Blog

Nova funcionalidade de validação para tags em IaC

A AWS Organizations Tag Policies anunciou o recurso Reporting for Required Tags, uma validação inovadora que garante proativamente que implantações de CloudFormation, Terraform e Pulumi incluam as tags obrigatórias essenciais para o negócio. Dessa forma, operações de infraestrutura como código (IaC) podem ser automaticamente validadas em relação às políticas de tags, garantindo consistência de tagging em toda a infraestrutura AWS.

Como funciona a validação em dois passos

O processo de conformidade para implantações de IaC agora simplificou-se em duas etapas práticas:

1. Definir sua política de tags conforme as necessidades organizacionais
2. Ativar a validação em cada ferramenta de infraestrutura como código

As Tag Policies da AWS permitem reforçar tagging consistente em contas AWS, oferecendo conformidade proativa, governança e controle. Com esse lançamento, é possível especificar chaves de tag obrigatórias nas políticas e estabelecer guardrails para implantações de IaC.

Exemplo prático de aplicação

Considere um cenário comum: sua organização deseja garantir que todas as instâncias EC2 em templates de IaC tenham tags específicas. Por meio dessa funcionalidade, você pode definir uma política de tags estabelecendo que toda instância EC2 deve conter obrigatoriamente as chaves “Environment”, “Owner” e “Application”.

Ativação em diferentes plataformas

A validação pode ser iniciada de formas distintas conforme a ferramenta utilizada:

• CloudFormation: ativar o Hook AWS::TagPolicies::TaggingComplianceValidator
• Terraform: adicionar lógica de validação no plano de execução
• Pulumi: ativar o policy pack pré-construído aws-organizations-tag-policies

Após a configuração, todas as implantações de CloudFormation, Terraform e Pulumi na conta alvo são automaticamente validadas ou reforçadas em relação às políticas de tags. Isso garante que recursos como instâncias EC2 incluam as tags obrigatórias “Environment”, “Owner” e “Application”, conforme definido.

Acesso e disponibilidade

O recurso Reporting for Required Tags está disponível através de três canais principais:

• Console de Gerenciamento AWS
• Interface de Linha de Comando (AWS CLI)
• AWS Software Development Kit (SDK)

Essa funcionalidade encontra-se disponível em todas as regiões AWS onde Tag Policies está habilitado. Para aprofundar-se no tema, consulte a documentação das Tag Policies. Sobre como configurar a validação e o reforço, verifique o guia do usuário para CloudFormation, o guia do usuário para Terraform e o post no blog para Pulumi.

Fonte

Validate and enforce required tags in CloudFormation, Terraform and Pulumi with Tag Policies (https://aws.amazon.com/about-aws/whats-new/2025/11/validate-enforce-required-tags-cloudformation-terraform-pulumi/)

Nova Camada de Segurança para o OpenSearch Serverless

A AWS anunciou o suporte a AWS PrivateLink para o console de gerenciamento do Amazon OpenSearch Serverless. Essa adição reforça o portfólio de segurança da plataforma, permitindo que organizações estabeleçam conexões privadas e seguras entre suas infraestruturas de nuvem virtual (VPC) e o serviço de busca sem precisar expor tráfego à internet pública.

Até agora, acessar o console de gerenciamento do OpenSearch Serverless exigia contar com endereços IP públicos ou depender exclusivamente de regras de firewall. A introdução do PrivateLink elimina essa dependência, oferecendo um caminho alternativo e mais seguro para gerenciar os recursos.

Como Funciona a Integração com PrivateLink

O PrivateLink permite criar uma conexão direta e privada entre sua VPC e o Amazon OpenSearch Serverless através de endpoints de VPC. Com esse mecanismo, operações de gerenciamento e também acesso aos dados podem ser feitos de forma segura, sem necessidade de roteamento pela internet pública.

É importante notar que, embora o PrivateLink agora cubra as operações de gerenciamento e dados, as operações de ingestão e consulta em coleções ainda dependem da configuração de endpoints VPC fornecida pelo OpenSearch Serverless, conforme descrito na documentação específica de VPC do OpenSearch Serverless.

Disponibilidade e Cobrança

A funcionalidade está disponível em todas as regiões AWS onde o Amazon OpenSearch Serverless é oferecido. Vale destacar que a criação de endpoints de VPC usando AWS PrivateLink gera custos adicionais. Para detalhes sobre preços, consulte a página de preços do AWS PrivateLink.

Como Começar

Para implementar essa solução, você pode criar um endpoint de interface VPC para o Amazon OpenSearch Serverless através de diversos meios:

• AWS Management Console
• AWS Command Line Interface (CLI)
• AWS Software Development Kits (SDKs)
• AWS Cloud Development Kit (CDK)
• AWS CloudFormation

A AWS oferece documentação específica sobre como criar um endpoint de interface VPC para o console de gerenciamento. Para informações sobre disponibilidade regional do serviço, consulte a lista de serviços regionais da AWS.

Fonte

Amazon OpenSearch Serverless adds AWS PrivateLink for management console (https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-opensearch-serverless-privatelink-mgmt)

O desafio de integrar dados entre partições AWS

Organizações empresariais frequentemente precisam consolidar dados de segurança, operações e conformidade provenientes de múltiplas partições da AWS para obter uma visão unificada dos seus ambientes. Embora essa consolidação seja crítica para manter operações e aplicações funcionando adequadamente, alcançá-la respeitando requisitos de conformidade representa um desafio significativo.

Historicamente, as empresas resolviam esse problema usando chaves de acesso de usuários IAM de longa duração. Porém, essa abordagem se tornou obsoleta. A AWS agora recomenda o uso de IAM Roles Anywhere como alternativa segura e em conformidade com os melhores práticas atuais de segurança.

Entendendo as partições e fronteiras de isolamento da AWS

O que são partições AWS?

As partições da AWS funcionam como fronteiras rígidas projetadas especificamente para atender requisitos de isolamento orientados por conformidade. Cada partição consiste em uma ou mais regiões e é controlada por uma instância independente do IAM. A AWS oferece múltiplas partições, cada uma identificada de forma única nos nomes de recursos Amazon (ARN):

• A partição AWS Commercial utiliza o identificador aws
• As regiões AWS GovCloud utilizam o identificador aws-us-gov
• As regiões AWS China utilizam o identificador aws-cn

Isolamento entre partições

Os identificadores de contas AWS e as designações de região são reservados para garantir que existam apenas dentro de suas respectivas partições. Especificamente, cada instância do IAM em uma partição proíbe a criação de políticas de confiança que atravessem fronteiras de partição. Qualquer tentativa de construir uma política de confiança entre contas em duas partições diferentes resulta em erro CREATE_FAILED. Esse isolamento é intencional e representa um componente fundamental da estratégia de segurança oferecida pela AWS aos seus clientes.

Fluxo de dados e conformidade com FedRAMP

Para clientes sujeitos a regulamentações como FedRAMP, o entendimento claro de requisitos de conformidade e a construção de dashboards e fluxos de trabalho unificados na partição apropriada são absolutamente críticos. Por exemplo, dados devem fluir apenas da partição AWS Commercial para a partição AWS GovCloud, nunca na direção oposta. Isso está alinhado com a política de fronteira FedRAMP FRR211, que estabelece que informações sobre workloads no GovCloud não devem ser compartilhadas com a partição Commercial.

A prática recomendada para organizações neste cenário é construir dashboards unificados e automação operando integralmente na partição AWS GovCloud. Dessa forma centralizada, remediações automatizadas, notificações e escalações podem ser disparadas usando Amazon EventBridge contra dados coletados de recursos nas regiões Commercial e GovCloud. Esses fluxos automatizados podem integrar-se com sistemas de ticketing como Service Now ou Atlassian JIRA, plataformas de proteção nativa de aplicações em nuvem (CNAPP) como AWS Security Hub ou CrowdStrike, e sistemas de notificação empresarial como Slack, Microsoft Teams, ou email.

Isolamento de credenciais na prática

Além do isolamento de dados entre partições, uma melhor prática de conformidade com FedRAMP é garantir que as credenciais utilizadas para acessar regiões GovCloud existam apenas dentro dessas regiões. Da mesma forma, requisições de acesso a dados devem originar-se da partição GovCloud, puxando dados da partição menos restritiva (como a Commercial). Esse design ajuda a prevenir exposição de recursos do GovCloud à partição Commercial através de portas abertas, APIs, endpoints ou credenciais compartilhadas.

A abordagem legada: transferência com chaves de acesso IAM

No passado, empresas resolviam requisitos de transferência entre partições utilizando ferramentas como Data Sync, s3api, data transfer hub e outros métodos de SDK. A estratégia consistia em criar uma chave de acesso de usuário IAM na partição AWS Commercial e, em seguida, armazenar essa chave no AWS Secrets Manager da partição GovCloud.

Uma aplicação executando no GovCloud utilizaria então a chave de acesso do usuário IAM da partição Commercial para acessar e ler dados de um bucket Amazon S3 nessa partição, escrever os dados em um bucket S3 no GovCloud e processar os dados localmente. Embora funcional, essa arquitetura apresentava desvantagens significativas.

Por que essa abordagem é problemática

Essa solução legada exigia uma exceção de auditoria para permitir o uso de credenciais de usuário de longa duração. Usar credenciais de longa duração em workloads ou contas de serviço se afasta das melhores práticas de segurança da AWS e dos padrões NIST 800-53 IA2, pois essas credenciais podem ser comprometidas e são difíceis de rotacionar e substituir com frequência adequada.

