User's blog

Category: Uncategorized

  • Padrões Seguros de Acesso para Agentes de IA a Recursos AWS Usando Model Context Protocol

    Segurança de Agentes de IA Acessando Recursos AWS

    A inteligência artificial generativa trouxe uma nova categoria de aplicações: os agentes de IA e assistentes de codificação. Diferente das aplicações tradicionais com fluxos de código previsíveis, esses agentes raciocinam dinamicamente, escolhendo diferentes ferramentas e acessando diferentes dados conforme o contexto. Essa característica fundamental muda completamente a abordagem de segurança necessária.

    O acesso desses agentes aos recursos da AWS acontece frequentemente através do Model Context Protocol (MCP). A AWS publicou orientações técnicas focadas especificamente em como garantir que esse acesso seja seguro, apresentando três princípios de segurança para construir controles determinísticos em sistemas não-determinísticos de IA.

    Entendendo o Problema de Segurança

    O desafio fundamental é que você deve assumir que um agente pode fazer qualquer coisa dentro de suas permissões concedidas, independentemente da intenção original. Diferente de uma aplicação tradicional onde você revisa o código e entende exatamente quais APIs serão chamadas, um agente pode invocar diferentes ferramentas em diferentes contextos.

    Agentes operam em velocidade de máquina, o que significa que o impacto de permissões mal configuradas escala rapidamente. Um agente pode fazer milhares de chamadas de API em segundos. Se receber permissões excessivas, pode causar danos significativos antes de qualquer detecção humana.

    A AWS Identity and Access Management (IAM) é a camada de autorização para acesso aos recursos AWS. O foco da orientação é em como usar IAM de forma adequada, considerando a natureza não-determinística dos agentes de IA.

    Padrões de Implantação do MCP

    Onde os Agentes Executam

    Os agentes acessam recursos AWS de três locais distintos. O primeiro padrão é em máquinas de desenvolvimento, como assistentes de IA (ex: Kiro e Claude Code) executando localmente. Neste caso, as credenciais vêm do ambiente local do desenvolvedor, e o desenvolvedor controla qual principal IAM o agente usa.

    O segundo padrão é em ambientes de hospedagem gerenciados pela organização, como Amazon Bedrock AgentCore, Amazon EC2 ou Amazon EKS. Aqui, o agente usa um papel IAM de execução configurado pela organização.

    O terceiro padrão é em plataformas de agentes de terceiros, onde a organização não controla a infraestrutura. Este artigo se concentra nos dois primeiros padrões.

    Tipos de Servidores MCP

    Existem dois tipos de servidores MCP. Os servidores gerenciados pela AWS, como o AWS MCP Server, Amazon EKS MCP Server e Amazon ECS MCP Server, rodam na infraestrutura AWS sem necessidade de instalação.

    Os servidores auto-gerenciados são aqueles que você instala e mantém você mesmo, incluindo servidores fornecidos pela AWS no AWS MCP GitHub repository ou servidores customizados que você constrói do zero.

    A diferença de segurança é importante: os servidores gerenciados pela AWS adicionam automaticamente chaves de contexto IAM a cada chamada de serviço AWS downstream. Os servidores auto-gerenciados não fazem isso automaticamente; você precisa configurá-los para adicionar tags de sessão ao assumir papéis IAM.

    Princípio 1: Assuma que Todas as Permissões Concedidas Podem Ser Usadas

    Este é o princípio fundamental. Qualquer permissão que você conceda a um agente pode ser exercida, regardless da sua intenção original. Se você concede s3:DeleteObject, deve assumir que o agente pode deletar qualquer objeto S3 ao qual tem acesso.

    As aplicações tradicionais seguem caminhos de código determinísticos. Você revisa o código-fonte e identifica exatamente quais APIs serão chamadas. Agentes de IA operam diferente. Eles tomam decisões em tempo de execução baseadas em raciocínio e contexto.

    Cenários de Risco

    Alucinação: O agente interpreta mal uma solicitação e realiza a ação errada. Um agente designado para limpar arquivos temporários pode alucinar que dados de produção são temporários e deletá-los.

    Injeção de prompt: Um terceiro malicioso elabora entrada inesperada que influencia o raciocínio do agente. Um agente designado para consultar tabelas Amazon DynamoDB poderia ser direcionado a chamar operações de escrita em recursos fora de seu escopo.

    Erros de lógica: O raciocínio do agente leva a uma conclusão incorreta. Um agente analisando custos de armazenamento S3 pode concluir que dados frequentemente acessados são não utilizados e deletá-los para economizar.

    Envenenamento de ferramentas: Um servidor MCP comprometido ou dependência realiza operações não intencionais usando as credenciais do agente.

    Implementação Prática

    Aplique o princípio de menor privilégio rigorosamente. Se um agente precisa apenas ler objetos S3, conceda apenas s3:GetObject, não s3:*. Use condições de política IAM para limitar permissões a recursos específicos.

    Considere implementar perímetros de dados como camada adicional de defesa. Use alarmes do CloudWatch para monitorar ações inesperadas do agente. Conduza auditorias regulares de permissões para identificar e remover acessos que não são mais necessários.

    Princípio 2: Orientação Organizacional sobre Uso de Papéis

    Este princípio aborda governança organizacional. Quando desenvolvedores usam assistentes de IA e configuram servidores MCP, frequentemente escolhem papéis existentes que foram designados para uso humano com permissões muito mais amplas que os agentes realmente precisam.

    Para Agentes que Você Controla

    Quando você controla o código do agente, pode implementar gerenciamento de credenciais dinâmico. Este é o modelo de execução mais forte. O papel IAM define o teto máximo de permissões, mas você usa políticas de sessão para restringir permissões por operação específica.

    Quando o agente invoca uma ferramenta específica, chama AssumeRole com uma política de sessão que restringe permissões apenas ao que essa ferramenta requer. As permissões efetivas são a interseção das políticas do papel e da política de sessão.

    import boto3

sts = boto3.client('sts')

response = sts.assume_role(
    RoleArn='arn:aws:iam::111122223333:role/AgentDataRole',
    RoleSessionName='agent-data-reader',
    PolicyArns=[
        {'arn': 'arn:aws:iam::aws:policy/ReadOnlyAccess'}
    ],
    DurationSeconds=3600
)

credentials = response['Credentials']
s3 = boto3.client(
    's3',
    aws_access_key_id=credentials['AccessKeyId'],
    aws_secret_access_key=credentials['SecretAccessKey'],
    aws_session_token=credentials['SessionToken']
)

    Para Assistentes de IA Configurados

    Quando você usa assistentes de IA com configuração fixa (como Kiro ou Claude Code), seus controles de segurança devem estar em lugar antes do agente executar. Crie papéis específicos para agentes com permissões mais restritas que papéis equivalentes de humanos.

    Use limites de permissão IAM para estabelecer governança organizacional. Um limite de permissão é uma política gerenciada que sua equipe de segurança anexa a um papel IAM para definir as permissões máximas que esse papel pode conceder. As permissões efetivas são a interseção das políticas de identidade do papel e do limite de permissão.

    Para ambientes multi-conta, use AWS Organizations e políticas de controle de serviço (SCPs) para estabelecer limites máximos de permissões em toda a organização.

    Princípio 3: Diferenciar Ações Orientadas por IA de Ações Iniciadas por Humanos

    Este terceiro princípio adiciona um nível complementar de controle. Enquanto o princípio 2 governa quais permissões um agente tem, este princípio governa o que o agente pode fazer com essas permissões baseado em se a ação é orientada por IA ou iniciada por humano.

