Conectividade segura entre sua VPC e SageMaker Unified Studio
A AWS anunciou uma nova capacidade que permite estabelecer conectividade entre sua Nuvem Privada Virtual (VPC) e o Amazon SageMaker Unified Studio sem que o tráfego de dados dos clientes seja roteado pela internet pública. Para organizações que precisam ir além do protocolo de transferência de dados padrão (HTTPS/TLS2), agora é possível configurar a VPC de forma que a transferência de dados permaneça completamente dentro da rede AWS.
Como funciona o isolamento de rede
Por meio do AWS PrivateLink, administradores de rede ganham a capacidade de integrar endpoints de serviço AWS à sua VPC, que são utilizados pelo Amazon SageMaker Unified Studio. Após o onboarding desses endpoints, as políticas IAM (Controle de Acesso por Identidade e Acesso) gerenciadas pelo Amazon SageMaker garantem que os dados dos clientes permaneçam confinados dentro da rede AWS, proporcionando segurança adicional e conformidade com requisitos de isolamento de rede.
Disponibilidade global
O acesso privado ao Amazon SageMaker usando AWS PrivateLink está disponível em todas as Regiões AWS onde o Amazon SageMaker Unified Studio é suportado, incluindo:
Ásia Pacífico (Tóquio)
Europa (Irlanda)
Leste dos EUA (N. Virgínia)
Leste dos EUA (Ohio)
Oeste dos EUA (Oregon)
Europa (Frankfurt)
América do Sul (São Paulo)
Ásia Pacífico (Seul)
Europa (Londres)
Ásia Pacífico (Singapura)
Ásia Pacífico (Sydney)
Canadá (Central)
Ásia Pacífico (Mumbai)
Europa (Paris)
Europa (Estocolmo)
Próximos passos
Para implementar essa configuração em seu ambiente, consulte a documentação de isolamento de rede do Amazon SageMaker Unified Studio, que fornece instruções detalhadas para configurar e gerenciar a conectividade privada.
Entendendo as capacidades do serviço gerenciado de Active Directory
O AWS Directory Service para Microsoft Active Directory oferece às organizações a possibilidade de utilizar um Active Directory gerenciado como floresta primária para hospedar identidades de usuários. Essa abordagem permite que os times de infraestrutura continuem utilizando suas competências e aplicações existentes, enquanto a organização se beneficia dos atributos de segurança, confiabilidade e escalabilidade próprios dos serviços gerenciados pela AWS.
O serviço também pode ser configurado como uma floresta de recursos. Nessa topologia, o Active Directory gerenciado funciona como intermediário para serviços AWS compatíveis, enquanto as identidades dos usuários permanecem sob controle exclusivo da organização em um Active Directory auto-gerenciado. Essa flexibilidade arquitetural permite que diferentes cenários de negócio sejam atendidos com segurança.
O desafio do crescimento e escalabilidade
À medida que as organizações expandem suas operações, também crescem as demandas sobre suas infraestruturas de diretório. Workflows mais complexos e um volume maior de usuários exigem que o serviço de Active Directory seja ajustado adequadamente para manter performance e confiabilidade.
A AWS simplifica esse processo de escalabilidade oferecendo duas estratégias principais: scale-up (também chamado de upgrade) e scale-out (expansão do número de instâncias). Compreender quando e como aplicar cada uma dessas estratégias é fundamental para otimizar custos e desempenho.
As duas estratégias de escalabilidade
Scale-up: Upgradando a edição do serviço
O scale-up consiste em atualizar a edição do AWS Managed Microsoft AD de Standard para Enterprise. A edição Enterprise fornece controladores de domínio com maior capacidade computacional e armazenamento ampliado para objetos do Active Directory. Durante um upgrade, o serviço mantém o mesmo número de instâncias de controlador de domínio que havia antes, mas com recursos maiores e quotas aumentadas.
As instâncias são substituídas uma por vez para minimizar interrupções nos workflows de produção. Algumas funcionalidades do serviço são exclusivas da edição Enterprise e requerem esse upgrade obrigatoriamente.
Considere realizar um scale-up quando enfrentar qualquer um destes cenários:
Quando há planos para replicar o diretório em múltiplas regiões AWS. Essa capacidade está disponível apenas na edição Enterprise.
Quando o número de objetos no Active Directory ultrapassará o limite recomendado de 30.000 para a edição Standard. A edição Enterprise suporta até 500.000 objetos.
Quando há necessidade de compartilhar o diretório com mais de 25 contas AWS diferentes. O limite padrão da Standard é 25 contas, enquanto a Enterprise permite 500 contas.
Importante: A atualização de Standard para Enterprise é irreversível e implica um custo horário maior. Por isso, essa decisão deve ser bem planejada.
Scale-out: Adicionando mais controladores de domínio
O scale-out refere-se ao lançamento de controladores de domínio adicionais para o AWS Managed Microsoft AD. Diferentemente do scale-up, essa estratégia pode ser aplicada tanto em diretórios Standard quanto Enterprise. Além disso, cada região pode ser escalada independentemente, não sendo necessário ampliar uniformemente todas as regiões.
Quando uma operação de scale-out ocorre, novas instâncias de controlador de domínio com os mesmos recursos computacionais e capacidade de armazenamento são iniciadas nas mesmas subnets existentes. A vantagem do scale-out é que essa operação pode ser revertida se necessário, ao contrário do scale-up.
Por esse motivo, recomenda-se privilegiar o scale-out como primeira opção, reservando o scale-up apenas para situações em que uma funcionalidade exclusiva da Enterprise seja absolutamente necessária.
Fluxo de decisão para escalabilidade de Active Directory — demonstrando como monitoramento contínuo via CloudWatch guia as decisões entre scale-out e scale-up. Fonte: Aws
Tomando decisões informadas com CloudWatch
Desde dezembro de 2021, o AWS Managed Microsoft AD integra métricas de diretório com Amazon CloudWatch, permitindo uma visão profunda do desempenho do serviço. As métricas do CloudWatch são conjuntos de dados ordenados no tempo que representam indicadores de desempenho e podem ser analisadas ao longo do período para identificar tendências.
Para entender adequadamente o desempenho do diretório, é essencial definir métricas-chave relevantes para sua carga de trabalho no momento da criação do diretório. Os valores iniciais dessas métricas devem ser registrados para estabelecer uma baseline de desempenho. Posteriormente, esses dados devem ser revisitados periodicamente para comparação, permitindo identificar tendências de crescimento e utilização de recursos.
Combinando essas informações — baseline inicial e comparações periódicas — é possível tomar decisões embasadas sobre quando escalar e qual estratégia aplicar. Esse processo cíclico de monitoramento, análise e planejamento é fundamental para manter a eficiência operacional.
Métricas críticas de infraestrutura
A perspectiva de infraestrutura revela três recursos mais comumente constrangidos:
Network Interface: Current Bandwidth — utilização da largura de banda disponível na rede
Processor: % Processor Time — percentual de tempo que o processador está ocupado
LogicalDisk: % Free Space — espaço livre disponível em volumes que armazenam dados do Active Directory
Métricas críticas do Active Directory
A perspectiva do serviço de diretório aponta para métricas como:
NTDS: LDAP Searches/sec — volume de buscas LDAP por segundo
NTDS: ATQ Estimated Queue Delay — atraso estimado na fila de processamento
Matriz de decisão por restrição identificada
Quando uma métrica revela constrangimento de recursos, essa informação orienta diretamente a estratégia de escalabilidade a ser adotada. Por exemplo:
Se % Processor Time estiver elevado → Scale-out
Se I/O Database Reads Average Latency estiver elevada → Scale-out
Se Committed Bytes in Use estiver elevado → Scale-out
Se % Free Space estiver baixo → Scale-up
Como exemplo prático: um alarme do CloudWatch pode ser configurado para disparar quando Processor: % Processor Time ultrapasse 80% por mais de 5 minutos. Disparos frequentes desse alarme indicam que os controladores de domínio têm dificuldade em processar o volume regular de requisições de autenticação de usuários. Nessa situação, um scale-out com um controlador de domínio adicional pode garantir que o Acordo de Nível de Serviço (SLA) seja mantido.