A solução moderna: IAM Roles Anywhere com certificados X.509

Credenciais de curta duração com certificados

Para atender ao requisito de usar credenciais de curta duração e habilitar acesso entre partições AWS, a AWS oferece IAM Roles Anywhere, que elimina a necessidade de chaves de acesso ou segredos de longa duração. Esse serviço permite que organizações utilizem certificados X.509 existentes para autenticar workloads e aplicações.

O alinhamento com NIST 800-53 é estabelecido através do uso de certificados, que são padrão consolidado na indústria para estabelecer comunicações seguras com processos de aplicações em dispositivos remotos.

Duas caminhos: Autoridade de Certificação externa ou AWS Private CA

As organizações possuem flexibilidade para escolher como gerenciar a infraestrutura de chaves públicas (PKI):

• Autoridade de Certificação externa: Se a empresa já possui uma autoridade de certificação interna, é possível registrá-la com IAM Roles Anywhere como uma âncora de confiança, estabelecendo confiança entre essa CA externa e o serviço.
• AWS Private CA: Para organizações que não possuem infraestrutura de chaves públicas própria, a AWS Private Certificate Authority oferece uma solução gerenciada.

Arquitetura com Autoridade de Certificação externa

Quando a organização utiliza uma CA externa, a arquitetura típica envolve uma infraestrutura de chaves públicas com múltiplos níveis: uma CA raiz (frequentemente desconectada da internet para proteção máxima), uma ou mais CAs intermediárias e CAs emissoras que geram certificados finais.

Quando uma aplicação no GovCloud precisa se conectar à partição Commercial, ela gera uma solicitação de assinatura de certificado (CSR), mantendo a chave privada correspondente no AWS Secrets Manager. A CA externa da organização assina a CSR e fornece um certificado de entidade final junto com o pacote de CA (contendo as certificações da CA raiz, intermediária e emissora). Todos esses elementos são armazenados no Secrets Manager, permitindo que o workload interaja com recursos da partição Commercial.

Na partição Commercial, o IAM Roles Anywhere é configurado para usar a PKI da empresa como âncora de confiança. À medida que certificados são distribuídos para workloads em execução no GovCloud (e armazenados no Secrets Manager), uma função do Amazon Elastic Kubernetes Service (Amazon EKS) permite acesso a esses certificados. Na partição Commercial, uma função IAM é configurada para permitir acesso aos serviços necessários como Amazon Simple Notification Service (Amazon SNS), Amazon Simple Queue Service (Amazon SQS) e Amazon S3. O policy de confiança dessa função é configurada para permitir acesso via IAM Roles Anywhere.

Quando o pipeline EKS no GovCloud está pronto para se conectar, um credential helper fornece credenciais de segurança temporárias para a região Commercial, utilizando os certificados, a chave privada, os ARNs de função e âncora de confiança provisionados para a aplicação no GovCloud.

Simplificação com AWS Private CA

Para organizações que preferem não manter uma infraestrutura de chaves públicas própria, a AWS Private CA oferece uma alternativa gerenciada. Como serviço gerenciado, a AWS cuida de alta disponibilidade, escalabilidade, durabilidade, aplicação de patches e manutenção da plataforma. A integração nativa com serviços como AWS Elastic Load Balancing, Amazon CloudFront e Amazon API Gateway simplifica ainda mais a adoção. Além disso, AWS CloudTrail fornece auditoria completa de todas as ações realizadas, garantindo conformidade e transparência operacional.

Próximos passos

Para organizações interessadas em implementar essa solução, a AWS oferece documentação detalhada sobre planejamento de implementação do IAM Roles Anywhere. Além disso, há um workshop prático sobre IAM Roles Anywhere e uma apresentação no re:Inforce mostrando um case de sucesso que podem auxiliar na compreensão prática da solução.

Conclusão

A transferência segura e em conformidade de dados entre partições AWS requer compreensão clara dos requisitos de conformidade e design arquitetônico apropriado. Enquanto a abordagem legada com chaves de acesso de longa duração funcionava, ela se afastava das melhores práticas de segurança moderna.

IAM Roles Anywhere emerge como a solução recomendada para clientes e parceiros SaaS que precisam acessar recursos AWS entre partições sem sacrificar a segurança. Ao utilizar certificados X.509 e autoridades de certificação — sejam externas ou o serviço gerenciado AWS Private CA — as organizações ganham a capacidade de implementar transferência de dados com credenciais temporárias, alinhadas com NIST 800-53 e melhores práticas de conformidade FedRAMP.

Fonte

Transfer data across AWS partitions with IAM Roles Anywhere (https://aws.amazon.com/blogs/security/transfer-data-across-aws-partitions-with-iam-roles-anywhere/)

A transformação da análise genômica em escala

A pesquisa genômica atravessa um momento crítico de transformação. O crescimento exponencial de dados de sequenciamento demanda capacidades analíticas igualmente sofisticadas. De acordo com o Projeto 1000 Genomas, um genoma humano típico apresenta diferenças em relação à referência em 4,1 a 5,0 milhões de locais, sendo a maioria variantes SNPs e pequenas inserções/deleções (indels).

Quando agregadas entre indivíduos, essas variantes contribuem para diferenças na susceptibilidade a doenças, capturadas através de escores de risco poligênico (PRS). No entanto, os fluxos de trabalho tradicionais de análise genômica enfrentam dificuldades para converter esse volume massivo de dados de variantes em insights acionáveis. Os pipelines permanecem fragmentados, exigindo que pesquisadores orquestrem manualmente processos complexos que envolvem anotação de variantes, filtragem de qualidade e integração com bancos de dados externos como o ClinVar.

A integração de AWS HealthOmics, Amazon S3 Tables e Amazon Bedrock AgentCore apresenta uma solução transformadora para esses desafios. Esses serviços combinados oferecem automação de ponta a ponta, desde o processamento de arquivos VCF até interfaces de consulta em linguagem natural.

Fundamentos da anotação de variantes genômicas

O alicerce da interpretação de variantes genômicas repousa em pipelines de anotação abrangentes que conectam variantes genéticas brutas a contextos biológicos e clínicos. O Variant Effect Predictor (VEP) e o ClinVar representam dois componentes essenciais nos fluxos de trabalho modernos de análise genômica, cada um fornecendo informações complementares que pesquisadores precisam integrar para extrair insights significativos.

As anotações do ClinVar focam principalmente na avaliação de significância clínica, fornecendo classificações curatoradas de patogenicidade, métricas de qualidade de evidência e associações com doenças diretamente relevantes para tomadas de decisão clínica. O VEP, por sua vez, fornece informações funcionais abrangentes incluindo tipos de consequência (variante missense, sinônima, intrônica), classificações de severidade de impacto (ALTO, MODERADO, BAIXO, MODIFICADOR), símbolos de genes e efeitos específicos de transcritos.

Desafios dos fluxos de trabalho atuais

Os fluxos de trabalho tradicionais de anotação de variantes seguem um processo sequencial que inclui: processamento inicial de VCF (normalização e filtragem de chamadas de baixa qualidade), anotação com VEP (que pode levar de 2 a 8 horas por genoma), integração manual com ClinVar, fusão de múltiplas amostras para análise em cohort, e interpretação através de ferramentas especializadas que geralmente requerem expertise em bioinformática.

Esse gargalo técnico significa que pesquisadores clínicos não conseguem explorar independentemente seus dados genômicos, criando atrasos de dias ou semanas entre fazer uma pergunta biológica e receber uma resposta.

Escalabilidade através de agentes de IA

A vantagem transformadora da abordagem alimentada por IA está em democratizar a análise genômica através de interação em linguagem natural. Enquanto pipelines VEP tradicionais exigem dias de expertise técnica para responder perguntas clínicas como “Quais pacientes têm variantes de alto impacto em genes de resistência a drogas?”, com essa solução pesquisadores podem fazer essas perguntas conversacionalmente e receber respostas em minutos.

A solução demonstra um agente intérprete de variantes genômicas alimentado por IA generativa que combina processamento automático de dados com análise inteligente em linguagem natural. A arquitetura aborda todo o fluxo de trabalho de análise genômica, desde ingestão de arquivos VCF brutos até interfaces de consulta conversacionais.

Etapas do fluxo de trabalho

A solução segue seis etapas principais que transformam dados genômicos brutos em insights acionáveis:

1. Processamento inicial de VCF: Arquivos VCF de provedores de sequenciamento são carregados no Amazon S3 e acionam funções AWS Lambda através de notificações de eventos, que orquestram fluxos de trabalho do AWS HealthOmics.

2. Anotação com VEP: Os fluxos de trabalho do AWS HealthOmics processam automaticamente arquivos VCF brutos usando o Variant Effect Predictor, enriquecendo variantes com previsões funcionais e anotações clínicas em paralelo.

3. Coordenação de eventos: O Amazon EventBridge monitora conclusão de fluxos de trabalho e aciona funções Lambda que atualizam status em Amazon DynamoDB, enquanto o ambiente de computação AWS Batch Fargate transforma arquivos VCF anotados e anotações ClinVar em formato Iceberg.

4. Organização de dados: O carregador PyIceberg interage com o ponto de extremidade Iceberg REST do Amazon S3 Tables e registra metadados de tabelas no AWS Glue Data Catalog.

5. Análise com SQL: O Amazon Athena fornece capacidades de consulta baseadas em SQL sobre dados genômicos através de armazenamento em formato colunar, permitindo análise em larga escala com respostas ideais entre milhões de variantes.

6. Interação em linguagem natural: O agente orquestrador Strands, alimentado por modelos LLM do Amazon Bedrock no tempo de execução AgentCore, fornece interface em linguagem natural através de cinco ferramentas especializadas que executam consultas Athena.