    Sem mecanismo de diferenciação, políticas IAM não podem distinguir entre ações de IA e iniciadas por humano. Se um desenvolvedor tem permissão s3:DeleteObject e usa um agente com suas credenciais, o agente também tem essa permissão sem forma de restringir.

    Servidores MCP Gerenciados pela AWS

    Os servidores gerenciados pela AWS oferecem diferenciação por padrão. Eles adicionam automaticamente as chaves de contexto IAM aws:ViaAWSMCPService (booleano true quando a solicitação vem através de um servidor MCP gerenciado) e aws:CalledViaAWSMCP (string contendo o nome do servidor MCP) a cada chamada de serviço AWS downstream.

    Você precisa apenas escrever políticas IAM que verifiquem essas chaves. A seguinte política nega operações de delete quando acessadas através de qualquer servidor MCP gerenciado:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "AllowS3ReadOperations",
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:ListBucket"
    ],
    "Resource": "*"
  }, {
    "Sid": "DenyDeleteWhenAccessedViaMCP",
    "Effect": "Deny",
    "Action": [
      "s3:DeleteObject",
      "s3:DeleteBucket"
    ],
    "Resource": "*",
    "Condition": {
      "Bool": {
        "aws:ViaAWSMCPService": "true"
      }
    }
  }]
}

    Servidores MCP Auto-Gerenciados

    Servidores auto-gerenciados não adicionam chaves de contexto automaticamente. Para implementar diferenciação, você deve configurar o servidor MCP para adicionar tags de sessão ao assumir papéis IAM. Isso requer modificar seu servidor MCP para chamar AssumeRole com tags anexadas:

    import boto3

sts = boto3.client('sts')

response = sts.assume_role(
    RoleArn='arn:aws:iam::111122223333:role/MCPServerRole',
    RoleSessionName='mcp-server-session',
    Tags=[
        {'Key': 'AccessType', 'Value': 'AI'},
        {'Key': 'Source', 'Value': 'AgentRuntime'},
        {'Key': 'MCPServer', 'Value': 'org-data-server'}
    ]
)

credentials = response['Credentials']

    Você então escreve políticas IAM que verificam essas tags usando a chave de condição aws:PrincipalTag para diferenciar ações de agentes:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "AllowS3ReadOperations",
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:ListBucket"
    ],
    "Resource": "*"
  }, {
    "Sid": "DenyDeleteWhenAccessedViaAI",
    "Effect": "Deny",
    "Action": [
      "s3:DeleteObject",
      "s3:DeleteBucket"
    ],
    "Resource": "*",
    "Condition": {
      "StringEquals": {
        "aws:PrincipalTag/AccessType": "AI"
      }
    }
  }]
}

    Monitoramento através de CloudTrail

    Ambos os mecanismos de diferenciação geram logs no AWS CloudTrail. Para servidores gerenciados, chamadas originadas de MCP aparecem com identificadores de serviço MCP nos campos da solicitação. Para servidores auto-gerenciados, as tags de sessão aparecem no campo requestParameters.principalTags do evento AssumeRole.

    Com esses logs, você pode consultar CloudTrail para encontrar todas as ações orientadas por IA e analisar padrões de comportamento do agente. Configure alarmes para detectar ações de agentes em recursos sensíveis ou padrões incomuns.

    Considerações Importantes

    Quando agentes usam ferramentas de propósito geral como bash ou shell para executar comandos AWS CLI ou scripts Python, a solicitação vai direto para AWS, contornando completamente os servidores MCP. Nestes casos, as chaves de contexto de diferenciação não são aplicadas.

    Os controles de diferenciação garantem o caminho de acesso MCP. Para caminhos de acesso direto, os princípios 1 e 2 são seus controles primários. Se o papel não tem permissão s3:DeleteObject, o agente não pode deletar objetos, independentemente do caminho.

    Você pode usar frameworks de agentes e ambientes de hospedagem para limitar quais ferramentas um agente pode acessar, removendo capacidades de execução de propósito geral para agentes que interagem com AWS exclusivamente através de servidores MCP.

    Síntese Prática

    Comece com o Princípio 1: audite as permissões atuais do agente e padrão para acesso somente leitura quando possível. Em seguida, implemente o Princípio 2 estabelecendo limites de permissão e selecionando papéis específicos para agentes. Finalmente, adicione diferenciação do Princípio 3 baseada no tipo de seu servidor MCP.

    Para servidores gerenciados pela AWS, use as chaves de contexto automáticas em suas políticas IAM. Para servidores auto-gerenciados, configure tags de sessão e refira-se a elas em suas políticas.

    Fonte

    Secure AI agent access patterns to AWS resources using Model Context Protocol (https://aws.amazon.com/blogs/security/secure-ai-agent-access-patterns-to-aws-resources-using-model-context-protocol/)

  • Aurora DSQL apresenta conector que simplifica o desenvolvimento de aplicações PHP

    Um novo conector simplifica aplicações PHP na Aurora DSQL

    A AWS anunciou o lançamento do Conector Aurora DSQL para PHP (PDO_PGSQL), uma solução pensada para facilitar a construção de aplicações PHP que rodem sobre o Aurora DSQL. Este novo conectar representa um avanço significativo na forma como desenvolvedores brasileiros podem integrar suas aplicações ao banco de dados relacional distribuído da Amazon.

    Autenticação simplificada e segura

    Um dos destaques do novo conectar é a forma como ele revoluciona o modelo de autenticação. Ao invés de trabalhar com senhas tradicionais geradas manualmente (uma prática que traz riscos de segurança), o conector gera tokens automaticamente a cada conexão. Isso garante que tokens válidos estejam sempre em uso, eliminando vulnerabilidades associadas ao gerenciamento manual de credenciais.

    A implementação mantém compatibilidade total com os recursos existentes do PDO_PGSQL, permitindo que desenvolvedores façam transição suave sem precisar reescrever seus códigos.

    Capacidades principais do conector

    O conectar Aurora DSQL para PHP gerencia automaticamente aspectos técnicos complexos da conexão, como geração de tokens Identify and Access Management (IAM), configuração de Secure Sockets Layer (SSL) e pooling de conexões. Com essas funcionalidades consolidadas, desenvolvedores podem escalar suas aplicações de forma linear — começando com scripts simples e evoluindo para cargas de trabalho em produção, tudo sem alterar a abordagem de autenticação.

    Além disso, o conector oferece:

    • Controle de concorrência otimista (Optimistic Concurrency Control – OCC) com retry automático e backoff exponencial
    • Suporte a provedores de credenciais Identify and Access Management (IAM) personalizados
    • Integração com perfis de credenciais da AWS

    Essas funcionalidades tornam mais simples desenvolver lógica de retry no cliente e gerenciar credenciais da AWS em diferentes cenários de aplicação.

    Como começar

    Desenvolvedores interessados em utilizar o novo conector podem acessar a documentação completa sobre conectores para Aurora DSQL para detalhes técnicos aprofundados. Para aqueles que preferem aprender através de exemplos práticos, está disponível um repositório no GitHub com exemplos do conector PHP.

    A AWS oferece a possibilidade de começar com Aurora DSQL gratuitamente através da Camada Gratuita da AWS, permitindo que desenvolvedores experimentem a solução sem custos iniciais. Para conhecer mais detalhes sobre o Aurora DSQL em geral, consulte a página oficial do serviço.