Por outro lado, se LogicalDisk: % Free Space cair abaixo de 10% com tendência de queda contínua, um scale-up para Enterprise Edition pode ser apropriado, já que oferece capacidade maior para objetos do diretório.
Criando um dashboard no CloudWatch
Para facilitar o acompanhamento e análise do desempenho do AWS Managed Microsoft AD, a AWS recomenda usar CloudWatch para construir um dashboard personalizado contendo as métricas mais relevantes.
No painel de navegação, selecione Dashboards e em seguida Criar dashboard.
Na caixa de diálogo de criação, insira um nome para o dashboard e selecione Criar dashboard.
Quando a janela Adicionar widget aparecer, configure como segue:
Em Tipos de fontes de dados, selecione CloudWatch
Em Tipo de dados, selecione Métricas
Em Tipo de widget, selecione Linha
Selecione Próximo
Na janela Adicionar gráfico de métrica, escolha DirectoryService.
Selecione Processor como categoria de métrica e % Processor Time como nome da métrica.
Selecione cada instância da métrica (representada pelo IP do controlador de domínio) para um Directory ID.
Selecione Criar widget.
Nota: Se houver múltiplos diretórios na mesma região, todas as instâncias (IPs dos controladores de domínio) estarão disponíveis para seleção. Recomenda-se criar um dashboard separado para cada diretório, facilitando o monitoramento e gerenciamento de alarmes.
Após criar o primeiro widget, selecione o símbolo de adição (+) no topo da janela para adicionar mais widgets. Repita o processo anterior para incluir as seguintes métricas adicionais:
Processor: % Processor Time
LogicalDisk: % Free Space
Memory: Committed Bytes in Use
Database: I/O Database Reads Average Latency
Network Interface: Current Bandwidth
DNS: Recursive Queries/Sec
Depois de adicionar todas as métricas desejadas, selecione Salvar.
A AWS fornece recomendações de limiares para guiar as decisões de escalabilidade. Estes são valores de referência baseados em casos de uso padrão e podem precisar de ajuste conforme as características específicas de cada organização:
Processor: % Processor Time — Configure alarmes em 80% para um período de 5 minutos. Valores persistentemente elevados sugerem problemas de dimensionamento que podem exigir scale-out.
LogicalDisk: % Free Space — Mantenha pelo menos 25% de espaço livre em volumes contendo dados do Active Directory. Configure alarmes para disparar quando o espaço livre cair abaixo de 20%, pois isso pode impactar severamente as operações do diretório.
Network Interface: Current Bandwidth — A utilização média de rede deve ficar abaixo de 50% da largura de banda disponível durante operações de pico. Configure alarmes em 70% para deixar espaço para picos de atividade. Valores consistentemente elevados sugerem restrições de rede que podem exigir scale-out.
Memory: Committed Bytes in Use — Monitore os níveis de memória comprometida para garantir recursos suficientes. Configure alarmes em 80% do limite de comprometimento. Valores persistentemente elevados podem levar a paginação excessiva, degradando significativamente o desempenho e causando atrasos em autenticações.
Database: I/O Database Reads Average Latency — Mantenha latências médias de leitura abaixo de 25 milissegundos. Configure alarmes em 50 milissegundos. Se latências estiverem consistentemente elevadas, considere um scale-out.
DNS: Recursive Queries/sec — Dada a integração profunda do Active Directory com DNS, use detecção de anomalias do CloudWatch em vez de limiares fixos para identificar comportamentos inesperados que possam indicar problemas de configuração ou preocupações de segurança.
Considerações após escalabilidade
Diferentes componentes da arquitetura podem manter referências aos endereços IP do AWS Managed Microsoft AD. Após uma operação de scale-out que implante controladores de domínio adicionais, essas referências devem ser atualizadas para manter a funcionalidade completa dos workloads.
Referências que podem conter IPs do diretório incluem:
Para manter a funcionalidade completa dos workloads após uma operação de escalabilidade, atualize:
Regras de firewall que permitam tráfego para e dos endereços IP dos controladores de domínio
Regras de endpoint do Route 53 Resolver e forwarders DNS condicionais que encaminhem queries para as instâncias do diretório
Dashboards CloudWatch que exibam dados de métricas do diretório para incluir dimensões dos novos endereços IP
Limpeza de recursos
Os componentes criados durante esse processo geram custos. Para evitar encargos adicionais quando não forem mais necessários:
Remova os endereços IP dos controladores de domínio adicionados das regras de firewall, regras de endpoint do resolver e forwarders DNS condicionais
Exclua os dashboards CloudWatch customizados que não planeja manter
Reverta diretórios escalados para o número anterior de instâncias de controladores de domínio
Conclusão
O monitoramento contínuo do desempenho usando CloudWatch é a base para decisões informadas sobre escalabilidade de diretórios. Combinando baselines de desempenho, análises periódicas e planejamento estruturado, as organizações podem escalar seus diretórios de forma segura e eficiente.
O scale-out do diretório é apropriado quando workflows de Active Directory cresceram ao longo do tempo e a solução necessita de instâncias adicionais de controladores de domínio para manter o SLA do serviço. O scale-up para Enterprise Edition é indicado quando funcionalidades exclusivas dessa edição — como replicação multi-region ou armazenamento ampliado para objetos do diretório — tornam-se necessárias.
A automação não é apenas para implementação de workloads. A AWS recomenda que as organizações também a utilizem para detectar e responder rapidamente a eventos de segurança dentro de seus ambientes. Quando você automatiza respostas, consegue não apenas aumentar a velocidade de detecção e resposta, mas também escalar suas operações de segurança proporcionalmente ao crescimento das suas cargas de trabalho.
Por essa razão, a automação de segurança está incluída como princípio-chave em documentos importantes como o Well-Architected Framework, o AWS Cloud Adoption Framework, e o AWS Security Incident Response Guide. Quando você implementa automação de resposta a eventos de segurança, consegue responder a ameaças em minutos ou até segundos, algo que seria impossível para um engenheiro de plantão.
Entendendo Automação de Resposta à Segurança
Automação de resposta à segurança refere-se a uma ação planejada e programada que busca atingir um estado desejado para uma aplicação ou recurso, baseada em uma condição ou evento específico. Ao implementar essa automação, é recomendado adotar uma abordagem que se baseia em frameworks de segurança estabelecidos.
A solução descrita neste guia utiliza o Framework de Cibersegurança (CSF) do NIST, que ajuda organizações a avaliar e aprimorar sua capacidade de prevenir, detectar e responder a eventos de segurança. Embora automação não seja um requisito do CSF, automatizar respostas a eventos que sabidamente não deveriam ocorrer oferece uma vantagem significativa: a automação consegue agir em segundos, enquanto processos manuais levariam muito mais tempo.
O CSF define cinco etapas principais: identificar, proteger, detectar, responder e recuperar. Para fins deste guia, expandimos as etapas de “detectar” e “responder” para incluir atividades de automação e investigação.
