Category: Uncategorized

O anúncio: suporte a IPv6 no IAM Identity Center

A AWS recomenda utilizar o IAM Identity Center para fornecer aos seus usuários acesso aos aplicativos gerenciados pela AWS — como o Amazon Q Developer — e às contas AWS. Recentemente, a AWS anunciou o suporte para IPv6 no IAM Identity Center, representando um avanço importante na conectividade de rede para organizações que adotam a pilha de protocolos IPv6.

Para compreender melhor os benefícios dessa tecnologia, você pode consultar a documentação sobre IPv6 disponibilizada pela AWS.

Como funciona o Identity Center atualmente

O IAM Identity Center oferece um portal de acesso que permite aos usuários da sua organização acessarem aplicativos AWS e contas através de dois caminhos: autenticando-se diretamente no portal ou utilizando um marcador para a URL da aplicação. Em ambos os casos, o portal gerencia a autenticação dos usuários antes de conceder acesso aos recursos solicitados.

O suporte simultâneo para IPv4 e IPv6 facilita uma experiência de conectividade contínua para navegadores, aplicativos e outros clientes, independentemente de suas configurações de rede.

Endpoints dual-stack: o que muda

O novo recurso introduz endpoints dual-stack que suportam tanto IPv4 quanto IPv6. Isso significa que os usuários podem se conectar utilizando clientes com suporte a IPv4, IPv6 ou ambos, simultaneamente. Os endpoints IPv4 atuais continuam funcionando normalmente — nenhuma ação imediata é necessária.

Essa capacidade dual-stack se estende aos aplicativos gerenciados pelo Identity Center. Quando usuários acessam o endpoint dual-stack da aplicação, o sistema roteia automaticamente para o endpoint dual-stack do Identity Center para autenticação.

Preparação necessária para clientes IPv6

Para utilizar o Identity Center a partir de clientes IPv6, sua organização precisará direcionar os usuários para os novos endpoints dual-stack e atualizar as configurações no seu provedor de identidade externo (IdP), caso utilize um.

Este guia demonstra como atualizar sua configuração para permitir que clientes IPv6 se conectem diretamente aos endpoints do IAM Identity Center sem necessidade de serviços de tradução de endereços de rede.

Visão geral da transição

A transição de IPv4 para IPv6 via endpoints dual-stack envolve três fases distintas:

• Estado inicial: clientes utilizam exclusivamente endpoints IPv4.
• Fase de transição: seus clientes utilizam uma combinação de endpoints IPv4 e endpoints dual-stack.
• Estado final: seus clientes se conectam aos endpoints dual-stack, utilizando IPv4 ou IPv6 conforme suas preferências.

Essa abordagem permite uma migração gradual, onde diferentes grupos de usuários podem fazer a transição em seus próprios prazos.

Pré-requisitos para habilitar IPv6

Para ativar o acesso IPv6 para usuários e administradores da sua organização, você precisa ter em vigor:

• Uma instância existente do IAM Identity Center;
• Firewalls e gateways atualizados para incluir os novos endpoints dual-stack;
• Clientes e redes com capacidade IPv6.

Recomenda-se trabalhar em conjunto com seus administradores de rede para atualizar as configurações de firewalls e gateways, além de verificar se seus dispositivos (laptops, desktops e outros) estão preparados para aceitar conectividade IPv6. Se sua organização já habilitou IPv6 para outros serviços AWS, você provavelmente já está familiarizado com essas alterações.

Etapa 1: Atualizar a configuração do seu provedor de identidade

Se sua organização não utiliza um IdP externo como fonte de identidade, você pode pular esta etapa.

Nesta fase, você precisa atualizar a URL do Serviço Consumidor de Asserção (ACS) da sua instância do IAM Identity Center nas configurações do seu IdP para autenticação única (single sign-on) e na configuração SCIM para provisionamento de usuários.

A capacidade do seu IdP determina como você atualiza essas URLs. Se o seu IdP suporta múltiplas URLs de ACS, configure tanto os URLs IPv4 quanto os dual-stack para possibilitar uma transição flexível. Com essa configuração, alguns usuários podem continuar usando endpoints somente IPv4 enquanto outros adotam endpoints dual-stack para IPv6.

Caso seu IdP suporte apenas um URL de ACS, você precisará atualizar para o novo URL dual-stack no IdP e fazer com que todos os usuários façam a transição para endpoints dual-stack simultaneamente.

Atualizando as configurações de autenticação SAML e provisionamento SCIM

Comece atualizando as configurações de autenticação única no seu IdP para utilizar as novas URLs dual-stack. Localize essas URLs no Console de Gerenciamento AWS para o IAM Identity Center, navegando até Settings no painel de navegação e depois selecionando Identity source.

Em seguida, escolha Actions e selecione Manage authentication. Sob Manage SAML 2.0 authentication, você encontrará os seguintes URLs nos metadados do provedor de serviço:

• URL de entrada do portal de acesso AWS;
• URL do Serviço Consumidor de Asserção (ACS) do IAM Identity Center;
• URL do emissor do IAM Identity Center.

Se seu IdP suporta múltiplas URLs de ACS, adicione o URL dual-stack à configuração do seu IdP mantendo o existente em IPv4. Dessa forma, você e seus usuários podem decidir quando iniciar o uso dos endpoints dual-stack sem necessidade de que toda a organização mude simultaneamente.

Caso seu IdP não suporte múltiplas URLs de ACS, você precisará substituir o URL IPv4 existente pelo novo URL dual-stack e fazer com que toda sua organização use apenas os endpoints dual-stack.

Agora, atualize o endpoint de provisionamento no seu IdP. Acesse novamente Settings no painel de navegação, e sob Identity source, escolha Actions e selecione Manage provisioning. Sob Automatic provisioning, copie o novo endpoint SCIM que termina em api.aws e atualize essa URL no seu IdP externo.

Etapa 2: Localizar e compartilhar os novos endpoints dual-stack

Sua organização precisará de dois tipos de URLs para habilitar a conectividade IPv6.