    Fonte

    Aurora DSQL launches connector that simplifies building PHP applications (https://aws.amazon.com/about-aws/whats-new/2026/04/aurora-dsql-connector-for-php/)

  • CloudWatch Pipelines: novos recursos de conformidade e governança em logs

    Conformidade e Governança no CloudWatch Pipelines

    A AWS anunciou, em abril de 2026, novas capacidades de conformidade e governança para o CloudWatch Pipelines. O serviço, que oferece gerenciamento automático de ingestão, transformação e roteamento de dados de logs, passou a incluir ferramentas específicas para organizações que precisam manter integridade de dados e controlar quem acessa as operações de processamento de logs.

    O CloudWatch Pipelines é um serviço completamente gerenciado que elimina a necessidade de infraestrutura própria para essas operações. Porém, quando processadores de pipeline modificam eventos de log durante a transformação, surge um desafio importante: organizações com requisitos de auditoria ou conformidade regulatória necessitam preservar os dados originais e rastrear quais informações foram alteradas. As novas capacidades abordam essa necessidade de forma direta.

    Principais Capacidades Implementadas

    Preservação de Dados Originais

    A AWS introduziu uma opção de alternância chamada “manter original” (keep original toggle) que armazena automaticamente uma cópia dos logs brutos antes de qualquer transformação ocorrer. Essa funcionalidade garante que os dados não modificados estejam sempre disponíveis quando necessário para auditorias ou investigações futuras.

    Rastreamento de Transformações

    O CloudWatch Pipelines agora adiciona metadados novos às entradas de log processadas, indicando explicitamente que um log foi transformado. Isso facilita a distinção entre dados originais e dados processados durante procedimentos de auditoria ou investigações internas, deixando claro qual informação sofreu alterações.

    Controle Granular de Acesso

    Novas chaves de condição no Serviço de Gerenciamento de Identidade e Acesso (IAM — Identity and Access Management) permitem que administradores restrinjam quem pode criar pipelines com base no nome e no tipo da fonte de logs. Isso oferece aos operadores controle fino sobre a criação de pipelines em toda a organização, garantindo que apenas usuários autorizados possam configurar essas operações.

    Custos e Disponibilidade

    As novas capacidades de conformidade e governança estão disponíveis sem custos adicionais. As taxas padrão de armazenamento do CloudWatch Logs aplicam-se tanto às cópias originais quanto às transformadas quando a opção de manter logs originais está ativada. Os recursos podem ser usados em todas as regiões da AWS onde o CloudWatch Pipelines está disponível.

    Como Começar

    Para iniciar, os usuários devem acessar a página de Ingestão do CloudWatch no console do Amazon CloudWatch. Para obter mais informações técnicas e detalhes de implementação, consulte a documentação do CloudWatch Pipelines.

    Fonte

    Amazon CloudWatch pipelines introduces new compliance and governance capabilities (https://aws.amazon.com/about-aws/whats-new/2026/04/cloudwatch-pipelines-compliance-governance/)

  • Amazon Bedrock agora suporta alocação de custos por usuário e função IAM

    Nova capacidade de rastreamento de custos no Bedrock

    A AWS expandiu as funcionalidades de gerenciamento de custos do Amazon Bedrock, adicionando suporte para alocação de despesas por principal IAM (Identificação e Acesso aos Recursos – IAM). Este recurso está disponível tanto no AWS Cost and Usage Report 2.0 (CUR 2.0) quanto no Cost Explorer, ferramentas nativas da plataforma para análise de gastos em nuvem.

    A novidade permite que clientes entendam com precisão e atribuam os custos de inferência de modelos do Bedrock de forma granular, separando despesas por usuários específicos, equipes, projetos ou até aplicações individuais.

    Como funciona a alocação por IAM

    Etiquetagem de identidades

    O fluxo é simples: primeiro, as organizações devem adicionar etiquetas (tags) aos seus usuários e funções IAM com informações contextuais como time, projeto ou centro de custos. Depois, é necessário ativar essas tags como marcadores de alocação de custos no console de Faturamento e Gerenciamento de Custos.

    Análise e visualização

    Após essa configuração, os usuários podem criar uma exportação de dados CUR 2.0 e selecionar a opção “Include caller identity (IAM principal) allocation data” para obter detalhes granulares. Alternativamente, é possível filtrar por etiquetas diretamente no Cost Explorer para visualizar graficamente os gastos segmentados por diferentes dimensões.

    Escopo de disponibilidade

    Este recurso está disponível em todas as regiões comerciais da AWS onde o Amazon Bedrock já funciona, facilitando a adoção para empresas que já utilizam o serviço de modelos de fundação da plataforma.

    Próximos passos

    Para começar, a AWS recomenda consultar a documentação técnica sobre alocação de custos por principal IAM e explorar a documentação do Amazon Bedrock para implementar essa funcionalidade em seu ambiente.

    Fonte

    Amazon Bedrock now supports cost allocation by IAM user and role (https://aws.amazon.com/about-aws/whats-new/2026/04/bedrock-iam-cost-allocation/)

  • Como Coletar Artefatos Forenses de Forma Segura em Buckets S3 da AWS

    Por Que a Coleta Forense Segura Importa

    Quando organizações enfrentam um incidente de segurança, precisam coletar rapidamente artefatos forenses para identificar a causa raiz, extrair indicadores de comprometimento e validar os esforços de remediação. Esse processo é crítico, mas delicado — envolve comunicação com recursos potencialmente comprometidos e exige rigor absoluto nas práticas de segurança.

    O guia NIST 800-86 define a perícia digital como um processo composto por quatro fases: coleta, exame, análise e relatório. A AWS apresentou recentemente um framework focado especificamente na primeira fase — coleta — demonstrando como implementar melhor privilégio durante todo o processo de coleta de evidências.

    Arquitetura da Solução

    O framework proposto pela AWS incorpora várias práticas recomendadas simultaneamente:

    Menor Privilégio e Acesso Temporário

    A arquitetura combina AWS Identity and Access Management (IAM) com AWS Security Token Service (AWS STS) para gerar credenciais de curta duração, altamente restritas. Cada tarefa de coleta forense recebe credenciais únicas que expiram automaticamente, reduzindo significativamente o risco de abuso enquanto as credenciais estão expostas no sistema sob investigação.

    Compatibilidade com Ferramentas Existentes

    Um diferencial importante é que o framework não exige alteração das ferramentas forenses de terceiros. Muitos softwares especializados já suportam upload para Amazon Simple Storage Service (Amazon S3) usando credenciais AWS, e essa solução aproveita essa compatibilidade nativa.

    Distribuição Automática de Credenciais

    Em vez de investigadores forenses utilizarem o console da AWS ou entenderem políticas IAM, credenciais com escopo apropriado são fornecidas automaticamente sob demanda, através de um processo orquestrado. Isso simplifica o fluxo de trabalho durante incidentes ativos.

    Protegendo o Bucket de Artefatos

    O S3 fornece a base sólida para armazenar artefatos forenses — com 11 noves de durabilidade e capacidade de armazenar objetos de um byte até 5 TB. Porém, é necessário configuração personalizada para proteger esses dados sensíveis.

