Category: Uncategorized

PrivateLink para SAP HANA: segurança de ponta a ponta

A AWS expandiu as funcionalidades do AWS Backup ao introduzir suporte a PrivateLink (Link Privado) para sistemas SAP HANA em execução na Amazon EC2. Essa nova capacidade permite que as organizações direcionem todo o tráfego de backup através de conexões de rede privada, evitando completamente a passagem pela internet pública. Para muitas empresas que operam em setores regulados, esse é um requisito fundamental de conformidade e segurança.

O desafio anterior: tráfego dividido

Anteriormente, havia uma limitação importante: enquanto as cargas de trabalho de aplicação SAP HANA podiam utilizar o PrivateLink para estabelecer comunicação segura e privada com os serviços da AWS, o tráfego de backup precisava obrigatoriamente passar por endpoints públicos. Essa divisão criava um cenário onde a proteção de dados não era completamente privada de ponta a ponta, exigindo concessões em termos de segurança.

Conformidade regulatória simplificada

Organizações em setores altamente regulados — como serviços financeiros, saúde e agências governamentais — frequentemente enfrentam exigências estritas quanto à privacidade e localidade de dados. Com essa atualização, a AWS permite que empresas sujeitas a regulamentações como HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde), Privacy Shield (EU/US) e PCI DSS (Padrão de Segurança de Dados para Indústria de Cartões de Pagamento) implementem estratégias de proteção de dados totalmente privadas. Isso significa que tanto o tráfego de aplicação quanto os dados de backup permanem dentro de redes privadas controladas pela organização.

Como funciona e próximos passos

Essa capacidade agora está disponível em todas as regiões da AWS onde o AWS Backup oferece suporte a bancos de dados SAP HANA em EC2. Para começar a utilizar o PrivateLink com backups de SAP HANA, os clientes precisam realizar duas ações principais:

• Atualizar o agente Backint
• Adicionar o endpoint de conexão privada (VPCE) de backup-storage à sua VPC

Essas configurações garantem que a infraestrutura de backup seja integrada completamente à rede privada da organização, eliminando qualquer ponto de exposição à internet pública.

Impacto para empresas brasileiras

Para organizações brasileiras que operam com SAP HANA e estão em setores regulados (instituições financeiras, plataformas de saúde, órgãos governamentais), essa novidade representa um avanço significativo na capacidade de atender exigências de conformidade de forma prática. O recurso simplifica a implementação de arquiteturas de nuvem verdadeiramente privadas, reduzindo a complexidade operacional e os riscos associados à exposição desnecessária de tráfego de dados.

Fonte

AWS Backup announces PrivateLink support for SAP HANA on AWS (https://aws.amazon.com/about-aws/whats-new/2026/02/aws-backup-announces-privatelink-sap-hana-aws/)

Novas Versões Menores Disponíveis no Amazon RDS for PostgreSQL

A Amazon Web Services anunciou o suporte a novas versões menores do PostgreSQL no serviço Amazon Relational Database Service (RDS) for PostgreSQL. Agora estão disponíveis as versões 18.2, 17.8, 16.12, 15.16 e 14.21, ampliando as opções de atualização para os usuários que mantêm bancos de dados em diferentes ciclos de suporte.

Por Que Atualizar Para as Novas Versões Menores

As atualizações de versões menores são importantes por dois motivos principais. Primeiro, elas resolvem vulnerabilidades de segurança conhecidas presentes em versões anteriores do PostgreSQL. A comunidade de desenvolvimento do PostgreSQL trabalha continuamente para identificar e corrigir essas falhas, tornando as novas versões menores mais seguras para ambientes de produção.

Em segundo lugar, cada nova versão menor incorpora correções de bugs acumuladas pela comunidade PostgreSQL, melhorando a estabilidade e a confiabilidade do banco de dados. Essas correções adresam problemas encontrados em uso real e contribuem para uma experiência mais robusta.

Nova Extensão pg_stat_monitor

Esta versão também introduce a extensão pg_stat_monitor, que traz capacidades avançadas para monitoramento de performance. A ferramenta permite coletar métricas de desempenho e avaliar insights sobre o comportamento de consultas em uma visualização única e integrada, facilitando a identificação de gargalos e oportunidades de otimização.