URL do portal de acesso dual-stack

O primeiro é o novo URL do portal de acesso dual-stack que seus usuários utilizarão para acessar seus aplicativos AWS e contas atribuídos. Esse URL está disponível no console do IAM Identity Center, listado como Dual-stack no resumo de Settings (você pode precisar expandir a seção de URLs do portal de acesso).

Esse URL dual-stack termina com app.aws como seu domínio de nível superior. Compartilhe esse URL com seus usuários e solicite que usem esse URL dual-stack para conectar via IPv6.

Como exemplo, se sua organização utiliza o portal de acesso para acessar contas AWS, os usuários precisarão autenticar-se através do novo URL do portal de acesso dual-stack ao usar conectividade IPv6. Alternativamente, se sua organização acessa a URL da aplicação, você precisará ativar a URL dual-stack da aplicação seguindo instruções específicas dessa aplicação. Para mais informações, consulte a lista de serviços AWS que suportam IPv6.

URLs de serviço para administradores

O segundo tipo de URL que sua organização precisa são aqueles que administradores usam para gerenciar o IAM Identity Center. Os novos endpoints de serviço dual-stack terminam em api.aws como seu domínio de nível superior e estão listados nos endpoints de serviço do Identity Center.

Administradores podem usar esses endpoints de serviço para gerenciar usuários e grupos no Identity Center, atualizar seu acesso a aplicativos e recursos, e executar outras operações de gerenciamento. Como exemplo, se um administrador utiliza identitystore.{region}.amazonaws.com para gerenciar usuários e grupos no Identity Center, agora deve usar a versão dual-stack do mesmo endpoint: identitystore.{region}.api.aws, permitindo conectar aos endpoints de serviço usando clientes e redes IPv6.

Se seus usuários ou administradores utilizam um SDK da AWS para acessar aplicativos e contas AWS ou gerenciar serviços, siga as diretrizes sobre endpoints dual-stack e FIPS para habilitar a conectividade aos endpoints dual-stack.

Monitorando o uso dos endpoints dual-stack

Você pode opcionalmente monitorar os registros do AWS CloudTrail para rastrear o uso dos endpoints dual-stack. A diferença fundamental entre o uso de endpoints somente IPv4 e endpoints dual-stack é o domínio de nível superior (TLD) e aparece no campo clientProvidedHostHeader.

A seguir está um exemplo comparativo entre esses eventos no CloudTrail para a chamada da API CreateTokenWithIAM:

Endpoints somente IPv4:

"CloudTrailEvent": {
  "eventName": "CreateToken",
  "tlsDetails": {
    "tlsVersion": "TLSv1.3",
    "cipherSuite": "TLS_AES_128_GCM_SHA256",
    "clientProvidedHostHeader": "oidc.us-east-1.amazonaws.com"
  }
}

Endpoints dual-stack:

"CloudTrailEvent": {
  "eventName": "CreateToken",
  "tlsDetails": {
    "tlsVersion": "TLSv1.3",
    "cipherSuite": "TLS_AES_128_GCM_SHA256",
    "clientProvidedHostHeader": "oidc.us-east-1.api.aws"
  }
}

Considerações finais

O IAM Identity Center agora permite que clientes se conectem via IPv6 nativamente, sem necessidade de infraestrutura de tradução de endereços de rede. Esta releitura apresentou como fazer a transição de sua organização para utilizar IPv6 com o Identity Center e suas aplicações integradas.

Lembre-se de que os endpoints IPv4 existentes continuarão funcionando, permitindo que você faça a transição no seu próprio ritmo. Nenhuma ação imediata é obrigatória, mas recomenda-se planejar a transição para aproveitar os benefícios do IPv6 e atender requisitos de conformidade.

Se você tiver dúvidas, comentários ou preocupações, entre em contato com o AWS Support ou abra um tópico no canal de discussão sobre IAM Identity Center.

Fonte

IAM Identity Center now supports IPv6 (https://aws.amazon.com/blogs/security/iam-identity-center-now-supports-ipv6/)

O que foi anunciado

A AWS expandiu a disponibilidade do Amazon Managed Grafana para as regiões AWS GovCloud (US-West) e AWS GovCloud (US-East). Essa expansão permite que órgãos governamentais e empresas de setores regulados visualizem e analisem seus dados operacionais de forma segura, atendendo aos rigorosos requisitos de conformidade exigidos pelo setor público norte-americano.

O Amazon Managed Grafana

O Amazon Managed Grafana é um serviço totalmente gerenciado baseado na plataforma de código aberto Grafana. Ele simplifica o processo de visualização e análise de dados operacionais em larga escala, permitindo que equipes de tecnologia monitorem infraestruturas complexas de forma centralizada e intuitiva.

O diferencial desse serviço é eliminar a necessidade de manutenção tradicional de software. Em vez de instalar, configurar e gerenciar instâncias do Grafana em seus próprios ambientes, as organizações podem contar com uma solução completamente administrada pela AWS.

Capacidades nas regiões GovCloud

Praticamente todas as funcionalidades do Amazon Managed Grafana estão disponíveis nas regiões AWS GovCloud (US). A única exceção diz respeito aos plugins Enterprise, que não são suportados nessas regiões específicas.

Essa disponibilidade é particularmente importante para organizações do setor público que precisam manter seus dados dentro de ambientes com conformidade rigorosa, garantindo que suas operações de monitoramento e análise atendam aos padrões federais de segurança e privacidade.

Como começar

Para começar a utilizar o Amazon Managed Grafana nas regiões GovCloud, os usuários podem acessar o Console da AWS e consultar o guia do usuário do Amazon Managed Grafana.

Para aprofundar o conhecimento sobre esse serviço, estão disponíveis a página do produto e a página de preços, onde é possível compreender melhor as funcionalidades oferecidas e analisar as opções de custeamento.

Relevância para o mercado regulado

Essa expansão de disponibilidade reflete a estratégia da AWS de oferecer seus serviços em ambientes que atendem a exigências rigorosas de conformidade. Para organizações que operam em setores regulados, como administração pública federal, defesa ou instituições financeiras altamente controladas, dispor de ferramentas de monitoramento nativas em regiões GovCloud reduz complexidades de arquitetura e facilita o atendimento a regulamentações específicas.