    A AWS recomenda habilitar:

    • Criptografia em trânsito: Exigir TLS e versões mínimas aceitáveis através de políticas de bucket
    • Criptografia em repouso: Usar chaves gerenciadas pelo cliente, não apenas chaves gerenciadas pela AWS, permitindo controle total sobre quem acessa as evidências
    • Auditoria completa: Ativar eventos de dados do CloudTrail para rastrear toda atividade no nível de objeto, criando uma cadeia de custódia digital
    • Controle de acesso fino: Definir exatamente quem (humanos ou máquinas) pode acessar artefatos, inclusive para descriptografia
    • Proteção contra modificação: Usar versionamento de objeto, bloqueio de objeto ou exclusão com autenticação multifator

    Organização Estruturada de Evidências

    O framework sugere estruturar o bucket usando prefixos de objeto S3 para segregar cada tarefa de coleta. Por exemplo, um caso identificado como CASO-0001 teria seu próprio prefixo, e as políticas IAM poderiam restringir uploads apenas para esse prefixo específico. Isso impede acidentalmente — ou maliciosamente — sobrescrever evidências de outros casos.

    Implementando Credenciais Temporárias com Menor Privilégio

    O desafio técnico está em criar credenciais que expiram automaticamente e acessam apenas o necessário. A solução envolve três componentes IAM:

    Papéis IAM Base

    Um papel (ForensicsUploadRole) define o conjunto máximo de permissões — capacidade de fazer upload para o bucket e usar a chave AWS Key Management Service (AWS KMS) para criptografar. Esse papel não é usado diretamente, mas como referência máxima.

    Relação de Confiança

    Uma política de confiança permite que outros papéis de investigador forense assumam esse papel base, tornando possível a delegação segura.

    Políticas de Sessão Dinâmicas

    Ao chamar o AssumeRole da AWS STS, uma política de sessão é fornecida junto, restringindo ainda mais as permissões — por exemplo, permitindo upload apenas para o prefixo CASO-0001. As permissões efetivas são a interseção de todas as três políticas (papel base, política de recurso e política de sessão).

    O resultado final é que as ferramentas forenses recebem credenciais que:

    • Expiram após um tempo pré-definido (por padrão, 1 hora)
    • Podem fazer upload apenas para um prefixo específico
    • Não permitem leitura, listagem ou qualquer operação além de upload e gestão de uploads multi-parte
    • Funcionam com ferramentas de terceiros sem modificação

    Automatizando o Fluxo Completo

    Para operações em escala, a AWS propõe uma arquitetura automatizada baseada em eventos:

    Fluxo de Orquestração

    Um alerta dispara o fluxo (manual ou automatizado). A solicitação é inserida em uma fila Amazon Simple Queue Service (Amazon SQS), que invoca uma função AWS Lambda, que por sua vez orquestra uma máquina de estado usando Step Functions.

    Etapas de Execução

    A máquina de estado determina:

    • Se o sistema é gerenciado por AWS Systems Manager
    • Qual sistema operacional (Windows ou Linux)
    • Gera credenciais temporárias para baixar ferramentas forenses específicas do SO
    • Executa as ferramentas no sistema via Systems Manager
    • Gera novas credenciais temporárias para fazer upload dos resultados
    • Remove artefatos temporários da máquina alvo

    Monitoramento e Auditoria

    Amazon EventBridge monitora o bucket de evidências e alerta via Amazon Simple Notification Service (Amazon SNS) se alguém não autorizado tentar acessar. Metadados de cada execução são registrados em Amazon DynamoDB para rastreabilidade completa.

    Implementação Prática com AWS CDK

    O exemplo fornecido usa AWS Cloud Development Kit (AWS CDK) para definir toda a infraestrutura como código, dividida em três stacks:

    • SecurityStack: Orquestração base, Step Functions, Lambda, filas e papéis IAM
    • AlertStack: Regras EventBridge para anomalias no bucket
    • CustomerStack: Documentos Systems Manager implantados nas contas dos clientes

    Variáveis de Configuração

    Antes de implantar, é necessário personalizar:

    • ID da conta de segurança
    • IDs das contas-alvo
    • Endereços de email para alertas
    • Nomes de papéis autorizados a acessar o bucket

    Processo de Implantação

    O fluxo completo envolve:

    • Configurar credenciais AWS via CLI
    • Instalar dependências Node.js
    • Bootstrap da infraestrutura CDK em cada conta
    • Deploy dos stacks de segurança na conta de ferramentas
    • Deploy do stack de cliente em contas de carga de trabalho
    • Confirmação de inscrição SNS para alertas

    Validação e Testes

    A AWS propõe um teste end-to-end:

    • Verificar que uma instância EC2 Linux está acessível ao Systems Manager
    • Enviar uma mensagem manualmente para a fila SQS com ID de conta, ticket, região e instância
    • Acompanhar a execução via console Step Functions
    • Verificar metadados no DynamoDB
    • Confirmar upload dos artefatos no bucket S3

    Um teste crítico adicional: tentar usar as credenciais temporárias para fazer upload em outro prefixo ou aguardar a expiração do token — ambos os cenários devem retornar erro de acesso negado.

    Benefícios Práticos para Organizações

    Essa abordagem traz vários benefícios concretos:

    • Reduz risco: Credenciais não circulam, expiram automaticamente
    • Simplifica operações: Investigadores focam em análise, não em autenticação
    • Mantém conformidade: Auditoria completa, criptografia, controle de acesso
    • Escala: Automação reduz erros manuais durante incidentes ativos
    • Integra ferramentas existentes: Sem necessidade de reescrever softwares especializados

    Próximos Passos

    A AWS fornece um repositório com código pronto para implementar essa arquitetura. Além disso, oferece recursos complementares como Automated Forensics Orchestrator para EC2 e guias sobre construção de módulos kernel forenses para instâncias Linux.

    Para organizações que lidam com investigações forenses regulares, essa framework elimina guesswork e reduz significativamente o tempo de resposta em incidentes — dois fatores críticos para minimizar danos.

    Fonte

    A framework for securely collecting forensic artifacts into S3 buckets (https://aws.amazon.com/blogs/security/a-framework-for-securely-collecting-forensic-artifacts-into-s3-buckets/)

  • Defesas de IA em Escala: Construindo Proteções Antes das Ameaças Emergirem

    A Escala da Proteção: IA na Vanguarda da Segurança

    Ao longo de décadas, a AWS desenvolveu processos e ferramentas sofisticadas para defender milhões de clientes simultaneamente, independentemente de onde operem no planeta. Por trás das cortinas, seus times de segurança e inteligência de ameaças realizam diariamente trabalhos com IA e automação que a maioria das pessoas nunca vê.

    Os números revelam o alcance dessa operação: o sistema de análise de logs alimentado por IA da empresa conseguiu reduzir de seis horas para sete minutos o tempo que engenheiros de SecOps (Segurança de Operações) gastam analisando registros de segurança — um aumento de produtividade de 50 vezes que permite detectar e responder a ameaças com velocidade sem precedentes.

    A plataforma analisa mais de 400 trilhões de fluxos de rede por dia para identificar padrões que sinalizam ameaças emergentes. Apenas em 2025, bloqueou mais de 300 milhões de tentativas de criptografar maliciosamente arquivos de clientes hospedados no Amazon S3. Nesse ecossistema, cada ameaça detectada para um cliente fortalece as defesas para todos os outros — e a IA já é central nesse funcionamento.

    Uma Nova Classe de IA para Cibersegurança

    A Anthropic anunciou recentemente o Project Glasswing, uma iniciativa de cibersegurança concebida para proteger a infraestrutura de software mais crítica do mundo e avançar nas práticas que o setor precisará à medida que a IA se torna mais capaz. Organizações que desenvolvem ou mantêm infraestrutura digital crítica estão recebendo acesso antecipado ao Claude Mythos Preview, uma nova classe de modelo de IA criada para identificar e corrigir vulnerabilidades nos sistemas dos quais o mundo depende.