Identificar: Reconhecer e catalogar os recursos, aplicações e dados que existem em seu ambiente AWS.
Proteger: Desenvolver e implementar controles e salvaguardas adequadas para garantir a entrega segura de serviços.
Detectar: Implementar atividades e monitoramento para identificar quando um evento de segurança ocorre.
Automatizar: Criar e programar ações que alcançarão um estado desejado para recursos ou aplicações, baseadas em condições ou eventos.
Investigar: Analisar sistematicamente eventos de segurança para determinar sua causa raiz.
Responder: Tomar ações automáticas ou manuais apropriadas em relação a eventos de segurança detectados.
Recuperar: Manter planos de resiliência e restaurar capacidades que foram afetadas por eventos de segurança.
Como Funciona Automação de Resposta na AWS
A AWS oferece um conjunto de serviços que trabalham juntos para criar fluxos de automação de resposta. O AWS CloudTrail e o AWS Config registram continuamente detalhes sobre usuários, entidades de identidade, recursos com os quais interagiram e mudanças de configuração na sua conta. Quando combinados com o Amazon EventBridge, esses logs podem disparar automações baseadas em eventos, permitindo detecção automática de mudanças e reação a desvios do estado desejado.
Um fluxo de remediação automática na AWS ocorre em três estágios:
Monitorar: Ferramentas de monitoramento automatizado coletam informações sobre recursos e aplicações. Isso pode incluir dados do CloudTrail sobre atividades na conta, métricas de Amazon EC2, ou registros de fluxo sobre tráfego em interfaces de rede da Amazon Virtual Private Cloud (VPC).
Detectar: Quando uma ferramenta de monitoramento detecta uma condição predefinida — como um limite excedido, atividade anômala ou desvio de configuração — um alerta é disparado. Isso pode vir de uma detecção do Amazon GuardDuty, uma violação de regra do AWS Config, ou um alto número de requisições bloqueadas em um grupo de segurança VPC.
Responder: Quando uma condição é detectada, uma resposta automática é acionada para executar uma ação pré-definida. Exemplos incluem modificar um grupo de segurança VPC, fazer patch em uma instância EC2, rotacionar credenciais ou adicionar um endereço IP a uma lista de bloqueio.
Definindo Suas Automações de Resposta
Para começar, identifique requisitos de segurança em seu ambiente que você deseja implementar através de automação. Esses requisitos podem vir de melhores práticas gerais ou de frameworks de conformidade específicos para seu negócio.
Uma abordagem prática é começar pelos run-books que você já usa em seu Lifecycle de Resposta a Incidentes. Run-books simples, como responder a uma credencial exposta (desabilitá-la e notificar a equipe), podem rapidamente ser transformados em automações. Você também pode considerar automações baseadas em recursos — por exemplo, quando uma nova VPC é criada, dispará automação para implantar a configuração padrão de coleta de flow logs.
Seus objetivos devem ser quantitativos, não qualitativos. Por exemplo:
Acesso administrativo remoto a servidores deve ser limitado.
Volumes de armazenamento de servidores devem estar criptografados.
Logins no console AWS devem ser protegidos por autenticação multifator.
Uma técnica útil é expandir esses objetivos em user stories, que descrevem de forma informal a funcionalidade desejada. Por exemplo: “Acesso administrativo remoto deve ser limitado apenas a redes internas confiáveis. Se portas de acesso remoto (SSH porta 22 e RDP porta 3389) forem detectadas e acessíveis a recursos externos, elas devem ser automaticamente fechadas e o proprietário será notificado.”
User stories devem ser armazenadas em um local com controle de versão e devem referenciar o código de automação associado. Também é essencial considerar cuidadosamente o impacto de suas ações de remediação, pois ações como encerramento de instâncias, revogação de credenciais ou modificação de grupos de segurança podem afetar a disponibilidade de aplicações.
Exemplo Prático: Automação para CloudTrail Desabilitado
Para ilustrar esses conceitos, considere este cenário: detectar quando o CloudTrail é desabilitado (uma ação que atores maliciosos realizam para evitar auditoria) e reabilitá-lo automaticamente, notificando a equipe de segurança.
A user story seria: “CloudTrail deve estar habilitado em todas as contas e regiões AWS. Se CloudTrail for desabilitado, será automaticamente reabilitado e a equipe de operações de segurança será notificada.”
Implantando a Automação
Para este exemplo, você usará Amazon GuardDuty e AWS Security Hub — ambos oferecem avaliação gratuita de 30 dias. Quando CloudTrail é desabilitado, GuardDuty gera uma detecção denominada Stealth:IAMUser/CloudTrailLoggingDisabled, que é coletada pelo Security Hub.
A solução utiliza um template CloudFormation que contém uma regra do EventBridge, uma função AWS Lambda e as permissões necessárias. Quando o Security Hub detecta essa situação, publisha um evento no barramento padrão do EventBridge. A regra do EventBridge captura esse evento e invoca uma função Lambda que reabilita o CloudTrail e envia uma notificação via Amazon SNS (Serviço de Notificação Simples da Amazon).
Testando a Automação
Após implantar a solução, você pode testá-la criando um CloudTrail de teste, desabilitando-o propositalmente, e observando a automação reagir. Dentro de alguns segundos, o EventBridge detectará a ação, invocará a função Lambda, que reabilitará o CloudTrail automaticamente e enviará um email para o contato de segurança.
Enquanto isso, GuardDuty realiza uma investigação mais profunda, coletando dados adicionais sobre o endereço IP que executou a ação (verificando, por exemplo, se vem de uma lista de ameaças ou de uma rede incomum). Essa informação é importada no Security Hub, onde pode ser visualizada e correlacionada com outros eventos para análise mais profunda.
Componentes da Automação
O exemplo incorpora dois fluxos de resposta: um em tempo quase real e outro investigativo.
Fluxo em Tempo Quase Real: O Amazon EventBridge monitora atividades indesejadas. Quando um trail do CloudTrail é parado, o CloudTrail publica um evento no barramento do EventBridge. Uma regra do EventBridge detecta esse evento e invoca uma função Lambda para reabilitá-lo e notificar o contato de segurança via SNS.
Fluxo Investigativo: Os logs do CloudTrail são monitorados para atividades indesejadas. GuardDuty detecta quando um trail foi parado e recupera dados adicionais sobre o endereço IP que executou a ação. O Security Hub importa essa informação e a agrega com outras detecções para análise do analista. O Security Hub também publica seus achados no EventBridge, permitindo que outras ferramentas de orquestração de segurança, sistemas SIEM (Gerenciamento de Informações e Eventos de Segurança) e sistemas de ticketing recebam as informações.
Fase de Resposta com EventBridge e Lambda
O Amazon EventBridge é um serviço que fornece acesso em tempo real a mudanças em dados através de serviços AWS, aplicações próprias e aplicações de Software-as-a-Service (SaaS), sem necessidade de escrever código complexo. Neste exemplo, o EventBridge identifica um achado do Security Hub que requer ação e invoca uma função Lambda que realiza a remediação.
Quando o Security Hub publica um achado no EventBridge, a informação vem em formato JSON com detalhes completos. A função Lambda extrai campos relevantes desse JSON — como o ARN (Amazon Resource Name) do trail do CloudTrail — e realiza duas ações: notifica o operador de segurança via SNS e reinicia o CloudTrail para reabilitar o logging.