Estratégias de Atualização: Automática e Orquestrada

Para simplificar o gerenciamento de bancos de dados em larga escala, a AWS oferece várias abordagens de atualização:

• Atualizações Automáticas: Você pode configurar atualizações automáticas de versão menor durante janelas de manutenção programadas, minimizando a necessidade de intervenção manual.
• Política de Rollout Orquestrado: Para organizações com muitas instâncias, a política de rollout do AWS Organizations permite orquestrar milhares de atualizações em fases. A estratégia típica começa pelos ambientes de desenvolvimento antes de passar aos sistemas de produção, reduzindo riscos.
• Implantações Blue/Green: Para minimizar o tempo de inatividade, você pode utilizar implantações Blue/Green do Amazon RDS com replicação física, que criam uma cópia sincronizada do banco de dados e permitem failover com downtime próximo a zero durante a atualização.

Como Começar

A atualização de seus bancos de dados pode ser feita através do AWS Command Line Interface (CLI) ou do console de gerenciamento do Amazon RDS. Para informações sobre preços e disponibilidade regional das novas versões, consulte a página de precificação do Amazon RDS for PostgreSQL.

Fonte

Amazon RDS for PostgreSQL supports minor versions 18.2, 17.8, 16.12, 15.16 and 14.21 (https://aws.amazon.com/about-aws/whats-new/2026/02/rds-minor-version-18-2-17-8-16-12-15-16-14-21)

Uma Aprovação Importante para Pagamentos em Nuvem

A AWS Payment Cryptography alcançou um marco significativo ao receber aprovação do Groupement des Cartes Bancaires (CB), a rede nacional de cartões bancários da França. Essa aprovação posiciona o serviço como um dos primeiros serviços de criptografia de pagamentos baseados em nuvem a obter essa certificação, uma conquista relevante para o ecossistema de pagamentos digital europeu.

A aprovação do CB complementa as credenciais de conformidade já existentes no serviço, abrindo caminho para que organizações executem cargas de trabalho de pagamento na AWS enquanto mantêm a conformidade com os requisitos da rede francesa.

Qui Pode Aproveitar essa Aprovação

Essa certificação é especialmente relevante para organizações que atuam no setor de pagamentos e estão considerando a migração para ambientes em nuvem. Entre os beneficiários diretos estão:

• Adquirentes de pagamentos
• Facilitadores de pagamentos
• Redes de pagamento
• Switches e processadores de pagamento
• Bancos emissores de cartões

Para essas organizações, a aprovação do CB funciona como um componente confiável de seus frameworks de conformidade durante a migração para a nuvem.

Funcionalidades Equivalentes a Infraestrutura Tradicional

Historicamente, organizações que processam pagamentos por cartão dependem de Módulos de Segurança de Hardware (Hardware Security Modules — HSM) para realizar operações criptográficas em conformidade. O AWS Payment Cryptography oferece funcionalidades equivalentes, mas como um serviço elástico e escalável, eliminando o ônus operacional de adquirir, manter e gerenciar módulos HSM standalone.

Esse modelo reduz complexidade, custos com infraestrutura e o trabalho administrativo associado ao gerenciamento de hardware especializado, enquanto mantém os mesmos níveis de segurança e conformidade.

Conformidade Multinível

O serviço se beneficia de um modelo robusto de responsabilidade compartilhada que já cobre múltiplas certificações essenciais:

• Padrão de Segurança de Dados PCI (PCI PIN, PCI P2PE, PCI 3DS, PCI DSS)
• SOC-2
• CSA STAR
• ISO/IEC 27001

A aprovação do CB agora se adiciona a esse portfólio de certificações, oferecendo um mapa de conformidade abrangente para casos de uso europeus e internacionais.

Disponibilidade Regional

O AWS Payment Cryptography está disponível nas seguintes regiões da AWS:

• América do Norte: Canadá (Montreal), EUA (Ohio, N. Virginia, Oregon)
• Europa: Irlanda, Frankfurt, Londres, Paris
• África: Cape Town
• Ásia-Pacífico: Singapura, Tóquio, Osaka, Mumbai, Hyderabad, Sydney

Essa distribuição geográfica oferece flexibilidade para organizações que processam pagamentos em múltiplas jurisdições.

Próximos Passos

Para começar a utilizar o serviço, os usuários podem baixar a versão mais recente da CLI/SDK da AWS e consultar o guia de usuário do AWS Payment Cryptography, que inclui detalhes adicionais sobre conformidade e orientações técnicas para implementação.