Fonte

Amazon Managed Grafana now available in the AWS GovCloud (US) Regions (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-managed-grafana-aws-govcloud-us-regions)

O que foi anunciado

A Amazon Web Services (AWS) anunciou a conclusão bem-sucedida da auditoria de conformidade com o padrão PCI PIN (Número de Identificação Pessoal da Indústria de Cartões de Pagamento) para o serviço AWS CloudHSM. A avaliação foi conduzida pela Coalfire, uma empresa qualificada como Avaliadora de Segurança Terceirizada (QSA), e o resultado foi zero constatações de não-conformidade.

Esse resultado abre novas possibilidades para organizações brasileiras e globais que operam com sistemas de pagamento regulados e precisam manter seus ambientes em conformidade com os rigorosos padrões PCI PIN.

O que é o CloudHSM e por que isso importa

O CloudHSM é um serviço gerenciado que fornece módulos de segurança de hardware (HSM) validados no nível 3 do FIPS 140-3. O diferencial é que você mantém o hardware sob seu controle exclusivo — são instâncias single-tenant rodando dentro da sua própria nuvem privada virtual (VPC).

Para operações de pagamento que envolvem tradução de PIN ou manipulação sensível desses dados, o CloudHSM oferece uma abordagem que reduz significativamente a complexidade de conformidade regulatória, já que você gerencia pessoalmente a segurança do hardware criptográfico.

Componentes do pacote de conformidade PCI PIN

A AWS disponibiliza dois documentos essenciais que formam o pacote de conformidade:

• Atestado de Conformidade (AOC) do PCI PIN — demonstra que o CloudHSM foi validado com sucesso contra o padrão PCI PIN, com resultado de zero achados
• Resumo de Responsabilidades do PCI PIN — fornece orientação clara sobre quais responsabilidades cabem aos clientes na hora de construir e operar um ambiente seguro para manipular transações baseadas em PIN

Ambos os documentos estão disponíveis através do AWS Artifact, a plataforma da AWS onde clientes acessam relatórios de conformidade, certificações e outros documentos de auditoria.

Alternativa para pagamentos: AWS Payment Cryptography

É importante observar que para operações de pagamento como tradução de PIN, a AWS recomenda também considerar a AWS Payment Cryptography, um serviço totalmente gerenciado que também atende aos requisitos de conformidade PCI PIN, oferecendo uma opção com overhead operacional ainda menor.

Como acessar os relatórios

Clientes que precisam dos relatórios de conformidade PCI PIN podem acessá-los diretamente no AWS Artifact. Para compreender melhor os programas de conformidade e segurança oferecidos pela AWS, recomenda-se consultar a página de Programas de Conformidade da AWS.

Dúvidas específicas sobre esta certificação ou sobre como integrar o CloudHSM em sua arquitetura de pagamentos podem ser direcionadas à equipe de conformidade da AWS ou ao suporte técnico da AWS.

Implicações práticas

Essa atualização é especialmente relevante para empresas de fintech, processadoras de pagamento e instituições financeiras que operam no Brasil e em outros mercados regulados. A certificação PCI PIN fornece a base de confiança necessária para que clientes corporativos implementem soluções criptográficas robustas sem abrir mão da flexibilidade da nuvem.

Fonte

Updated PCI PIN compliance package for AWS CloudHSM now available (https://aws.amazon.com/blogs/security/updated-pci-pin-compliance-package-for-aws-cloudhsm-now-available/)

Certificação PCI PIN para AWS Payment Cryptography

A Amazon Web Services (AWS) finalizou com sucesso o processo de auditoria de conformidade conforme o padrão PCI PIN (Número de Identificação Pessoal da Indústria de Cartões de Pagamento) para seu serviço Payment Cryptography. Essa conquista representa um passo importante para organizações brasileiras que precisam processar pagamentos com cartão de forma segura e em conformidade com os requisitos regulatórios internacionais.

O serviço AWS Payment Cryptography permite que aplicações de processamento de pagamento utilizem módulos de segurança por hardware (HSMs) certificados como PCI PIN Transaction Security (PTS), totalmente gerenciados pela AWS com gerenciamento de chaves em conformidade com PCI PIN. Essa abordagem oferece maior flexibilidade para quem precisa implantar cargas de trabalho reguladas, reduzindo significativamente o esforço administrativo relacionado à conformidade.

Componentes principais do pacote de conformidade

O pacote de conformidade PCI PIN para AWS Payment Cryptography é composto por dois elementos essenciais:

Certificado de Conformidade (AOC)

O Certificado de Conformidade (Attestation of Compliance — AOC) demonstra que o AWS Payment Cryptography passou por validação bem-sucedida contra o padrão PCI PIN, sem nenhuma constatação de não-conformidade. Este documento valida que a infraestrutura e os processos de segurança atendem integralmente aos requisitos estabelecidos.

Responsabilidades na implementação

O Resumo de Responsabilidades PCI PIN fornece orientações claras para ajudar clientes a compreender suas próprias responsabilidades ao desenvolver e operar um ambiente altamente seguro para processamento de transações baseadas em PIN. Este documento é fundamental para que cada organização implemente adequadamente seus próprios controles.

Processo de avaliação e acesso aos relatórios

A AWS foi avaliada pela Coalfire, uma empresa qualificada como Qualified Security Assessor (QSA) independente. Os clientes podem acessar tanto o Certificado de Conformidade PCI PIN quanto o Resumo de Responsabilidades por meio do AWS Artifact, portal centralizado que reúne todos os documentos de conformidade relevantes.

Para explorar mais detalhes sobre os programas de conformidade da AWS e outras iniciativas de segurança, a documentação completa está disponível na página de Programas de Conformidade da AWS. Organizações com dúvidas técnicas específicas podem contatar o time de conformidade da AWS através da página de Suporte de Conformidade, ou abrir uma solicitação com o Suporte da AWS.