Um snippet do padrão de evento que o EventBridge procura é:
A função Lambda então extrai informações do achado e executa as ações de remediação. O código Python faz parsing dos campos JSON, notifica a equipe e reinicia o trail do CloudTrail usando a SDK boto3.
Ações Customizadas e Respostas Manuais
Se você preferir não automatizar completamente certas respostas, o Security Hub oferece ações customizadas. Uma ação customizada é um mecanismo do Security Hub para enviar achados específicos ao EventBridge, que pode então ser relacionada a uma regra do EventBridge para executar uma ação específica.
Você pode criar até 50 ações customizadas. Isso permite, por exemplo, que um analista de segurança visualize um achado no console do Security Hub e, com um clique, dispare uma função Lambda para investigação ou remediação manual.
Solução Pronta para Uso: Automated Security Response (ASR)
Para muitas organizações, construir automações de remediação do zero é uma tarefa complexa. Muitos times de operações não possuem recursos ou expertise em scripting e automação. Para isso, a AWS oferece a solução Automated Security Response (ASR) on AWS, que permite que clientes do Security Hub remediassem achados com um clique, utilizando um conjunto de ações predefinidas de resposta e remediação chamadas Playbooks.
As remediações são implementadas como documentos de automação do AWS Systems Manager. A solução inclui remediações para problemas comuns como chaves de acesso não utilizadas, grupos de segurança abertos, políticas de senha fracas em contas, configurações de VPC Flow Logging e buckets S3 públicos.
Os Playbooks incluem remediações para controles de segurança definidos em padrões como AWS Foundational Security Best Practices, Center for Internet Security (CIS) AWS Foundations Benchmark, Payment Card Industry (PCI) Data Security Standard, e NIST Special Publication 800-53.
A solução pode ser implementada e usada sem custos adicionais, porém há custos associados aos serviços AWS que ela utiliza. A biblioteca da solução inclui instruções sobre como criar novas automações em um Playbook existente.
Adicionalmente, a AWS oferece uma biblioteca de soluções com casos de uso e remediações prontas para implantação. O código utilizado neste exemplo também está disponível no GitHub.
Conclusão
Automação de resposta à segurança é um elemento crítico para escalar operações de segurança efetivamente. Ao combinar serviços como CloudTrail, EventBridge, GuardDuty, Security Hub e Lambda, as organizações podem criar fluxos de resposta que reagêm em segundos a eventos indesejados — algo que seria impossível com processos manuais.
O caminho para implementação pode começar com cenários simples baseados em run-books existentes, e evoluir para automações mais complexas conforme sua organização ganha experiência. O importante é começar, testar em ambientes não-produção, e expandir gradualmente o escopo de automações conforme for ganhar confiança.
Novo recurso de Lambda triggers para federação no Cognito
A AWS anunciou a introdução de Lambda triggers para federação de entrada (inbound federation) no Amazon Cognito. Este novo recurso permite transformar e personalizar atributos de usuários federados durante o processo de autenticação. Isso significa que você agora consegue modificar respostas provenientes de provedores SAML e OIDC externos antes que essas informações sejam armazenadas em seu pool de usuários.
A grande vantagem é oferecer controle programático completo sobre o fluxo de federação sem a necessidade de fazer alterações na configuração do provedor de identidade externo.
O que o novo recurso resolve
O Lambda trigger para federação de entrada aborda limitações significativas que existiam em fluxos de autenticação federada. Um dos principais problemas é o limite de tamanho de atributos que o Cognito suporta: até 2.048 caracteres por atributo. Quando provedores SAML ou OIDC externos enviam atributos de grupo grandes que ultrapassam esse limite, o fluxo de autenticação pode ser bloqueado.
Com essa nova capacidade, você consegue adicionar, sobrescrever ou suprimir valores de atributos conforme necessário. Por exemplo, é possível modificar atributos de grupo que são particularmente grandes antes de criar novos usuários federados ou atualizar perfis de usuários federados existentes no Cognito. Isso oferece flexibilidade para trabalhar com dados de provedores externos sem que eles causem problemas de compatibilidade.
Como implementar
O novo Lambda trigger para federação de entrada está disponível através da interface de usuário hospedada (versão clássica) e do managed login em todas as regiões da AWS onde o Amazon Cognito opera.
Para começar a usar o recurso, você pode configurar o trigger através de diferentes ferramentas:
AWS Management Console
AWS Command Line Interface (Interface de Linha de Comando — CLI)
AWS Software Development Kits (Kits de Desenvolvimento de Software — SDKs)
Cloud Development Kit (Kit de Desenvolvimento em Nuvem — CDK)
AWS CloudFormation
A configuração é feita adicionando o novo parâmetro à configuração de Lambda do seu pool de usuários (User Pool LambdaConfig).
Para obter exemplos práticos de implementação e as melhores práticas, consulte a documentação do Amazon Cognito onde você encontrará informações detalhadas sobre como usar esse novo recurso.
Nova capacidade de alteração de criptografia no S3
A AWS anunciou um novo recurso que simplifica significativamente a gestão da criptografia de dados armazenados no Amazon S3. Agora é possível alterar o tipo de criptografia de objetos já existentes sem necessidade de movimentação de dados, uma funcionalidade particularmente valiosa para organizações que precisam atualizar suas estratégias de segurança sem causar impacto operacional.
Como funciona o UpdateObjectEncryption API
O novo recurso utiliza a API UpdateObjectEncryption para realizar mudanças de criptografia de forma atômica, independentemente do tamanho do objeto ou da classe de armazenamento utilizada. Isso significa que a operação ocorre de forma consistente e confiável, sem riscos de corrupção ou inconsistência de dados.
Para cenários em larga escala, a AWS integrou essa capacidade ao S3 Batch Operations, permitindo que organizações padronizem o tipo de criptografia em buckets inteiros de objetos. Uma vantagem importante é que a operação preserva as propriedades dos objetos e mantém a elegibilidade para políticas de S3 Lifecycle, evitando reprocessamento desnecessário.
Conformidade e requisitos regulatórios
As organizações em diversos setores enfrentam demandas crescentes e complexas no que diz respeito à segurança e privacidade de dados. Um requisito comum nos frameworks de conformidade é a implementação de padrões de criptografia mais rigorosos para dados em repouso, muitas vezes exigindo que os dados sejam criptografados utilizando um serviço de gerenciamento de chaves dedicado.
O novo UpdateObjectEncryption API resolve esse cenário de forma prática. Organizações que utilizam a criptografia gerenciada pela própria AWS (SSE-S3 — Criptografia no lado do servidor com chaves gerenciadas pelo S3) agora podem migrar facilmente para a criptografia no lado do servidor com chaves gerenciadas pelo AWS KMS (SSE-KMS — Criptografia no lado do servidor com AWS Key Management Service).
Flexibilidade na gestão de chaves
Além da migração entre tipos de criptografia, o recurso oferece flexibilidade para trocar a chave gerenciada pelo KMS utilizada na criptografia dos dados, permitindo que organizações se adequem a padrões personalizados de rotação de chaves. O recurso também possibilita habilitar S3 Bucket Keys, reduzindo o volume de solicitações ao AWS KMS e, consequentemente, otimizando custos de operação.
Disponibilidade e como começar
O Amazon S3 UpdateObjectEncryption API está disponível em todas as regiões AWS. Para iniciar, as organizações podem utilizar o AWS Management Console ou os SDKs AWS mais recentes para atualizar o tipo de criptografia de seus objetos. Para informações técnicas detalhadas, recomenda-se consultar a documentação técnica.
