User's blog

Blog

  • Implantando Agentes de IA no Amazon Bedrock AgentCore com GitHub Actions

    Automatizando a Implantação de Agentes de IA com Segurança Empresarial

    A AWS anunciou recentemente o Amazon Bedrock AgentCore, um serviço versátil que permite aos desenvolvedores criar e gerenciar agentes de IA de forma integrada, trabalhando com diferentes frameworks e modelos, seja em ambientes hospedados na própria Amazon Bedrock ou em outras infraestruturas. Mais especificamente, o AgentCore Runtime fornece um ambiente de hospedagem seguro, sem servidor e otimizado para implantar e executar agentes de IA ou ferramentas customizadas.

    Uma das características principais do AgentCore Runtime é sua flexibilidade de framework. O serviço funciona perfeitamente com plataformas populares como LangGraph, Strands e CrewAI, permitindo que desenvolvedores implantem seus agentes com escalabilidade automática e segurança integrada. O grande diferencial está em como simplifica a complexidade operacional enquanto mantém controles rigorosos de segurança.

    Imagem original — fonte: Aws

    Este artigo demonstra como usar um fluxo de trabalho do GitHub Actions para automatizar a implantação de agentes no AgentCore Runtime. Essa abordagem oferece uma solução escalável com controles de segurança em nível empresarial, fornecendo automação completa de integração e entrega contínua (CI/CD). Implementando um pipeline abrangente, é possível habilitar a implantação contínua de agentes seguindo as melhores práticas da AWS, incluindo autenticação com OpenID Connect (OIDC), controles de acesso com privilégio mínimo e separação de ambientes. A solução facilita atualizações eficientes para agentes existentes e integra verificações contínuas de segurança com validações rigorosas de qualidade de código. O resultado é uma estratégia de implantação robusta que minimiza complexidade operacional, aprimora a segurança e acelera o desenvolvimento de agentes de IA em ambientes corporativos.

    Capacidades do Amazon Bedrock AgentCore Runtime

    O AgentCore Runtime é o serviço ideal para implantações de agentes em produção, apresentando um conjunto robusto de funcionalidades:

    • Oferece um ambiente independente de framework para executar agentes
    • Funciona com modelos de linguagem grande (LLMs) como os oferecidos pela Amazon Bedrock e Anthropic Claude
    • Fornece isolamento de sessão, executando cada sessão do usuário em uma microVM dedicada com recursos isolados de CPU, memória e sistema de arquivos
    • Suporta tanto interações em tempo real quanto cargas de trabalho de longa duração, com duração até 8 horas
    • Oferece capacidades integradas de autenticação e observabilidade

    Visão Geral da Solução

    Foi desenvolvido um pipeline CI/CD abrangente com GitHub Actions que simplifica a implantação de agentes em conformidade com padrões de segurança. O pipeline está disponível como uma solução pronta para uso que se integra perfeitamente aos fluxos de trabalho de desenvolvimento existentes.

    A solução compreende os seguintes componentes-chave:

    • GitHub Actions – Uma ferramenta de orquestração de fluxo de trabalho para hospedar o pipeline
    • Amazon Bedrock AgentCore Runtime – Um serviço da AWS para hospedar e executar os agentes implantados
    • Amazon Elastic Container Registry (Amazon ECR) – Um serviço da AWS para armazenar, gerenciar e implantar imagens de contêiner para agentes
    • Amazon Inspector – Um serviço da AWS para realizar verificação avançada e contínua de vulnerabilidades em imagens de contêiner
    • IAM OIDC identity provider (Provedor de identidade OIDC do IAM) – Um serviço de autenticação federada que estabelece confiança entre GitHub e AWS, permitindo que GitHub Actions implante na AWS sem manter segredos e credenciais AWS

    O fluxo de dados da arquitetura segue os seguintes passos:

    1. Um desenvolvedor confirma mudanças de código de seu repositório local para o repositório do GitHub. Nesta solução, o GitHub Action é acionado manualmente, mas pode ser automatizado.
    2. O GitHub Action inicia o estágio de build.
    3. O OIDC do GitHub usa tokens para autenticar com a AWS e acessar recursos.
    4. GitHub Actions invoca o comando para construir e enviar a imagem de contêiner do agente para Amazon ECR diretamente do Dockerfile.
    5. AWS Inspector dispara uma verificação de segurança avançada quando a imagem é carregada.
    6. Uma instância do AgentCore Runtime é criada usando a imagem de contêiner.
    7. O agente pode consultar o modelo Amazon Bedrock e invocar ferramentas de acordo com sua configuração.

    Pré-requisitos

    Antes de usar o pipeline CI/CD seguro para implantar agentes no AgentCore Runtime, verifique se você possui os seguintes pré-requisitos:

    Configuração Inicial

    Baixando o Código-Fonte

    Clone o repositório de código-fonte:

    git clone https://github.com/aws-samples/sample-bedrock-agentcore-runtime-cicd.git

    A pasta do repositório contém a seguinte estrutura:

    bedrock-agentcore-runtime-cicd/
├── .github/
│ └── workflows/
│ └── deploy-agentcore.yml # arquivo contém o conjunto de ações para construir e implantar o agente no AgentCore Runtime
│ └── test-agent.yml # após a implantação, este arquivo é usado para testar agente via manual workflow dispatch
├── agents/
│ ├── strands_agent.py # usa BedrockAgentCoreApp que cria um agente de IA usando o framework Strands com Claude como modelo subjacente
│ ├── requirements.txt # contém dependências
├── scripts
│ ├── create_iam_role.py # função IAM necessária para Bedrock AgentCore Runtime
│ ├── deploy_agent.py # implanta um agente customizado na plataforma AgentCore Runtime da AWS Bedrock
│ └── setup_oidc.py # configuração OIDC para autenticação e autorização do GitHub para acessar conta AWS
│ └── cleanup_ecr.py # mantém 9 imagens recentes no registro ECR, pode ser customizado
│ └── create_guardrail.py # configura guardrail mínimo para filtragem de conteúdo, pode ser customizado conforme necessário
│ └── test_agent.py # contém casos de teste
└── Dockerfile # contém instruções para construir a imagem Docker
└── README.md

    Criando o Código do Agente

    Crie seu agente com o framework de sua escolha usando o toolkit AgentCore Runtime. O toolkit usa BedrockAgentCoreApp para criar uma aplicação que fornece uma forma padronizada de empacotar código de agente de IA em um contêiner que pode ser executado na infraestrutura gerenciada do AgentCore Runtime. Também usa app.entrypoint, um decorador Python que marca uma função como o ponto de entrada principal. Quando o agente Amazon Bedrock recebe uma solicitação de API recebida, esta função recebe e processa a solicitação do usuário.

    Neste exemplo de código de agente, quando alguém chama seu agente Amazon Bedrock usando uma API, o AgentCore Runtime chamará automaticamente a função strands_agent_bedrock(payload). Neste artigo, o arquivo agents/strands_agent.py é usado para criar um agente usando o framework Strands Agents:

    """
This module defines a conversational AI agent that can perform calculations using the Strands framework.
"""
from bedrock_agentcore.runtime import BedrockAgentCoreApp
from strands import Agent
from strands.models import BedrockModel
from strands_tools import calculator

# Initialize the Bedrock AgentCore application
app = BedrockAgentCoreApp()

# Configure the Claude model for the agent with guardrail
model_id = "us.anthropic.claude-sonnet-4-20250514-v1:0"

# Load guardrail ID if available
guardrail_config = None
try:
    with open("guardrail_id.txt", "r", encoding="utf-8") as f:
        guardrail_id = f.read().strip()
        if guardrail_id:
            guardrail_config = {
                "guardrailIdentifier": guardrail_id,
                "guardrailVersion": "1",
            }
        print(f"Loaded guardrail: {guardrail_id}")
except FileNotFoundError:
    print("No guardrail file found - running without guardrail")

model = BedrockModel(model_id=model_id, guardrail=guardrail_config)

# Create the agent with tools and system prompt
agent = Agent(
    model=model,
    tools=[calculator],
    system_prompt="You're a helpful assistant. You can do simple math calculation.",
)

@app.entrypoint
def strands_agent_bedrock(payload):
    """
    Main entrypoint for the Bedrock AgentCore Runtime.
    This function is called by AWS Bedrock AgentCore when the agent receives a request.
    It processes the user input and returns the agent's response.
    
    Args:
        payload (dict): Request payload containing user input
        Expected format: {"prompt": "user question"}
    
    Returns:
        str: The agent's text response to the user's prompt
    """
    # Extract the user's prompt from the payload
    user_input = payload.get("prompt")
    
    # Process the input through the agent (handles tool selection and model inference)
    response = agent(user_input)
    
    # Extract and return the text content from the response
    return response.message["content"][0]["text"]

if __name__ == "__main__":
    # Run the application locally for testing
    # In production, this is handled by Bedrock AgentCore Runtime
    app.run()

    Configurando Secrets do GitHub

    O fluxo de trabalho do GitHub Actions deve acessar recursos em sua conta AWS. Neste artigo, usa-se um provedor de identidade IAM OpenID Connect (OIDC) e funções IAM com políticas IAM para acessar recursos AWS. O OIDC permite que seus fluxos de trabalho GitHub Actions acessem recursos na AWS sem precisar armazenar credenciais AWS como segredos GitHub de longa duração. Essas credenciais são armazenadas como segredos GitHub no repositório GitHub, em Configurações na opção Secrets. Para mais informações, consulte Using secrets in GitHub Actions.