Amazon S3 Tables e estruturação de dados

O Amazon S3 Tables com PyIceberg transforma arquivos VCF anotados com VEP em datasets estruturados e consultáveis otimizados para análise orientada por IA. PyIceberg cria tabelas Apache Iceberg em formato S3 Tables, oferecendo benefícios como consultas otimizadas através de armazenamento colunar, acesso rico a anotações VEP e ClinVar via SQL, e suporte para análise em nível de cohort com comparações eficientes entre pacientes.

Essa transformação de arquivos VCF brutos para tabelas estruturadas é o que viabiliza pesquisadores consultarem datasets genômicos complexos conversacionalmente através do agente orquestrador Strands.

Análise inteligente com Strands Agents e AgentCore

A interface conversacional representa a inovação central da solução, construída usando o Strands Agents SDK e implementada no tempo de execução Amazon Bedrock AgentCore. Esse agente de IA sofisticado compreende conceitos genômicos complexos e traduz consultas em linguagem natural em operações analíticas apropriadas contra datasets genômicos estruturados.

O AgentCore Runtime é um tempo de execução sem servidor seguro e propósito-específico para implantação e escalabilidade de agentes de IA dinâmicos e ferramentas. Essa abordagem oferece flexibilidade de modelos e frameworks, suporte para cargas de trabalho de múltiplas horas, isolamento de segurança dedicado, integração corporativa através de autenticação IAM e observabilidade abrangente de raciocínios e invocações de ferramentas.

Ferramentas especializadas do agente

O intérprete de variantes genômicas implementa cinco ferramentas principais: consulta de variantes por gene, análise específica de cromossomo, comparação entre amostras, análise de frequências alélicas e geração dinâmica de consultas complexas.

Exemplos de consultas em linguagem natural

O agente demonstra capacidade notável em lidar com tipos diversos de consultas. Em vez de pesquisadores clínicos esperar por equipes de bioinformática para escrever scripts customizados, agora podem explorar dados genômicos conversacionalmente.

Análise em nível de cohort: Um pesquisador pode perguntar: “Resuma em tabela o número total de variantes e patogenicidade por paciente neste cohort?”. O agente usa a ferramenta de consulta dinâmica, analisa dados de variantes entre amostras do cohort e apresenta achados em formato tabular estruturado.

Análise de frequência alélica: Uma consulta como “Forneça as frequências alélicas de variantes patogênicas ou provávelmente patogênicas compartilhadas neste cohort e 1000 Genomas?” traduz em buscas que recuperam variantes patogênicas, filtram por relevância clínica e extraem informações de doença e frequências alélicas.

Risco de comorbidade: Perguntas mais complexas como “Quais pacientes têm variantes no gene ADRA2A e esses pacientes têm variantes de alto impacto adicionais ligadas a resistência a estatin ou insulina?” permitem conexões entre significância clínica e caminhos de resistência a drogas em nível individual.

Capacidades avançadas de análise

Além de consultas básicas, o agente demonstra capacidades analíticas avançadas que se estendem além de identificação simples de variantes. Pesquisadores podem explorar perguntas complexas que tradicionalmente exigiriam dias de análise.

Suporte para decisão clínica: Para uma consulta como “Realize análise completa sobre o paciente NA21144 e forneça estratificação de risco”, o agente analisa variantes em genes de caminhos de doença, farmacogenômica, realiza estratificação de risco combinando previsões de impacto de variantes com classificações de significância clínica e identifica variantes de significância incerta.

Farmacogenômica e dosagem guiada: Pesquisadores podem aproveitar o agente para análises sofisticadas de caminhos farmacogenômicos, explorando enriquecimento de frequência de variantes, padrões de tipo de consequência e burden de variantes em nível de gene sem pipeline complexo.

Benefícios e limitações

A solução aborda desafios significativos: o agente automaticamente verifica qualidade de chamadas antes de decisões de interpretação, a solução automatiza anotação VCF em escala usando recursos computacionais apropriados, o agente avalia contexto de consulta para construir queries dinâmicas baseadas em interesse do usuário, e Amazon S3 Tables em formato Iceberg torna o cohort de arquivos VCF consultável com performance ideal.

A solução apresenta limitações: restrições de tempo de execução Lambda (máximo de 15 minutos) podem ser insuficientes para carregar arquivos VCF/GVCF grandes, e otimizações de schema implementadas para análise em nível de paciente podem não ser ideais para análise em nível de cohort, especialmente com datasets de milhares de amostras. Para cargas de produção com datasets genômicos grandes, considere usar AWS HealthOmics, AWS Batch, tarefas ECS ou instâncias EC2 com tempos de execução mais longos.

Evolução e futuro

A arquitetura modular estabelece fundação para inovação contínua em análise genômica orientada por IA. Versões futuras podem integrar bancos de dados de anotação adicionais, APIs externas e suporte para análise multi-modal combinando dados genômicos com registros clínicos e imagens. O ajuste fino específico de domínio em dados genômicos poderia aprimorar ainda mais a precisão de interpretação, enquanto integração com registros eletrônicos de saúde forneceria insights genômicos no ponto de cuidado.

Uma direção particularmente promissora é colaboração multi-agente em P&D farmacêutico, onde esse agente intérprete de variantes genômicas poderia trabalhar ao lado de agentes especializados para perfil de drogas, identificação de alvo, evidência de literatura e geração de hipóteses.

Conclusão

Essa solução de IA agentic de próxima geração representa transformação fundamental em como pesquisadores e clínicos interagem com dados genômicos. Ao integrar perfeitamente AWS HealthOmics para anotação automática de variantes com Amazon Bedrock AgentCore para interpretação inteligente, foi criado sistema abrangente que aborda todo o fluxo de trabalho de análise genômica.

A combinação de fluxos de trabalho de anotação VEP automática, S3 Tables para transformar dados VCF em tabelas Iceberg consultáveis, e Strands Agents no Amazon Bedrock AgentCore para interação em linguagem natural cria sistema que minimiza barreiras tradicionais entre anotação de variantes, processamento de dados e interpretação clínica.

À medida que dados genômicos continuam crescendo exponencialmente e aplicações clínicas se tornam cada vez mais sofisticadas, sistemas como este se tornarão infraestrutura essencial para avançar medicina de precisão e acelerar descoberta científica. O código para essa solução está disponível no toolkit de agentes de ciências da vida, e encorajamos exploração e construção sobre este template. Para exemplos para começar com Amazon Bedrock AgentCore, consulte o repositório Amazon Bedrock AgentCore.

Fonte

Accelerating genomics variant interpretation with AWS HealthOmics and Amazon Bedrock AgentCore (https://aws.amazon.com/blogs/machine-learning/accelerating-genomics-variant-interpretation-with-aws-healthomics-and-amazon-bedrock-agentcore/)

Gerenciar CRLs com Acesso Restrito: Um Desafio de Segurança Moderno

Certificados digitais formam a base de qualquer infraestrutura de segurança robusta. A AWS Private Certificate Authority é um serviço de autoridade certificadora altamente disponível que permite criar hierarquias de certificados privados, proteger aplicações e dispositivos com certificados não públicos e gerenciar seus ciclos de vida de forma centralizada.

Uma Lista de Revogação de Certificados (CRL) é um arquivo com a lista assinada de certificados que foram revogados antes de sua data de expiração prevista. Certificados podem ser revogados por diversos motivos: exposição acidental de chaves privadas, descontinuação de serviços ou mudanças de política de segurança.

Por padrão, a AWS Private CA escreve as CRLs em um bucket do Amazon S3 especificado. O desafio surge quando sua organização precisa manter essas CRLs acessíveis apenas internamente, sem exposição à internet pública. Muitos padrões de segurança corporativos exigem que todos os buckets S3 tenham ativado o bloqueio de acesso público, restringindo acessos apenas a contas AWS autorizadas.

Porém, clientes PKI tradicionais recuperam CRLs pela internet pública, criando um conflito entre conformidade de segurança e funcionalidade. A solução recomendada é usar o Amazon CloudFront, conforme destacado na documentação oficial. Mas há cenários onde CloudFront não é viável ou onde as consultas de CRL não devem atravessar a internet pública.

Apresentamos aqui duas abordagens práticas para resolver esse dilema, mantendo a segurança e conformidade da sua infraestrutura.

Opção 1: Relocar CRLs Para um Local Acessível Internamente

Esta solução consiste em mover o arquivo CRL de seu local padrão em S3 para um destino interno, acessível apenas aos clientes TLS da sua organização, mas não pela internet pública. Um servidor local ou on-premises pode servir como ponto de distribuição final.

Entendendo o Ponto de Distribuição de CRL

Um ponto de distribuição de CRL (CDP) é uma referência que indica onde os certificados revogados podem ser consultados. Normalmente, quando a AWS Certificate Manager (ACM) gera certificados privados, o CDP apontará por padrão para o bucket S3 especificado.

A primeira solução utiliza um CNAME customizado no CDP. Ao gerar o certificado, você especifica um nome de domínio interno que será o local final de distribuição da CRL, em vez de apontar diretamente para o bucket S3.

Arquitetura e Fluxo da Solução

O fluxo funciona em três etapas principais:

• A AWS Private CA escreve a CRL no bucket S3 configurado;
• Um evento de criação da CRL dispara uma função AWS Lambda;
• A função Lambda copia o arquivo CRL para o local interno especificado;
• Uma notificação via Amazon SNS confirma sucesso ou falha da operação.