O significado para o mercado brasileiro

Esta certificação é especialmente relevante para empresas brasileiras que operam em segmentos como fintech, varejo e serviços financeiros. A redução do overhead de conformidade permite que times de segurança dediquem seus esforços a iniciativas de inovação, em vez de gestar manualmente processos certificadores. Com a infraestrutura gerenciada e certificada pela AWS, as organizações podem focar em suas aplicações e processos de negócio, mantendo a segurança das transações financeiras como responsabilidade compartilhada claramente definida.

Fonte

Updated PCI PIN compliance package for AWS Payment Cryptography now available (https://aws.amazon.com/blogs/security/updated-pci-pin-compliance-package-for-aws-payment-cryptography-now-available/)

Escolhendo a Estratégia Certa para Gerenciar Segredos

Uma das perguntas mais comuns entre organizações que trabalham com a AWS diz respeito à centralização de segredos. Embora o debate frequentemente se concentre apenas no armazenamento centralizado, existem quatro dimensões importantes a considerar: criação, armazenamento, rotação e monitoramento de segredos. Cada uma dessas dimensões pode ser tratada de forma centralizada ou descentralizada, e a escolha tem implicações diretas na segurança, operação e escalabilidade da infraestrutura.

Não existe uma solução única que funcione para todas as organizações. A melhor estratégia depende da estrutura operacional, requisitos de segurança e capacidades técnicas de cada empresa. Neste artigo, exploramos os benefícios e desvantagens de cada abordagem.

Criação Centralizada de Segredos

Quando uma organização opta pela criação centralizada de segredos, o foco geralmente está em implementar práticas modernas de DevOps que automatizam e padronizam a implantação. Muitas empresas têm investido em plataformas internas de desenvolvedor, que utilizam o conceito de “caminhos de ouro” (golden paths) para permitir que desenvolvedores façam implantação em modelo de autoatendimento através de infraestrutura como código (IaC).

Essas plataformas oferecem templates pré-aprovados que implementam as melhores práticas da organização. Uma equipe de engenharia de plataforma central mantém esses caminhos, garantindo conformidade com padrões corporativos. Ferramentas como o AWS Service Catalog e projetos de código aberto como Backstage.io são exemplos de tecnologias que facilitam essa abordagem.

Um exemplo prático seria um caminho de ouro que padroniza a implantação de um microsserviço que acessa um banco de dados. Esse caminho poderia determinar que o serviço deve ser construído com o AWS Cloud Development Kit (AWS CDK), executado no Amazon Elastic Container Service (Amazon ECS), e que as credenciais de banco de dados sejam obtidas através do AWS Secrets Manager. A equipe de plataforma também pode incluir verificações automatizadas para garantir que a política de recurso do segredo apenas permite acesso ao papel (role) correto e que a criptografia utiliza chaves gerenciadas pelo cliente.

Vantagens da Criação Centralizada

• Nomenclatura e controle de acesso consistentes: Segredos criados centralmente podem seguir convenções de nomenclatura padronizadas baseadas em conta, workload, serviço ou classificação de dados. Isso facilita a implementação de padrões escaláveis como controle de acesso baseado em atributos (ABAC).
• Verificações de privilégio mínimo em pipelines CI/CD: A criação de segredos dentro de pipelines IaC permite o uso de ferramentas como a AWS IAM Access Analyzer com a API check-no-new-access. Os pipelines podem ser templizados, permitindo que equipes individuais se beneficiem dos padrões organizacionais.
• Colaboração entre engenharia de plataforma e segurança: Essa transição permite que equipes de segurança trabalhem em conjunto com engenharia de plataforma para incorporar segurança por padrão nos caminhos de ouro, em vez de implementá-la posteriormente.

Desvantagens da Criação Centralizada

• Requer investimento significativo em tempo e recursos para construir e manter plataformas de desenvolvedor dedicadas.
• É necessário manter bibliotecas de caminhos de ouro apropriados para os casos de uso da organização, o que pode ser inviável dependendo do tamanho.
• Os caminhos de ouro precisam acompanhar novas features dos serviços subjacentes. Se um serviço recebe uma atualização importante, os desenvolvedores precisam esperar pela inclusão dessa feature nos templates existentes.

Criação Descentralizada de Segredos

Em um modelo descentralizado, as equipes de aplicação são donas dos templates IaC e mecanismos de implantação em suas próprias contas. Cada equipe opera de forma independente, o que pode dificultar a aplicação de padrões padronizados como código.

Vantagens da Criação Descentralizada

• Velocidade: Desenvolvedores conseguem se mover rapidamente com maior autonomia, já que não dependem de uma função central para criar novos segredos.
• Flexibilidade: As equipes ainda podem utilizar recursos como a API check-no-new-access, mas fica a critério delas implementar essas verificações em seus pipelines.

Desvantagens da Criação Descentralizada

• Falta de padronização: Sem mecanismos centrais de criação templizada, fica mais difícil aplicar convenções consistentes de nomenclatura e tagging.
• Inconsistência em controles de acesso: Políticas de recurso e controles de acesso podem variar significativamente entre equipes.
• Maior carga nos desenvolvedores: Equipes precisam gerenciar uma maior parte da infraestrutura e dos pipelines de implantação por conta própria.

Armazenamento Centralizado de Segredos

Algumas organizações optam por manter todos os segredos em uma conta central, enquanto outras preferem armazenar segredos nas mesmas contas onde os workloads operam. A escolha dessa estratégia depende dos tradeoffs operacionais e de segurança envolvidos.

Vantagens do Armazenamento Centralizado

• Monitoramento e observabilidade simplificados: Manter todos os segredos em uma única conta facilita o monitoramento centralizado, com uma equipe dedicada controlando o acesso a esses recursos sensíveis.

