las ao AgentCore Gateway como alvo OpenAPI. Com essa integração, um novo tipo de alvo API_GATEWAY é adicionado ao AgentCore Gateway, eliminando o processo manual de exportação e importação.

Proprietários de APIs REST podem adicionar sua API como alvo do AgentCore Gateway com poucas interações no console ou um único comando CLI, expondo sua API REST existente como ferramentas MCP através do AgentCore Gateway. Consumidores de API podem então conectar agentes de IA a essas APIs REST via Model Context Protocol (MCP) e potencializar seus fluxos de trabalho com integração de IA.

Segurança e observabilidade

A integração entre AgentCore Gateway e API Gateway oferece suporte a autorização por IAM e chave de API. Tanto AgentCore Gateway quanto API Gateway possuem integrações com Amazon CloudWatch Logs, AWS CloudTrail e AWS X-Ray para observabilidade. Desenvolvedores de agentes que usam essa nova capacidade entre AgentCore Gateway e API Gateway podem aproveitar essas ferramentas de observabilidade.

Configuração e implementação

Este tópico apresenta como configurar uma API REST existente no API Gateway como alvo para AgentCore Gateway, permitindo usar APIs REST existentes como ferramentas para aplicações agentic expostas através do AgentCore Gateway.

Pré-requisitos

Para este exemplo, você precisa de:

• Uma conta AWS com uma API REST existente no API Gateway
• Uma função ou usuário Identity and Access Management (IAM) com permissões suficientes para criar um AgentCore Gateway e configurar um alvo API Gateway

Gateways e alvos podem ser criados de múltiplas formas:

• Console de Gerenciamento AWS
• AWS SDK para Python (Boto3)
• Interface de Linha de Comando AWS (AWS CLI)
• Kit de ferramentas AgentCore starter para configuração rápida e direta

Este artigo utiliza Boto3 para configurar a integração entre AgentCore Gateway e API Gateway. Para um guia interativo, você pode usar o exemplo de Jupyter Notebook no GitHub.

Configuração de autorização de entrada e saída

Configure os pré-requisitos para autorização de entrada e saída. Autorização de entrada autentica requisições de usuários recebidas. Autorização de saída ajuda AgentCore Gateway a conectar-se seguramente a alvos de gateway, como API Gateway, em nome do usuário autenticado.

Para API Gateway como alvo, AgentCore Gateway oferece suporte aos seguintes tipos de autorização de saída:

• Sem autorização (não recomendado) — Alguns tipos de alvo oferecem a opção de contornar autorização de saída. Essa opção menos segura não é recomendada.
• Autorização baseada em IAM — Use a função de serviço do gateway para autorizar acesso ao alvo de gateway com AWS Signature Version 4 (Sig V4).
• Chave de API — Use a chave de API configurada usando AgentCore Identity para autorizar acesso ao alvo API Gateway. Chaves de API criadas usando um API Gateway mapeado com planos de uso API Gateway ajudam a monitorar e controlar o uso da API.

Criar um papel IAM

Crie uma função IAM com a política de confiança da documentação. Para autorização de saída com autorização baseada em IAM, a política deve incluir a permissão execute-api:Invoke.

Exemplo de política inline:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "execute-api:Invoke"
      ],
      "Resource": "arn:aws:execute-api:{AWS_Region}:{AWS_Account_ID}:api-id/stage/METHOD_HTTP_VERB/resource-path",
      "Effect": "Allow"
    }
  ]
}

Para autorização por chave de API, crie uma chave de API e associe-a ao seu plano de uso API Gateway. Depois, crie um provedor de credencial de chave de API com AgentCore Identity. Uma vez feito isso, atualize a política conforme descrito na documentação do AgentCore Gateway.

Criar um AgentCore Gateway

Ao usar o kit de ferramentas AgentCore starter, você pode criar um gateway com uma configuração de autorização padrão usando Amazon Cognito para autorização de entrada baseada em JWT.

import boto3

gateway_client = boto3.client('bedrock-agentcore-control')

auth_config = {
  "customJWTAuthorizer": {
    "allowedClients": [''],
    "discoveryUrl": 
  }
}

create_response = gateway_client.create_gateway(
  name='sample-ac-gateway',
  roleArn='',
  protocolType='MCP',
  protocolConfiguration={
    'mcp': {
      'supportedVersions': ['2025-03-26'],
      'searchType': 'SEMANTIC'
    }
  },
  authorizerType='CUSTOM_JWT',
  authorizerConfiguration=auth_config,
  description='AgentCore Gateway with API Gateway target'
)

print(create_response)

gatewayID = create_response["gatewayId"]
gatewayURL = create_response["gatewayUrl"]
print(gatewayID)

Isso retorna um GATEWAY_ID que você precisará para criar o alvo do gateway.