Pré-requisitos para Implementação

Antes de começar, você precisará ter:

• Uma conta AWS com permissões apropriadas em AWS Identity and Access Management (IAM), S3, ACM Private CA, Amazon EventBridge e Lambda;
• Uma CA raiz e uma CA subordinada já configuradas na mesma região AWS;
• Um bucket S3 com política que permita à AWS Private CA realizar operações como PutObject, PutObjectAcl, GetBucketAcl e GetBucketLocation;
• AWS Command Line Interface (AWS CLI) configurada localmente.

Implementação Passo a Passo

Configurar a distribuição de CRL:

Acesse o console da AWS Private Certificate Authority, selecione sua CA subordinada e navegue até a aba “Revocation configuration”. Clique em “Edit” no canto superior direito. Ative a opção “Activate CRL distribution” e selecione o bucket S3 que você criou.

Em seguida, expanda as configurações de CRL e no campo “Custom CRL Name” insira a URL interna onde a CRL será transferida — este deve ser um local acessível apenas internamente, não externamente. Se usar CRLs particionadas, ative também o particionamento. Salve as alterações.

Criar tópico SNS e função Lambda:

Navegue até o console do Amazon SNS e crie um novo tópico padrão, deixando as opções no padrão. Inscreva um email apropriado para receber notificações. Depois, acesse o console do Lambda e crie uma nova função em Python 3.12.

Certifique-se de que a função Lambda possui permissões IAM para: obter objetos do bucket S3 onde AWS Private CA coloca a CRL, copiar objetos entre buckets S3, e publicar mensagens no tópico SNS.

Código da Função Lambda:

import boto3
import json

def lambda_handler(event, context):
    # Criar clientes S3 e SNS
    s3 = boto3.client('s3')
    sns = boto3.client('sns')
    
    topicArn = ""
    
    # Obter ID da CA a partir do evento CloudWatch
    caID = event['resources'][0].split('/')[-1]
    status = event['detail']['result']
    
    if status == 'success':
        source = ''
        destination = ''
        folder = 'crl/'
        file = caID + '.crl'
        key = folder + file
        
        try:
            copySource = {
                'Bucket': source,
                'Key': key
            }
            s3.copy_object(
                CopySource=copySource,
                Bucket=destination,
                Key=file
            )
            response = sns.publish(
                TopicArn=topicArn,
                Message=f'Successfully moved {key} from {source} to {destination} in {caID}',
                Subject="CRL Upload Success"
            )
            return {
                'statusCode': 200,
                'body': json.dumps(f'Successfully moved {key} from {source} to {destination} in {caID}')
            }
        except s3.exceptions.NoSuchKey:
            response = sns.publish(
                TopicArn=topicArn,
                Message=f"Object {key} not found in {source}",
                Subject='CRL Upload Failure'
            )
            return {
                'statusCode': 404,
                'body': json.dumps(f'Object {key} not found in {source}')
            }
        except Exception as e:
            print(e)
            response = sns.publish(
                TopicArn=topicArn,
                Message=f'Error moving object: {str(e)}',
                Subject='Failure Uploading CRL'
            )
            return {
                'statusCode': 500,
                'body': json.dumps(f'Error moving object: {str(e)}')
            }
    else:
        response = sns.publish(
            TopicArn=topicArn,
            Message=f'Certificate Authority {caID} CRL creation {status}',
            Subject='CRL Upload Failure'
        )
        return {
            'statusCode': 200,
            'body': json.dumps(f'Certificate Authority {caID} CRL creation {status}')
        }

Observação sobre caminhos de CRL: Por padrão, o caminho da CRL sem particionamento é <s3-bucket-name>/crl/<CA-ID>.crl. Se usou um caminho customizado, adapte conforme necessário. Com CRLs particionadas, o caminho muda para <s3-bucket-name>/crl/<CA-ID>/<partition_GUID>.crl, exigindo loop sobre arquivos no diretório da CA.

Configurar EventBridge para disparo automático:

Acesse o console do Amazon EventBridge, selecione “Rules” e clique em “Create Rule”. Dê um nome descritivo, selecione “Rule with an Event Pattern” e prossiga.

Na seção de eventos, escolha “AWS events”, configure o padrão para usar a forma visual (Use pattern form), selecione “AWS services” como fonte e “ACM Private CA CRL Generation” como tipo de evento.

Na próxima etapa, selecione “AWS Service” como tipo de alvo e escolha a função Lambda criada anteriormente. Revise a configuração e finalize a regra.

Testando a Solução 1

Para validar que tudo está funcionando, crie e revogue um certificado de teste usando o AWS CLI. Primeiro, obtenha o número serial do certificado:

openssl x509 -in cert.pem -noout -serial

Depois, revogue o certificado:

aws acm-pca revoke-certificate --certificate-authority-arn  \
--certificate-serial  --revocation-reason "UNSPECIFIED"

Aguarde 5 a 30 minutos para que a CRL seja gerada. Verifique no CloudTrail se RevokeCertificate foi chamado e monitore os logs da função Lambda no CloudWatch. Você também deve receber uma notificação do tópico SNS confirmando o sucesso ou indicando qualquer erro.

Opção 2: Implementar Acesso Privado de CRL via Infraestrutura VPC

A segunda abordagem oferece acesso privado aos certificados CRL exclusivamente dentro de sua rede privada, sem necessidade de exposição à internet pública. A solução integra raiz e CAs subordinadas com CRL ativada em um bucket S3 dedicado, combinado com infraestrutura de rede privada usando VPC endpoints de gateway e sub-redes privadas.

Conceito da Solução VPC Privada

A segurança é garantida através de uma política de bucket S3 que cumpre três objetivos críticos: autorizar permissões essenciais da AWS Private CA, limitar acesso de CRL a um VPC endpoint específico de gateway, e bloquear explicitamente qualquer tentativa de acesso de outras origens.

A solução inclui configuração de zona DNS privada para resolução adequada de nomes e pode ser verificada através de testes de acesso que confirmam recuperação bem-sucedida de CRL a partir de instâncias privadas do VPC, enquanto garantem que requisições de instâncias públicas sejam rejeitadas.

Pré-requisitos para Implementação

Você precisará ter acesso a uma conta AWS com permissões apropriadas, AWS CLI e OpenSSL instalados localmente. Confirme acesso aos seguintes serviços: ACM, AWS Private CA, Amazon VPC, Amazon S3 e Amazon Route 53.

Implementação da Solução VPC

Criar CAs raiz e subordinada:

Acesse o console da AWS Private Certificate Authority e inicie a criação de uma nova CA privada. Selecione o modo “General-purpose” e tipo “Root”. Preencha pelo menos um dos campos de nome distinto (Organization, Organization Unit, Country, State, Locality ou Common Name).

Escolha o algoritmo de chave (por exemplo, RSA 2048), ative “Activate CRL Distribution” e selecione ou crie um bucket S3 para armazenar as CRLs. Finalize a criação da CA raiz após confirmar as opções de preço.

Repita o processo para criar uma CA subordinada, selecionando “Subordinate CA” na etapa correspondente. Após conclusão, você verá tanto a CA raiz quanto a CA subordinada listadas no console de autoridades certificadoras privadas.

Criar VPC Endpoint de Gateway para S3:

Navegue até o console do Amazon VPC, selecione “Endpoints” no painel esquerdo e clique em “Create Endpoint”. Configure as seguintes opções: atribua um nome descritivo (opcional), selecione “AWS services” como tipo, escolha com.amazonaws.[region].s3 como serviço, confirme que “Gateway” está selecionado, escolha sua VPC e selecione as tabelas de rotas associadas às sub-redes privadas que precisam acessar S3.

Para a política, você pode usar “Full Access” ou criar uma política customizada restringindo acesso a buckets ou ações específicas. Revise e crie o endpoint.

Configurar sub-redes e tabelas de rotas privadas:

No console do Amazon VPC, crie duas sub-redes privadas em diferentes Zonas de Disponibilidade dentro de sua VPC. Para cada uma, especifique nome, zona de disponibilidade e bloco CIDR.

Crie duas tabelas de rotas associadas a essas sub-redes privadas. Certifique-se de que cada tabela de rotas contém apenas rotas locais (CIDR da VPC) e remova qualquer rota para acesso à internet (0.0.0.0/0).

Implementar Política de Bucket S3 com Restrições:

Aplique uma política de bucket que garanta três controles de segurança fundamentais. Primeiro, conceda à AWS Private CA as permissões necessárias para gerenciamento de certificados. Segundo, restrinja acesso de CRL exclusivamente através do VPC endpoint de gateway especificado. Terceiro, negue explicitamente requisições GetObject que não originam do VPC endpoint designado.

A seguir está um exemplo de política S3 para acesso privado de CRL com restrições de VPC endpoint:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "",
        "/"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "",
          "aws:SourceAccount": ""
        }
      }
    },
    {
      "Sid": "Allow Access to CRL",
      "Effect": "Allow",
      "Principal": "",
      "Action": "s3:GetObject",
      "Resource": "",
      "Condition": {
        "StringEquals": {
          "aws:SourceVpce": ""
        }
      }
    },
    {
      "Sid": "Access-to-specific-VPCE-only",
      "Effect": "Deny",
      "Principal": "",
      "Action": "s3:GetObject",
      "Resource": [
        "",
        "/"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": ""
        }
      }
    }
  ]
}

Configurar Zona Hospedada Privada no Route 53:

Acesse o console do Amazon Route 53, selecione “Hosted zones” no painel esquerdo e clique em “Create hosted zone”. Insira s3.amazonaws.com como nome de domínio, deixe descrição opcional, selecione “Private hosted zone” como tipo, escolha sua região e VPC, e finalize a criação.