Fonte

AWS Payment Cryptography Achieves Cartes Bancaires Approval (https://aws.amazon.com/about-aws/whats-new/2026/02/payment-cryptography-cartes-bancaires)

ECS Managed Instances chega à AWS European Sovereign Cloud

A AWS anunciou a disponibilidade do Amazon ECS Managed Instances na AWS European Sovereign Cloud. Trata-se de uma opção de computação totalmente gerenciada que elimina a necessidade de gerenciar infraestrutura, mantendo acesso completo às capacidades do Amazon EC2.

Ao transferir as operações de infraestrutura para a AWS, as organizações conseguem manter o desempenho desejado das aplicações com a simplicidade necessária, além de reduzir o custo total de propriedade. A solução dimensiona automaticamente instâncias EC2 para corresponder aos requisitos da carga de trabalho e otimiza continuamente o posicionamento das tarefas para minimizar custos operacionais.

Capacidades principais do serviço

Segurança e manutenção automática

O ECS Managed Instances fortalece a postura de segurança através de correções de segurança regulares iniciadas a cada 14 dias. Isso elimina a responsabilidade manual de gerenciar patches, reduzindo vulnerabilidades e mantendo a infraestrutura atualizada.

Provisioning simplificado

Os usuários precisam apenas definir os requisitos das tarefas — número de vCPUs, tamanho de memória e arquitetura de CPU — e o Amazon ECS provisiona, configura e opera automaticamente as instâncias EC2 mais apropriadas dentro da conta AWS utilizando acesso controlado pela AWS.

Flexibilidade de tipos de instância

É possível especificar tipos de instância desejados na configuração do Capacity Provider do ECS Managed Instances, incluindo opções com aceleração GPU, otimização para rede e performance em modo rajada. Isso oferece a flexibilidade de executar cargas de trabalho nas famílias de instâncias preferidas.

Como começar

Para iniciar com o ECS Managed Instances, é possível utilizar o AWS Console, o Amazon ECS MCP Server ou ferramentas de infraestrutura como código para ativar o recurso em um novo cluster Amazon ECS ou em um existente.

É importante observar que os usuários serão cobrados pelo gerenciamento da computação provisionada, além dos custos regulares do Amazon EC2.

Para obter mais informações sobre o ECS Managed Instances, consulte a página de recursos, a documentação e o blog de lançamento da AWS News.

Fonte

Amazon ECS Managed Instances now available in AWS European Sovereign Cloud (https://aws.amazon.com/about-aws/whats-new/2026/02/ecs-mi-european-sovereign-cloud)

Ampliação do suporte a tipos de recursos

A AWS anunciou uma expansão significativa no AWS Config, incorporando suporte a 30 tipos adicionais de recursos em seus principais serviços. Essa ampliação abrange serviços importantes como Amazon EKS (Elastic Kubernetes Service), Amazon Q e AWS IoT, proporcionando aos usuários uma cobertura muito mais abrangente de seus ambientes em nuvem.

A inclusão desses novos tipos de recursos permite que organizações descubram, avaliem, auditem e remediem uma faixa significativamente mais ampla de recursos. Para quem já possui a gravação habilitada para todos os tipos de recursos, a novidade funciona de forma automática — o AWS Config passa a rastrear esses novos tipos imediatamente, sem necessidade de configurações adicionais.

Recursos monitoráveis em novos contextos

Os novos tipos de recursos agora estão disponíveis não apenas no AWS Config, mas também integrados com Config rules (regras de configuração) e Config aggregators (agregadores de configuração). Isso significa que as estratégias de conformidade e auditoria ganham ferramentas ainda mais robustas para manter seus ambientes sob controle.

Cobertura geográfica

Você pode agora utilizar o AWS Config para monitorar os seguintes tipos de recursos em todas as regiões AWS onde esses recursos estejam disponíveis.

Tipos de recursos adicionados

A lista de novos tipos de recursos suportados inclui capacidades em múltiplos domínios:

• AWS::ApplicationSignals::ServiceLevelObjective
• AWS::IoT::SoftwarePackage
• AWS::ARCZonalShift::AutoshiftObserverNotificationStatus
• AWS::IoT::TopicRule
• AWS::B2BI::Transformer
• AWS::IoTWireless::Destination
• AWS::CE::CostCategory
• AWS::IoTWireless::DeviceProfile
• AWS::CleanRooms::ConfiguredTable
• AWS::IoTWireless::NetworkAnalyzerConfiguration
• AWS::CleanRooms::Membership
• AWS::IoTWireless::TaskDefinition
• AWS::CodeArtifact::PackageGroup
• AWS::IoTWireless::WirelessGateway
• AWS::Connect::Prompt
• AWS::Kinesis::ResourcePolicy
• AWS::EKS::Nodegroup
• AWS::PCAConnectorSCEP::Connector
• AWS::GameLift::MatchmakingRuleSet
• AWS::QBusiness::Application
• AWS::GameLift::Script
• AWS::QuickSight::DataSet
• AWS::Glue::Crawler
• AWS::QuickSight::Dashboard
• AWS::InternetMonitor::Monitor
• AWS::Route53::DNSSEC
• AWS::IoT::BillingGroup
• AWS::SSM::PatchBaseline
• AWS::IoT::ResourceSpecificLogging
• AWS::Transfer::User