    Como instituição responsável por proteger algumas das infraestruturas mais essenciais do planeta, a AWS desempenha papel integral em avançar esse trabalho. A força propulsora por trás do projeto é o Claude Mythos Preview, o modelo de IA mais avançado da Anthropic até o momento — um salto qualitativo em capacidades de raciocínio e IA aplicadas à cibersegurança. Ele representa uma classe de modelo fundamentalmente nova: mais inteligente e capaz que os modelos anteriores da empresa, com desempenho superior em tarefas de cibersegurança, codificação de software e raciocínio complexo.

    A AWS já aplicou o Claude Mythos Preview a bases de código críticas próprias que sofrem revisões de segurança contínuas alimentadas por IA. Mesmo em ambientes bem testados, o modelo identificou oportunidades adicionais para fortalecer o código. Em testes internos, o Claude Mythos Preview provou ser mais produtivo que modelos anteriores ao descobrir achados de segurança, requerendo menos orientação manual dos engenheiros para entregar resultados acionáveis.

    A empresa também concedeu acesso antecipado a um grupo selecionado de clientes, que estão implantando o Claude Mythos Preview em seus próprios fluxos de trabalho de segurança e ajudando a moldar a evolução do modelo. Para a AWS, trata-se de uma extensão natural das ferramentas de IA que já utiliza — e conforme a tecnologia se torna mais poderosa, as defesas também devem evoluir.

    A Parceria AWS e Anthropic

    A AWS é o provedor de nuvem principal da Anthropic para cargas de trabalho críticas, pesquisa de segurança e desenvolvimento de modelos de fundação. Mais amplamente, a plataforma fornece a infraestrutura que as empresas de IA líderes mundiais usam para construir, treinar e implantar seus modelos mais avançados. A AWS traz duas décadas de experiência em segurança para essa parceria, ajudando a garantir que o Claude Mythos Preview esteja pronto para ainda mais organizações construírem e operarem com segurança em grande escala.

    O Claude Mythos Preview sinaliza uma onda próxima de modelos capazes de encontrar vulnerabilidades e construir exploits funcionais numa escala e velocidade nunca vista antes. A Anthropic e a AWS adotam uma abordagem deliberadamente cautelosa no lançamento. O acesso começa com um pequeno número de organizações, priorizando empresas críticas para a internet e mantenedores de código aberto cujo software e serviços digitais impactam centenas de milhões de usuários. O objetivo: encontrar e corrigir vulnerabilidades no software mais crítico do mundo.

    O Claude Mythos Preview está disponível em preview de pesquisa com portão através do Amazon Bedrock com controles de segurança de nível empresarial, incluindo criptografia gerenciada pelo cliente, isolamento de VPC (Nuvem Privada Virtual) e logging detalhado — permitindo que os times explorem as capacidades do Claude Mythos Preview sem expor ativos de produção a riscos desnecessários.

    Arquitetura de Segurança: Princípios que Escalam

    O trabalho com Project Glasswing está fundamentado em uma filosofia que a AWS desenvolveu ao longo de duas décadas protegendo cargas de trabalho críticas: não se pode esperar as ameaças se materializarem antes de construir defesas. É preciso antecipar, adotar novas tecnologias, construir proteções primeiro, implantá-las em operações próprias em grande escala e refiná-las com base no aprendizado obtido. É exatamente isso que a AWS fez com IA e segurança.

    Sua abordagem abrange o espectro completo: defesa proativa por meio de busca de ameaças e pesquisa de vulnerabilidades, resposta dinâmica a campanhas ativas e certificações de terceiros que verificam se as práticas de segurança atendem aos padrões mais altos do setor. Essa experiência operacional ensinou onde a IA acelera o trabalho de segurança e onde o julgamento humano permanece essencial — reforçando que inovação em segurança deve ser pragmática: comprovada em produção antes de pedir que clientes dependam dela.

    Padrões e Certificações

    É por isso que a AWS também ajuda a definir como deve ser a IA segura. Tornou-se o primeiro grande provedor de nuvem a conquistar certificação ISO 42001 (Padrão Internacional de Gestão de IA) para serviços de IA. Participa ativamente da OWASP (Projeto Aberto de Segurança de Aplicações Web), da Coalition for Secure AI (Coligação pela IA Segura) e do Frontier Model Safety Framework (Marco de Segurança de Modelos de Fronteira). E co-fundou o Open Cybersecurity Schema Framework (OCSF — Marco de Schema Aberto de Cibersegurança) para possibilitar melhor compartilhamento de inteligência de ameaças em todo o ecossistema.

    O AWS Nitro System oferece isolamento matemático para cargas de trabalho. Sua arquitetura de acesso zero de operadores significa que pessoal da AWS não pode acessar dados dos clientes. Estas não são aspirações — é como a empresa opera hoje, em escala, todos os dias. O Amazon Bedrock é onde esses princípios ganham vida prática para IA. Fornece controles de acesso aplicados por política, ferramentas de avaliação integradas para medir a eficácia com que modelos identificam e validam vulnerabilidades, além da capacidade de executar cargas de trabalho dentro da nuvem privada virtual do cliente.

    A AWS também é o primeiro provedor de nuvem a conquistar autorizações FedRAMP (Programa Federal de Gestão de Risco e Autorização) High e Department of Defense Security Requirements Guide (Guia de Requisitos de Segurança do Departamento de Defesa) Impact Levels 4 e 5 para modelos de fundação Claude geralmente disponíveis — reforçando que o Amazon Bedrock é onde organizações mais sensíveis em segurança já confiam na tecnologia da Anthropic.

    Ferramentas Práticas para Fortalecer a Postura de Segurança

    Os mesmos princípios que orientam o trabalho em escala na AWS aplicam-se independentemente de quais ferramentas de IA se está utilizando: observabilidade abrangente, defesa em profundidade, automação onde agrega valor e julgamento humano onde é essencial.

    Preparação para a Próxima Geração de Segurança de IA

    O Claude Mythos Preview sinaliza uma onda próxima de modelos de IA que transformarão a cibersegurança. Organizações devem começar a fortalecer sua postura de segurança agora, preparando-se para quando essas capacidades se tornarem mais amplamente disponíveis. O Claude Mythos Preview está disponível em preview com portão através do Amazon Bedrock, e o acesso é limitado a um allow-list inicial de organizações. Se a organização foi colocada na allow-list, o time de conta da AWS entrará em contato diretamente.

    Testes de Penetração sob Demanda com AWS Security Agent

    O AWS Security Agent, agora geralmente disponível, oferece testes de penetração autônomos que operam 24/7 a uma fração do custo dos testes de penetração manuais. Transforma testes de penetração de um gargalo periódico em uma capacidade sob demanda que cresce com a velocidade de desenvolvimento em AWS, Azure, GCP (Google Cloud Platform), outros provedores de nuvem e ambiente local.

    O AWS Security Agent representa uma nova classe de agentes de fronteira: sistemas autônomos que trabalham independentemente para atingir objetivos, escalam para lidar com tarefas simultâneas e rodam persistentemente sem supervisão humana constante. Implanta agentes de IA especializados para descobrir, validar e relatar vulnerabilidades de segurança através de cenários de ataque sofisticados e multi-etapas.

