CloudTroop Newsletter
21 de novembro de 2025 AWS AWS

Transferência de dados entre partições AWS com IAM Roles Anywhere

O desafio de integrar dados entre partições AWS

Organizações empresariais frequentemente precisam consolidar dados de segurança, operações e conformidade provenientes de múltiplas partições da AWS para obter uma visão unificada dos seus ambientes. Embora essa consolidação seja crítica para manter operações e aplicações funcionando adequadamente, alcançá-la respeitando requisitos de conformidade representa um desafio significativo.

Historicamente, as empresas resolviam esse problema usando chaves de acesso de usuários IAM de longa duração. Porém, essa abordagem se tornou obsoleta. A AWS agora recomenda o uso de IAM Roles Anywhere como alternativa segura e em conformidade com os melhores práticas atuais de segurança.

Entendendo as partições e fronteiras de isolamento da AWS

O que são partições AWS?

As partições da AWS funcionam como fronteiras rígidas projetadas especificamente para atender requisitos de isolamento orientados por conformidade. Cada partição consiste em uma ou mais regiões e é controlada por uma instância independente do IAM. A AWS oferece múltiplas partições, cada uma identificada de forma única nos nomes de recursos Amazon (ARN):

  • A partição AWS Commercial utiliza o identificador aws
  • As regiões AWS GovCloud utilizam o identificador aws-us-gov
  • As regiões AWS China utilizam o identificador aws-cn
Imagem original — fonte: AWS

Isolamento entre partições

Os identificadores de contas AWS e as designações de região são reservados para garantir que existam apenas dentro de suas respectivas partições. Especificamente, cada instância do IAM em uma partição proíbe a criação de políticas de confiança que atravessem fronteiras de partição. Qualquer tentativa de construir uma política de confiança entre contas em duas partições diferentes resulta em erro CREATE_FAILED. Esse isolamento é intencional e representa um componente fundamental da estratégia de segurança oferecida pela AWS aos seus clientes.

Fluxo de dados e conformidade com FedRAMP

Para clientes sujeitos a regulamentações como FedRAMP, o entendimento claro de requisitos de conformidade e a construção de dashboards e fluxos de trabalho unificados na partição apropriada são absolutamente críticos. Por exemplo, dados devem fluir apenas da partição AWS Commercial para a partição AWS GovCloud, nunca na direção oposta. Isso está alinhado com a política de fronteira FedRAMP FRR211, que estabelece que informações sobre workloads no GovCloud não devem ser compartilhadas com a partição Commercial.

A prática recomendada para organizações neste cenário é construir dashboards unificados e automação operando integralmente na partição AWS GovCloud. Dessa forma centralizada, remediações automatizadas, notificações e escalações podem ser disparadas usando Amazon EventBridge contra dados coletados de recursos nas regiões Commercial e GovCloud. Esses fluxos automatizados podem integrar-se com sistemas de ticketing como Service Now ou Atlassian JIRA, plataformas de proteção nativa de aplicações em nuvem (CNAPP) como AWS Security Hub ou CrowdStrike, e sistemas de notificação empresarial como Slack, Microsoft Teams, ou email.

Isolamento de credenciais na prática

Além do isolamento de dados entre partições, uma melhor prática de conformidade com FedRAMP é garantir que as credenciais utilizadas para acessar regiões GovCloud existam apenas dentro dessas regiões. Da mesma forma, requisições de acesso a dados devem originar-se da partição GovCloud, puxando dados da partição menos restritiva (como a Commercial). Esse design ajuda a prevenir exposição de recursos do GovCloud à partição Commercial através de portas abertas, APIs, endpoints ou credenciais compartilhadas.

A abordagem legada: transferência com chaves de acesso IAM

No passado, empresas resolviam requisitos de transferência entre partições utilizando ferramentas como Data Sync, s3api, data transfer hub e outros métodos de SDK. A estratégia consistia em criar uma chave de acesso de usuário IAM na partição AWS Commercial e, em seguida, armazenar essa chave no AWS Secrets Manager da partição GovCloud.

Uma aplicação executando no GovCloud utilizaria então a chave de acesso do usuário IAM da partição Commercial para acessar e ler dados de um bucket Amazon S3 nessa partição, escrever os dados em um bucket S3 no GovCloud e processar os dados localmente. Embora funcional, essa arquitetura apresentava desvantagens significativas.

Imagem original — fonte: AWS

Por que essa abordagem é problemática

Essa solução legada exigia uma exceção de auditoria para permitir o uso de credenciais de usuário de longa duração. Usar credenciais de longa duração em workloads ou contas de serviço se afasta das melhores práticas de segurança da AWS e dos padrões NIST 800-53 IA2, pois essas credenciais podem ser comprometidas e são difíceis de rotacionar e substituir com frequência adequada.