Implicações para governança em nuvem

Essa expansão reflete o compromisso contínuo da AWS com melhorias em visibilidade e controle. À medida que ambientes em nuvem crescem em complexidade — especialmente com adoção de contêineres via EKS, soluções de negócios via Amazon Q e conectividade via IoT — a necessidade de rastreabilidade e auditoria completa se torna crítica para conformidade e segurança.

Fonte

AWS Config now supports 30 new resource types (https://aws.amazon.com/about-aws/whats-new/2026/02/aws-config-new-resource-types)

Domínios personalizados no WorkSpaces Secure Browser

A AWS lançou um novo recurso para o Amazon WorkSpaces Secure Browser que permite configurar domínios personalizados nos portais de acesso. Ao invés de usar a URL padrão fornecida pela plataforma, as organizações agora podem rotear o acesso através de seu próprio domínio, criando uma experiência muito mais alinhada com a identidade corporativa.

Como funciona a configuração

O processo é relativamente simples para administradores. Basta adicionar o domínio personalizado diretamente no painel do WorkSpaces Secure Browser e configurar um proxy reverso (como o Amazon CloudFront, por exemplo). Uma vez em operação, o tráfego é direcionado através do proxy reverso até o endpoint do portal. Após a autenticação e autorização bem-sucedida, o WorkSpaces Secure Browser redireciona automaticamente os usuários para o domínio personalizado configurado.

Autenticação e integração com provedores de identidade

O serviço oferece flexibilidade quanto à autenticação. É possível usar o AWS Identity Center ou integrar com seu próprio Provedor de Identidade (IdP). O suporte inclui tanto fluxos iniciados pelo IdP quanto pelo provedor de serviço, oferecendo às empresas a liberdade de escolher o modelo de autenticação que melhor se adequa à sua infraestrutura existente.

Disponibilidade e custo

Este recurso está disponível sem nenhum custo adicional em 10 regiões AWS: US East (N. Virginia), US West (Oregon), Canada (Central), Europe (Frankfurt, London, Ireland) e Asia Pacific (Tokyo, Mumbai, Sydney, Singapore). O WorkSpaces Secure Browser continua operando com modelo de pagamento conforme o uso.

Próximos passos

Para começar a usar domínios personalizados, acesse o console do Amazon WorkSpaces Secure Browser e configure seu domínio no portal. Para detalhes técnicos completos sobre a implementação, consulte a documentação sobre domínios personalizados do WorkSpaces Secure Browser. Você também pode conferir informações sobre o modelo de preço do serviço.

Fonte

Amazon WorkSpaces Secure Browser now supports custom domain (https://aws.amazon.com/about-aws/whats-new/2026/02/amazon-workspaces-secure-browser-custom-domains/)

Uma abordagem mais flexível para orquestração de trabalhos

A AWS anunciou uma expansão importante em suas capacidades de agendamento de trabalhos: o AWS Batch agora estende seu suporte para ambientes de computação não gerenciados no Amazon EKS. Essa evolução oferece aos usuários uma alternativa estratégica para quem precisa manter controle total sobre a infraestrutura Kubernetes, seja por razões de segurança, conformidade regulatória ou requisitos operacionais específicos.

O que mudou com os ambientes não gerenciados

Com essa nova capacidade, torna-se possível aproveitar a orquestração inteligente de trabalhos do AWS Batch enquanto mantém controle total sobre como o Kubernetes está configurado e gerenciado. A diferença fundamental é que, em ambientes não gerenciados, você permanece responsável pela infraestrutura de computação do seu cluster EKS, enquanto o AWS Batch cuida da orquestração e agendamento dos trabalhos.