    Diferentemente de scanners tradicionais que geram achados sem validação, o AWS Security Agent identifica vulnerabilidades potenciais e depois tenta explorá-las com payloads direcionados e cadeias de ataque para confirmar que são riscos de segurança legítimos. Cada achado inclui pontuações de risco CVSS (Sistema Comum de Avaliação de Vulnerabilidade), classificações de severidade específicas da aplicação, etapas de reprodução detalhadas e sugestões de remediação. O resultado: testes de penetração que antes levavam semanas agora se completam em horas, e cobertura de segurança que cresce por toda carteira de aplicações, não apenas sistemas mais críticos.

    Clientes novos podem explorar o AWS Security Agent com um teste gratuito de dois meses.

    Construir Aplicações de IA Confiáveis com Amazon Bedrock

    Para times construindo com IA generativa, o desafio não é apenas fazer IA funcionar — é fazer IA funcionar com segurança. O Amazon Bedrock fornece os controles de segurança e proteção que se precisa para implantar IA responsavelmente. Sua capacidade de Raciocínio Automatizado é a primeira e única salvaguarda de IA a usar lógica formal para ajudar a prevenir erros factuais decorrentes de alucinações de IA, fornecendo explicações verificáveis com acurácia de 99% — capacidade refinada ao longo de mais de uma década aplicando métodos formais em armazenamento, identidade e rede da AWS.

    O Amazon Bedrock também oferece guardrails personalizáveis que bloqueiam conteúdo prejudicial e aplicam políticas de conteúdo próprias, junto com observabilidade abrangente para rastrear comportamento de IA e detectar anomalias em cargas de trabalho.

    A Urgência do Momento

    O cenário de ameaças não está aguardando que a indústria se atualize. Atores de nível de estado-nação, operadores de ransomware (sequestro de dados) e atacantes de cadeia de suprimentos já estão usando IA para escalar suas operações. A tarefa de seguradores é manter a frente construindo defesas primeiro, implantando-as em escala e compartilhando o que se aprende para que toda comunidade se beneficie.

    É o que a AWS faz todos os dias: prova que tecnologia funciona em suas próprias operações antes de pedir que clientes dependam dela, estabelece padrões em vez de segui-los, e antecipa os desafios de amanhã para abordá-los hoje. Conforme capacidades de IA continuam evoluindo, essa abordagem não mudará. A empresa seguirá construindo defesas primeiro, refinando-as em escala, e trabalhando com parceiros como a Anthropic para garantir que a próxima geração de ferramentas de segurança de IA atenda às necessidades reais de empresas defendendo nesta escala.

    Recursos para Aprofundamento

    Fonte

    Building AI defenses at scale: Before the threats emerge (https://aws.amazon.com/blogs/security/building-ai-defenses-at-scale-before-the-threats-emerge/)

  • Amazon Bedrock agora oferece Claude Mythos Preview em acesso restrito

    Novo modelo de IA para segurança em larga escala

    A AWS expandiu o portfólio do Amazon Bedrock, sua plataforma para construir aplicações e agentes de IA generativa em escala de produção, com a inclusão do Claude Mythos Preview em acesso restrito. Anunciado em abril de 2026, este modelo representa uma colaboração estratégica entre Anthropic e AWS no contexto do Project Glasswing.

    Capacidades técnicas avançadas

    O Claude Mythos Preview é apresentado como o modelo de IA mais avançado da Anthropic até o momento, definido como uma classe fundamentalmente nova de modelo com capacidades de ponta em três áreas críticas: cibersegurança, desenvolvimento de software e tarefas de raciocínio complexo.

    A proposta diferencial está na capacidade de identificar vulnerabilidades sofisticadas em software e demonstrar sua exploração. O modelo consegue compreender grandes bases de código e entregar descobertas viáveis com menos orientação manual em comparação com modelos anteriores de IA, representando um avanço significativo em automação de análise de segurança.

    Implicações para equipes de segurança

    Para equipes de defesa cibernética, o Claude Mythos Preview promete acelerar trabalhos defensivos, permitindo identificação e correção mais rápida de vulnerabilidades em software crítico. A capacidade de encontrar e remediação de problemas antes que ameaças materializem oferece uma abordagem proativa ao invés de reativa.

    Estratégia cautelosa de lançamento

    Anthropic e AWS adotaram uma abordagem deliberadamente conservadora para o lançamento. O acesso inicial foi priorizado para empresas críticas à internet e mantenedores de código aberto cujo software e serviços digitais impactam centenas de milhões de usuários. Esta estratégia oferece aos defensores oportunidade de fortalecer seus códigos e compartilhar aprendizados, permitindo que toda a indústria se beneficie.

    Disponibilidade e acesso

    O Claude Mythos Preview está disponível em acesso restrito na região US East (N. Virginia) através do Amazon Bedrock. O acesso é limitado a uma lista inicial permitida de organizações. Organizações selecionadas receberão contato direto da equipe de conta AWS para ativação.

    Para compreender melhor as implicações desta anúncio para o futuro da cibersegurança, a AWS disponibiliza perspectivas adicionais em Building AI Defenses at Scale: Before the Threats Emerge.

    Fonte

    Amazon Bedrock now offers Claude Mythos Preview (Gated Research Preview) (https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-bedrock-claude-mythos/)

  • Conectando servidores MCP ao Amazon Bedrock AgentCore Gateway com fluxo de código de autorização

    Gerenciamento centralizado de acesso a servidores MCP

    À medida que as organizações expandem suas implementações de agentes de IA, o número de servidores MCP (Model Context Protocol) que cada equipe utiliza cresce rapidamente. O Amazon Bedrock AgentCore Gateway oferece uma camada centralizada para gerenciar como os agentes de IA conectam-se a ferramentas e servidores MCP em toda a organização. Essa solução consolida autenticação, observabilidade e imposição de políticas em um único endpoint, eliminando a necessidade de configurar e proteger cada conexão de servidor MCP individualmente.

    Em vez de configurar cada servidor MCP separadamente por IDE (ambiente de desenvolvimento), os times passam a apontar para uma única URL do Gateway, proporcionando acesso consistente ao conjunto completo de ferramentas MCP disponíveis. Esse padrão está acelerando conforme as organizações adotam servidores MCP de produção de terceiros, como os fornecidos pela AWS, GitHub, Salesforce e Databricks.

    Desafios na autenticação em escala

    Muitos servidores MCP empresariais exigem autenticação OAuth 2.0 (Protocolo de Autorização 2.0), onde o agente precisa autenticar-se em nome de um usuário antes de invocar ferramentas. Alguns desses servidores são protegidos pelo provedor de identidade principal através de federação, enquanto outros são protegidos por seus próprios servidores de autorização.

    À medida que o número de servidores MCP por organização aumenta, gerenciar conexões, autenticação e roteamento no nível do IDE torna-se insustentável. O AgentCore Gateway centraliza essa complexidade, oferecendo um único plano de controle para acesso MCP enquanto proporciona aos desenvolvedores uma experiência sem atritos.

    Suporte a fluxo de código de autorização

    A AWS agora oferece suporte ao fluxo de código de autorização OAuth 2.0 através do Amazon Bedrock AgentCore Identity. Com isso, seus agentes podem acessar com segurança servidores MCP protegidos sem incorporar credenciais no código da aplicação ou gerenciar manualmente o ciclo de vida dos tokens.