    Criando Funções e Políticas IAM

    Para executar agentes ou ferramentas no AgentCore Runtime, você precisa de uma função de execução IAM. Para informações sobre como criar uma função IAM, consulte IAM role creation. Neste artigo, criamos a política de confiança e função de execução necessárias para o AgentCore Runtime. Veja IAM Permissions for AgentCore Runtime para mais detalhes.

    A seguir está o código da política de confiança do AgentCore Runtime:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AssumeRolePolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock-agentcore:region:accountId:*"
        }
      }
    }
  ]
}

    A seguir está o código da função de execução do AgentCore Runtime:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream",
        "bedrock:Converse",
        "bedrock:ConverseStream"
      ],
      "Resource": [
        "arn:aws:bedrock:*::foundation-model/us.anthropic.claude-sonnet-4-*",
        "arn:aws:bedrock:*::foundation-model/anthropic.claude-*",
        "arn:aws:bedrock:*:*:inference-profile/us.anthropic.claude-sonnet-4-*",
        "arn:aws:bedrock:*:*:inference-profile/anthropic.claude-*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken",
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage"
      ],
      "Resource": "arn:aws:ecr:::repository/bedrock-agentcore-*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    }
  ]
}

    Executando o Pipeline

    O pipeline pode ser acionado alterando código na pasta de agentes ou manualmente usando a opção de workflow dispatch. Isso pode ser alterado de acordo com a estratégia de branching de sua organização. Atualize o código em .github/workflows/deploy-agentcore.yml para alterar esse comportamento de gatilho.

    Imagem original — fonte: Aws

    O fluxo de trabalho realiza as seguintes etapas:

    • Usa o Ubuntu Github Runner padrão para as tarefas fornecidas no pipeline
    • Instala as dependências necessárias mencionadas no arquivo requirements.txt
    • Constrói a imagem Docker e a implanta no repositório ECR
    • A imagem é verificada com Amazon Inspector para identificar potenciais vulnerabilidades
    • AgentCore Runtime implanta o agente como um endpoint
    • O fluxo de trabalho testa o endpoint do agente para verificar funcionalidade

    Testando o Agente

    Após o agente ser implantado, verifica-se sua funcionalidade acionando o fluxo de trabalho Test Agent manualmente via opção de workflow dispatch.

    Imagem original — fonte: Aws

    Versionamento e Endpoints do AgentCore Runtime

    A AWS Bedrock AgentCore implementa versionamento automático para AgentCore Runtime e permite gerenciar diferentes configurações usando endpoints. Endpoints fornecem uma forma de referenciar versões específicas do AgentCore Runtime. Para mais detalhes e código de exemplo, consulte AgentCore Runtime versioning and endpoints.

    Limpeza de Recursos

    Para evitar incorrer em cobranças futuras, conclua os seguintes passos:

    • Exclua as imagens do ECR do console Amazon ECR criadas por meio da implantação usando GitHub Actions
    • Exclua o agente implantado no AgentCore Runtime

    Conclusão

    Este artigo demonstrou uma abordagem abrangente para usar GitHub Actions visando uma implantação mais segura e escalável de agentes de IA no AgentCore Runtime. A solução oferece um ambiente robusto, automatizado e controlado para aplicações de IA generativa, abordando desafios críticos de implantação empresarial ao automatizar gerenciamento de dependências, implementar verificações contínuas de qualidade de código, realizar verificação abrangente de vulnerabilidades e facilitar processos de implantação consistentes.

    Ao abstrair complexidades de infraestrutura, este pipeline ajuda desenvolvedores a concentrar-se na lógica e funcionalidade do agente, enquanto oferece uma abordagem independente de framework que suporta gerenciamento integrado de múltiplos agentes de IA em escala. À medida que os agentes de IA continuam transformando capacidades empresariais, esta solução representa um passo significativo na simplificação do desenvolvimento e gerenciamento operacional de agentes de IA, oferecendo um mecanismo de implantação padronizado, seguro e eficiente para aplicações modernas de IA generativa.

    Como próximo passo, você pode usar Amazon Q para aprimorar e customizar inteligentemente seu pipeline de implantação de agentes de IA, transformando seus processos CI/CD com automação avançada e consciente de contexto.

    Fonte

    Deploy AI agents on Amazon Bedrock AgentCore using GitHub Actions (https://aws.amazon.com/blogs/machine-learning/deploy-ai-agents-on-amazon-bedrock-agentcore-using-github-actions/)

  • Governança de dados na AWS: automação, marcação e estratégia de ciclo de vida — Parte 2

    Entendendo a governança de dados na prática

    Este artigo complementa a primeira parte sobre governança de dados na AWS, que abordou fundações estratégicas, frameworks de classificação e abordagens de marcação. Agora, veremos como implementar tecnicamente um framework de governança robusto através de padrões arquiteturais bem estabelecidos.

    A governança de dados efetiva exige múltiplas camadas de controle trabalhando em conjunto. O processo começa com monitoramento, evolui para controles preventivos, passa por remediação automatizada e culmina em recursos avançados que garantem conformidade em ambientes complexos.

    Os quatro pilares da implementação

    A AWS apresenta uma abordagem progressiva que permite implementação incremental. Cada nível constrói sobre o anterior, permitindo validação contínua:

    Fundação de monitoramento

    O primeiro passo consiste em estabelecer uma linha de base sólida. Use AWS Config para rastrear conformidade de marcações em seus recursos, e configure painéis do Amazon CloudWatch para visibilidade em tempo real de sua postura de governança. Essa fundação permite compreender seu estado atual antes de implementar controles de força maior.

    Controles preventivos

    Depois da visibilidade inicial, implemente aplicação proativa. Implante funções AWS Lambda que validam marcações no momento da criação de recursos. Configure regras do Amazon EventBridge para disparar ações de conformidade em tempo real e estabeleça políticas de controle de serviço (Service Control Policies — SCPs) que criam barreiras de proteção em toda a organização, prevenindo implantação de recursos não conformes.

    Remediação automatizada

    Reduza intervenção manual configurando documentos de automação do AWS Systems Manager que respondem a violações de conformidade. Implante respostas automatizadas que corrigem problemas comuns como marcações faltantes ou criptografia inadequada. Estabeleça controles de segurança baseados em classificação que aplicam proteções apropriadas automaticamente conforme a sensibilidade dos dados.

    Recursos avançados

    Estenda o framework com recursos sofisticados. Implante controles de soberania de dados para garantir conformidade regulatória entre regiões, implemente gerenciamento de ciclo de vida inteligente para otimizar custos mantendo conformidade, e estabeleça sistemas abrangentes de monitoramento e relatório que ofereçam visibilidade clara aos stakeholders sobre a efetividade da governança.

    Pré-requisitos técnicos

    Antes de começar, garanta que você possui:

    Implementação de controles de marcação

    Controles preventivos com funções Lambda

    A validação de marcações no momento da criação de recursos previne implantação de recursos não conformes. Funções Lambda disparadas por eventos do AWS CloudTrail verificam marcações antes que recursos sejam criados:

    def enforce_resource_tags(event, context):
    required_tags = ['DataClassification', 'DataOwner', 'Environment']
    # Extract resource details from the event
    resource_tags = event['detail']['requestParameters'].get('Tags', {})
    # Validate required tags are present
    missing_tags = [tag for tag in required_tags if tag not in resource_tags]
    if missing_tags:
        # Send alert to security team
        # Log non-compliance for compliance reporting
        raise Exception(f"Missing required tags: {missing_tags}")
    return {'status': 'compliant'}

    Para implementação completa e pronta para produção, consulte Implementando políticas de marcação com AWS Organizations e padrões de eventos do EventBridge para monitoramento de recursos.

    Políticas de marcação em toda a organização

    As políticas de marcação do AWS Organizations estabelecem a base para consistência. Essas políticas definem formatos e valores padrão, garantindo consistência entre contas:

    {
  "tags": {
    "DataClassification": {
      "tag_key": {
        "@@assign": "DataClassification"
      },
      "tag_value": {
        "@@assign": ["L1", "L2", "L3"]
      },
      "enforced_for": {
        "@@assign": [
          "s3:bucket",
          "ec2:instance",
          "rds:db",
          "dynamodb:table"
        ]
      }
    }
  }
}

    Consulte primeiros passos com políticas de marcação e melhores práticas para uso de políticas de marcação.