Criar um alvo do AgentCore Gateway

Para criar um alvo API Gateway, você precisa especificar o seguinte como parte da configuração de alvo:

• toolFilters — Use para determinar quais recursos da API REST serão expostos como ferramenta no gateway. Os filtros também suportam wildcards no caminho de filtro.
• toolOverrides (opcional) — Permite que usuários substituam nomes e descrições de ferramentas. Você deve especificar caminhos e métodos explícitos.
• restApiId — Use para passar a ID do API Gateway.

Abaixo estão exemplos de configurações de alvo:

Exemplo 1 — Expõe GET e POST em /pets, GET em /pets/{petId} para o gateway e substitui seus nomes e descrições de ferramentas:

{
  "mcp": {
    "apiGateway": {
      "restApiId": "",
      "stage": "",
      "apiGatewayToolConfiguration": {
        "toolFilters": [
          {
            "filterPath": "/pets",
            "methods": ["GET","POST"]
          },
          {
            "filterPath": "/pets/{petId}",
            "methods": ["GET"]
          }
        ],
        "toolOverrides" : [
          {
            "name": "ListPets",
            "path": "/pets",
            "method": "GET",
            "description":"Retrieves all the available Pets."
          },
          {
            "name": "AddPet",
            "path": "/pets",
            "method": "POST",
            "description":"Add a new pet to the available Pets."
          },
          {
            "path": "/pets/{petId}",
            "method": "GET",
            "name": "GetPetById",
            "description": "Retrieve a specific pet by its ID"
          }
        ]
      }
    }
  }
}

Exemplo 2 — Expõe GET em /pets e também GET em /pets/{petId} ou qualquer coisa sob /pets. Como toolOverrides não está especificado, usará a descrição de recurso do API Gateway:

{
  "mcp": {
    "apiGateway": {
      "restApiId": "",
      "stage": "",
      "apiGatewayToolConfiguration": {
        "toolFilters": [
          {
            "filterPath": "/pets/*",
            "methods": ["GET"]
          }
        ]
      }
    }
  }
}

Configuração do provedor de credencial

Ao criar um alvo, você também precisa especificar a autorização de saída do alvo usando uma configuração de provedor de credencial. Existem três tipos de provedores de credencial:

GATEWAY_IAM_ROLE — Usa a ROLE_ARN especificada ao criar o gateway:

[
  {
    "credentialProviderType": "GATEWAY_IAM_ROLE"
  }
]

API_KEY — Requer a criação de um provedor de credencial de chave de API com AgentCore Identity:

[
  {
    "credentialProviderType": "API_KEY",
    "credentialProvider": {
      "apiKeyCredentialProvider": {
        "providerArn": "",
        "credentialParameterName": "x-api-key",
        "credentialPrefix": "abc",
        "credentialLocation": "HEADER"
      }
    }
  }
]

NO_AUTH — Configure não especificando uma configuração de provedor de credencial ao criar o alvo do AgentCore Gateway. Essa opção não é recomendada.

Criar um alvo AgentCore Gateway

Agora configure sua API REST como um alvo de gateway:

import boto3

gateway_client = boto3.client('bedrock-agentcore-control')

create_gateway_target_response = gateway_client.create_gateway_target(
  name='api-gateway-target',
  gatewayIdentifier='',
  targetConfiguration=[< sua_configuracao_de_alvo>],
  credentialProviderConfigurations=[]
)

print(create_gateway_target_response)
gateway_target_id = create_gateway_target_response['targetId']

Testando o gateway

Teste o gateway com o framework Strands Agents para listar e chamar as ferramentas disponíveis do servidor MCP. Você também pode usar outros agentes compatíveis com MCP construídos com diferentes frameworks agentic.

def create_streamable_http_transport():
  return streamablehttp_client(
    gatewayURL,
    headers={"Authorization": f"Bearer {}"}
  )

client = MCPClient(create_streamable_http_transport)

with client:
  tools = client.list_tools_sync()
  agent = Agent(model=yourModel, tools=tools)
  agent("Hi, can you list all tools available to you")
  agent("List all the available pets")
  agent("Tell me about the pet with petId 3")
  agent("When my order will be delivered? My order id is 2")

Você observará uma saída como a seguinte:

I have access to the following tools:
1. **x_amz_bedrock_agentcore_search** - A search tool that returns a trimmed down list of tools based on a provided context/query
2. **api-gateway-target-1___Add_Pet** - Add a new pet to the available Pets
3. **api-gateway-target-1___GetPetById** - Retrieve a specific pet by its ID (requires petId parameter)
4. **api-gateway-target-1___List_Pets** - Retrieves all the available Pets (optional parameters: page, type)
5. **api-gateway-target-2___GetOrderById** - Retrieve a specific order by its ID (requires orderId parameter)