Desvantagens do Armazenamento Centralizado

• Overhead operacional adicional: Ao compartilhar segredos entre contas, é necessário configurar políticas de recurso em cada segredo que será compartilhado.
• Custo adicional do AWS KMS: Para compartilhar segredos entre contas, é obrigatório usar chaves gerenciadas pelo cliente do AWS Key Management Service (AWS KMS). Embora isso forneça um nível adicional de controle de acesso, isso aumentará os custos segundo a precificação do AWS KMS, além de exigir políticas adicionais de manutenção.
• Concentração elevada de dados sensíveis: Centralizar segredos aumenta o potencial de impacto em caso de acesso indevido ou erro de configuração.
• Limites de quota: Antes de optar por centralizar segredos, é importante revisar as quotas de serviço da AWS para garantir que a organização não atingirá limites em produção.
• Segredos gerenciados por serviços: Serviços como o Amazon Relational Database Service (Amazon RDS) e Amazon Redshift gerenciam segredos automaticamente, armazenando-os na mesma conta do recurso. Para manter uma estratégia centralizada usando esses segredos gerenciados, seria necessário centralizar também os recursos.

Muitas organizações já utilizam serviços nativos da AWS como AWS Security Hub, IAM Access Analyzer, AWS Config e Amazon CloudWatch para obter observabilidade centralizada em ambientes multi-conta, sem necessidade de manter todos os segredos em um único local.

Armazenamento Descentralizado de Segredos

Na abordagem descentralizada, os segredos vivem nas mesmas contas que os workloads que precisam acessá-los, criando uma separação natural entre diferentes aplicações e equipes.

Vantagens do Armazenamento Descentralizado

• Limites de conta como segmentação natural: As contas AWS fornecem isolamento por padrão. Acessar segredos de outra conta não é possível automaticamente, exigindo aprovação explícita tanto da política de recurso na conta de origem quanto da política IAM na conta de destino. Políticas de controle de recurso podem impedir completamente o compartilhamento de segredos entre contas.
• Flexibilidade na escolha de chaves KMS: Se segredos não são compartilhados entre contas, as organizações podem optar entre usar chaves gerenciadas pelo cliente ou chaves gerenciadas pela AWS para criptografia.
• Delegação de gerenciamento de permissões: Quando segredos estão na mesma conta das aplicações que os consomem, os donos das aplicações podem definir permissões granulares nas políticas de recurso dos segredos.

Desvantagens do Armazenamento Descentralizado

• Auditoria e monitoramento complexos: Ferramentas de monitoramento precisam operar entre múltiplas contas para apresentar uma visão consolidada de conformidade.
• Workflows de remediação automática mais complexos: Controles de detecção podem alertar sobre misconfigurations ou riscos relacionados a segredos, como quando um segredo é compartilhado fora dos limites organizacionais. Esses workflows são mais complexos em ambientes multi-conta, embora a AWS ofereça soluções como Automated Security Response on AWS.

Rotação Centralizada de Segredos

Quando a rotação é centralizada, uma equipe central gerencia e mantém as funções do AWS Lambda responsáveis pela rotação de segredos, oferecendo bibliotecas reutilizáveis para diferentes cenários.

Vantagens da Rotação Centralizada

• Reutilização de funções de rotação: Equipes de aplicação podem reutilizar funções comuns desenvolvidas pela equipe central para diferentes tipos de banco de dados e aplicações SaaS, sem precisar desenvolver suas próprias soluções customizadas.
• Logs gerenciados centralmente: Os logs das funções de rotação podem ser armazenados e acessados a partir de um local único, facilitando investigações e auditorias.

Desvantagens da Rotação Centralizada

• Cenários adicionais de acesso entre contas: Funções Lambda na conta central precisam de permissões para criar, atualizar, deletar e ler segredos nas contas das aplicações, aumentando o overhead operacional.
• Limites de quota: Ao centralizar essa função em escala, é importante verificar as quotas de serviço do Lambda para evitar gargalos em produção.

Rotação Descentralizada de Segredos

A rotação descentralizada é a abordagem mais comum, onde as funções de rotação vivem na mesma conta que o segredo que gerenciam.

Vantagens da Rotação Descentralizada

• Templização com customização: Desenvolvedores podem reutilizar templates de rotação, mas adaptá-los conforme necessário para seus casos de uso específicos.
• Sem acesso entre contas: A rotação acontece integralmente dentro de uma única conta, eliminando complexidades de acesso cross-account.

Desvantagens da Rotação Descentralizada

• Acesso centralizado aos logs: É necessário fornecer acesso centralizado ou federado aos logs das funções de rotação distribuídas em diferentes contas. Por padrão, Lambda envia automaticamente logs para CloudWatch Logs, que oferece diferentes formas de centralizar logs, cada uma com seus tradeoffs específicos.

Auditoria e Monitoramento Centralizados

Independentemente do modelo escolhido para criação, armazenamento e rotação, é altamente recomendado centralizar auditoria e monitoramento em ambientes multi-conta. A AWS oferece capacidades robustas para isso através da AWS Security Hub, que se integra com AWS Organizations para centralizar:

• Descobertas das melhores práticas de segurança fundamentais relacionadas ao Secrets Manager
• Descobertas do IAM Access Analyzer sobre acesso externo aos secrets
• Descobertas do AWS Config sobre configurações de Secrets Manager
• Descobertas de comportamento anômalo do Amazon GuardDuty

Nesse modelo, funções centralizadas ganham visibilidade organizacional, enquanto equipes individuais conseguem visualizar sua própria postura em nível de conta sem precisar ver a organização inteira. Além disso, usar trilhas organizacionais do AWS CloudTrail permite enviar todas as chamadas de API do Secrets Manager para uma conta de administração delegada centralizada.

Auditoria e Monitoramento Descentralizados

Para organizações que não requerem auditoria centralizada, é possível configurar o acesso de forma que equipes individuais determinem quais logs coletar, alertas configurar e verificações implementar relacionadas aos seus segredos.

Vantagens da Abordagem Descentralizada

• Flexibilidade: Equipes de desenvolvimento têm liberdade para escolher ferramentas de monitoramento, auditoria e logging que melhor se ajustem às suas necessidades.
• Menos dependências: Equipes não precisam depender de funções centralizadas para implementar alertas e monitoramento.

Desvantagens da Abordagem Descentralizada

• Overhead operacional: Diferentes equipes podem acabar implementando soluções similares de forma redundante.
• Dificuldade em investigações multi-conta: Quando logs e monitoramento estão descentralizados, investigações que afetam múltiplas contas se tornam mais complexas.