    Controle de acesso baseado em marcações

    O controle de acesso baseado em marcações permite permissões detalhadas usando controle de acesso baseado em atributos (ABAC — Attribute-Based Access Control). Essa abordagem define permissões conforme atributos de recursos em vez de criar políticas IAM individuais:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject", "s3:PutObject"],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/DataClassification": "L1",
          "aws:ResourceTag/Environment": "Prod"
        }
      }
    }
  ]
}

    Governança em ambientes multi-conta

    Enquanto a implementação de governança em uma única conta é direta, a maioria das organizações opera em ambientes multi-conta. Implementar governança consistente em toda a organização exige controles adicionais:

    OrganizationControls:
  SCPPolicy:
    Type: AWS::Organizations::Policy
    Properties:
      Content:
        Version: "2012-10-17"
        Statement:
          - Sid: EnforceTaggingOnResources
            Effect: Deny
            Action:
              - "ec2:RunInstances"
              - "rds:CreateDBInstance"
              - "s3:CreateBucket"
            Resource: "*"
            Condition:
              'Null':
                'aws:RequestTag/DataClassification': true
                'aws:RequestTag/Environment': true

    Para mais informações, consulte a documentação de implementação para SCPs.

    Integração com frameworks de governança local

    Muitas organizações mantêm frameworks de governança para infraestrutura local. Estender esses frameworks para a AWS exige integração cuidadosa. Use o AWS Service Catalog para criar um portfólio de recursos que se alinhem com seus padrões de governança existentes, mantendo convenções de nomenclatura e controles compatíveis.

    Automação de controles de segurança baseada em classificação

    Após classificar dados, use essas classificações para automatizar controles de segurança. Use AWS Config para rastrear e validar que recursos estejam devidamente marcados através de regras definidas que avaliam configurações de recursos AWS. Para recursos não conformes, use AWS Systems Manager para automatizar o processo de remediação.

    Com marcação adequada, implemente controles de segurança automatizados usando EventBridge e Lambda. Essa combinação cria infraestrutura eficiente em custos e escalável para aplicação de políticas de segurança baseadas em classificação de dados:

    def apply_security_controls(event, context):
    resource_type = event['detail']['resourceType']
    tags = event['detail']['tags']
    if tags['DataClassification'] == 'L1':
        # Apply Level 1 security controls
        enable_encryption(resource_type)
        apply_strict_access_controls(resource_type)
        enable_detailed_logging(resource_type)
    elif tags['DataClassification'] == 'L2':
        # Apply Level 2 security controls
        enable_standard_encryption(resource_type)
        apply_basic_access_controls(resource_type)

    Consulte Remediação de recursos não conformes com AWS Config, AWS Systems Manager — Criando seus próprios runbooks e padrões de tratamento de erros em Lambda.

    Soberania e residência de dados

    Requisitos de soberania e residência de dados ajudam na conformidade com regulações como GDPR. Implemente controles que restrinjam armazenamento e processamento de dados a regiões específicas da AWS:

    AWSConfig:
  ConfigRule:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: s3-bucket-region-check
      Description: Checks if S3 buckets are in allowed regions
      Source:
        Owner: AWS
        SourceIdentifier: S3_BUCKET_REGION
      InputParameters:
        allowedRegions:
          - eu-west-1
          - eu-central-1

    Este exemplo usa eu-west-1 e eu-central-1 porque essas regiões são comumente utilizadas para conformidade com GDPR, oferecendo residência de dados dentro da União Europeia. Ajuste as regiões conforme seus requisitos regulatórios específicos. Consulte Atendimento de requisitos de residência de dados na AWS e controles que aprimoram proteção de residência de dados.

    Monitoramento de conformidade automatizado

    Combine AWS Config para conformidade de recursos, CloudWatch para métricas e alertas, e Amazon Macie para descoberta de dados sensíveis, criando um framework robusto que detecta e responde automaticamente a questões de conformidade:

    Figura 1: Arquitetura de monitoramento de conformidade — Imagem original — fonte: Aws

    Essa arquitetura demonstra como os serviços da AWS trabalham em conjunto para monitoramento de conformidade. O AWS Config, CloudTrail e Macie monitoram recursos, o CloudWatch agrega dados de monitoramento, e alertas e painéis oferecem visibilidade em tempo real.

    Implementação com CloudFormation

    O seguinte template CloudFormation implementa esses controles:

    Resources:
  EncryptionRule:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: s3-bucket-encryption-enabled
      Source:
        Owner: AWS
        SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
  MacieJob:
    Type: AWS::Macie::ClassificationJob
    Properties:
      JobType: ONE_TIME
      S3JobDefinition:
        BucketDefinitions:
          - AccountId: !Ref AWS::AccountId
            Buckets:
              - !Ref DataBucket
        ScoreFilter:
          Minimum: 75
  SecurityAlarm:
    Type: AWS::CloudWatch::Alarm
    Properties:
      AlarmName: UnauthorizedAccessAttempts
      MetricName: UnauthorizedAPICount
      Namespace: SecurityMetrics
      Statistic: Sum
      Period: 300
      EvaluationPeriods: 1
      Threshold: 3
      AlarmActions:
        - !Ref SecurityNotificationTopic
      ComparisonOperator: GreaterThanThreshold

    Consulte Lista de regras gerenciadas do AWS Config e Uso de painéis do Amazon CloudWatch.

    Governança de dados e data lakes

    Estratégias modernas de governança frequentemente utilizam data lakes para controle centralizado. A AWS oferece solução abrangente através do Modern Data Architecture Accelerator (MDAA), que permite implantar rapidamente arquiteturas de plataforma de dados com controles de segurança e governança integrados.

    Figura 2: Arquitetura de referência do MDAA — Imagem original — fonte: Aws

    Consulte Aceleração da implantação de arquiteturas de dados modernas seguras e conformes para análises avançadas e IA para orientação detalhada e código-fonte.

    Padrões de acesso e descoberta de dados

    Compreender e gerenciar padrões de acesso é essencial para governança efetiva. Use CloudTrail e Amazon Athena para analisar padrões de acesso:

    SELECT useridentity.arn, eventname, requestparameters.bucketname,
requestparameters.key, COUNT(*) as access_count
FROM cloudtrail_logs
WHERE eventname IN ('GetObject', 'PutObject')
GROUP BY 1, 2, 3, 4
ORDER BY access_count DESC
LIMIT 100;

    Essa consulta identifica dados acessados com frequência e padrões incomuns de comportamento, permitindo otimizar camadas de armazenamento, refinar estratégias de recuperação de desastres, identificar riscos de segurança e ajustar políticas de ciclo de vida conforme padrões de uso.

    Governança de modelos de aprendizado de máquina

    Conforme organizações avançam sua jornada de governança, muitas implantam modelos de machine learning em produção, necessitando frameworks que se estendam a operações de ML. O Amazon SageMaker oferece ferramentas avançadas para manter governança sobre ativos de ML sem impedir inovação.

    As ferramentas de governança do SageMaker trabalham juntas fornecendo supervisão completa de ML: o Role Manager oferece controle de acesso detalhado, Model Cards centralizam documentação e linhagem, o Model Dashboard oferece visibilidade em toda a organização, e o Model Monitor automatiza detecção de desvio e controle de qualidade.

    # Basic/High-level ML governance setup with role and monitoring
SageMakerRole:
  Type: AWS::IAM::Role
  Properties:
    AssumeRolePolicyDocument:
      Statement:
        - Effect: Allow
          Principal:
            Service: sagemaker.amazonaws.com
          Action: sts:AssumeRole
    ManagedPolicyArns:
      - arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
ModelMonitor:
  Type: AWS::SageMaker::MonitoringSchedule
  Properties:
    MonitoringScheduleName: hourly-model-monitor
    ScheduleConfig:
      ScheduleExpression: 'cron(0 * * * ? *)'

    Consulte Governança de modelos para gerenciar permissões e rastrear desempenho de modelos.

    Otimização de custos através de gerenciamento de ciclo de vida automatizado

    Governança de dados efetiva não trata apenas de segurança — também gerencia custos. Implemente gerenciamento inteligente de ciclo de vida de dados baseado em classificação e padrões de uso:

    LifecycleConfiguration:
  Rules:
    - ID: IntelligentArchive
      Status: Enabled
      Transitions:
        - StorageClass: INTELLIGENT_TIERING
          TransitionInDays: 0
        - StorageClass: GLACIER
          TransitionInDays: 90
      Prefix: /data/
      TagFilters:
        - Key: DataClassification
          Value: L2
    - ID: RetentionPolicy
      Status: Enabled
      ExpirationInDays: 2555
      TagFilters:
        - Key: RetentionPeriod
          Value: "84"

    O S3 otimiza automaticamente custos enquanto mantém conformidade com requisitos de retenção. Por exemplo, dados inicialmente armazenados em Amazon Simple Storage Service (Amazon S3) se movem automaticamente para Amazon S3 Glacier após 90 dias, reduzindo significativamente custos de armazenamento. Consulte Gerenciamento de ciclo de vida de objetos e Gerenciamento de custos de armazenamento com Amazon S3 Intelligent-Tiering.