Dentro da zona recém-criada, crie um novo registro. Configure como política de roteamento “Simple”, insira o nome do seu bucket S3 como “Record name”, selecione “A – Routes traffic to an IPv4 address” como tipo, ative “Alias”, escolha “Alias to S3 website endpoint”, selecione sua região e endpoint S3 na lista, deixe TTL no padrão (300 segundos) e crie o registro.

Testando Acesso Privado e Verificando Segurança

Para validar a solução, execute um teste de acesso a partir de uma instância EC2 dentro de sua VPC privada. Use o seguinte comando para recuperar e validar a CRL:

curl -s https://.s3..amazonaws.com/crl/.crl | openssl crl -text -noout

Se bem-sucedido, o comando deve recuperar a CRL do Amazon S3, decodificá-la usando OpenSSL e exibir informações completas incluindo detalhes do emissor, timestamps de atualização, lista de certificados revogados, algoritmo de assinatura e outros metadados.

Para validar que os controles de segurança estão funcionando corretamente, tente acessar a mesma CRL a partir de uma instância EC2 pública usando o comando:

curl https://.s3..amazonaws.com/crl/.crl

Esta requisição deve falhar com um erro de acesso negado, confirmando que a CRL não pode ser acessada de fora da rede privada, mantendo sua infraestrutura PKI estritamente privada.

Conclusão

A AWS oferece duas caminhos práticos para manter suas Listas de Revogação de Certificados acessíveis exclusivamente para sua organização, sem exposição à internet pública. A primeira solução utiliza um CNAME customizado no ponto de distribuição de CRL com funções Lambda para copiar automaticamente cada nova CRL para um armazenamento privado. A segunda aproveita arquitetura VPC com VPC endpoints de gateway, políticas de bucket rigorosamente definidas e zonas DNS privadas no Route 53 para garantir que recuperação de CRL ocorra apenas dentro de sua rede privada.

Ambas as abordagens abordam os controles essenciais de IAM e políticas de bucket que seus clientes precisam para acessar CRLs de forma segura, alinhando-se com padrões corporativos de conformidade e segurança.

Fonte

How to update CRLs without public access using AWS Private CA (https://aws.amazon.com/blogs/security/how-to-update-crls-without-public-access-using-aws-private-ca/)

A designação de provedora crítica sob DORA

A Amazon Web Services foi oficialmente designada como provedora crítica de terceiros (CTPP) pelas Autoridades Supervisoras Europeias (ESAs) sob a Regulação de Resiliência Operacional Digital (DORA) da União Europeia. Essa designação representa um marco importante na implementação da DORA, que entrou em vigor em janeiro de 2025 com o objetivo de fortalecer a resiliência operacional do setor financeiro europeu.

A regulação DORA estabelece um regime de supervisão especial para provedores de tecnologia da informação e comunicação (ICT) identificados como críticos para as operações de entidades financeiras na UE. Sob essa estrutura, empresas como a AWS ficam sujeitas à supervisão conjunta e direta de três autoridades regulatórias principais: a Autoridade Bancária Europeia (EBA), a Autoridade dos Mercados de Valores Mobiliários e Câmbios (ESMA) e a Autoridade Europeia dos Seguros e Pensões Ocupacionais (EIOPA).

Entendendo o significado prático da designação

Impacto para clientes financeiros

As instituições financeiras que utilizam serviços da AWS na União Europeia devem compreender que a plataforma agora está sujeita a uma relação de supervisão ativa com as ESAs. Essa mudança não significa perda de controle por parte dos clientes — pelo contrário, as instituições mantêm autonomia sobre seus ambientes em nuvem e sua jornada de conformidade regulatória. O que muda é que os clientes podem contar com a AWS mantendo seu compromisso com resiliência operacional como parte das atividades associadas à designação.

Os clientes financeiros têm à sua disposição diversos recursos de segurança, resiliência e conformidade da AWS, que continuam servindo como ferramentas para que as organizações mantenham controle total sobre suas operações e estratégias de conformidade.

Preparação da AWS para o processo de supervisão

A designação como CTPP é resultado de anos de engajamento da AWS com instituições europeias, autoridades competentes nacionais e a comunidade regulatória financeira mais ampla. Esse trabalho contínuo contribuiu para a construção de um sistema financeiro mais resiliente e seguro no continente.

A prontidão da AWS para este processo de supervisão é fundamentada na experiência demonstrada em atender a padrões operacionais e regulatórios rigorosos. A empresa tem realizado e continuará a realizar investimentos significativos em conformidade, gerenciamento de riscos, resiliência operacional e transparência — pilares críticos da regulação DORA.

Com a designação de CTPP, a AWS agora participará formalmente de um processo de supervisão estruturado. Esse processo deverá promover compreensão mais profunda sobre como a AWS e outras tecnologias de nuvem contribuem para melhorar a resiliência da indústria de serviços financeiros europeia.

Suporte aos clientes na implementação de DORA

Embora a AWS esteja agora sujeita à supervisão direta sob DORA, a empresa permanece igualmente focada em apoiar seus clientes de serviços financeiros que estão sujeitos à regulação. É importante notar que resiliência operacional não é apenas um requisito de conformidade — é também uma necessidade de negócios fundamental.

Os serviços da AWS foram projetados para auxiliar instituições financeiras a alcançar alta disponibilidade, durabilidade e escalabilidade, mantendo simultaneamente controles robustos e visibilidade clara sobre suas operações. Uma equipe dedicada de especialistas em segurança e conformidade está pronta para assistir organizações financeiras na compreensão de como os recursos de segurança e conformidade da AWS podem ajudá-las a cumprir suas obrigações sob DORA e de que forma os serviços da AWS apoiam suas estratégias de conformidade regulatória.

Recursos disponíveis

A AWS disponibiliza documentação detalhada, whitepapers e guias de conformidade elaborados especificamente para os requisitos-chave da DORA. Entre esses recursos estão o Guia do Usuário AWS para DORA e o documento Abordagem da Amazon Web Services para Resiliência Operacional no Setor Financeiro e Além, que cobrem aspectos essenciais da regulação.

Para acessar mais informações sobre recursos de segurança e conformidade, os clientes podem consultar o Centro de Confiança da AWS. Além disso, é possível fazer download de certificações e atestações de terceiros através do AWS Artifact, ferramenta que consolida documentos de conformidade em um único local.

Perspectiva para o setor financeiro europeu

A designação da AWS como provedora crítica de terceiros reflete o papel central que os provedores de nuvem passaram a ocupar na infraestrutura tecnológica do setor financeiro europeu. À medida que instituições financeiras continuam sua jornada de transformação digital, a supervisão regulatória sobre seus principais provedores de serviços de nuvem torna-se elemento fundamental para garantir a estabilidade do sistema financeiro como um todo.

Esse cenário de supervisão mais rigorosa também representa oportunidade para demonstrar como a nuvem pode ser um fator de fortalecimento da resiliência financeira, quando implementada com os devidos controles e alinhamento regulatório.

Fonte

AWS designated as a critical third-party provider under EU’s DORA regulation (https://aws.amazon.com/blogs/security/aws-designated-as-a-critical-third-party-provider-under-eus-dora-regulation/)

Uma nova abordagem para proteção de rede em nuvem

O AWS Network Firewall passou a oferecer suporte a regras gerenciadas curadas por parceiros da AWS — uma evolução que fornece inteligência de ameaças pré-construída e controles de segurança que reduzem significativamente a necessidade de criar e manter seus próprios conjuntos de regras. Essa nova funcionalidade ajuda organizações a fortalecer sua postura de segurança de rede com proteção gerenciada por parceiros, continuamente atualizada.

O que são regras gerenciadas do AWS Marketplace

As regras gerenciadas disponíveis no AWS Marketplace são curadas por parceiros da AWS que atualizam automaticamente as regras para lidar com ameaças emergentes, proporcionando proteção abrangente sem a sobrecarga operacional de gerenciar regras customizadas. Essa abordagem permite que você implante regras do Network Firewall a partir do AWS Marketplace em poucos cliques, reduzindo significativamente o tempo necessário para criar regras de segurança personalizadas.

Por meio do AWS Management Console, você pode escolher entre diversos grupos de regras especializadas, cada um adaptado para diferentes necessidades setoriais, requisitos de conformidade e cenários de ameaças específicos.

Benefícios principais e casos de uso

Gerenciar firewalls em múltiplas nuvens privadas virtuais (VPCs) pode se tornar desafiador quando se trata de criar, manter e atualizar conjuntos de regras customizadas. Essa complexidade aumenta ainda mais com o crescimento do número de firewalls que requerem monitoramento constante para proteger contra novos vetores de ataque e ameaças emergentes.

Embora os AWS Managed Rules ofereçam uma base sólida, as regras gerenciadas do AWS Marketplace permitem que clientes adicionem regras curadas por especialistas com apenas alguns cliques. Você pode associar diretamente regras gerenciadas de parceiros do AWS Marketplace ao seu Network Firewall e observá-las em ação em qualquer um dos diversos modelos de implementação do Network Firewall. Essas regras se integram perfeitamente aos seus padrões de inspeção de tráfego sem exigir mudanças de configuração relacionadas a roteamento.

Manter-se atualizado sobre o cenário de ameaças em constante mudança pode ser trabalhoso e custoso. Os parceiros do AWS Marketplace atualizam automaticamente grupos de regras gerenciadas e fornecem novas versões quando surgem novas vulnerabilidades e ameaças. Regras continuamente atualizadas levam a uma postura de segurança mais robusta.