    A plataforma disponibiliza dois métodos para criar e gerenciar acesso a servidores MCP protegidos por OAuth:

    Sincronização implícita durante a criação do alvo MCP

    Neste método, o usuário administrador completa o fluxo de código de autorização durante operações CreateGatewayTarget, UpdateGatewayTarget ou SynchronizeGatewayTargets. Isso permite que o AgentCore Gateway descubra e cache as ferramentas do servidor MCP antecipadamente.

    Fornecimento de esquema antecipado

    Nesta abordagem, os usuários administradores fornecem o esquema das ferramentas diretamente durante operações CreateGatewayTarget ou UpdateGatewayTarget, em vez de o AgentCore Gateway buscá-los dinamicamente do servidor MCP. O gateway analisa o esquema fornecido e faz cache das definições de ferramentas.

    Esta é a abordagem recomendada quando a intervenção humana não é possível durante operações de criação ou atualização. Além disso, oferece controle granular sobre quais ferramentas do servidor MCP serão expostas. É importante notar que, com este método, a operação SynchronizeGatewayTargets não é suportada.

    Você pode alternar um alvo entre os dois métodos simplesmente atualizando a configuração do alvo, proporcionando flexibilidade conforme suas necessidades evoluem.

    Vinculação de sessão por URL

    Um componente crítico de segurança é a vinculação de sessão por URL, que verifica se o usuário que iniciou a solicitação de autorização OAuth é o mesmo que concedeu consentimento. Quando o AgentCore Identity gera uma URL de autorização, também retorna uma session-URI. Após o usuário concluir o consentimento, o navegador redireciona para uma URL de callback com a session-URI.

    A aplicação é então responsável por chamar a API CompleteResourceTokenAuth, apresentando tanto a identidade do usuário quanto a session-URI. O AgentCore Identity valida que o usuário que iniciou o fluxo é o mesmo que o completou antes de trocar o código de autorização por um token de acesso. Isso ajuda a evitar cenários onde um usuário compartilha acidentalmente a URL de autorização e outra pessoa completa o consentimento, concedendo tokens de acesso para a parte errada.

    Para segurança adicional, a URL de autorização e a session URI são válidas apenas por 10 minutos, limitando ainda mais a janela para uso indevido.

    Conceitos principais

    Usuário do AgentCore Gateway: O usuário final que consome as ferramentas no Amazon Bedrock AgentCore Gateway com clientes MCP. Esses usuários não gerenciam o próprio AgentCore Gateway — simplesmente usam a URL única do gateway para acessar as ferramentas disponíveis para eles.

    Usuário administrador: O usuário que gerencia e mantém o Amazon Bedrock AgentCore Gateway. É responsável por conectar servidores MCP, ferramentas ou APIs ao gateway, permitindo que usuários do gateway as consumam.

    Servidor MCP: Neste contexto, assume-se que o servidor MCP é protegido por um fluxo de código de autorização OAuth 2.0, que requer interação do usuário para completar a autenticação. Isso é diferente de métodos de autenticação máquina-para-máquina, como Client Credentials ou Token Exchange, que não requerem intervenção do usuário.

    Implementação prática com GitHub

    Para demonstrar a integração, a AWS fornece exemplos de código mostrando como conectar um servidor GitHub MCP ao Amazon Bedrock AgentCore Gateway. O processo envolve ambos os métodos — sincronização implícita durante a criação do alvo e fornecimento de esquema antecipado.

    Configuração inicial com GitHub

    Antes de começar, é necessário configurar uma aplicação OAuth no GitHub. Acesse https://github.com/settings/apps para criar uma nova aplicação GitHub, fornecendo detalhes como nome da aplicação, URL da homepage e URL de callback de autorização.

    Nas configurações avançadas, recomenda-se desativar a expiração automática de tokens, desativar a autorização de usuário durante a instalação e desativar o Device Flow, seguindo as melhores práticas de segurança da sua organização.

    Preparação do ambiente

    Você precisará de permissões IAM (Gestão de Identidade e Acesso) apropriadas para executar o código. O repositório contém exemplos práticos — comece clonando o repositório GitHub e abrindo o arquivo github-mcp-server.ipynb.

    Configuração do provedor de credenciais

    Configure o provedor de credenciais do Agentcore Identity no console do Amazon Bedrock AgentCore. Crie um cliente OAuth, fornecendo um nome e selecionando o provedor GitHub pré-incluído. Insira o ID do cliente e o segredo da aplicação GitHub.

    Copie a URL de callback do cliente OAuth do AgentCore Identity e retorne à aplicação OAuth do GitHub que criou para atualizar a URL de callback de autorização com o valor gerado.

    Fluxo de sincronização implícita

    No método de sincronização implícita, o usuário administrador completa o fluxo de autorização durante a criação do alvo. Certifique-se de que a função de execução do AgentCore Gateway possui permissões para GetWorkloadAccessTokenForUserId e CompleteResourceTokenAuth.

    O processo segue esta sequência: o administrador chama CreateGatewayTarget, fornecendo o endpoint do servidor MCP, o provedor de credenciais do AgentCore Identity e a URL de retorno. O AgentCore Gateway solicita um token de acesso de workload ao provedor de credenciais, passando a identidade do gateway e um ID de usuário. Com esse token, o gateway solicita um token de acesso OAuth 2.0, que retorna uma URL de autorização e uma session-URI.

    Neste ponto, o alvo entra em status “Requer autorização”. O administrador abre a URL de autorização em seu navegador, faz login e concede as permissões solicitadas. Após o consentimento, o servidor OAuth 2.0 envia um código de autorização ao callback registrado do provedor de credenciais.

    O provedor redireciona o navegador do administrador para a URL de retorno, com a session-URI. A aplicação então chama CompleteResourceTokenAuth, apresentando o ID do usuário e a session-URI. O provedor de credenciais valida que o mesmo usuário que iniciou o fluxo completou o consentimento, prevenindo roubo de token.

    Após validação bem-sucedida, o provedor troca o código de autorização pelo token de acesso OAuth 2.0. Esse token é usado para listar as ferramentas no alvo do servidor MCP; as definições de ferramentas retornadas são armazenadas em cache no AgentCore Gateway.

    Método de esquema antecipado

    Esta é a abordagem recomendada quando a intervenção humana não é possível durante operações de criação ou atualização. Durante a seleção de criação de alvo, você seleciona a opção de usar uma lista de ferramentas pré-definidas e fornece as definições de ferramentas do GitHub.

    O alvo entra imediatamente em status “Pronto”, com status de autorização “Nenhuma autorização necessária”. Isso oferece flexibilidade total sobre quais ferramentas expor e elimina a necessidade de interação do administrador durante a configuração.

    Experiência do usuário do gateway

    Após a criação bem-sucedida do alvo, seja através de sincronização implícita ou esquema antecipado, os usuários do AgentCore Gateway podem descobrir e invocar ferramentas usando o protocolo MCP.

    Quando um usuário do gateway envia uma solicitação de lista de ferramentas com seu token de autorização de entrada, o AgentCore Gateway retorna as definições de ferramentas em cache imediatamente, sem necessidade de nova autenticação no servidor MCP.

    Quando o usuário envia uma solicitação para invocar uma ferramenta, o AgentCore Gateway desencadeia o fluxo de autorização OAuth para aquele alvo específico de servidor MCP. O gateway solicita um token de acesso de workload, e então usa esse token para solicitar um token de acesso OAuth 2.0 ao provedor de credenciais.