    Construindo uma estratégia de governança robusta

    Implementação bem-sucedida de governança de dados na AWS exige abordagem estruturada e adesão a melhores práticas:

    • Comece com escopo focado e expanda gradualmente. Inicie com projeto piloto que aborde casos de uso de alto impacto e baixa complexidade, demonstrando ganhos rápidos enquanto constrói experiência.
    • Faça automação sua fundação. Aplique serviços como EventBridge para respostas dirigidas por eventos, implemente remediação automatizada e crie capacidades de auto-atendimento que equilibrem eficiência e conformidade.
    • Mantenha visibilidade e melhoria contínuas. Monitoramento regular, verificações de conformidade e atualizações de framework são essenciais. Use feedback de suas operações para refinar políticas conforme necessidades da organização evoluem.

    Desafios comuns a considerar

    • Resistência inicial de equipes acostumadas a processos manuais
    • Complexidade ao lidar com sistemas e dados legados
    • Equilíbrio entre controles de segurança e eficiência operacional
    • Manutenção de governança consistente em múltiplas contas e regiões AWS

    Recursos adicionais

    Para mais informações, suporte de implementação e orientação, consulte:

    Conclusão

    Construir um framework de governança de dados robusto e escalável na AWS que cresça com sua organização enquanto mantém segurança, conformidade e operações de dados eficientes é totalmente viável. O caminho começa com monitoramento fundamental, progride através de controles preventivos, passa por automação de remediação e culmina em recursos avançados que garantem conformidade em ambientes complexos.

    Ao seguir essa abordagem progressiva, validando continuamente e permanecendo atento aos desafios potenciais, sua organização pode implementar governança que não apenas atende aos requisitos regulatórios, mas também habilita inovação e otimização de custos.

    Fonte

    Implementing data governance on AWS: Automation, tagging, and lifecycle strategy – Part 2 (https://aws.amazon.com/blogs/security/implementing-data-governance-on-aws-automation-tagging-and-lifecycle-strategy-part-2/)

  • AWS Clean Rooms agora suporta parâmetros em templates de análise PySpark

    Novidade: Parâmetros em Templates PySpark no AWS Clean Rooms

    A AWS anunciou o suporte a parâmetros em templates de análise PySpark, ampliando as possibilidades de colaboração segura entre organizações e seus parceiros. Com este lançamento, torna-se possível criar um único template PySpark que aceita diferentes valores fornecidos pelo colaborador no momento da execução, eliminando a necessidade de modificar o código do template.

    Como Funciona: Fluxo de Parâmetros

    O processo segue uma lógica clara: o autor do código prepara um template PySpark com suporte a parâmetros, e após aprovação para execução, quem rodar o job pode enviar os valores diretamente para a tarefa PySpark. Essa abordagem cria um cenário onde o mesmo template reutilizável funciona para múltiplos cenários e análises, sem precisar duplicar ou ajustar manualmente o código para cada situação.

    Aplicação Prática: Campanha de Publicidade

    Um exemplo tangível é a atuação de empresas de medição no setor de publicidade: com os parâmetros dinâmicos, elas podem inserir períodos de tempo e regiões geográficas diferentes diretamente durante o envio do job. Essa flexibilidade acelera a geração de insights sobre atribuição de campanhas publicitárias, permitindo otimizações de campanha e planejamento de mídia em prazos muito mais curtos.

    O Escopo Maior do Clean Rooms

    O AWS Clean Rooms oferece a capacidade de criar salas de dados seguras em poucos minutos e colaborar com qualquer empresa na AWS ou Snowflake. Esse ambiente permite gerar insights únicos sobre campanhas publicitárias, decisões de investimento e pesquisa e desenvolvimento, mantendo a privacidade dos dados durante todo o processo colaborativo.

    Disponibilidade e Próximos Passos

    Para conhecer em quais regiões da AWS o Clean Rooms está disponível, consulte a tabela de regiões oficial. Mais informações sobre como colaborar usando o AWS Clean Rooms estão disponíveis na documentação do serviço.

    Fonte

    AWS Clean Rooms now supports parameters in PySpark analysis templates (https://aws.amazon.com/about-aws/whats-new/2026/01/aws-clean-rooms-parameters-pyspark-analysis-templates/)

  • Bancos de Dados da AWS agora estão disponíveis no v0 da Vercel

    Nova Integração entre AWS e Vercel

    A AWS anunciou a disponibilidade de três de suas principais soluções de banco de dados serverless no v0 by Vercel: Amazon Aurora PostgreSQL, Amazon Aurora DSQL e Amazon DynamoDB. O v0 é uma ferramenta alimentada por IA que transforma ideias em aplicações web full-stack prontas para produção em minutos.

    Com essa integração, desenvolvedores podem descrever o que desejam construir em linguagem natural e o v0 fica responsável por desenvolver a interface do usuário no frontend, a lógica no backend e armazenar os dados da aplicação no banco de dados da AWS que melhor se adequa às necessidades do projeto.

    Como Funciona a Experiência de Configuração

    O v0 oferece uma experiência de configuração end-to-end onde é possível escolher e configurar recursos de banco de dados em uma nova conta AWS ou conectar a uma conta existente, tudo sem sair da interface do v0. Usuários podem gerenciar seu plano, adicionar informações de pagamento e visualizar detalhes de uso a qualquer momento por meio do portal de configurações da AWS acessível do dashboard da Vercel.

    Contas AWS criadas através da Vercel incluem acesso aos três bancos de dados serverless e $100 USD em créditos que podem ser utilizados com qualquer uma das opções de banco de dados por até seis meses.

    Vantagens das Soluções Serverless

    As opções serverless do Amazon Aurora PostgreSQL, Amazon Aurora DSQL e Amazon DynamoDB não exigem gerenciamento de infraestrutura e reduzem custos ao dimensionar automaticamente para zero quando não estão em uso. Esse modelo é especialmente vantajoso para prototipagem rápida e aplicações em produção orientadas por dados ou IA.

    Disponibilidade Geográfica

    O recurso está disponível para criação de bancos de dados nas seguintes regiões AWS: US East (N. Virginia), US East (Ohio), US West (Oregon), Europe (Ireland), Europe (Frankfurt), Asia Pacific (Tokyo) e Asia Pacific (Mumbai).

    Conclusão

    AWS Databases entrega segurança, confiabilidade e performance de preço sem a sobrecarga operacional, seja para prototipagem ou para executar aplicações em produção. A integração com o v0 reduz significativamente a complexidade de configuração inicial, permitindo que equipes de desenvolvimento se concentrem na lógica de negócio em vez de gerenciamento de infraestrutura.

    Fonte

    AWS Databases are now available on v0 by Vercel (https://aws.amazon.com/about-aws/whats-new/2026/01/aws-databases-available-vercel-v0/)

  • Amazon S3 agora disponível em racks AWS Outposts de segunda geração

    S3 em Outposts: Agora em segunda geração

    A AWS anunciou a disponibilidade do Amazon S3 em Outposts nos racks de segunda geração do AWS Outposts. Essa atualização abre novas possibilidades para organizações que precisam manter seus dados dentro de suas próprias instalações, seja em data centers, espaços de colocação ou infraestruturas locais, enquanto aproveitam os recursos do S3 que já conhecem.

    Flexibilidade de capacidade de armazenamento

    O S3 em Outposts nos racks de segunda geração oferece três níveis de armazenamento para atender diferentes necessidades:

    • 196 TB — ideal para ambientes com requisitos iniciais ou moderados
    • 490 TB — adequado para cargas de trabalho de produção de médio porte
    • 786 TB — para operações com demanda substancial de armazenamento

    Essa flexibilidade permite que as organizações escolham a tier que melhor se alinha ao seu cenário de uso, seja para executar workloads de produção, manter backups locais ou armazenar dados para fins de arquivo.

    Experiência familiar e consistente

    Um dos principais benefícios dessa solução é que as equipes podem trabalhar com as mesmas APIs (Interfaces de Programação de Aplicações) e funcionalidades do S3. Não é necessário aprender novas ferramentas ou padrões — basta usar interfaces conhecidas para armazenar, proteger, recuperar e controlar o acesso aos dados localmente.

    O que é AWS Outposts?

    O AWS Outposts é um serviço completamente gerenciado pela AWS que leva a infraestrutura, serviços e ferramentas do AWS para praticamente qualquer local: um data center, espaço de colocação ou instalação on-premises. A proposta é oferecer uma experiência híbrida consistente, permitindo que as organizações tenham a mesma abordagem na nuvem e no local.

    Disponibilidade e próximos passos

    O S3 em Outposts nos racks de segunda geração está disponível em todas as regiões AWS e países/territórios onde esses racks já operam. Para conhecer mais detalhes sobre como implementar essa solução, as organizações podem consultar a página dedicada ao S3 em Outposts ou acessar a documentação técnica completa.

    Casos de uso principais

    Essa solução é particularmente relevante para cenários onde a residência de dados é crítica, a latência deve ser minimizada ou o processamento precisa ocorrer localmente. Empresas que enfrentam restrições regulatórias de soberania de dados, setores que exigem acesso ultrarrápido aos dados ou operações híbridas complexas encontram no S3 em Outposts uma alternativa poderosa.