A solução moderna: IAM Roles Anywhere com certificados X.509

Credenciais de curta duração com certificados

Para atender ao requisito de usar credenciais de curta duração e habilitar acesso entre partições AWS, a AWS oferece IAM Roles Anywhere, que elimina a necessidade de chaves de acesso ou segredos de longa duração. Esse serviço permite que organizações utilizem certificados X.509 existentes para autenticar workloads e aplicações.

O alinhamento com NIST 800-53 é estabelecido através do uso de certificados, que são padrão consolidado na indústria para estabelecer comunicações seguras com processos de aplicações em dispositivos remotos.

Duas caminhos: Autoridade de Certificação externa ou AWS Private CA

As organizações possuem flexibilidade para escolher como gerenciar a infraestrutura de chaves públicas (PKI):

  • Autoridade de Certificação externa: Se a empresa já possui uma autoridade de certificação interna, é possível registrá-la com IAM Roles Anywhere como uma âncora de confiança, estabelecendo confiança entre essa CA externa e o serviço.
  • AWS Private CA: Para organizações que não possuem infraestrutura de chaves públicas própria, a AWS Private Certificate Authority oferece uma solução gerenciada.
Imagem original — fonte: AWS

Arquitetura com Autoridade de Certificação externa

Quando a organização utiliza uma CA externa, a arquitetura típica envolve uma infraestrutura de chaves públicas com múltiplos níveis: uma CA raiz (frequentemente desconectada da internet para proteção máxima), uma ou mais CAs intermediárias e CAs emissoras que geram certificados finais.

Quando uma aplicação no GovCloud precisa se conectar à partição Commercial, ela gera uma solicitação de assinatura de certificado (CSR), mantendo a chave privada correspondente no AWS Secrets Manager. A CA externa da organização assina a CSR e fornece um certificado de entidade final junto com o pacote de CA (contendo as certificações da CA raiz, intermediária e emissora). Todos esses elementos são armazenados no Secrets Manager, permitindo que o workload interaja com recursos da partição Commercial.

Na partição Commercial, o IAM Roles Anywhere é configurado para usar a PKI da empresa como âncora de confiança. À medida que certificados são distribuídos para workloads em execução no GovCloud (e armazenados no Secrets Manager), uma função do Amazon Elastic Kubernetes Service (Amazon EKS) permite acesso a esses certificados. Na partição Commercial, uma função IAM é configurada para permitir acesso aos serviços necessários como Amazon Simple Notification Service (Amazon SNS), Amazon Simple Queue Service (Amazon SQS) e Amazon S3. O policy de confiança dessa função é configurada para permitir acesso via IAM Roles Anywhere.

Quando o pipeline EKS no GovCloud está pronto para se conectar, um credential helper fornece credenciais de segurança temporárias para a região Commercial, utilizando os certificados, a chave privada, os ARNs de função e âncora de confiança provisionados para a aplicação no GovCloud.

Simplificação com AWS Private CA

Para organizações que preferem não manter uma infraestrutura de chaves públicas própria, a AWS Private CA oferece uma alternativa gerenciada. Como serviço gerenciado, a AWS cuida de alta disponibilidade, escalabilidade, durabilidade, aplicação de patches e manutenção da plataforma. A integração nativa com serviços como AWS Elastic Load Balancing, Amazon CloudFront e Amazon API Gateway simplifica ainda mais a adoção. Além disso, AWS CloudTrail fornece auditoria completa de todas as ações realizadas, garantindo conformidade e transparência operacional.

Imagem original — fonte: AWS

Próximos passos

Para organizações interessadas em implementar essa solução, a AWS oferece documentação detalhada sobre planejamento de implementação do IAM Roles Anywhere. Além disso, há um workshop prático sobre IAM Roles Anywhere e uma apresentação no re:Inforce mostrando um case de sucesso que podem auxiliar na compreensão prática da solução.

Conclusão

A transferência segura e em conformidade de dados entre partições AWS requer compreensão clara dos requisitos de conformidade e design arquitetônico apropriado. Enquanto a abordagem legada com chaves de acesso de longa duração funcionava, ela se afastava das melhores práticas de segurança moderna.

IAM Roles Anywhere emerge como a solução recomendada para clientes e parceiros SaaS que precisam acessar recursos AWS entre partições sem sacrificar a segurança. Ao utilizar certificados X.509 e autoridades de certificação — sejam externas ou o serviço gerenciado AWS Private CA — as organizações ganham a capacidade de implementar transferência de dados com credenciais temporárias, alinhadas com NIST 800-53 e melhores práticas de conformidade FedRAMP.

Fonte

Transfer data across AWS partitions with IAM Roles Anywhere (https://aws.amazon.com/blogs/security/transfer-data-across-aws-partitions-with-iam-roles-anywhere/)