Combinando Abordagens: O Caso do Serviço Financeiro

A maioria das organizações, na prática, escolhe uma combinação dessas abordagens para atender suas necessidades específicas. Um exemplo seria uma empresa de serviços financeiros com uma equipe central de segurança operando centenas de contas AWS, com centenas de aplicações isoladas em nível de conta:

• Centraliza a criação de segredos, aplicando padrões corporativos de nomenclatura, tagging e controle de acesso
• Descentraliza o armazenamento, usando contas AWS como limite natural de acesso e delegando controle aos donos das aplicações
• Descentraliza o gerenciamento de ciclo de vida, permitindo que donos das aplicações gerenciem suas próprias funções de rotação
• Centraliza a auditoria, utilizando AWS Config, Security Hub e IAM Access Analyzer para dar visibilidade à equipe central de segurança enquanto mantém controle descentralizado

Conclusão

Não existe uma estratégia única de gestão de segredos que funcione para todas as organizações. A arquitetura ideal depende dos requisitos específicos de segurança, modelo operacional e capacidades técnicas de cada empresa.

Os pontos principais a considerar são:

• Escolha sua arquitetura baseado nos requisitos específicos de sua organização
• Use automação e infraestrutura como código para reforçar controles de segurança, independentemente da abordagem escolhida
• Implemente capacidades robustas de monitoramento e auditoria através dos serviços AWS para manter visibilidade em seu ambiente

Para aprofundar seus conhecimentos sobre o AWS Secrets Manager, considere explorar os recursos adicionais disponibilizados pela AWS, incluindo guias de migração, melhores práticas e templates de referência que facilitam a implementação de soluções seguras e bem-estruturadas.

Fonte

Exploring common centralized and decentralized approaches to secrets management (https://aws.amazon.com/blogs/security/exploring-common-centralized-and-decentralized-approaches-to-secrets-management/)

A AWS reafirma conformidade com os padrões europeus de segurança C5

A AWS completou com sucesso o ciclo de auditoria de 2025 do Catálogo de Critérios de Conformidade em Computação em Nuvem (C5), com 183 serviços cobertos pelo escopo de conformidade. Este resultado reforça o alinhamento contínuo da empresa com os requisitos de segurança estabelecidos para provedores de nuvem, oferecendo aos clientes europeus maior confiança ao executar aplicações em suas regiões.

O programa C5 é um esquema de certificação respaldado pelo governo alemão, desenvolvido pelo C5. Desde sua introdução em 2016, a AWS tem mantido conformidade com seus requisitos. O C5 auxilia organizações a demonstrar segurança operacional contra ameaças cibernéticas comuns ao utilizar serviços em nuvem.

Escopo da auditoria e novos serviços incorporados

Auditores independentes de terceiros avaliaram a AWS no período entre 1º de outubro de 2024 e 30 de setembro de 2025. O relatório de conformidade C5 detalha o status de alinhamento tanto para critérios básicos quanto adicionais do programa.

Cinco novos serviços foram adicionados ao escopo C5 da AWS neste ciclo:

• Amazon Verified Permissions
• AWS B2B Data Interchange
• AWS Resource Explorer
• AWS Security Incident Response
• AWS Transform

Regiões cobertas pelo relatório C5

O relatório de 2025 abrange as seguintes regiões da AWS: Europa (Frankfurt), Europa (Irlanda), Europa (Londres), Europa (Milão), Europa (Paris), Europa (Estocolmo), Europa (Espanha), Europa (Zurique) e Ásia-Pacífico (Singapura).

Acessando o relatório de conformidade

Os clientes podem fazer download do relatório C5 completo através do AWS Artifact no Console de Gerenciamento da AWS, um portal de autoatendimento que oferece acesso sob demanda a relatórios de conformidade. Para quem está começando, a AWS disponibiliza um guia de início com AWS Artifact.

Para informações atualizadas sobre todos os programas de conformidade, consulte a página Serviços da AWS em Escopo por Programa de Conformidade.

Segurança como responsabilidade compartilhada

A segurança e conformidade na nuvem funcionam sob um modelo de responsabilidade compartilhada entre a AWS e seus clientes. Quando organizações transferem seus sistemas e dados para a nuvem, as responsabilidades de segurança são divididas entre o cliente e o provedor de nuvem. Compreender este modelo é essencial para implementar estratégias eficazes de proteção. Mais detalhes estão disponíveis no Modelo de Responsabilidade Compartilhada de Segurança da AWS.

Para aprofundar o conhecimento sobre programas e políticas de conformidade da AWS, consulte Programas de Conformidade da AWS.

Próximos passos

Clientes com dúvidas ou feedback sobre o relatório C5 podem entrar em contato com seu time de contas da AWS. A equipe de conformidade da AWS também está disponível através da página de contato para consultas adicionais.

Fonte

AWS achieves 2025 C5 Type 2 attestation report with 183 services in scope (https://aws.amazon.com/blogs/security/aws-achieves-2025-c5-type-2-attestation-report-with-183-services-in-scope/)

Expansão da Certificação GSMA na Nuvem

A Amazon Web Services (AWS) expandiu sua certificação GSMA Scheme de Acreditação de Segurança para Gerenciamento de Assinaturas (SAS-SM) para quatro novas regiões globais. Simultaneamente, duas regiões que já possuíam essa certificação passaram pelo processo de renovação.

As quatro regiões que receberam a certificação GSMA SAS-SM pela primeira vez são: US West (Oregon), Europe (Frankfurt), Asia Pacific (Tokyo) e Asia Pacific (Singapore). Além disso, a AWS renovou as certificações das regiões US East (Ohio) e Europe (Paris). Todas essas certificações têm escopo em Operações e Gerenciamento de Data Center (DCOM) e foram validadas por auditores independentes selecionados pela GSM Association (GSMA), com validade até outubro de 2026.