    Fonte

    Amazon S3 on Outposts is now available on second-generation AWS Outposts racks (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-s3-second-generation-aws-outposts-racks)

  • Automatize Relatórios Empresariais com IA Generativa no Amazon Bedrock

    O Desafio dos Relatórios Empresariais Tradicionais

    Os processos convencionais de elaboração de relatórios empresariais enfrentam desafios significativos. Colaboradores gastam aproximadamente duas horas mensais apenas preparando seus relatórios, enquanto gestores dedicam até dez horas compilando, revisando e formatando as submissões recebidas. Essa abordagem manual frequentemente resulta em inconsistências de formato e qualidade, demandando múltiplos ciclos de revisão antes de um relatório estar pronto para uso.

    Além disso, as informações costumam estar fragmentadas em diferentes sistemas, dificultando ainda mais a consolidação e análise dos dados. É um cenário comum em organizações que buscam melhorar sua eficiência operacional.

    A Oportunidade da Inteligência Artificial Generativa

    A inteligência artificial generativa oferece uma solução promissora para esses desafios. Conforme aponta uma pesquisa do Gartner, a IA generativa tornou-se a tecnologia de IA mais amplamente adotada nas organizações, com 29% delas já implementando-a ativamente.

    A AWS apresentou uma abordagem inovadora: um assistente empresarial de escrita orientado por IA generativa que simplifica e acelera os processos internos de comunicação e relatórios. Essa solução aborda três desafios práticos reais:

    • Extrair insights valiosos de grandes volumes de dados
    • Gerenciar riscos associados à implementação de IA
    • Impulsionar crescimento por meio de eficiência e tomada de decisão melhoradas

    Com essa abordagem, as organizações podem gastar menos tempo escrevendo relatórios e mais tempo focando em resultados de negócio.

    Como a Solução Funciona

    A solução aproveita processamento de modelos de linguagem grande (LLM) para gerar relatórios em linguagem natural, responder perguntas complementares e tornar insights mais acessíveis para stakeholders não-técnicos. Essa automação reduz custos, diminui a necessidade de recursos humanos extensivos e minimiza erros e vieses. O resultado é um nível de precisão e objetividade difícil de alcançar em processos manuais, levando a relatórios mais eficientes e eficazes.

    Arquitetura Técnica da Solução

    O assistente de escrita empresarial demonstra uma arquitetura moderna e sem servidor que aproveita os serviços da AWS. Construída com foco em escalabilidade e segurança, a solução combina funções e serviços AWS para criar um assistente de escrita de nível empresarial que ajuda organizações a otimizar processos de criação de conteúdo mantendo altos padrões de qualidade e consistência.

    Camada de Interação do Usuário

    Os usuários acessam a solução através de um navegador conectado a uma aplicação web hospedada no Amazon S3 e distribuída globalmente via Amazon CloudFront para desempenho otimizado. O Amazon Cognito gerencia pools de usuários, tratando autenticação e gestão segura de usuários.

    Camada de API

    Dois tipos de API no Amazon API Gateway gerenciam a comunicação entre frontend e backend:

    • A API WebSocket habilita comunicação bidirecional em tempo real para escrita e edição de relatórios
    • A API REST gerencia operações transacionais como submissão e recuperação de relatórios

    O Amazon CloudWatch monitora ambas as APIs para visibilidade operacional. Autorizadores dedicados do AWS Lambda protegem ambas as APIs validando credenciais de usuário.

    Camada de Orquestração

    Funções especializadas do AWS Lambda orquestram a lógica de negócio central:

    • Business Report Writing Lambda manipula rascunhos de relatórios e assistência ao usuário
    • Rephrase Lambda melhora clareza e profissionalismo dos relatórios
    • Submission Lambda processa as submissões finais de relatórios
    • View Submission Lambda recupera relatórios previamente submetidos

    Camada de IA e Armazenamento

    O Amazon Bedrock fornece as capacidades de LLM para escrita e reformulação de relatórios. Duas tabelas do Amazon DynamoDB armazenam diferentes tipos de dados:

    • Tabela de Gestão de Sessão mantém contexto de conversa durante sessões ativas
    • Tabela de Armazenamento de Relatórios de Negócio arquiva permanentemente relatórios concluídos

    Essa arquitetura facilita alta disponibilidade, escalabilidade automática e otimização de custos usando componentes sem servidor que cobram apenas pelo uso real.

    Fluxo de Trabalho: Geração e Reformulação de Relatórios

    O sistema começa analisando e categorizando cada entrada do usuário através de um processo de classificação que determina como o sistema processa e responde. Três caminhos distintos guiam o processamento:

    Pergunta ou Comando

    Quando o sistema classifica a entrada como pergunta ou comando, ativa o LLM com instruções apropriadas para gerar uma resposta relevante. O sistema armazena essas interações na memória de conversa, permitindo manter contexto para consultas futuras relacionadas. Essa consciência contextual proporciona respostas coerentes e consistentes que se constroem sobre interações anteriores.

    Verificação de Submissão

    Para entradas que requerem verificação, o sistema ativa seus protocolos de avaliação para fornecer feedback detalhado sobre a submissão. Embora armazene essas interações na memória de conversa, deliberadamente contorna a recuperação de memória durante a verificação. Essa escolha de design permite que a verificação se baseie unicamente nos méritos da submissão atual, sem influência de conversas anteriores. Essa abordagem reduz latência do sistema e facilita resultados de verificação mais precisos e imparciais.

    Fora do Escopo

    Quando a entrada cai fora dos parâmetros definidos do sistema, ele responde com a mensagem padronizada: “Desculpe, posso responder apenas perguntas relacionadas à escrita.” Isso mantém limites claros para as capacidades do sistema e ajuda a prevenir confusão ou respostas inadequadas.

    Experiência do Usuário na Prática

    Página Inicial

    A página inicial oferece duas visualizações: uma para colaboradores (Associate) e outra para gestores (Manager).

    Imagem original — fonte: Aws

    Visão do Colaborador

    Na visão do colaborador, há três opções disponíveis: Escrever Realização, Escrever Desafio ou Ver Suas Submissões. Ao selecionar Escrever Realização, o sistema solicita que o usuário faça uma pergunta ou faça uma submissão. As entradas passam pelo fluxo de IA generativa.

    Imagem original — fonte: Aws

    O sistema avalia a submissão com base em diretrizes predefinidas e fornece feedback visual destacando componentes faltantes ou completos. Nesse estágio, o foco está no conceito geral, não em gramática ou formatação. Se questionado com uma pergunta irrelevante, o sistema recusa responder para evitar uso indevido.

    Imagem original — fonte: Aws

    Durante toda a conversa, o usuário pode fazer perguntas relacionadas a escrever relatórios de negócio. Quando todos os critérios são atendidos, o sistema pode reformular automaticamente o texto para corrigir problemas gramaticais e de formatação. Se precisar fazer alterações, pode clicar em Anterior para voltar ao estágio anterior. Após reformulação, o sistema exibe ambas as versões — original e reformulada — com diferenças destacadas. O sistema também extrai automaticamente metadados de nome do cliente. Quando concluído, pode salvar ou continuar editando a saída.

    Visão do Gestor

    Na visão do gestor, está disponível a capacidade de agregar múltiplas submissões de colaboradores diretos em um relatório consolidado.

    Imagem original — fonte: Aws
    Imagem original — fonte: Aws

    Pré-requisitos para Implantação

    Para implantar essa solução na sua conta AWS, você precisará de:

    • Uma conta AWS com acesso administrativo
    • AWS CLI (2.22.8) instalado e configurado
    • Acesso aos modelos do Amazon Bedrock (Claude ou Anthropic Claude)
    • Node.js (20.12.7)
    • Git para clonar o repositório

    Implantando a Solução

    O Assistente de Escrita de Relatórios Empresariais usa o AWS CDK para implantação de infraestrutura, tornando a configuração direta no ambiente AWS. Siga estes passos:

    Clone o repositório GitHub:

    git clone https://github.com/aws-samples/sample-genai-enterprise-report-writing-assistant.git && cd sample-genai-enterprise-report-writing-assistant

    Instale as dependências:

    npm install

    Implante a aplicação na AWS:

    cdk deploy

    Após a conclusão da implantação, aguarde 1-2 minutos para o processo do AWS CodeBuild ser finalizado. Acesse a aplicação utilizando a VueAppUrl obtida dos outputs do CDK/CloudFormation.

    A implantação cria os recursos necessários, incluindo funções Lambda, API Gateways, tabelas DynamoDB e a aplicação frontend hospedada no S3 e CloudFront. Para opções de configuração detalhadas e personalizações, consulte o README no repositório do GitHub.

    Limpeza de Recursos

    Para evitar cobranças futuras, delete os recursos criados por essa solução quando não forem mais necessários:

    cdk destroy

    Esse comando remove os recursos da AWS provisionados pela pilha CDK, incluindo:

    • Funções Lambda
    • Endpoints do API Gateway
    • Tabelas DynamoDB
    • Buckets S3
    • Distribuições CloudFront
    • Pools de usuários Cognito

    Observe que alguns recursos, como buckets S3 contendo artefatos de implantação, podem precisar ser esvaziados antes de serem deletados.