I'll retrieve all the available pets for you.
Tool #1: api-gateway-target-1___List_Pets
"HTTP/1.1 200 OK"

Here are all the available pets:
1. **Pet ID 1** - Dog - $249.99
2. **Pet ID 2** - Cat - $124.99
3. **Pet ID 3** - Fish - $0.99

I'll retrieve the details for pet ID 3.
Tool #2: api-gateway-target-1___GetPetById
"HTTP/1.1 200 OK"

Here are the details for pet ID 3:
- **Pet ID**: 3
- **Type**: Fish
- **Price**: $0.99

I'll check the details of your order with ID 2 to see the delivery information.
Tool #3: api-gateway-target-2___GetOrderById
"HTTP/1.1 200 OK"

Based on your order details:
- **Order ID**: 2
- **Pet Category**: Cat
- **Price**: $124.99
- **Delivery Date**: 02-12-2025 (December 2nd, 2025)

Your cat order will be delivered on **December 2nd, 2025**.

Observabilidade

Ative logs de aplicação e rastreamento para seu recurso AgentCore Gateway. Você verá logs detalhados que ajudam a monitorar e solucionar problemas do seu recurso AgentCore Gateway. Isso inclui as chamadas de ferramenta realizadas pela sua aplicação agentic, parâmetros de requisição, respostas e erros, se houver.

Exemplo de logs:

{
  "resource_arn": "arn:aws:bedrock-agentcore:us-west-2::gateway/sample-ac-gateway2-mgtqozexct",
  "event_timestamp": 1763621922275,
  "body": {
    "isError": false,
    "log": "Executing tool api-gateway-target-1___GetPetById from target W8BCF5VEAZ",
    "id": "3"
  },
  "account_id": "",
  "request_id": "8a70f423-79ee-4168-9d68-b76ad3*****",
  "trace_id": "324a2ecc08631a55a02bb8f74104****",
  "span_id": "f58914982450ad9b",
  "timestamp": "1763621922275",
  "gateway_id": "sample-ac-gateway2-mgtqozexct"
}

{
  "resource_arn": "arn:aws:bedrock-agentcore:us-west-2::gateway/sample-ac-gateway2-mgtqozexct",
  "event_timestamp": 1763621922348,
  "body": {
    "isError": false,
    "responseBody": "{jsonrpc=2.0, id=3, result={isError=false, content=[{type=text, text={\"id\":3,\"type\":\"fish\",\"price\":0.99}}]}}",
    "log": "Successfully processed request",
    "id": "3"
  },
  "account_id": "",
  "request_id": "8a70f423-79ee-4168-9d68-b76ad3ef****",
  "trace_id": "324a2ecc08631a55a02bb8f7410****",
  "span_id": "f58914982450ad9b",
  "timestamp": "1763621922348",
  "gateway_id": "sample-ac-gateway2-mgtqozexct"
}

O AgentCore Gateway oferece métricas detalhadas do CloudWatch incluindo métricas de uso (TargetType, IngressAuthType, EgressAuthType, RequestsPerSession), métricas de invocação (Invocations, ConcurrentExecutions, Sessions), métricas de desempenho (Latency, Duration, TargetExecutionTime) e taxas de erro (Throttles, SystemErrors, UserErrors).

O AgentCore Gateway também suporta AWS X-Ray e spans conformes a OTEL que clientes podem usar para rastrear invocações em diferentes primitivas sendo utilizadas. Para saber mais, consulte a documentação de observabilidade do AgentCore Gateway.

Limpeza de recursos

Para evitar cobranças recorrentes, certifique-se de deletar os recursos criados executando o código a seguir:

import boto3

gateway_client = boto3.client('bedrock-agentcore-control')

response = gateway_client.delete_gateway_target(
  gatewayIdentifier='',
  targetId='')

print(response)

response = gateway_client.delete_gateway(
  gatewayIdentifier='')

print(response)

Próximos passos

O AgentCore Gateway agora oferece suporte ao Amazon API Gateway como alvo, expondo APIs REST como endpoints compatíveis com MCP. Você pode trazer sua infraestrutura de API existente para casos de uso agentic enquanto utiliza suas ferramentas de segurança e observabilidade atuais.

Visite a documentação do desenvolvedor e workshop para saber mais e começar hoje mesmo.

Fonte

Streamline AI agent tool interactions: Connect API Gateway to AgentCore Gateway with MCP (https://aws.amazon.com/blogs/machine-learning/streamline-ai-agent-tool-interactions-connect-api-gateway-to-agentcore-gateway-with-mcp/)

O que é o ajuste fino com aprendizado por reforço

A AWS anunciou suporte a ajuste fino com aprendizado por reforço no Amazon Bedrock, democratizando uma técnica avançada de customização de modelos que antes era acessível apenas a especialistas. O recurso elimina barreiras como a necessidade de expertise profunda em aprendizado de máquina ou grandes volumes de dados rotulados.