Novo recurso de visibilidade para tráfego de IA generativa
A AWS anunciou uma expansão significativa do AWS Network Firewall, incorporando a capacidade de identificar e controlar tráfego de aplicações que usam inteligência artificial generativa (IA generativa). O novo recurso funciona por meio de filtros baseados em categorias web, permitindo que as organizações visualizem e gerenciem o acesso a serviços de IA generativa, plataformas de mídia social, sites de streaming e outras categorias de conteúdo diretamente nas regras do firewall.
Como funciona o controle por categorias web
A abordagem implementada pela AWS utiliza categorias de URL pré-definidas para inspeção de tráfego. Isso significa que, em vez de necessário identificar manualmente cada domínio individual a ser bloqueado ou permitido, os administradores podem agrupar serviços por categoria e aplicar políticas de segurança de forma consolidada.
Este modelo simplifica significativamente a governança de segurança, especialmente para equipes que lidam com conformidade regulatória. Os times de segurança e compliance conseguem estabelecer políticas consistentes em todos os ambientes AWS, ao mesmo tempo que ganham visibilidade sobre o uso de tecnologias emergentes como IA generativa.
Casos de uso e benefícios práticos
O novo recurso viabiliza diversos cenários operacionais:
Bloqueio seletivo de domínios — As organizações podem restringir acesso a domínios considerados inadequados ou de alto risco para seu contexto operacional
Governança de ferramentas de IA — É possível limitar o uso de ferramentas de IA generativa apenas aos serviços previamente aprovados pela empresa
Atendimento a requisitos regulatórios — O controle granular auxilia no cumprimento de normas e regulamentações específicas do setor
Redução de overhead operacional — Comparado com abordagens manuais, a administração centralizada de categorias reduz a carga administrativa
Integração com inspeção TLS
Quando combinado com o recurso de inspeção TLS (Transport Layer Security) do AWS Network Firewall, o novo filtro oferece controle ainda mais granular. Isso permite que os administradores inspecionem o caminho completo da URL e apliquem regras de categoria de forma mais precisa, identificando não apenas o domínio, mas o contexto específico da requisição.
Disponibilidade e primeiros passos
O recurso está disponível em todas as regiões comerciais da AWS onde o AWS Network Firewall é suportado. Para começar, os administradores podem atualizar seus grupos de regras com estado (stateful rule groups) através de diferentes interfaces:
Monitoramento de Integridade de Arquivos: Uma Abordagem Escalável
As organizações enfrentam o desafio constante de rastrear mudanças em seus ambientes de nuvem. Isso inclui monitorar arquivos, softwares instalados e configurações em várias instâncias. Detectar alterações não autorizadas é crítico para a segurança, especialmente quando essas mudanças precisam ser integradas aos fluxos de trabalho existentes.
A AWS oferece uma solução altamente escalável e serverless para esse problema. O conceito apresentado utiliza o AWS Systems Manager Inventory para coletar metadados de arquivos em instâncias Amazon EC2, envia esses dados por meio do recurso de sincronização do Systems Manager para um bucket Amazon S3 com versionamento, e implementa uma função AWS Lambda que compara versões de inventário para detectar mudanças. Quando alterações são identificadas, a função cria achados no AWS Security Hub, que são posteriormente ingeridos pelo Amazon Security Lake em formato padronizado.
Fluxo de monitoramento de integridade de arquivos — fonte: Aws
Vantagens desta Abordagem
Esta solução oferece uma alternativa ao padrão de integração entre AWS Config e Security Hub, que se baseia em dados limitados sem incluir, por exemplo, timestamps de modificação de arquivos. A abordagem aqui apresentada fornece flexibilidade e controle para implementar lógica personalizada de detecção adaptada às necessidades operacionais específicas de cada organização.
Além disso, o modelo é extensível. O AWS Systems Manager Inventory pode coletar não apenas metadados de arquivos, mas também dados sobre aplicativos instalados, configurações de rede ou entradas do Windows Registry, permitindo criar lógica de detecção customizada para uma ampla gama de casos de uso operacionais e de segurança.
Etapas de Implementação
Pré-requisitos
Antes de começar, você precisará de uma conta AWS com permissões para criar e gerenciar recursos como Amazon EC2, AWS Systems Manager, Amazon S3 e Lambda.
Etapa 1: Configuração da Instância EC2
O primeiro passo é iniciar uma instância EC2 e criar um arquivo de configuração que será modificado posteriormente para simular uma alteração não autorizada.
Você precisará criar um papel AWS Identity and Access Management (IAM) para permitir que a instância EC2 se comunique com o Systems Manager. No console do IAM, crie um novo papel, selecione EC2 como caso de uso e anexe a política gerenciada AmazonSSMManagedInstanceCore. Nomeie esse papel como SSMAccessRole.
Em seguida, inicie uma instância EC2, mantendo a imagem Linux padrão e uma classe de instância como t3.micro. Nos detalhes avançados, atribua o papel SSMAccessRole que foi criado anteriormente. Para criar um arquivo de configuração de aplicativo durante a inicialização, use o script fornecido na seção User Data:
Este script cria um diretório e um arquivo de configuração que será monitorado. Você pode deixar as demais configurações com seus valores padrão e prosseguir sem um key pair, já que o acesso será feito via Session Manager.
Etapa 2: Ativar Security Hub e Security Lake
Caso esses serviços já estejam ativados em sua conta, pule para a próxima etapa. Caso contrário, comece ativando o AWS Security Hub CSPM, que coleta e agrega achados de segurança e adiciona monitoramento contínuo.
No console do Security Hub, acesse a opção CSPM e selecione ativar. Para esta demonstração, você não necessita das opções de padrões de segurança, portanto, pode desmarcá-las.
A próxima etapa é ativar o Amazon Security Lake para começar a coletar achados do Security Hub. No console do Security Lake, selecione “Começar”, escolha ingerir fontes AWS específicas e selecione Security Hub como fonte de log e eventos. Escolha a região específica onde você está trabalhando, use a opção padrão para criar um novo papel de serviço e conclua a configuração.
Etapa 3: Configurar Systems Manager Inventory e Sincronização com S3
Com Security Hub e Security Lake ativados, o próximo passo é configurar o Systems Manager Inventory para coletar metadados de arquivos e exportar esses dados para S3.
Crie um bucket S3 seguindo as orientações da documentação AWS para sincronização de dados de recursos. Após criar o bucket, ative o versionamento em suas propriedades. O versionamento garante que cada novo snapshot de inventário seja salvo como uma versão separada, permitindo rastrear mudanças ao longo do tempo.
Em produção, recomenda-se ativar logging de acesso ao S3, forçar acesso apenas por HTTPS e ativar eventos de dados do CloudTrail para auditoria completa.
No console do Systems Manager, acesse Fleet Manager e configure o inventário, selecionando apenas o tipo de dados “File”. Defina o caminho para a coleta limitada aos arquivos relevantes, neste caso:
/etc/paymentapp/
Em seguida, create a sincronização de dados de recursos no Fleet Manager, fornecendo um nome para a sincronização e o nome do bucket S3 versionado criado anteriormente.
Etapa 4: Implementar a Função Lambda
Para completar a solução, você precisa criar uma função Lambda que detecte mudanças quando novos dados de inventário chegarem ao S3. Cada vez que o Systems Manager escreve um novo objeto no S3, uma Amazon S3 Event Notification acionará a função Lambda, que comparará as versões mais recentes e anteriores do objeto.
Se forem encontrados arquivos criados, modificados ou deletados, a função cria um achado de segurança em formato ASFF (AWS Security Finding Format) no Security Hub.