    Conclusão

    Os relatórios empresariais tradicionais são demorados e manuais, levando a ineficiências em toda a organização. A solução apresentada representa um avanço significativo em como as organizações abordam seus processos internos de relatórios. Ao aproveitar tecnologia de IA generativa, aborda os pontos fracos tradicionais da elaboração de relatórios enquanto introduz capacidades anteriormente inatingíveis.

    Por meio de assistência inteligente na escrita de relatórios com feedback em tempo real, reformulação automática para clareza e profissionalismo, processos simplificados de submissão e revisão, e sistemas robustos de verificação, a solução oferece suporte abrangente para necessidades modernas de relatórios empresariais. A arquitetura facilita processamento seguro e eficiente, equilibrando adequadamente automação e supervisão humana.

    Conforme as organizações continuam navegando problemas de negócio cada vez mais complexos, a capacidade de gerar relatórios claros, precisos e perspicazes rapidamente torna-se não apenas uma vantagem, mas uma necessidade. A solução fornece um framework que pode escalar com as necessidades da sua organização mantendo consistência e qualidade em todos os níveis de relatórios.

    Explore o repositório do GitHub para implantar e personalizar essa solução para suas necessidades específicas. Você pode também contribuir para o projeto enviando solicitações de pull ou abrindo issues para sugestões de melhorias e correções de bugs. Para mais informações sobre IA generativa na AWS, consulte o centro de recursos de IA Generativa da AWS.

    Referências Técnicas

    Fonte

    Build a generative AI-powered business reporting solution with Amazon Bedrock (https://aws.amazon.com/blogs/machine-learning/build-a-generative-ai-powered-business-reporting-solution-with-amazon-bedrock/)

  • Proteja Aplicações de IA Generativa com Amazon Bedrock Guardrails

    Desafios na Governança de IA Generativa

    Organizações que buscam automatizar processos através de agentes de IA ou potencializar a produtividade de seus colaboradores com assistentes baseados em chat enfrentam um desafio significativo: implementar salvaguardas abrangentes e controles de auditoria para garantir o uso responsável de IA e o processamento seguro de dados sensíveis pelos modelos de linguagem grandes (LLMs).

    Muitas empresas desenvolveram gateways de IA generativa personalizados ou adotaram soluções prontas, como LiteLLM ou Kong AI Gateway, para fornecer aos seus desenvolvedores acesso a LLMs de diferentes provedores. No entanto, manter políticas consistentes de segurança de prompts e proteção de dados sensíveis em um portfólio crescente de modelos de múltiplos fornecedores em escala representa um obstáculo considerável.

    Solução Centralizada com Guardrails

    A AWS apresenta uma abordagem para esse desafio através do Amazon Bedrock Guardrails. Essa ferramenta oferece um conjunto de funcionalidades de segurança que permitem às organizações construir aplicações de IA generativa responsáveis em escala. A solução integra a API ApplyGuardrail do Amazon Bedrock a um gateway de IA generativa multi-provider personalizado, possibilitando a aplicação de políticas consistentes de segurança de prompts e proteção de dados sensíveis tanto para modelos do Amazon Bedrock quanto de provedores terceirizados, como Azure OpenAI.

    A solução proposta oferece benefícios adicionais: logging e monitoramento centralizados, análise de padrões de uso e um mecanismo de chargeback para atribuição de custos.

    Arquitetura e Componentes Principais

    O fluxo da solução começa quando usuários autenticados enviam requisições HTTPS para o gateway de IA generativa, uma aplicação centralizada executada no Amazon Elastic Container Service (Amazon ECS) que funciona como interface principal para as interações com LLMs. Dentro da lógica da aplicação, cada requisição recebida é primeiro encaminhada para a API ApplyGuardrail do Amazon Bedrock para triagem de conteúdo.

    Imagem original — fonte: Aws

    O gateway avalia o conteúdo contra configurações predefinidas, tomando decisões críticas para bloquear integralmente a requisição, mascarar informações sensíveis ou permitir que prossiga sem modificações. Para requisições aprovadas, a lógica do gateway determina o provedor de LLM apropriado — seja Amazon Bedrock ou um serviço terceirizado — com base nas especificações do usuário. O conteúdo filtrado é então encaminhado ao LLM selecionado, e o gateway retorna a resposta ao usuário.

    Stack Tecnológico

    A aplicação do gateway é hospedada no AWS Fargate e construída usando FastAPI. A aplicação interage com diversos serviços da Amazon Web Services: Amazon Simple Storage Service (Amazon S3), Amazon Bedrock, Amazon Kinesis e Amazon Data Firehose.

    Para escalabilidade, a solução utiliza: nginx para balanceamento de carga e estabilidade; Gunicorn, servidor HTTP WSGI de alto desempenho; Uvicorn para processamento assíncrono de requisições; cluster Amazon ECS Fargate com Amazon Elastic Container Registry (Amazon ECR); Elastic Load Balancing (ELB) e Application Load Balancer; e HashiCorp Terraform para provisionamento de infraestrutura como código.

    Capacidades de Segurança e Guardrails Centralizados

    O gateway centralizado implementa controles de segurança abrangentes através do Amazon Bedrock Guardrails, oferecendo quatro funcionalidades de segurança principais:

    • Filtragem de conteúdo — triagem de conteúdo inadequado ou prejudicial
    • Tópicos negados — prevenção de discussões sobre assuntos específicos
    • Filtros de palavras — bloqueio de termos ou frases específicas
    • Detecção de informações sensíveis — proteção de dados pessoais e confidenciais

    As organizações podem implementar esses controles em três níveis de intensidade configuráveis — baixo, médio e alto — permitindo que diferentes unidades de negócio alinhem sua postura de segurança com sua tolerância a risco e requisitos de conformidade. Por exemplo, um time de marketing pode operar com guardrails de intensidade baixa para geração criativa de conteúdo, enquanto divisões financeiras ou de saúde podem exigir guardrails de intensidade alta para lidar com dados sensíveis de clientes.

    Além dessas proteções básicas, o Amazon Bedrock Guardrails inclui funcionalidades avançadas como grounding contextual e verificações de raciocínio automatizado, que ajudam a detectar e prevenir alucinações de IA — instâncias onde modelos geram informações falsas ou enganosas.

    Integração Multi-Provider e Acesso Centralizado

    O gateway é agnóstico quanto ao provedor de LLM e modelo, permitindo integração perfeita com múltiplos fornecedores. Os usuários podem especificar seu modelo de LLM preferido diretamente no payload da requisição, permitindo que o gateway direcione requisições ao endpoint apropriado. O AWS Secrets Manager armazena tokens de acesso do gateway e de LLMs terceirizados, como Azure OpenAI.

    Observabilidade, Monitoramento e Conformidade

    Uma vantagem fundamental da implementação de um gateway de IA generativa é sua abordagem centralizada para logging e monitoramento. Cada interação — requisições de usuários, prompts, respostas do LLM e contexto do usuário — é capturada e armazenada em formato e local padronizados. Isso facilita análise, resolução de problemas e extração de insights.

    A observabilidade é ativada através de: Amazon CloudWatch para capturar logs de container e aplicação, permitindo criar métricas personalizadas e alarmes proativos; Amazon Simple Notification Service (Amazon SNS) para notificações; Amazon Kinesis Data Streams e Data Firehose para streaming de dados de requisição e resposta até Amazon S3; AWS Glue Crawler API e Amazon Athena para expor tabelas SQL de metadados de transações para análise e chargeback.

    Implantação e Primeiros Passos

    O código-fonte completo está disponível no repositório no GitHub. Para implantar a solução, são necessários: conta AWS, função AWS Identity and Access Management (IAM) com permissões apropriadas para S3, Secrets Manager, CloudWatch, Bedrock e Guardrails.

    O processo de implantação envolve: clonar o repositório GitHub, executar ./deploy.sh para configurar automaticamente o bucket de estado do Terraform, criar política IAM e provisionar infraestrutura, invocar ./verify.sh para verificar a implantação e gerar tokens de autorização para consumidores.

    Exemplos de Funcionalidade

    O primeiro exemplo demonstra a eficácia do mecanismo de segurança no bloqueio de tópicos negados. Uma solicitação com guardrail de intensidade alta contendo uma pergunta sobre investimentos em ações resulta em intervenção do guardrail, retornando uma mensagem de conteúdo bloqueado conforme configurado.

    O segundo exemplo testa a proteção de informações pessoalmente identificáveis (PII). Uma consulta de usuário contendo nome, SSN e email é processada, com o guardrail intervindo e mascarando os dados PII antes de enviar a consulta ao LLM, evidenciado pelo campo guardrail_action indicando a aplicação de política de informações sensíveis.

    Análise de Custos

    A implementação dessa solução envolve várias categorias de custo: custos de provedor de LLM (input/output tokens, modelo e volume de uso); custos de infraestrutura AWS (computação Fargate, balanceamento, armazenamento, monitoramento, processamento de dados, segurança); e custos específicos do Amazon Bedrock Guardrails.