    Se nenhum token válido existir ainda para este usuário, o provedor retorna uma URL de autorização e uma session-URI. O gateway passa esses valores para o usuário, que abre a URL em seu navegador, faz login e concede permissões. Após consentimento, o servidor OAuth 2.0 envia um código de autorização ao callback do provedor de credenciais.

    O provedor redireciona o navegador do usuário para a URL de retorno com a session-URI. A aplicação do usuário chama CompleteResourceTokenAuth com o JWT do usuário e a session-URI. O provedor valida que o mesmo usuário completou o consentimento, então troca o código de autorização por um token de acesso OAuth 2.0.

    Este token é armazenado em cache no Token Vault sob a identidade do workload e a identidade do usuário. Na próxima invocação de ferramenta, o AgentCore Gateway recupera o token em cache e o usa para chamar o servidor MCP, proporcionando uma experiência fluida após a autenticação inicial.

    Explorando exemplos e casos de uso

    Embora este exemplo concentre-se no servidor GitHub MCP, o repositório de código inclui exemplos de integração para outros servidores MCP populares de terceiros e um guia para hospedar seu próprio servidor MCP com suporte a fluxo de código de autorização no AgentCore Runtime.

    A AWS incentiva explorar esses exemplos e adaptá-los à paisagem de servidor MCP de sua organização, facilitando a adoção de múltiplas ferramentas MCP de forma segura e centralizada.

    Recursos adicionais

    Para aprofundar seu conhecimento, consulte a documentação oficial: Apresentando o Amazon Bedrock AgentCore Gateway: transformando o desenvolvimento de ferramentas para agentes de IA empresariais, Apresentando o Amazon Bedrock AgentCore Identity: protegendo IA agentic em escala e Exemplos do Amazon Bedrock AgentCore.

    Fonte

    Connecting MCP servers to Amazon Bedrock AgentCore Gateway using Authorization Code flow (https://aws.amazon.com/blogs/machine-learning/connecting-mcp-servers-to-amazon-bedrock-agentcore-gateway-using-authorization-code-flow/)

  • Amazon Verified Permissions: Aliases para Policy Stores, Políticas e Templates Nomeados

    O que mudou no Amazon Verified Permissions

    A AWS anunciou, em abril de 2026, novas funcionalidades para o Amazon Verified Permissions, seu serviço de autorização de granularidade fina. As novidades incluem suporte para aliases de policy stores, políticas nomeadas e templates de políticas nomeados. Essas melhorias foram projetadas para simplificar significativamente as implementações multi-tenant e a gestão diária de políticas.

    O Amazon Verified Permissions é um serviço que ajuda você a gerenciar e fazer cumprir permissões em suas aplicações usando políticas Cedar. Com as novas capacidades, a plataforma reduz a complexidade operacional, eliminando necessidades que costumavam ser contornadas manualmente.

    Entendendo os Aliases de Policy Stores

    Uma das maiores dores de cabeça em ambientes multi-tenant é manter tabelas de mapeamento separadas. Essas tabelas associam identificadores de inquilino (tenant IDs) com IDs de policy stores — um trabalho tedioso e propenso a erros.

    Com os aliases de policy stores, desenvolvedores podem agora atribuir um alias legível associado ao identificador do tenant e utilizá-lo em qualquer chamada de API. Isso elimina completamente a necessidade de tabelas de consulta (lookup tables). Em vez de trabalhar com IDs gerados pelo sistema, você trabalha com nomes significativos e contextualizados.

    Políticas e Templates Nomeados

    Da mesma forma, as políticas nomeadas e os templates de políticas nomeados permitem que você faça referência a políticas por nomes significativos, em vez de depender de IDs gerados automaticamente pelo sistema.

    Essa mudança traz benefícios práticos importantes: conforme sua aplicação cresce e a lógica de autorização se torna mais complexa, trabalhar com nomes descritivos torna a gestão muito mais intuitiva e menos suscetível a erros de configuração. Você consegue identificar rapidamente qual política faz o quê, sem precisar consultar documentações ou mapeamentos internos.

    Disponibilidade e Próximos Passos

    As novas funcionalidades de aliases de policy stores, políticas nomeadas e templates de políticas nomeadas estão disponíveis em todas as regiões AWS onde o Amazon Verified Permissions já é oferecido.

    Para explorar essas novidades, você pode consultar:

    O que isso significa para arquitetos e desenvolvedores

    Essas mudanças refletem a evolução contínua da AWS em torno de segurança e autorização. Para times que trabalham com aplicações multi-tenant complexas, as novas funcionalidades representam uma redução real de fricção operacional e uma camada adicional de clareza no código de autorização. Menos mapeamentos manuais significam menos bugs, menos confusão e deployments mais confiáveis.

    Fonte

    Amazon Verified Permissions now supports policy store aliases and named policies and policy templates (https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-verified-permissions-policy-store/)

  • Amazon WorkSpaces Personal agora suporta nomes DNS únicos para PrivateLink

    Nomes DNS únicos para ambientes multi-conta

    A AWS anunciou uma evolução importante no Amazon WorkSpaces Personal: agora é possível utilizar nomes de Domínio (DNS — Sistema de Nomes de Domínio) únicos e publicamente resolvíveis para cada ponto de extremidade de PrivateLink (Conexão Privada) dentro de uma Nuvem Privada Virtual (VPC — Rede Privada Virtual).

    Essa funcionalidade resolve um desafio recorrente em ambientes empresariais complexos: permite que organizações implementem WorkSpaces Personal em múltiplas VPCs e contas da AWS sem enfrentar conflitos de resolução de nomes. Anteriormente, todos os pontos de extremidade compartilhavam um nome DNS genérico, o que criava colisões quando tentava-se usar múltiplos endpoints separados em diferentes contas.

    Como funciona a solução

    Cada ponto de extremidade de interface VPC recebe agora um nome DNS exclusivo gerenciado globalmente pela AWS, além do nome DNS genérico anterior. Essa abordagem mantém a compatibilidade com configurações existentes enquanto oferece maior flexibilidade para arquiteturas de múltiplas contas.

    Os nomes DNS publicamente resolvíveis simplificam a configuração sem sacrificar a segurança — eles resolvem apenas para endereços IP privados, acessíveis somente dentro de suas respectivas VPCs. A solução elimina a necessidade de gerenciamento manual de DNS customizado ou configurações adicionais no Route 53 (serviço de DNS da AWS), já que o sistema mantém automaticamente esses nomes durante todo o seu ciclo de vida.

    Benefícios para ambientes empresariais

    Com essa melhoria, clientes empresariais podem agora:

    • Implementar diretórios de WorkSpaces Personal em diferentes VPCs e contas da AWS mantendo isolamento de segurança adequado
    • Rotear tráfego de forma apropriada em ambientes multi-conta com infraestrutura DNS centralizada
    • Eliminar conflitos de colisão de nomes que previamente impediam o uso de múltiplos endpoints em diferentes contas

    Disponibilidade e compatibilidade

    O recurso está disponível em todas as regiões AWS (áreas geográficas onde a AWS opera) onde o PrivateLink está disponível no Amazon WorkSpaces Personal. Clientes existentes recebem automaticamente essa melhoria, pois o sistema mantém compatibilidade retroativa com configurações DNS anteriores — nenhuma ação manual é necessária.

    Para aprofundar-se na implementação, consulte a documentação de PrivateLink do Amazon WorkSpaces e o Guia de Administração do WorkSpaces para detalhes técnicos de configuração.

    Fonte

    Amazon WorkSpaces Personal now supports unique DNS names for PrivateLink (https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-workspaces-personal-privatelink/)