Crie a função Lambda no console com o nome fim-change-detector, selecione Python como runtime e copie o código principal da função:
import boto3, os, json, re
from datetime import datetime, UTC
from urllib.parse import unquote_plus
from helpers import is_critical, load_file_metadata, is_modified, extract_instance_id
s3 = boto3.client('s3')
securityhub = boto3.client('securityhub')
CRITICAL_FILE_PATTERNS = os.environ["CRITICAL_FILE_PATTERNS"].split(",")
SEVERITY_LABEL = os.environ["SEVERITY_LABEL"]
def lambda_handler(event, context):
# Safe event handling
if "Records" not in event or not event["Records"]:
return
# Extract S3 event
record = event['Records'][0]
bucket = record['s3']['bucket']['name']
key = unquote_plus(record['s3']['object']['key'])
current_version = record['s3']['object'].get('versionId')
if not current_version:
return
# Fetching the region name
account_id = context.invoked_function_arn.split(":")[4]
region = boto3.session.Session().region_name
# Get object versions (latest first)
versions = s3.list_object_versions(Bucket=bucket, Prefix=key).get('Versions', [])
versions = sorted(versions, key=lambda v: v['LastModified'], reverse=True)
# Find previous version
idx = next((i for i,v in enumerate(versions) if v["VersionId"] == current_version), None)
if idx is None or idx + 1 >= len(versions):
return
prev_version = versions[idx+1]["VersionId"]
# Load both versions
current = load_file_metadata(bucket, key, current_version)
previous = load_file_metadata(bucket, key, prev_version)
# Compare
created = {p for p in set(current) - set(previous) if is_critical(p)}
deleted = {p for p in set(previous) - set(current) if is_critical(p)}
modified = {p for p in set(current) & set(previous) if is_critical(p) and is_modified(p, current, previous)}
# Report if changes were found
if created or deleted or modified:
instance_id = extract_instance_id(bucket, key, current_version)
now = datetime.now(UTC).isoformat(timespec='milliseconds').replace('+00:00', 'Z')
finding = {
"SchemaVersion": "2018-10-08",
"Id": f"fim-{instance_id}-{now}",
"ProductArn": f"arn:aws:securityhub:{region}:{account_id}:product/{account_id}/default",
"AwsAccountId": account_id,
"GeneratorId": "ssm-inventory-fim",
"CreatedAt": now,
"UpdatedAt": now,
"Types": ["Software and Configuration Checks/File Integrity Monitoring"],
"Severity": {"Label": SEVERITY_LABEL},
"Title": "File changes detected via SSM Inventory",
"Description": (
f"{len(created)} created, {len(modified)} modified, "
f"{len(deleted)} deleted file(s) on instance {instance_id}"
),
"Resources": [{"Type": "AwsEc2Instance", "Id": instance_id}]
}
securityhub.batch_import_findings(Findings=[finding])
# No change – delete older S3 version
else:
if prev_version != current_version:
try:
s3.delete_object(Bucket=bucket, Key=key, VersionId=prev_version)
except Exception as e:
print(f"Delete previous S3 object version failed: {e}")
Configurar Variáveis de Ambiente
A função Lambda requer duas variáveis de ambiente. No console Lambda, acesse a aba Configuração e defina:
A função Lambda precisa de permissões específicas. Crie uma política inline no papel de execução da função com as seguintes permissões (substitua <bucket-name>, <region> e <account-id> pelos seus valores):
Para melhor modularidade, crie um Lambda layer contendo funções auxiliares. Abra o AWS CloudShell e execute o seguinte script:
#!/bin/bash
set -e
FUNCTION_NAME="fim-change-detector"
LAYER_NAME="fim-change-detector-layer"
mkdir -p python
cat > python/helpers.py << 'EOF'
import json, re, os
from dateutil.parser import parse as parse_dt
import boto3
s3 = boto3.client('s3')
CRITICAL_FILE_PATTERNS = os.environ.get("CRITICAL_FILE_PATTERNS", "").split(",")
def is_critical(path):
return any(re.match(p.strip(), path) for p in CRITICAL_FILE_PATTERNS if p.strip())
def load_file_metadata(bucket, key, version_id):
obj = s3.get_object(Bucket=bucket, Key=key, VersionId=version_id)
data = {}
for line in obj['Body'].read().decode().splitlines():
if line.strip():
i = json.loads(line)
n, d, m = i.get("Name","").strip(), i.get("InstalledDir","").strip(), i.get("ModificationTime","").strip()
if n and d and m:
data[f"{d.rstrip('/')}/{n}"] = m
return data
def is_modified(path, current, previous):
try:
return parse_dt(current[path]) != parse_dt(previous[path])
except:
return current[path] != previous[path]
def extract_instance_id(bucket, key, version_id):
obj = s3.get_object(Bucket=bucket, Key=key, VersionId=version_id)
for line in obj['Body'].read().decode().splitlines():
if line.strip():
r = json.loads(line)
if "resourceId" in r:
return r["resourceId"]
return None
EOF
zip -r helpers_layer.zip python >/dev/null
LAYER_VERSION_ARN=$(aws lambda publish-layer-version \
--layer-name "$LAYER_NAME" \
--description "Helper functions for File Integrity Monitoring" \
--zip-file fileb://helpers_layer.zip \
--compatible-runtimes python3.13 \
--query 'LayerVersionArn' \
--output text)
aws lambda update-function-configuration \
--function-name "$FUNCTION_NAME" \
--layers "$LAYER_VERSION_ARN" >/dev/null
echo "Layer created and attached to the Lambda function."
Etapa 5: Configurar Notificações de Eventos S3
Configure as S3 Event Notifications para acionar a função Lambda quando novos dados de inventário chegarem. No console S3, abra o bucket de inventário, acesse propriedades e crie uma notificação de evento com o seguinte configuração:
No prefixo, defina AWS%3AFile/ para limitar os acionadores apenas aos objetos de inventário de arquivos
Selecione o tipo de evento “Put”
Aponte para a função Lambda recém-criada
A coleta de inventário é executada a cada 30 minutos por padrão, mas pode ser ajustada conforme os requisitos de segurança da organização.
Etapa 6: Testar a Detecção de Mudanças
Com a instância EC2 em execução e o arquivo de configuração inicializado, você está pronto para simular uma alteração não autorizada.
Use o Session Manager para conectar à instância e modificar o arquivo:
echo "db_password=hacked456" | sudo tee /etc/paymentapp/config.yaml
Para acelerar o teste, force uma execução imediata do inventário através do State Manager no console do Systems Manager. Após a conclusão bem-sucedida, verifique o bucket S3 e o console do Security Hub. Você deve ver um novo achado relatando a mudança detectada no arquivo.
Análise e Visualização de Dados
Enquanto o Security Hub oferece uma visão centralizada de achados, é possível aprofundar a análise utilizando o Amazon Athena para executar consultas SQL diretamente nos dados normalizados do Security Lake armazenados em S3, que seguem o padrão Open Cybersecurity Schema Framework (OCSF).
Um exemplo de consulta:
SELECT finding_info.desc AS description, class_uid AS class_id, severity AS severity_label, type_name AS finding_type, time_dt AS event_time, region, accountid
FROM amazon_security_lake_table_us_east_1_sh_findings_2_0
Ajuste a cláusula FROM conforme a região utilizada. O Security Lake processa os achados antes deles aparecerem no Athena, portanto, espere um pequeno atraso.