Pré-requisitos para começar

Para começar a usar regras gerenciadas do AWS Marketplace, você precisa atender aos seguintes pré-requisitos:

• Uma conta da AWS (você pode criar uma se necessário)
• Conhecimento sobre filtragem de tráfego e conceitos relacionados do Network Firewall (opcional)
• Criar um firewall antes de criar grupos de regras gerenciadas (opcional)

Você pode usar regras gerenciadas do AWS Marketplace com todos os modelos de implementação do Network Firewall.

Configurando regras gerenciadas do AWS Marketplace

Com os pré-requisitos atendidos, você está pronto para configurar regras gerenciadas do AWS Marketplace. Para isso:

1. Entre no console do Amazon Virtual Private Cloud (Amazon VPC)
2. No painel de navegação, selecione Network Firewall e depois escolha Network Firewall rule groups
3. Selecione AWS Marketplace

No AWS Marketplace, você verá diferentes tipos de grupos de regras curados por parceiros da AWS. Você pode selecionar o parceiro e o grupo de regras que deseja aplicar como parte de suas políticas do Network Firewall.

Localize o parceiro e o grupo de regras que deseja adicionar e selecione “View subscription options” ao lado desse grupo de regras.

Depois de selecionar “View subscription options”, uma janela de opções de inscrição será exibida. Revise as opções e depois selecione “Subscribe”.

Após se inscrever, acesse “Firewall Policies” e escolha uma política de firewall existente ou crie uma nova.

Após selecionar a política de firewall, escolha “Actions” e depois “Add Partner managed rule groups”.

Após selecionar “Add partner managed rule groups”, escolha os grupos de regras previamente inscritos.

Clique em “Add to policy” e confirme que os grupos de regras foram adicionados à sua política de firewall. Você pode modificar grupos de regras mais tarde, se necessário. A política de firewall com grupos de regras gerenciadas por parceiros agora está pronta para ser associada ao seu Network Firewall conforme descrito em Criar um firewall.

Parceiros de lançamento

A AWS trabalhou com diversos parceiros no lançamento de regras gerenciadas do AWS Marketplace para Network Firewall. Confira o que alguns deles estão dizendo sobre essa integração. Você pode acompanhar o crescimento desses parceiros em AWS Network Firewall Partners.

Check Point Software

Evoluindo de firewalls com estado através de soluções de segurança alimentadas por IA e entregues em nuvem, a Check Point Software se compromete em proteger organizações com uma taxa de prevenção líder do setor de 99,9%. Check Point Managed Rules para AWS Network Firewall simplifica a segurança ao fornecer conjuntos de regras pré-configuradas projetados por especialistas do Check Point ThreatCloud AI. Entregues diretamente através do AWS Marketplace, essas regras aprimoram a proteção contra centenas de vulnerabilidades CVE e vulnerabilidades OWASP Top 10, reduzindo esforço manual e fortalecendo sua postura de segurança em nuvem.

Fortinet

A Fortinet, líder global em segurança cibernética e nome confiável em firewalls de próxima geração, agora traz sua inteligência de ameaças orientada por IA para o AWS Network Firewall. As novas Regras IPS Gerenciadas da Fortinet entregam proteção automatizada e continuamente atualizada contra exploits, malware e ameaças de comando e controle — aprimorando a segurança AWS sem adicionar complexidade.

Infoblox

A Infoblox une redes, segurança e nuvem com uma plataforma DDI protetora que entrega resiliência corporativa e agilidade. Confiada por mais de 13.000 clientes, incluindo a maioria das empresas Fortune 100, assim como inovadores emergentes, a empresa integra, protege e automatiza serviços críticos de rede para que negócios possam se mover rapidamente sem compromissos.

Lumen

A Lumen se alegra em lançar o Defender Managed Rules para AWS Network Firewall, agora disponível no AWS Marketplace. Em parceria com a AWS, esse grupo de regras gerenciadas traz inteligência de ameaças alimentada pelo Black Lotus Labs diretamente para ambientes AWS — permitindo que organizações bloqueiem automaticamente IPs arriscados usando dados em tempo real do backbone global da Lumen. Com integração perfeita ao console de gerenciamento da AWS e atualizações automáticas, equipes de segurança e rede podem fortalecer defesas em nuvem com proteção curada por especialistas — sem necessidade de escrever regras manualmente.

Rapid7

Rapid7 Managed Rules para AWS Network Firewall converte inteligência de ameaças curada e de alta fidelidade em grupos de regras dinâmicos e autolimpantes, entregando proteção verificada por especialistas diretamente no seu ambiente AWS nativo. Implante instantaneamente proteções atualizadas contra as ameaças mais urgentes do momento, permitindo que sua equipe atue com confiança e reduza significativamente a fadiga de alertas.

ThreatSTOP

ThreatSTOP entrega inteligência de ameaças continuamente atualizada que bloqueia automaticamente domínios e IPs maliciosos através do AWS Network Firewall. Construindo sobre sua proteção comprovada para AWS WAF, a ThreatSTOP estende a mesma execução confiável para a camada de rede a fim de proteger tanto tráfego de entrada quanto de saída. As regras gerenciadas aproveitam milhares de fontes globais curadas e pesquisa proprietária da equipe de Segurança, Inteligência e Pesquisa da ThreatSTOP para bloquear comando e controle, phishing e tráfego de malware em tempo real. Disponível no AWS Marketplace, a ThreatSTOP ajuda organizações a fortalecer sua postura de segurança em nuvem, reduzir conexões indesejadas e manter conformidade com requisitos ITAR e OFAC.

Trend Micro

A Trend Micro, líder em plataformas de proteção nativa em nuvem (CNAPP), traz expertise profunda em proteção de ambientes em nuvem para clientes AWS. Respaldada pela Trend Zero Day Initiative (ZDI), a Trend Micro entrega grupos de regras de malware curados e continuamente atualizados, com proteção CVE e exploit chegando em breve. Usando inteligência de ameaças antecipada do ZDI, proteções são publicadas mais rapidamente do que outros fornecedores, ajudando clientes AWS a ficarem à frente de atacantes.

Conclusão

Com as regras gerenciadas do AWS Marketplace, organizações podem encontrar, adquirir e implantar inteligência de ameaças de nível indústrial diretamente no console do AWS Network Firewall. Ao utilizar essas regras pré-construídas, equipes de segurança podem se concentrar em iniciativas estratégicas mantendo proteção de rede robusta. Avalie as ofertas de parceiros disponíveis e selecione regras que se alinhem aos seus requisitos de segurança e necessidades de conformidade.

Para saber mais, consulte a documentação do AWS Network Firewall.

Fonte

Simplify cloud security with managed rules from AWS Marketplace for AWS Network Firewall (https://aws.amazon.com/blogs/security/simplify-cloud-security-with-managed-rules-from-aws-marketplace-for-aws-network-firewall/)

Uma Nova Abordagem para Credenciais de Desenvolvimento

Obter credenciais programáticas para desenvolvimento local na AWS agora se tornou mais simples e seguro. A AWS introduziu um novo comando na CLI (Command Line Interface), o aws login, que permite aos desenvolvedores começar a trabalhar imediatamente após criar uma conta, sem precisar gerar e manter chaves de acesso com validade ilimitada. O diferencial é que você utiliza o mesmo método de autenticação já utilizado no Console de Gerenciamento da AWS.

Esta abordagem representa uma mudança importante na forma como a AWS trata a segurança de credenciais locais. Em vez de lidar com chaves estáticas, os desenvolvedores agora recebem credenciais temporárias que são gerenciadas e renovadas automaticamente, reduzindo significativamente o risco de exposição de credenciais de longa duração.

Como Funciona o Acesso Programático

O comando aws login está disponível a partir da AWS CLI versão 2.32.0 ou posterior. Ao executar o comando, ele abre automaticamente seu navegador padrão para autenticação. Dependendo do seu cenário de uso, existem duas formas principais de utilizar este recurso.

Cenário 1: Usando Credenciais IAM (Usuário Root ou IAM)

Para desenvolvedores que autenticam com nome de usuário e senha de uma conta root ou usuário IAM, o fluxo é o seguinte:

Primeiro, instale a versão mais recente da AWS CLI em sua máquina local. Em seguida, execute o comando aws login no terminal.

Se você ainda não configurou uma Região AWS padrão, a CLI solicitará que você escolha uma região de sua preferência (por exemplo, us-east-2, eu-central-1). A configuração é memorizada, então você não precisará inserir novamente na próxima vez.

Após definir a região, a CLI abre seu navegador automaticamente. Se você já estiver autenticado no Console de Gerenciamento da AWS, verá uma opção para continuar com a sessão ativa. Caso contrário, será apresentada a página de opções de autenticação, onde você selecionará “Continuar com usuário Root ou IAM” e fará login em sua conta AWS.

Ao completar o processo, você estará pronto para executar comandos da AWS CLI. Para verificar a identidade atual, você pode executar o comando aws sts get-caller-identity, que confirmará qual usuário ou função você está utilizando.

Cenário 2: Autenticação Federada

Este cenário aplica-se quando sua autenticação passa por um provedor de identidade corporativo. Para obter credenciais programáticas para funções assumidas via federação, você segue os mesmos passos iniciais do primeiro cenário e, em seguida, prossegue com as instruções adicionais.

Se você já estiver autenticado no Console de Gerenciamento da AWS, o navegador oferecerá a opção de selecionar sua sessão IAM ativa proveniente do login federado no console. Caso você tenha ativado o suporte a múltiplas sessões no Console de Gerenciamento, você poderá alternar entre até 5 sessões AWS ativas.