    Uma estimativa de cenário moderado — cerca de 50 a 200 queries por dia, comprimento médio de input de 500 tokens e output de 250 tokens — indica custos entre $170 e $260 mensais para infraestrutura base e processamento de IA combinados. Esses valores podem variar significativamente baseado em volume de chamadas, comprimento de conversas, seleção de modelos e quantidade de chamadas por requisição.

    Conclusão

    A solução de guardrails centralizados integrada a um gateway de IA generativa multi-provider customizado oferece uma abordagem robusta e escalável para empresas utilizarem LLMs com segurança, mantendo padrões rigorosos de conformidade. Através da implementação da API ApplyGuardrail do Amazon Bedrock Guardrails, a solução oferece aplicação consistente de políticas de segurança de prompts e proteção de dados sensíveis em provedores Amazon Bedrock e terceirizados.

    Os principais benefícios dessa arquitetura incluem: guardrails centralizados com níveis de segurança configuráveis, capacidades de integração multi-provider de LLM, recursos abrangentes de logging e monitoramento, escalabilidade de nível produção através de containerização e capacidades built-in de conformidade e auditoria. Organizações em indústrias altamente reguladas podem adotar essa arquitetura para escalar suas implementações de IA generativa mantendo controle sobre proteção de dados e conformidade com regulações de segurança de IA.

    Fonte

    Safeguard generative AI applications with Amazon Bedrock Guardrails (https://aws.amazon.com/blogs/machine-learning/safeguard-generative-ai-applications-with-amazon-bedrock-guardrails/)

  • Descoberta de Ativos Criativos em Escala com Amazon Nova Multimodal Embeddings

    O Desafio da Descoberta de Ativos Criativos em Larga Escala

    Empresas de games enfrentam um desafio sem precedentes ao gerenciar bibliotecas massivas de ativos criativos. Organizações modernas produzem milhares de anúncios em vídeo para campanhas de testes A/B, com algumas mantendo acervos com mais de 100 mil ativos audiovisuais que crescem por milhares de arquivos mensalmente. Para campanhas de aquisição de usuários, encontrar o ativo criativo correto pode representar a diferença entre um lançamento bem-sucedido e um fracasso custoso.

    Métodos tradicionais para organizar, armazenar e buscar ativos criativos não conseguem acompanhar as necessidades dinâmicas das equipes criativas. Historicamente, esses ativos eram marcados manualmente para permitir buscas por palavras-chave e organizados em hierarquias de pastas, sendo pesquisados manualmente conforme necessário. Essa abordagem apresenta limitações significativas: sistemas de busca por palavras-chave exigem marcação manual que é tanto trabalhosa quanto inconsistente, enquanto soluções baseadas em modelos de linguagem grande (LLM) podem oferecer capacidades multimodais poderosas, mas não conseguem escalar para atender às necessidades de equipes criativas que realizam buscas variadas e em tempo real em acervos enormes.

    A Transformação com Amazon Nova Multimodal Embeddings

    O núcleo do desafio reside na busca semântica para descoberta de ativos criativos. O sistema precisa oferecer suporte a requisições de busca imprevisíveis que não podem ser pré-organizadas com prompts fixos ou tags predefinidas. Quando profissionais criativos procuram por expressões como “personagem beliscado pela mão” ou “dedo tocando carta no jogo”, o sistema deve compreender não apenas as palavras-chave, mas o significado semântico através de diferentes tipos de mídia.

    Amazon Nova Multimodal Embeddings representa uma transformação neste cenário. Trata-se de um modelo de embedding multimodal de ponta para aplicações de Recuperação Aumentada por Geração (RAG) e busca semântica, disponível em Amazon Bedrock. A característica mais importante é que o modelo gera embeddings diretamente de ativos de vídeo sem necessidade de etapas intermediárias de conversão ou marcação manual.

    A geração de embeddings de vídeo permite compreensão semântica genuína do conteúdo. O modelo consegue analisar cenas visuais, ações, objetos e contexto dentro dos vídeos para criar representações semânticas ricas. Quando você busca por “personagem beliscado pela mão”, o modelo compreende a ação específica, elementos visuais e contexto descritos — não apenas correspondências de palavras-chave. Essa capacidade semântica evita as limitações fundamentais dos sistemas de busca tradicionais, permitindo que equipes criativas encontrem conteúdo de vídeo relevante usando descrições em linguagem natural que seria impossível marcar ou organizar manualmente com abordagens convencionais.

    Arquitetura e Capacidades Principais

    Características do Nova Multimodal Embeddings

    Nova Multimodal Embeddings é o primeiro modelo de embedding unificado que oferece suporte a texto, documentos, imagens, vídeo e áudio através de um único modelo para ativar recuperação entre modalidades com precisão líder da indústria. O modelo oferece capacidades-chave significativas:

    • Arquitetura de espaço vetorial unificado: Ao contrário de sistemas tradicionais baseados em tags ou pipelines de conversão multimodal-para-texto que requerem mapeamentos complexos entre diferentes espaços vetoriais, o Nova Multimodal Embeddings gera embeddings que existem no mesmo espaço semântico independentemente da modalidade de entrada. Isso significa que uma descrição textual de “carro de corrida” fica espacialmente próxima a imagens e vídeos contendo carros de corrida, permitindo busca intuitiva entre modalidades.
    • Dimensões de embedding flexíveis: O modelo oferece quatro opções de dimensão (256, 384, 1024 e 3072), treinadas usando Aprendizado de Representação Matryoshka (MRL), permitindo recuperação de baixa latência com perda mínima de precisão entre dimensões. A opção de 1024 dimensões oferece equilíbrio ideal para a maioria das aplicações empresariais, enquanto 3072 dimensões fornecem precisão máxima para casos críticos.
    • APIs síncronas e assíncronas: O modelo oferece suporte tanto à geração de embedding em tempo real para conteúdo menor quanto ao processamento assíncrono para arquivos grandes com segmentação automática. Essa flexibilidade permite que sistemas lidem desde recuperação rápida de consultas textuais até indexação de horas de conteúdo de vídeo.
    • Compreensão avançada de vídeo: Para conteúdo de vídeo, o Nova Multimodal Embeddings oferece capacidades sofisticadas de segmentação, dividindo vídeos longos em segmentos significativos (1 a 30 segundos) e gerando embeddings para cada segmento. Para gerenciamento de criativos publicitários, essa abordagem segmentada se alinha perfeitamente com fluxos de trabalho típicos de produção onde equipes criativas precisam gerenciar e recuperar segmentos de vídeo específicos em vez de vídeos inteiros.

    Integração com Serviços AWS

    O modelo se integra perfeitamente com outros serviços da AWS para criar uma arquitetura de busca multimodal pronta para produção:

    • Amazon Bedrock: fornece acesso a modelos de fundação com segurança e escalabilidade de nível empresarial
    • Amazon OpenSearch Service: funciona como banco de dados vetorial para armazenar e pesquisar embeddings com tempos de resposta em nível de milissegundos
    • AWS Lambda: gerencia processamento sem servidor para geração de embeddings e operações de busca
    • Amazon Simple Storage Service (Amazon S3): armazena arquivos de mídia originais e resultados de processamento com escalabilidade ilimitada
    • Amazon API Gateway: oferece APIs RESTful para integração com interface de usuário

    Fluxo de Trabalho Técnico

    Imagem original — fonte: Aws

    O sistema opera através de dois fluxos primários: ingestão de conteúdo e recuperação de buscas. Os usuários acessam a interface web através de Amazon CloudFront, enviando arquivos de mídia (imagens, vídeos e áudio) usando arrastar-e-soltar ou seleção de arquivo. Os arquivos são validados, convertidos em formato base64 e enviados através de API Gateway para a função Lambda principal.

    A função Lambda decodifica os dados base64 e faz upload dos arquivos brutos para Amazon S3. O S3 automaticamente dispara uma função Lambda dedicada para geração de embeddings quando novos arquivos são enviados, que invoca de forma assíncrona o modelo Nova Multimodal Embeddings em Amazon Bedrock para gerar vetores de embedding unificados para múltiplos tipos de mídia. Esses vetores são armazenados junto com metadados no Amazon OpenSearch Service, criando um banco de dados vetorial pesquisável.

    No fluxo de busca e recuperação, usuários iniciavam buscas através da interface usando arquivos enviados ou consultas em texto. A função Lambda de API de busca cria registros de tarefas de busca em Amazon DynamoDB e envia mensagens para uma fila Amazon Simple Queue Service (Amazon SQS) para processamento assíncrono. A função Lambda do worker é acionada por mensagens SQS, extrai parâmetros de busca, invoca o modelo Nova Multimodal Embeddings para gerar vetores de embedding para as consultas, realiza busca de similaridade usando similaridade de cosseno no OpenSearch Service e atualiza os resultados no DynamoDB para consulta pela interface.