Para exploração visual e insights em tempo real, integre o Security Lake com o Amazon OpenSearch Service e Amazon QuickSight, ambos com suporte amplo a IA generativa. Consulte a documentação para um guia detalhado sobre visualização de achados.
Limpeza de Recursos
Após testar a solução, remova os recursos criados para evitar custos contínuos:
Termine a instância EC2
Delete a sincronização de dados de recursos e a associação de inventário
Remova a função Lambda
Desative o Security Lake e Security Hub CSPM
Delete os papéis IAM criados
Delete os buckets S3 utilizados para sincronização de dados e Security Lake
Considerações para Ambientes Produtivos
Em produção, considere as seguintes práticas recomendadas para a função Lambda:
Configure concorrência reservada para evitar escalabilidade sem limite
Configure uma fila de letra morta para capturar invocações que falharam
Opcionalmente, anexe a função a uma Amazon VPC para isolamento de rede
Além disso, o Security Lake suporta coleta de dados em múltiplas contas e regiões utilizando o AWS Organizations. Um Systems Manager resource data sync também pode ser configurado para enviar dados de inventário a um bucket S3 centralizado, simplificando a gestão em ambientes de múltiplas contas.
Conclusão
A solução apresentada demonstra como combinar o Systems Manager Inventory, Security Hub e Security Lake para criar um sistema robusto de monitoramento de integridade de arquivos. A abordagem oferece flexibilidade, controle e escalabilidade para organizações que buscam aprofundar a visibilidade sobre mudanças em seus ambientes AWS.
Integração entre Transfer Family e FSx para NetApp ONTAP
A AWS anunciou em janeiro de 2026 que o Transfer Family passou a oferecer suporte nativo para o Amazon FSx para NetApp ONTAP. Essa integração permite que clientes da AWS acessem dados armazenados em sistemas de arquivos FSx for ONTAP utilizando protocolos padronizados como SFTP (Protocolo Seguro de Transferência de Arquivo), FTPS (FTP com Segurança de Camada de Transporte) e FTP (Protocolo de Transferência de Arquivo).
O Transfer Family, que já oferecia transferências de arquivos totalmente gerenciadas em protocolos como SFTP, FTP, FTPS, AS2 e interfaces baseadas em navegador, agora expande sua capacidade de alcance para incluir infraestruturas ONTAP. Essa adição representa uma evolução importante para organizações que utilizam sistemas de armazenamento NetApp e precisam modernizar seus fluxos de transferência de dados.
Como funciona a integração
Acesso através de S3 Access Points
O mecanismo que viabiliza essa integração envolve o uso de S3 Access Points do Transfer Family. Os usuários podem agora acessar sistemas de arquivos FSx para ONTAP pelos protocolos suportados do Transfer Family, enquanto mantêm simultaneamente o acesso através dos protocolos nativos de arquivo — NFS (Sistema de Arquivos de Rede) e SMB (Bloco de Mensagem do Servidor).
Essa abordagem híbrida permite que as organizações preservem seus fluxos de trabalho existentes enquanto adicionam camadas de segurança e acesso padronizado para parceiros externos e usuários internos que necessitam de protocolos industriais específicos.
Controle de segurança e conformidade
O acesso aos dados é gerenciado através de mecanismos padrão da AWS: Políticas IAM (Gestão de Identidade e Acesso) e configurações de S3 Access Points. Essa estrutura centralizada de controle oferece às organizações ferramentas robustas para atender requisitos de segurança de dados e conformidade regulatória, elementos críticos em ambientes corporativos.
Disponibilidade e próximos passos
O suporte do Transfer Family para FSx para ONTAP está disponível em regiões selecionadas da AWS. Para começar, os clientes podem acessar o console do Transfer Family ou utilizar ferramentas de programação como AWS CLI (Interface de Linha de Comando) e SDKs (Kits de Desenvolvimento de Software).
A documentação técnica completa encontra-se no Guia do Usuário do Transfer Family, que oferece instruções passo a passo para configurar a integração com FSx para ONTAP e aproveitar todo o potencial dessa nova funcionalidade.
Por que isso importa
Essa integração elimina fricções comuns em migrações para a nuvem: organizações que dependem de NetApp ONTAP podem modernizar seus processos de compartilhamento de arquivos sem abandonar investimentos em infraestrutura existente. O Transfer Family oferece a ponte entre ambientes legados e abordagens nativas de nuvem, tudo sob um único serviço gerenciado.
A AWS recomenda utilizar o IAM Identity Center para fornecer aos seus usuários acesso aos aplicativos gerenciados pela AWS — como o Amazon Q Developer — e às contas AWS. Recentemente, a AWS anunciou o suporte para IPv6 no IAM Identity Center, representando um avanço importante na conectividade de rede para organizações que adotam a pilha de protocolos IPv6.
Para compreender melhor os benefícios dessa tecnologia, você pode consultar a documentação sobre IPv6 disponibilizada pela AWS.
Como funciona o Identity Center atualmente
O IAM Identity Center oferece um portal de acesso que permite aos usuários da sua organização acessarem aplicativos AWS e contas através de dois caminhos: autenticando-se diretamente no portal ou utilizando um marcador para a URL da aplicação. Em ambos os casos, o portal gerencia a autenticação dos usuários antes de conceder acesso aos recursos solicitados.
O suporte simultâneo para IPv4 e IPv6 facilita uma experiência de conectividade contínua para navegadores, aplicativos e outros clientes, independentemente de suas configurações de rede.
Endpoints dual-stack: o que muda
O novo recurso introduz endpoints dual-stack que suportam tanto IPv4 quanto IPv6. Isso significa que os usuários podem se conectar utilizando clientes com suporte a IPv4, IPv6 ou ambos, simultaneamente. Os endpoints IPv4 atuais continuam funcionando normalmente — nenhuma ação imediata é necessária.
Essa capacidade dual-stack se estende aos aplicativos gerenciados pelo Identity Center. Quando usuários acessam o endpoint dual-stack da aplicação, o sistema roteia automaticamente para o endpoint dual-stack do Identity Center para autenticação.
Preparação necessária para clientes IPv6
Para utilizar o Identity Center a partir de clientes IPv6, sua organização precisará direcionar os usuários para os novos endpoints dual-stack e atualizar as configurações no seu provedor de identidade externo (IdP), caso utilize um.
Este guia demonstra como atualizar sua configuração para permitir que clientes IPv6 se conectem diretamente aos endpoints do IAM Identity Center sem necessidade de serviços de tradução de endereços de rede.
Visão geral da transição
A transição de IPv4 para IPv6 via endpoints dual-stack envolve três fases distintas:
Estado inicial: clientes utilizam exclusivamente endpoints IPv4.
Fase de transição: seus clientes utilizam uma combinação de endpoints IPv4 e endpoints dual-stack.
Estado final: seus clientes se conectam aos endpoints dual-stack, utilizando IPv4 ou IPv6 conforme suas preferências.
Essa abordagem permite uma migração gradual, onde diferentes grupos de usuários podem fazer a transição em seus próprios prazos.
Pré-requisitos para habilitar IPv6
Para ativar o acesso IPv6 para usuários e administradores da sua organização, você precisa ter em vigor:
Recomenda-se trabalhar em conjunto com seus administradores de rede para atualizar as configurações de firewalls e gateways, além de verificar se seus dispositivos (laptops, desktops e outros) estão preparados para aceitar conectividade IPv6. Se sua organização já habilitou IPv6 para outros serviços AWS, você provavelmente já está familiarizado com essas alterações.