Se você ainda não estiver autenticado no Console de Gerenciamento ou deseja obter credenciais temporárias para uma função IAM diferente, você pode fazer login em sua conta AWS utilizando seu mecanismo de autenticação atual em outra aba do navegador. Após fazer login com sucesso, retorne à aba anterior e clique no botão “Atualizar”. Sua sessão no console agora deve estar disponível nas sessões ativas.

Independentemente do método escolhido, as credenciais temporárias emitidas pelo comando aws login são renovadas automaticamente a cada 15 minutos pela CLI, AWS Tools for PowerShell e pelos SDKs da AWS. Elas permanecem válidas até a duração máxima definida para o principal IAM (máximo de 12 horas). Após atingir esse limite, você será solicitado a fazer login novamente.

Trabalhando com Ferramentas de Desenvolvimento Local

O comando aws login oferece suporte para alternar entre múltiplas contas AWS e funções através de perfis. Você pode configurar um perfil específico executando aws login --profile <PROFILE_NAME> e, posteriormente, executar comandos da AWS utilizando esse perfil com a opção --profile <PROFILE_NAME>.

As credenciais de curta duração geradas pelo aws login funcionam com muito mais do que apenas a CLI. A AWS disponibiliza integração com diversos tipos de ferramentas:

SDKs da AWS: Se você estiver desenvolvendo com os SDKs da AWS, os clientes dos SDK podem autenticar-se utilizando essas credenciais temporárias.

AWS Tools for PowerShell: Utilize o comando Invoke-AWSLogin para autenticar com AWS Tools for PowerShell.

Servidores de Desenvolvimento Remoto: Use aws login --remote em um servidor remoto sem acesso a navegador. Isso entrega credenciais temporárias do seu dispositivo com acesso a navegador para o console da AWS.

SDKs Mais Antigos: Se você estiver usando versões anteriores dos SDKs da AWS que não suportam o novo provedor de credenciais do console, você ainda pode usar as credenciais do aws login através do provedor credential_process com a CLI.

Controle de Acesso por Meio de Políticas IAM

O comando aws login é controlado por duas ações IAM específicas: signin:AuthorizeOAuth2Access e signin:CreateOAuth2Token. Para permitir que usuários IAM e funções IAM com acesso ao console utilizem este recurso, você pode usar a política gerenciada SignInLocalDevelopmentAccess ou adicionar essas ações às suas políticas IAM customizadas.

Clientes que utilizam AWS Organizations e desejam controlar o uso dessa funcionalidade em contas membros podem negar essas duas ações através de Políticas de Controle de Serviço (SCPs). Essas ações IAM e seus recursos podem ser utilizados em todas as políticas IAM relevantes.

A AWS recomenda que clientes empresariais utilizem gerenciamento centralizado de acesso root através do AWS Organizations para eliminar credenciais root de longa duração das contas membros. Esse modelo permite que equipes de segurança executem tarefas privilegiadas através de sessões root de curta duração e escopo específico da conta de gerenciamento central. Após habilitar essa funcionalidade e deletar as credenciais root das contas membros, o login programático com credenciais root via aws login também será bloqueado automaticamente.

Para desenvolvedores que utilizam credenciais root ou usuários IAM, o aws login oferece uma alternativa segura às tradicionais chaves de acesso estáticas, entregando credenciais de vida útil muito reduzida diretamente às ferramentas de desenvolvimento.

Auditoria e Segurança do Acesso Programático

Os eventos de login relacionados ao aws login são registrados através do AWS CloudTrail, que agora inclui dois novos tipos de evento específicos para esse comando. O serviço registra eventos com os nomes AuthorizeOAuth2Access e CreateOAuth2Token na Região AWS onde o usuário realiza o login.

Quando um desenvolvedor executa aws login, o CloudTrail captura eventos estruturados contendo informações de identidade, timestamps, endereço IP de origem, agente de usuário e detalhes de TLS. Esses registros fornecem à equipe de segurança uma visibilidade completa sobre quem está obtendo credenciais, quando está obtendo, e de onde, facilitando auditorias de conformidade e investigações de segurança.

O fluxo de autorização utiliza o padrão OAuth 2.0 com PKCE (Proof Key for Code Exchange) para proteger contra ataques de interceptação de código de autorização. Esse modelo oferece uma alternativa significativamente mais segura em comparação com a configuração tradicional de chaves de acesso IAM para começar o desenvolvimento na AWS.

Próximos Passos e Recomendações

O recurso de login para desenvolvimento local na AWS representa uma melhoria importante na postura de segurança padrão, ajudando clientes a eliminarem o uso de credenciais de longa duração para acesso programático. Com o aws login, desenvolvedores podem começar a trabalhar imediatamente utilizando as mesmas credenciais que usam para acessar o Console de Gerenciamento.

O comando está disponível em todas as Regiões AWS comerciais (com exceção da China e GovCloud) sem custos adicionais para clientes. Para informações mais detalhadas sobre como implementar e configurar, consulte a documentação da CLI. Adicionalmente, recomenda-se a leitura sobre abordagens modernas de autenticação para a AWS além das chaves de acesso IAM, que exploram outras estratégias de segurança complementares.

Fonte

Simplified developer access to AWS with ‘aws login’ (https://aws.amazon.com/blogs/security/simplified-developer-access-to-aws-with-aws-login/)

Entendendo a Solução: Claude Code no Amazon Bedrock

O Claude Code é um assistente de programação baseado em inteligência artificial, desenvolvido pela Anthropic. Ele auxilia desenvolvedores na escrita, revisão e modificação de código através de interações em linguagem natural. Por outro lado, o Amazon Bedrock é um serviço gerenciado pela AWS que fornece acesso a modelos de fundação de empresas líderes em IA por meio de uma única API.

A integração entre essas duas tecnologias permite que organizações implementem assistentes de codificação com IA de forma segura e escalável. Para empresas que desejam adotar essa solução, a AWS oferece um Guidance for Claude Code with Amazon Bedrock, que implementa padrões comprovados e pode ser implantado em poucas horas.

Arquitetura Recomendada para a Maioria das Empresas

Para organizações de qualquer porte que buscam uma implementação segura e eficiente, a AWS recomenda uma pilha tecnológica bem definida:

• Autenticação: Integração direta com provedores de identidade (IdP) usando federação AWS IAM
• Infraestrutura: Conta AWS dedicada e endpoints públicos do Amazon Bedrock
• Monitoramento: OpenTelemetry com dashboards CloudWatch e análise de dados

Esta arquitetura proporciona acesso seguro com atribuição de usuários, gerenciamento de capacidade e visibilidade completa sobre custos e produtividade dos desenvolvedores.

Métodos de Autenticação: Escolhendo a Abordagem Correta

A decisão sobre qual método de autenticação usar impacta diretamente a segurança, monitoramento, operações e experiência do desenvolvedor. A AWS apresenta quatro alternativas, cada uma com trade-offs específicos.

Chaves de API: Prototipagem Rápida

O Amazon Bedrock suporta chaves de API como o caminho mais rápido para prova de conceito. Tanto chaves de curta duração (12 horas) quanto de longa duração (indefinidas) podem ser geradas através do Console de Gerenciamento AWS, AWS CLI ou SDKs.

Porém, chaves de API criam vulnerabilidades de segurança: acesso persistente sem autenticação multifator, exigência de distribuição manual e risco de serem commitadas em repositórios. Além disso, não permitem atribuição de usuários para rastreamento de custos. Recomenda-se usar esse método apenas para testes de curta duração (menos de uma semana, com expiração de 12 horas).

Credenciais do Console via aws login

O comando aws login utiliza credenciais do Console de Gerenciamento AWS para acessar o Amazon Bedrock através de um fluxo de autenticação baseado em navegador. Oferece configuração rápida sem necessidade de chaves de API e é recomendado para testes e pequenas implantações.

Single Sign-On (SSO) com IAM Identity Center

O AWS IAM Identity Center integra-se com provedores de identidade corporativos existentes através do OpenID Connect (OIDC), um protocolo que permite autenticação única ao permitir que provedores de identidade verifiquem identidades de usuários e compartilhem informações de autenticação com aplicações.

Essa integração permite que desenvolvedores usem credenciais corporativas para acessar o Amazon Bedrock sem distribuição de chaves. Desenvolvedores autenticam usando o comando aws sso login, que gera credenciais temporárias com durações de sessão configuráveis. Essas credenciais se renovam automaticamente, reduzindo a sobrecarga operacional de gerenciamento de credenciais.

Uma organização que já usa IAM Identity Center para acesso à AWS pode estender esse padrão ao Claude Code. Porém, há uma limitação: esse método não expõe tokens JWT do OIDC para extração de atributos em OpenTelemetry, reduzindo detalhes de monitoramento por usuário.

Federação Direta com Provedor de Identidade

A federação OIDC direta com seu provedor de identidade (Okta, Azure AD, Auth0 ou AWS Cognito User Pools) é recomendada para implantações de Claude Code em produção. Essa abordagem conecta o provedor de identidade corporativo diretamente ao AWS IAM, gerando credenciais temporárias com contexto de usuário completo para monitoramento.

O process credential provider orquestra a autenticação OAuth2 com PKCE, uma extensão de segurança que ajuda a prevenir interceptação de código de autorização. Desenvolvedores autenticam no navegador, trocando tokens OIDC por credenciais temporárias do AWS.

Um script auxiliar usa o AWS Security Token Service (STS) com AssumeRoleWithWebIdentity para assumir uma função com permissões para InvokeModel e InvokeModelWithStreaming no Amazon Bedrock.