A plataforma automatiza todo o fluxo de trabalho, permitindo que equipes de desenvolvimento comum implementem esta abordagem sofisticada. Os modelos aprendem através de feedback sobre múltiplas respostas possíveis para o mesmo prompt, refinando o seu julgamento sobre o que constitui uma boa resposta. Este método requer apenas um pequeno conjunto de prompts, em contraste com os volumes massivos necessários para métodos tradicionais de ajuste fino.

Impacto em precisão e custo

O ajuste fino com aprendizado por reforço no Amazon Bedrock entrega ganhos médios de 66% em precisão quando comparado aos modelos base. Este ganho significativo permite que as organizações utilizem variantes de modelos menores, mais rápidos e economicamente mais eficientes, mantendo qualidade elevada.

Resolvendo o dilema das empresas

Muitas organizações enfrentam um dilema ao tentar adaptar modelos de IA às suas necessidades específicas: escolher entre modelos genéricos com desempenho médio ou investir em customizações complexas que demandam talento especializado, infraestrutura dedicada e movimento arriscado de dados.

O ajuste fino com aprendizado por reforço no Amazon Bedrock simplifica este cenário ao tornar a customização avançada rápida, automatizada e segura. Os dados proprietários nunca deixam o ambiente seguro e governado da AWS durante todo o processo de customização, mitigando preocupações de segurança e conformidade.

Como começar

O fluxo de trabalho é flexível: você pode enviar dados de treinamento diretamente do seu computador ou utilizar datasets já armazenados no Amazon S3, eliminando a necessidade de datasets rotulados previamente.

A definição de funções de recompensa oferece duas abordagens: verificadores baseados em regras ou juízes alimentados por IA, além de templates integrados. Esta flexibilidade permite otimizar modelos tanto para tarefas objetivas — como geração de código ou raciocínio matemático — quanto para tarefas subjetivas, como seguimento de instruções ou interações de chatbot.

Você pode começar com ajuste fino por reforço no Amazon Bedrock através do console do Amazon Bedrock ou via APIs do Amazon Bedrock. No lançamento inicial, o recurso está disponível com o Amazon Nova 2 Lite, com suporte para modelos adicionais previsto em breve.

Próximos passos

Para explorar mais detalhes sobre ajuste fino com aprendizado por reforço no Amazon Bedrock, consulte o blog de lançamento, a página de preços e a documentação completa.

Fonte

Amazon Bedrock now supports reinforcement fine-tuning delivering 66% accuracy gains on average over base models (https://aws.amazon.com/about-aws/whats-new/2025/12/bedrock-reinforcement-fine-tuning-66-base-models/)

O que é essa novidade?

A AWS anunciou que o Amazon Connect Chat agora oferece suporte a fluxos de trabalho iniciados por agentes. Essa funcionalidade permite que os atendentes (agentes de suporte) enviem formulários interativos diretamente aos clientes durante uma conversa de chat, sem interrupções no diálogo.

Esses formulários podem ser usados para coletar informações sensíveis ou compartilhar políticas e divulgações de forma segura e organizada, tudo dentro do contexto da conversa. Isso representa uma evolução importante para plataformas de atendimento ao cliente que buscam equilibrar segurança, conformidade e experiência do usuário.

Como funciona na prática?

Uso em tempo real

Os agentes agora podem disparar esses fluxos a qualquer momento durante uma conversa, tornando as interações mais dinâmicas e responsivas às necessidades específicas do cliente. Por exemplo: quando um cliente precisa atualizar seu endereço cadastrado, o agente pode enviar um formulário que o cliente preenche sem sair da interface de chat.

Manutenção de segurança e conformidade

Como tudo ocorre dentro da própria conversa de chat, as empresas conseguem manter padrões de segurança e conformidade regulatória, ao mesmo tempo que oferecem soluções mais rápidas ao cliente. Essa abordagem elimina a necessidade de redirecionar o usuário para outras interfaces ou plataformas.

Disponibilidade regional

Essa nova funcionalidade já está disponível nos seguintes pontos de presença da AWS:

• Regiões da América do Norte: US East (N. Virginia) e US West (Oregon)
• Regiões da Ásia-Pacífico: Seoul, Singapore, Sydney e Tokyo
• Regiões da América do Norte: Canada (Central)
• Regiões da Europa: Frankfurt e London
• Regiões da África: Cape Town

Para explorar mais

Quem deseja implementar essa funcionalidade pode consultar a documentação oficial do Amazon Connect para obter detalhes técnicos e práticas recomendadas.

Fonte

Amazon Connect Chat now supports agent-initiated workflows (https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-connect-chat-agent-initiated-workflows)