Etapa 1: Atualizar a configuração do seu provedor de identidade
Se sua organização não utiliza um IdP externo como fonte de identidade, você pode pular esta etapa.
Nesta fase, você precisa atualizar a URL do Serviço Consumidor de Asserção (ACS) da sua instância do IAM Identity Center nas configurações do seu IdP para autenticação única (single sign-on) e na configuração SCIM para provisionamento de usuários.
A capacidade do seu IdP determina como você atualiza essas URLs. Se o seu IdP suporta múltiplas URLs de ACS, configure tanto os URLs IPv4 quanto os dual-stack para possibilitar uma transição flexível. Com essa configuração, alguns usuários podem continuar usando endpoints somente IPv4 enquanto outros adotam endpoints dual-stack para IPv6.
Caso seu IdP suporte apenas um URL de ACS, você precisará atualizar para o novo URL dual-stack no IdP e fazer com que todos os usuários façam a transição para endpoints dual-stack simultaneamente.
Atualizando as configurações de autenticação SAML e provisionamento SCIM
Comece atualizando as configurações de autenticação única no seu IdP para utilizar as novas URLs dual-stack. Localize essas URLs no Console de Gerenciamento AWS para o IAM Identity Center, navegando até Settings no painel de navegação e depois selecionando Identity source.
Em seguida, escolha Actions e selecione Manage authentication. Sob Manage SAML 2.0 authentication, você encontrará os seguintes URLs nos metadados do provedor de serviço:
URL de entrada do portal de acesso AWS;
URL do Serviço Consumidor de Asserção (ACS) do IAM Identity Center;
URL do emissor do IAM Identity Center.
Se seu IdP suporta múltiplas URLs de ACS, adicione o URL dual-stack à configuração do seu IdP mantendo o existente em IPv4. Dessa forma, você e seus usuários podem decidir quando iniciar o uso dos endpoints dual-stack sem necessidade de que toda a organização mude simultaneamente.
Caso seu IdP não suporte múltiplas URLs de ACS, você precisará substituir o URL IPv4 existente pelo novo URL dual-stack e fazer com que toda sua organização use apenas os endpoints dual-stack.
Agora, atualize o endpoint de provisionamento no seu IdP. Acesse novamente Settings no painel de navegação, e sob Identity source, escolha Actions e selecione Manage provisioning. Sob Automatic provisioning, copie o novo endpoint SCIM que termina em api.aws e atualize essa URL no seu IdP externo.
Etapa 2: Localizar e compartilhar os novos endpoints dual-stack
Sua organização precisará de dois tipos de URLs para habilitar a conectividade IPv6.
URL do portal de acesso dual-stack
O primeiro é o novo URL do portal de acesso dual-stack que seus usuários utilizarão para acessar seus aplicativos AWS e contas atribuídos. Esse URL está disponível no console do IAM Identity Center, listado como Dual-stack no resumo de Settings (você pode precisar expandir a seção de URLs do portal de acesso).
Esse URL dual-stack termina com app.aws como seu domínio de nível superior. Compartilhe esse URL com seus usuários e solicite que usem esse URL dual-stack para conectar via IPv6.
Como exemplo, se sua organização utiliza o portal de acesso para acessar contas AWS, os usuários precisarão autenticar-se através do novo URL do portal de acesso dual-stack ao usar conectividade IPv6. Alternativamente, se sua organização acessa a URL da aplicação, você precisará ativar a URL dual-stack da aplicação seguindo instruções específicas dessa aplicação. Para mais informações, consulte a lista de serviços AWS que suportam IPv6.
URLs de serviço para administradores
O segundo tipo de URL que sua organização precisa são aqueles que administradores usam para gerenciar o IAM Identity Center. Os novos endpoints de serviço dual-stack terminam em api.aws como seu domínio de nível superior e estão listados nos endpoints de serviço do Identity Center.
Administradores podem usar esses endpoints de serviço para gerenciar usuários e grupos no Identity Center, atualizar seu acesso a aplicativos e recursos, e executar outras operações de gerenciamento. Como exemplo, se um administrador utiliza identitystore.{region}.amazonaws.com para gerenciar usuários e grupos no Identity Center, agora deve usar a versão dual-stack do mesmo endpoint: identitystore.{region}.api.aws, permitindo conectar aos endpoints de serviço usando clientes e redes IPv6.
Se seus usuários ou administradores utilizam um SDK da AWS para acessar aplicativos e contas AWS ou gerenciar serviços, siga as diretrizes sobre endpoints dual-stack e FIPS para habilitar a conectividade aos endpoints dual-stack.
Monitorando o uso dos endpoints dual-stack
Você pode opcionalmente monitorar os registros do AWS CloudTrail para rastrear o uso dos endpoints dual-stack. A diferença fundamental entre o uso de endpoints somente IPv4 e endpoints dual-stack é o domínio de nível superior (TLD) e aparece no campo clientProvidedHostHeader.
A seguir está um exemplo comparativo entre esses eventos no CloudTrail para a chamada da API CreateTokenWithIAM:
O IAM Identity Center agora permite que clientes se conectem via IPv6 nativamente, sem necessidade de infraestrutura de tradução de endereços de rede. Esta releitura apresentou como fazer a transição de sua organização para utilizar IPv6 com o Identity Center e suas aplicações integradas.
Lembre-se de que os endpoints IPv4 existentes continuarão funcionando, permitindo que você faça a transição no seu próprio ritmo. Nenhuma ação imediata é obrigatória, mas recomenda-se planejar a transição para aproveitar os benefícios do IPv6 e atender requisitos de conformidade.
A AWS expandiu a disponibilidade do Amazon Managed Grafana para as regiões AWS GovCloud (US-West) e AWS GovCloud (US-East). Essa expansão permite que órgãos governamentais e empresas de setores regulados visualizem e analisem seus dados operacionais de forma segura, atendendo aos rigorosos requisitos de conformidade exigidos pelo setor público norte-americano.
O Amazon Managed Grafana
O Amazon Managed Grafana é um serviço totalmente gerenciado baseado na plataforma de código aberto Grafana. Ele simplifica o processo de visualização e análise de dados operacionais em larga escala, permitindo que equipes de tecnologia monitorem infraestruturas complexas de forma centralizada e intuitiva.
O diferencial desse serviço é eliminar a necessidade de manutenção tradicional de software. Em vez de instalar, configurar e gerenciar instâncias do Grafana em seus próprios ambientes, as organizações podem contar com uma solução completamente administrada pela AWS.
Capacidades nas regiões GovCloud
Praticamente todas as funcionalidades do Amazon Managed Grafana estão disponíveis nas regiões AWS GovCloud (US). A única exceção diz respeito aos plugins Enterprise, que não são suportados nessas regiões específicas.
Essa disponibilidade é particularmente importante para organizações do setor público que precisam manter seus dados dentro de ambientes com conformidade rigorosa, garantindo que suas operações de monitoramento e análise atendam aos padrões federais de segurança e privacidade.
Para aprofundar o conhecimento sobre esse serviço, estão disponíveis a página do produto e a página de preços, onde é possível compreender melhor as funcionalidades oferecidas e analisar as opções de custeamento.
Relevância para o mercado regulado
Essa expansão de disponibilidade reflete a estratégia da AWS de oferecer seus serviços em ambientes que atendem a exigências rigorosas de conformidade. Para organizações que operam em setores regulados, como administração pública federal, defesa ou instituições financeiras altamente controladas, dispor de ferramentas de monitoramento nativas em regiões GovCloud reduz complexidades de arquitetura e facilita o atendimento a regulamentações específicas.