O Significado da Certificação SAS-SM para o Mercado

Rastreabilidade e Conformidade

A certificação GSMA SAS-SM representa um marco importante na conformidade de segurança para provedores de nuvem. O escopo DCOM (Operações e Gerenciamento de Data Center) garante que os ambientes foram avaliados segundo critérios rigorosos de segurança estabelecidos globalmente. O certificado de conformidade, que comprova que a AWS atende aos padrões GSMA, está disponível nos sites tanto da GSMA quanto da AWS.

Herança de Controles para ISVs

Desde que o US East (Ohio) obteve a certificação GSMA em setembro de 2021 e o Europe (Paris) em outubro de 2021, diversos fornecedores independentes de software (ISVs) têm se beneficiado da herança dos controles de conformidade SAS-SM DCOM da AWS. Isso permite que essas empresas construam serviços de gerenciamento de assinaturas ou eSIM (módulo de identidade de assinante incorporado) compatíveis com GSMA.

Para líderes de mercado consolidados, essa abordagem reduz a dívida técnica enquanto mantém a escalabilidade e o desempenho esperados pelos clientes. Para startups que inovam com soluções de eSIM, a oportunidade é ainda mais valiosa: podem acelerar seu tempo de entrada no mercado em vários meses em comparação com modelos de implantação locais.

A Revolução do eSIM no Mercado de Telecomunicações

Evolução Tecnológica

Até 2023, a transição de módulos de identidade de assinante físicos (SIMs) para eSIMs (módulos incorporados) era impulsionada principalmente por fabricantes de automóveis, wearables conectados à rede celular e dispositivos complementares como tablets. No entanto, o cenário está mudando rapidamente.

A GSMA promove as especificações SGP.31 e SGP.32, que padronizam protocolos e garantem compatibilidade e experiência de usuário consistente em todos os dispositivos eSIM. Com essas especificações, o escopo de aplicação do eSIM agora abrange smartphones, Internet das Coisas (IoT), casas inteligentes, IoT industrial e muito mais.

Demanda por Plataformas em Nuvem

Conforme mais fabricantes de dispositivos lançam modelos exclusivamente com eSIM, os clientes da AWS demandam soluções robustas e centradas em nuvem para gerenciamento de eSIM. Atualmente, mais de 400 operadoras de telecomunicações em todo o mundo oferecem suporte a serviços de eSIM para seus assinantes.

Hospedar plataformas de eSIM na nuvem permite que essas operadoras se integrem de forma eficiente com seus novos sistemas de suporte operacional (OSS) e sistemas de suporte comercial (BSS) baseados em nuvem. Essa integração é fundamental para modelos de operação modernos.

Cobertura Global e Resiliência

A expansão da AWS para certificar quatro novas regiões GSMA em novembro de 2025 demonstra seu compromisso contínuo com as expectativas elevadas estabelecidas para provedores de serviços em nuvem. Essa expansão também estende significativamente a cobertura global de infraestrutura certificada GSMA.

Com duas regiões certificadas GSMA em cada uma das três áreas geográficas principais — Estados Unidos, União Europeia e Ásia — os clientes podem agora construir soluções de eSIM com redundância geográfica. Essa abordagem melhora tanto a recuperação de desastres quanto a postura geral de resiliência dos sistemas.

Próximos Passos e Recursos

Para informações atualizadas relacionadas à certificação, a AWS disponibiliza a página do Programa de Conformidade GSMA da AWS. Clientes e parceiros interessados em conhecer mais sobre os programas de conformidade e segurança da plataforma podem consultar a página de Programas de Conformidade da AWS.

A AWS mantém um canal aberto com sua comunidade de clientes e parceiros. Dúvidas técnicas ou feedback sobre conformidade GSMA podem ser direcionadas à equipe de conformidade por meio da página de contato.

Fonte

AWS renews the GSMA SAS-SM certification for two AWS Regions and expands to cover four new Regions (https://aws.amazon.com/blogs/security/aws-renews-the-gsma-sas-sm-certification-for-two-aws-regions-and-expands-to-cover-four-new-regions/)

Novas Camadas de Proteção para Grupos de Auto Scaling

A AWS anunciou em janeiro de 2026 a introdução de novos mecanismos de proteção para o EC2 Auto Scaling, focando na prevenção de exclusões acidentais. Essas funcionalidades reforçam a segurança operacional e ajudam a manter a disponibilidade das aplicações.

Chave de Condição IAM para Controle de Exclusão Forçada

O primeiro mecanismo é a nova chave de condição de política autoscaling:ForceDelete. Essa chave funciona em conjunto com a ação DeleteAutoScalingGroup e permite controlar se o parâmetro ForceDelete pode ser utilizado durante a exclusão. Em outras palavras, ela determina se um grupo de Auto Scaling (ASG) pode ser removido enquanto ainda possui instâncias em execução.

Por meio de políticas IAM (Identity and Access Management), é possível restringir as permissões de exclusão usando essa chave de condição. Isso funciona como uma medida de segurança importante, evitando que exclusões acidentais removam grupos de Auto Scaling que ainda contêm instâncias ativas.

Proteção a Nível de Grupo

Além da chave de condição IAM, o EC2 Auto Scaling agora oferece proteção contra exclusão diretamente no nível do grupo. A nova configuração de proteção contra exclusão pode ser estabelecida tanto no momento da criação do grupo quanto em atualizações posteriores.

Esse recurso permite definir controles aprimorados com base na criticidade da sua carga de trabalho, oferecendo múltiplos níveis de proteção. Assim, é possível salvaguardar grupos críticos contra exclusões acidentais e garantir a continuidade das aplicações.

Defesa em Camadas contra Exclusões Indesejadas

A combinação da chave de condição autoscaling:ForceDelete com a proteção a nível de grupo cria uma defesa em múltiplas camadas. Dessa forma, você pode tanto restringir permissões IAM para operações de exclusão forçada quanto estabelecer controles aprimorados de proteção diretamente nos grupos de Auto Scaling críticos.

Disponibilidade e Próximos Passos

Os novos mecanismos estão disponíveis em todas as regiões da AWS Regions e em todas as regiões AWS GovCloud (US).

Para começar, acesse o console do EC2 Auto Scaling ou consulte a documentação técnica para proteção contra exclusão e chaves de condição de política do Amazon EC2 Auto Scaling.