    Recursos Técnicos Principais

    A implementação oferece espaço vetorial unificado onde todos os tipos de mídia (imagens, vídeos, áudio e texto) são incorporados no mesmo espaço dimensional, permitindo busca autêntica entre modalidades. O processamento assíncrono gerencia os requisitos da API do Nova Multimodal Embeddings e garante processamento escalável através de filas SQS e funções Lambda do worker.

    O sistema oferece suporte a busca multimodal abrangendo busca de texto-para-imagem, texto-para-vídeo, texto-para-áudio e similaridade entre arquivos. A arquitetura sem servidor se dimensiona automaticamente conforme a demanda, enquanto mecanismo de polling oferece atualizações sobre status do processamento assíncrono e resultados de busca.

    Resultados e Validação de Desempenho

    Em testes com parceiros da indústria de games utilizando uma biblioteca de 170 ativos (130 vídeos e 40 imagens) em 30 casos de teste, o Nova Multimodal Embeddings demonstrou desempenho excepcional:

    • Taxa de recall bem-sucedida: 96,7% dos casos de teste recuperaram com sucesso o conteúdo alvo
    • Recall de alta precisão: 73,3% dos casos de teste retornaram o conteúdo alvo nos dois primeiros resultados
    • Precisão em recuperação entre modalidades: Precisão superior em recuperação texto-para-vídeo comparada com abordagens tradicionais

    Os testes revelaram que para fluxos de trabalho de criação publicitária, a segmentação com 5 segundos se alinha com requisitos típicos de produção. Equipes criativas geralmente precisam segmentar materiais publicitários originais para gerenciamento e recuperar clipes específicos durante fluxos de trabalho de produção, tornando a funcionalidade de segmentação do Nova Multimodal Embeddings particularmente valiosa.

    O modelo também demonstra capacidades robustas em múltiplos idiomas. Em testes com consultas em chinês, o modelo obteve pontuação de 78,2 comparado a consultas em inglês com 89,3 (dimensão 3072), representando uma diferença de idioma de apenas 11,1 — significativamente melhor do que modelos multimodais concorrentes que mostram degradação substancial de desempenho entre idiomas.

    Otimização de Custos e Escalabilidade

    A arquitetura sem servidor oferece dimensionamento automático enquanto otimiza custos. A dimensão de 3072 oferece maior precisão (89,3 para inglês e 78,2 para chinês) mas com custos de armazenamento mais altos. A dimensão 1024 oferece desempenho equilibrado (85,7 para inglês e 68,3 para chinês) e é recomendada para a maioria dos casos empresariais. As opções de 384 e 256 dimensões são otimizadas para custo em implantações de larga escala.

    As estratégias de otimização incluem selecionar a dimensão baseada em requisitos de precisão versus custos de armazenamento, usar processamento assíncrono para arquivos grandes para evitar custos de timeout, e aproveitar embeddings pré-calculados para reduzir custos de inferência recorrente de LLM. A arquitetura sem servidor com precificação sob demanda reduz custos durante períodos de baixo uso.

    Implementação e Próximos Passos

    A implementação completa pode ser implantada usando scripts de automação. Os requisitos essenciais incluem uma conta AWS com acesso ao Amazon Bedrock e disponibilidade do modelo Nova Multimodal Embeddings, AWS Command Line Interface (AWS CLI) v2 configurada com permissões apropriadas para criação de recursos, Node.js 18+ e AWS CDK v2 instalados, e Python 3.11 para implantação de infraestrutura.

    O código-fonte completo e scripts de implantação estão disponíveis em um repositório de demonstração. Após implantação bem-sucedida, o sistema oferece interfaces web para upload de arquivos de mídia à biblioteca, realização de consultas multimodais e monitoramento do status de processamento.

    Implicações para Profissionais Criativos

    A abordagem tradicional para descoberta de ativos criativos exigia marcação manual de milhares de vídeos (trabalhosa e inconsistente), busca por palavras-chave que perdia nuances semânticas, ou análise baseada em LLM que era lenta e custosa demais para consultas em tempo real. Com o Nova Multimodal Embeddings, profissionais criativos conseguem realizar buscas diretas por texto que se traduzem em compreensão semântica genuína, resultando em busca que gera embedding semântico da consulta, pesquisa entre todos os segmentos de vídeo no espaço vetorial unificado, retorno de resultados ordenados por similaridade semântica, e fornecimento de timestamps precisos para segmentos de vídeo relevantes.

    Fonte

    Scale creative asset discovery with Amazon Nova Multimodal Embeddings unified vector search (https://aws.amazon.com/blogs/machine-learning/scale-creative-asset-discovery-with-amazon-nova-multimodal-embeddings-unified-vector-search/)

  • Políticas IPAM da Amazon VPC agora funcionam com RDS e Application Load Balancers

    Gerenciamento centralizado de IPs para mais recursos

    A AWS anunciou a expansão das políticas do Amazon Virtual Private Cloud (VPC) IP Address Manager (IPAM) para oferecer suporte a instâncias do Amazon Relational Database Service (RDS) e Application Load Balancers (ALB). Com essa atualização, administradores de IP conseguem configurar e executar centralizadamente estratégias de alocação de endereços IP para esses recursos, elevando o padrão operacional e simplificando significativamente a gestão de redes e segurança.

    Como funcionam as políticas IPAM

    Por meio das políticas IPAM, os administradores de IP podem definir centralmente regras de alocação de endereços IP públicos para diversos recursos da AWS, incluindo instâncias RDS, Application Load Balancers, NAT Gateways (quando utilizados em modo de disponibilidade regional) e Elastic IP addresses. O diferencial está na impossibilidade de as equipes de aplicação sobrescreverem as políticas de alocação de IP configuradas centralmente, assegurando conformidade contínua e eliminando desvios.

    Benefícios para arquitetura e compliance

    Anteriormente, administradores de IP precisavam comunicar e educar constantemente administradores de banco de dados e desenvolvedores de aplicações sobre os requisitos de alocação de IP para RDS e ALB, dependendo da adesão manual às melhores práticas. Agora, é possível adicionar filtros baseados em IP para o tráfego de RDS e ALB em construtos de rede e segurança, como listas de controle de acesso, tabelas de roteamento, grupos de segurança e firewalls, com segurança de que os endereços IPv4 públicos atribuídos a esses recursos sempre provenham de pools IPAM específicos.

    Disponibilidade e níveis de suporte

    O recurso está disponível em todas as regiões comerciais da AWS e nas regiões AWS GovCloud (US), funcionando tanto na camada Free Tier quanto na Advanced Tier do VPC IPAM. Quando utilizado com a Advanced Tier do VPC IPAM, os clientes conseguem definir políticas entre contas e regiões AWS.

    Próximos passos

    Para começar, consulte a documentação de políticas IPAM. Para aprender mais sobre o IPAM, visite a documentação completa do IPAM. Detalhes sobre precificação estão disponíveis na página de precificação do Amazon VPC.

    Fonte

    Amazon VPC IPAM policies now support RDS and Application Load Balancers (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-vpc-ipam-policies-rds-alb/)

  • Amazon Bedrock expande autenticação por chaves API em regiões GovCloud

    Chaves de API para Amazon Bedrock agora disponíveis em GovCloud

    A AWS anunciou a disponibilização de chaves de API para o Amazon Bedrock nas regiões AWS GovCloud (US), expandindo um recurso que havia sido lançado originalmente em regiões comerciais da AWS em julho de 2025. Essa expansão permite que desenvolvedores acessem modelos de IA generativa de forma simplificada, sem a necessidade de configurar manualmente estruturas complexas de autenticação baseadas em princípios do IAM (Controle de Acesso por Identidade e Gestão).

    Como as chaves de API funcionam

    As chaves de API para Amazon Bedrock permitem que os desenvolvedores gerem rapidamente credenciais de acesso diretamente através do console do Amazon Bedrock ou do AWS SDK (Kit de Desenvolvimento de Software da AWS). Essa abordagem elimina a necessidade de configuração manual de políticas e princípios do IAM, acelerando significativamente o processo de desenvolvimento.

    Dois tipos de autenticação

    A AWS oferece duas modalidades de chaves de API para atender a diferentes necessidades:

    • Chaves de curta duração: válidas apenas durante a sessão do console ou até 12 horas (o que for menor), ideais para testes e desenvolvimentos temporários
    • Chaves de longa duração: oferecem flexibilidade para definir o período de validade conforme necessário, podendo ser gerenciadas diretamente através do console do AWS IAM

    Disponibilidade e próximos passos

    A autenticação por chaves de API para Amazon Bedrock está agora disponível tanto nas regiões AWS GovCloud (US) quanto nas regiões comerciais da AWS onde o Amazon Bedrock funciona.

    Para começar, desenvolvedores podem consultar a documentação de chaves de API no guia do usuário do Amazon Bedrock, ou explorar o blog da AWS para encontrar exemplos de código e guias práticos de implementação. Essas informações complementam o conteúdo disponível no guia completo do Amazon Bedrock.

    Fonte

    Amazon Bedrock introduces API keys to streamline development in GovCloud regions (https://aws.amazon.com/about-aws/whats-new/2025/12/amazon-bedrock-api-keys-streamline-development-govcloud/)