Como configurar ambientes não gerenciados

O processo de configuração é direto. Você pode criar ambientes de computação não gerenciados por meio da API CreateComputeEnvironment ou através do console do AWS Batch. Para isso, é necessário indicar seu cluster EKS existente e especificar um namespace Kubernetes. Após essa configuração inicial, você associa seus nós EKS ao ambiente de computação utilizando rotulagem com kubectl.

Para quem essa funcionalidade é útil

O AWS Batch é projetado para apoiar desenvolvedores, cientistas e engenheiros que precisam executar processamento em lote eficiente em qualquer escala. Os casos de uso incluem treinamento de modelos de aprendizado de máquina, simulações complexas e análises de dados em larga escala. Com a adição de suporte para ambientes não gerenciados, esses profissionais ganham mais flexibilidade para adaptar a solução às suas necessidades específicas de infraestrutura.

Disponibilidade e próximos passos

Os ambientes de computação não gerenciados no Amazon EKS estão disponíveis a partir de agora em todas as regiões onde AWS Batch opera. Para aprofundar seus conhecimentos sobre implementação e melhores práticas, consulte o guia do usuário do AWS Batch.

Fonte

AWS Batch now supports unmanaged compute environments for Amazon EKS (https://aws.amazon.com/about-aws/whats-new/2026/02/aws-batch-on-eks-unmanaged-compute-environments)

Lake Formation Expande Presença na Ásia-Pacífico

A AWS anunciou em fevereiro de 2026 que o Lake Formation está agora disponível na região Ásia-Pacífico (Nova Zelândia). Esta expansão geográfica amplia as opções para organizações que precisam manter conformidade regional e reduzir latência ao trabalhar com dados em localidades específicas.

O que é AWS Lake Formation

O Lake Formation é um serviço que simplifica a governança de dados em larga escala. Sua principal função é permitir que você defina centralmente onde seus dados residem e quais políticas de acesso e segurança devem ser aplicadas a eles. Este é um ponto crucial para empresas que lidam com dados sensíveis ou que precisam cumprir regulamentações rigorosas sobre proteção de informações.

Funcionalidades Principais

Gestão Centralizada de Permissões

Uma das características diferenciais do Lake Formation é a capacidade de gerenciar permissões de acesso com granularidade refinada de forma centralizada. Isso significa que você pode controlar precisamente quem tem acesso a quais dados, sem necessidade de configurações complexas e distribuídas por múltiplos sistemas.

Compartilhamento Seguro de Dados

O serviço facilita o compartilhamento seguro de dados dentro e fora da organização. Esta é uma capacidade essencial para empresas que colaboram com parceiros, clientes ou outras unidades de negócio, garantindo que o compartilhamento ocorra dentro de políticas de segurança bem definidas.

Integração com o Catálogo de Dados AWS Glue

O Lake Formation trabalha em conjunto com o AWS Glue Data Catalog (Catálogo de Dados do AWS Glue), um repositório centralizado que descreve os conjuntos de dados disponíveis e suas políticas de uso apropriadas. Os usuários podem acessar este catálogo centralizado para descobrir quais dados estão disponíveis e como utilizá-los adequadamente.

Compatibilidade com Ferramentas Analíticas

Após acessar os dados através do Lake Formation e do catálogo centralizado, os usuários podem trabalhar com esses conjuntos de dados usando diversos serviços de análise e machine learning. A AWS oferece integração com ferramentas como Amazon EMR para Apache Spark, Amazon Redshift, AWS Glue, Amazon QuickSight e Amazon Athena, permitindo flexibilidade na escolha das plataformas analíticas mais adequadas para cada caso de uso.

Próximas Ações

Para aprofundar seus conhecimentos sobre o Lake Formation e suas capacidades, você pode consultar a documentação técnica disponível. Além disso, para verificar a disponibilidade completa do Lake Formation em todas as regiões da AWS, consulte a tabela de regiões e serviços, onde você encontrará informações atualizadas sobre em quais localidades geográficas cada serviço está disponível.

Fonte

AWS Lake Formation is now available in Asia Pacific (New Zealand) Region (https://aws.amazon.com/about-aws/whats-new/2026/02/AWS-Lake-Formation-Asia-Pacific-New-Zealand-Region)

Tabelas Globais do DynamoDB Agora Suportam Multi-Contas

A AWS anunciou uma nova capacidade para as tabelas globais do DynamoDB: suporte a replicação entre múltiplas contas AWS. O DynamoDB global tables é um banco de dados totalmente gerenciado, sem servidor, com suporte multi-região e multi-ativo, utilizado por dezenas de milhares de clientes para potencializar aplicações críticas para seus negócios.