Fonte

EC2 Auto Scaling Introduces New Mechanisms for Group Deletion Protection (https://aws.amazon.com/about-aws/whats-new/2026/01/ec2-auto-scaling-new-mechanisms-group-deletion-protection)

Expansão das regras gerenciadas do AWS Config

A AWS anunciou o lançamento de 13 novas regras gerenciadas para o serviço AWS Config, ampliando as capacidades de conformidade e governança para ambientes em nuvem. Essas regras cobrem diferentes cenários de uso, desde validação de segurança até verificações operacionais e de durabilidade dos recursos.

Com essa expansão, os usuários agora conseguem pesquisar, descobrir, ativar e gerenciar essas novas regras diretamente pela interface do AWS Config. O grande diferencial é a possibilidade de implantar esses controles em toda a conta ou até mesmo em múltiplas contas da organização, facilitando a governança centralizada.

Principais capacidades das novas regras

Validação de conformidade em diferentes serviços

As 13 novas regras permitem avaliar a postura de segurança em diversos recursos AWS. Alguns exemplos incluem validações em Amazon Cognito User Pools, Amazon EBS Snapshots, AWS CloudFormation Stacks e outros serviços críticos da plataforma.

Cada regra foi desenhada para verificar configurações específicas que impactam a segurança, a disponibilidade e a conformidade regulatória dos ambientes.

Governança com Conformance Packs

Uma vantagem importante é a possibilidade de usar Conformance Packs — agrupamentos de regras que podem ser implantados em conta única ou em múltiplas contas da organização. Isso simplifica significativamente a governança multi-conta, permitindo padronização de políticas em toda a estrutura organizacional.

Lista de regras lançadas

As 13 novas regras gerenciadas disponibilizadas são:

• AURORA_GLOBAL_DATABASE_ENCRYPTION_AT_REST
• CLOUDFORMATION_STACK_SERVICE_ROLE_CHECK
• CLOUDFORMATION_TERMINATION_PROTECTION_CHECK
• CLOUDFRONT_DISTRIBUTION_KEY_GROUP_ENABLED
• COGNITO_USER_POOL_DELETE_PROTECTION_ENABLED
• COGNITO_USER_POOL_MFA_ENABLED
• COGNITO_USERPOOL_CUST_AUTH_THREAT_FULL_CHECK
• EBS_SNAPSHOT_BLOCK_PUBLIC_ACCESS
• ECS_CAPACITY_PROVIDER_TERMINATION_CHECK
• ECS_TASK_DEFINITION_EFS_ENCRYPTION_ENABLED
• ECS_TASK_DEFINITION_LINUX_USER_NON_ROOT
• ECS_TASK_DEFINITION_WINDOWS_USER_NON_ADMIN
• SES_SENDING_TLS_REQUIRED

Como começar

Para explorar a documentação completa sobre as novas regras, incluindo descrição de cada uma e regiões onde estão disponíveis, consulte a documentação de regras gerenciadas do Config. Para lista com histórico completo de regras lançadas recentemente, acesse o guia do desenvolvedor do AWS Config.

Usuários que desejam começar a utilizar as regras do Config podem consultar a documentação sobre como adicionar e configurar regras.

Fonte

AWS Config launches 13 new managed rules (https://aws.amazon.com/about-aws/whats-new/2026/01/aws-config-launches-new-rules/)

Maior controle sobre criptografia em ambientes de análise de dados

A Amazon EMR Serverless recebeu uma atualização importante em suas capacidades de segurança. O serviço agora oferece suporte a chaves gerenciadas pelo cliente do Serviço de Gerenciamento de Chaves da AWS (AWS KMS – Key Management Service) para criptografar discos locais. Essa mudança é particularmente significativa para organizações que enfrentam requisitos regulatórios e de conformidade rigorosos, pois amplia as opções de encriptação além das chaves padrão pertencentes à AWS.

O que é o EMR Serverless

O Amazon EMR Serverless é uma modalidade de implantação dentro do Amazon EMR que simplifica o trabalho de engenheiros de dados e cientistas de dados. Com essa abordagem, é possível executar frameworks de análise de dados de código aberto sem precisar configurar, gerenciar ou dimensionar clusters e servidores manualmente. A solução abstrai grande parte da complexidade operacional, permitindo que os profissionais concentrem-se na análise em si.

Criptografia padrão e novas possibilidades

Anteriormente, os discos locais nos workers do EMR Serverless eram criptografados por padrão utilizando chaves de propriedade da AWS. Com esse novo recurso, clientes com necessidades estritas de regulamentação e conformidade podem agora criptografar discos locais com suas próprias chaves gerenciadas pelo KMS. Essas chaves podem residir na mesma conta ou em conta diferente da organização.

Flexibilidade na aplicação das chaves

A integração oferece dois níveis de granularidade para especificação da chave KMS gerenciada pelo cliente:

• Nível de aplicação: você pode definir a chave no nível da aplicação EMR Serverless, onde ela se aplica a todas as cargas de trabalho submetidas naquela aplicação
• Nível de execução: alternativamente, é possível especificar a chave para uma execução de job específica ou sessão interativa individual

Esse design flexível permite que organizações adaptem sua estratégia de criptografia conforme necessário, equilibrando centralização e controle granular.

Disponibilidade e compatibilidade

O novo recurso está disponível em todas as versões de EMR suportadas e em todas as regiões da AWS onde o Amazon EMR Serverless opera, incluindo AWS GovCloud (US) e regiões da China. Funciona tanto em aplicações EMR Serverless novas quanto em aplicações existentes, oferecendo compatibilidade retroativa.

Próximos passos

Para quem deseja implementar esse recurso, a AWS disponibiliza documentação específica sobre Criptografia de Discos Locais com Chaves KMS do Cliente no Guia do Usuário do Amazon EMR Serverless. A documentação contém detalhes técnicos, exemplos de configuração e orientações para diferentes cenários de uso.

Fonte

Amazon EMR Serverless now supports AWS KMS customer managed keys for encrypting local disks (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-emr-serverless-aws-kms-customer-managed)