A federação IAM direta suporta durações de sessão de até 12 horas e mantém o token JWT acessível durante toda a sessão, permitindo monitoramento através do OpenTelemetry para rastrear atributos de usuário como email, departamento e equipe. O Guidance for Claude Code with Amazon Bedrock implementa tanto padrões de Cognito Identity Pool quanto federação IAM direta, mas recomenda federação IAM por ser mais simples. A solução oferece um assistente de configuração interativo que configura integração com o provedor OIDC, implanta infraestrutura IAM necessária e gera pacotes de distribuição para Windows, macOS e Linux.

Decisões Arquiteturais: Infraestrutura e Gerenciamento

Endpoints Públicos vs. Gateway LLM

O Amazon Bedrock fornece endpoints públicos de API gerenciados em múltiplas regiões AWS com mínima sobrecarga operacional. A AWS gerencia infraestrutura, escalabilidade, disponibilidade e patches de segurança. Desenvolvedores usam credenciais AWS padrão através de perfis AWS CLI ou variáveis de ambiente.

Combinado com métricas OpenTelemetry da federação IdP direta, é possível rastrear uso através de endpoints públicos por desenvolvedor, departamento ou centro de custo, aplicando limitações no nível do AWS IAM. Para a maioria das organizações, endpoints públicos do Amazon Bedrock são suficientes, oferecendo equilíbrio entre simplicidade, confiabilidade gerenciada pela AWS, alertas de custo e mecanismos de controle apropriados.

Um gateway LLM introduz uma camada de aplicação intermediária entre desenvolvedores e Amazon Bedrock. A AWS oferece um Guidance for Multi-Provider Generative AI Gateway on AWS descrevendo esse padrão, implantando um serviço proxy containerizado com balanceamento de carga e gerenciamento centralizado de credenciais.

Gateways são ideais para: suportar múltiplos provedores (roteamento entre Amazon Bedrock, OpenAI e Azure OpenAI), implementar middleware customizado (engenharia de prompts proprietária, filtragem de conteúdo, detecção de injeção de prompts) e aplicar políticas em nível de requisição. Porém, adicionam sobrecarga operacional: gerenciamento de Amazon Elastic Container Service (Amazon ECS) ou Amazon Elastic Kubernetes Service (Amazon EKS), Elastic Load Balancing (ELB) com Application Load Balancers, Amazon ElastiCache, Amazon Relational Database Service (Amazon RDS), aumento de latência e novo ponto de falha.

Conta Única Dedicada

A recomendação é consolidar inferências do assistente de codificação em uma conta AWS dedicada, separada de workloads de desenvolvimento e produção. Essa abordagem oferece cinco benefícios principais: simplifica operações ao gerenciar quotas em dashboards unificados, clarifica visibilidade de custos pelo AWS Cost Explorer e Cost and Usage Reports, centraliza segurança com logs CloudTrail, protege produção de esgotamento de quotas e permite foco em aplicações nas contas de desenvolvimento.

A implementação usa configuração IAM cross-account para que desenvolvedores autentiquem através de provedores de identidade federados para funções restritas, concedendo apenas permissões de invocação de modelo com guardrails apropriados.

Perfis de Inferência

O Amazon Bedrock oferece perfis de inferência do Amazon Bedrock para rastreamento de custos através de tagging de recursos, mas não escalam para granularidade por desenvolvedor. Embora seja possível criar perfis de aplicação para alocação de custos, gerenciar perfis para 1000+ desenvolvedores individuais torna-se operacionalmente oneroso. Perfis funcionam melhor para organizações com 10-50 equipes distintas ou quando usando inferência cross-região. Para mais detalhes, consulte a documentação de Inference Profiles do Amazon Bedrock.

Estratégia de Monitoramento: Visibilidade Progressiva

Uma estratégia eficaz de monitoramento transforma o Claude Code de uma ferramenta de produtividade em um investimento mensurável. As camadas de monitoramento são complementares — organizações geralmente começam com visibilidade básica e adicionam capacidades conforme justificativas de ROI.

CloudWatch: Métrica Básica

O Amazon Bedrock publica métricas no Amazon CloudWatch automaticamente, rastreando contagens de invocação, erros de throttling e latência. Gráficos CloudWatch mostram tendências agregadas com esforço de deployment mínimo. Você pode criar alarmes que notificam quando taxas de invocação disparam, taxas de erro excedem limites ou latência degrada.

Invocation Logging: Auditoria Detalhada

O logging de invocação do Amazon Bedrock captura informações detalhadas sobre cada chamada de API para Amazon S3 ou CloudWatch Logs, preservando registros individuais de requisições. Processe logs com Amazon Athena, carregue em data warehouses ou analise com ferramentas customizadas. Os logs exibem padrões de uso, invocações por modelo, utilização de pico e trilha de auditoria de acesso ao Amazon Bedrock.

OpenTelemetry: Observabilidade Completa

O Claude Code inclui suporte para OpenTelemetry, um framework open source para coleta de dados de telemetria de aplicações. Quando configurado com endpoint de coletor OpenTelemetry, o Claude Code emite métricas detalhadas sobre suas operações, capturando linhas de código adicionadas/deletadas, arquivos modificados, linguagens de programação usadas e taxas de aceitação das sugestões do Claude.

A solução guidance implanta infraestrutura OpenTelemetry em Amazon ECS Fargate. Um Application Load Balancer recebe telemetria via HTTP(S) e encaminha métricas para um Coletor OpenTelemetry. O coletor exporta dados para Amazon CloudWatch e Amazon S3.

Dashboard: Visualização em Tempo Real

A solução inclui um dashboard CloudWatch que exibe métricas-chave continuamente, rastreando usuários ativos por hora, dia ou semana. Consumo de tokens é desagregado por tokens de entrada, saída e cached, sendo taxas altas de cache-hit indicativas de reutilização eficiente de contexto. Métricas de atividade de código rastreiam linhas adicionadas e deletadas, correlacionando com uso de tokens. A distribuição de operações mostra frequência de edições de arquivo, buscas de código e solicitações de documentação.

Analytics: Análise Histórica e Tendências

Enquanto dashboards excelem em monitoramento em tempo real, tendências de longo prazo e análise complexa de comportamento de usuários exigem ferramentas analíticas. A stack analytics opcional da solução guidance transmite métricas para Amazon S3 usando Amazon Data Firehose. O catálogo de dados do AWS Glue define o schema, tornando dados consultáveis através do Amazon Athena.

A camada analítica suporta queries como consumo mensal de tokens por departamento, taxas de aceitação de código por linguagem de programação e variações de eficiência de tokens entre equipes. Análise de custos torna-se sofisticada ao unir métricas de tokens com preços do Amazon Bedrock para calcular custos exatos por usuário e depois agregar para repasse em nível de departamento.

Caminho de Implementação: Do Piloto à Escala Corporativa

A solução guidance suporta deployment rápido através de um processo de configuração interativo, com autenticação e monitoramento funcionando em poucas horas.

Deployment Inicial

Clone o repositório do Guidance for Claude Code with Amazon Bedrock e execute o assistente interativo. O wizard configura seu provedor de identidade, tipo de federação, regiões AWS e monitoramento opcional. Implante as stacks CloudFormation (tipicamente 15-30 minutos), construa pacotes de distribuição e teste autenticação localmente antes de distribuir aos usuários.

Distribuição e Piloto

Identifique um grupo piloto de 5-20 desenvolvedores de diferentes equipes. Se monitoramento foi ativado, o dashboard CloudWatch mostra atividade imediatamente. Você pode monitorar consumo de tokens, taxas de aceitação de código e tipos de operação para estimar requisitos de capacidade.

Expansão e Otimização

Uma vez validado, expanda adoção por equipe ou departamento. Adicione a stack analytics para análise de tendências históricas, identificação de equipes de alto desempenho e previsão de custos. Use dados de monitoramento para melhoria contínua através de ciclos de revisão regular com liderança de desenvolvimento.

Desvios da Arquitetura Recomendada

Embora a arquitetura anterior se adeque à maioria das implantações corporativas, circunstâncias específicas podem justificar abordagens diferentes:

• Considere um gateway LLM se precisar de múltiplos provedores além do Amazon Bedrock, middleware customizado para processamento de prompts ou operar em ambiente regulatório exigindo imposição de políticas em nível de requisição além de capacidades do AWS IAM.
• Considere perfis de inferência se tiver menos de 50 equipes exigindo rastreamento separado de custos e preferir alocação de billing nativa da AWS sobre métricas de telemetria.
• Comece sem monitoramento apenas para pilotos de tempo limitado com menos de 10 desenvolvedores onde métricas básicas CloudWatch suficientes.
• Use chaves de API apenas para testes cronometrados (menos de uma semana) onde riscos de segurança são aceitáveis.

Conclusão

Implantar o Claude Code com Amazon Bedrock em escala corporativa exige decisões cuidadosas sobre autenticação, arquitetura e monitoramento. Implantações prontas para produção seguem um padrão claro: federação IdP direta oferece acesso seguro com atribuição de usuário e uma conta AWS dedicada simplifica gerenciamento de capacidade. Monitoramento OpenTelemetry oferece visibilidade sobre custos e produtividade de desenvolvedores.

O Guidance for Claude Code with Amazon Bedrock repository implementa esses padrões em solução implantável. Comece com autenticação e monitoramento básico, depois adicione progressivamente recursos conforme escala. À medida que ferramentas de desenvolvimento com IA tornam-se padrão da indústria, organizações que priorizam segurança, monitoramento e excelência operacional em suas implantações ganharão vantagens duradouras.

Fonte

Claude Code deployment patterns and best practices with Amazon Bedrock (https://aws.amazon.com/blogs/machine-learning/claude-code-deployment-patterns-and-best-practices-with-amazon-bedrock/)