Esta nova funcionalidade permite que as organizações repliquem tabelas tanto entre contas AWS quanto entre regiões, abrindo possibilidades significativas para melhorar a resiliência, isolar cargas de trabalho no nível de conta e aplicar controles distintos de segurança e governança conforme as necessidades específicas de cada departamento ou projeto.

Como Funciona a Replicação Multi-Conta

Com as tabelas globais multi-conta, o DynamoDB replica automaticamente as tabelas entre contas AWS e regiões. Essa capacidade fortalece a tolerância a falhas e contribui para que as aplicações permaneçam altamente disponíveis mesmo durante interrupções no nível de conta.

Simultaneamente, a solução permite que as organizações alinhem a colocação de dados com seus requisitos de segurança e conformidade, respeitando a estrutura organizacional e facilitando a implementação de políticas de isolamento de dados específicas de cada unidade de negócio.

Casos de Uso Ideais

As tabelas globais multi-conta são particularmente relevantes para organizações que adotam estratégias multi-conta ou utilizam o AWS Organizations para:

• Melhorar o isolamento de segurança entre ambientes
• Aplicar guardrails de perímetro de dados
• Implementar estratégias de recuperação de desastres (DR)
• Separar cargas de trabalho por unidade de negócio

Disponibilidade e Preços

As tabelas globais multi-conta estão disponíveis em todas as regiões AWS e são cobradas conforme o modelo de preços das tabelas globais existentes.

Como Começar

Para implementar essa funcionalidade, os clientes podem consultar a documentação das tabelas globais do DynamoDB e o guia de desenvolvimento da AWS para aprender mais sobre os benefícios de utilizar uma estratégia multi-conta no ambiente AWS.

Fonte

Amazon DynamoDB global tables now support replication across multiple AWS accounts (https://aws.amazon.com/about-aws/whats-new/2026/02/dynamodb-gt-multi-account/)

Uma Camada Adicional de Segurança para Distribuições CloudFront

A AWS anunciou o suporte para autenticação TLS Mútuo (mTLS) no Amazon CloudFront, um protocolo de segurança que permite aos clientes verificar se as requisições dirigidas aos seus servidores de origem provêm apenas de distribuições CloudFront autorizadas, usando certificados TLS. Esse mecanismo de autenticação baseado em certificados fornece verificação criptográfica da identidade do CloudFront, eliminando a necessidade de os clientes implementarem controles de segurança personalizados.

O Problema com Abordagens Tradicionais

Anteriormente, comprovar que as requisições vinham de distribuições CloudFront exigia que os clientes desenvolvessem e mantivessem soluções de autenticação customizadas. Exemplos dessas abordagens incluem headers de secret compartilhado ou listas de IP permitidas, particularmente quando as origens eram públicas ou hospedadas externamente.

Essas estratégias demandavam sobrecarga operacional contínua: rotação de secrets, atualização de listas de permissão e manutenção de código personalizado. Com o tempo, isso representava um custo significativo em termos de tempo e complexidade da infraestrutura.

Autenticação Padronizada com Certificados

Com o suporte ao mTLS em origens, as organizações podem implementar uma abordagem de autenticação padronizada e baseada em certificados, eliminando esse trabalho operacional. Isso possibilita reforçar uma autenticação rigorosa para conteúdo proprietário, garantindo que apenas distribuições CloudFront verificadas consigam estabelecer conexões com infraestrutura de backend.

Essa infraestrutura pode incluir origens AWS, servidores locais, provedores de nuvem terceirizados e CDNs externos.

Implementação e Compatibilidade

Os clientes podem aproveitar certificados de cliente emitidos pela AWS Private Certificate Authority ou por Autoridades de Certificação privadas de terceiros, que são importados através do AWS Certificate Manager.

A configuração do mTLS em origens pode ser feita através do AWS Management Console, CLI, SDK, CDK ou CloudFormation. O recurso é suportado para todas as origens compatíveis com TLS Mútuo na AWS, incluindo Application Load Balancer e API Gateway, assim como origens on-premises e customizadas.

Custo e Disponibilidade

Não há cobrança adicional pelo uso de mTLS em origens. O recurso também está disponível nos planos de preço fixo Business e Premium.

Para orientações detalhadas de implementação e melhores práticas, consulte a documentação sobre autenticação TLS Mútuo em origens do CloudFront.

Fonte

Amazon CloudFront announces mutual TLS support for origins (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-cloudfront-mutual-tls-for-origins/)