Como garantir a residência de dados com as extensões Amazon Quick para Microsoft Teams

Organizações globais que precisam garantir conformidade com leis de residência de dados, como a GDPR na Europa ou regulamentações específicas de outros países, enfrentam o desafio de manter dados e serviços restritos a regiões geográficas autorizadas. Para atender a essa demanda, a AWS oferece uma solução prática com as extensões Amazon Quick para Microsoft Teams, que suportam roteamento regional automático, assegurando que usuários acessem recursos localizados na região AWS apropriada.

Este guia detalha como configurar e aplicar essa estratégia de residência de dados utilizando Amazon Quick integrado ao Microsoft Teams, focando em um cenário multi-região que atende a requisitos de compliance e proporciona uma experiência consistente para usuários em diferentes localidades.

---

Cenário e arquitetura da solução

Imagine uma empresa fictícia, MyCompany, com sede na Europa (região AWS eu-west-1, Irlanda) e uma filial nos EUA (região us-east-1, Virgínia do Norte). Ela mantém agentes de chat Amazon Quick e bases de conhecimento específicos para cada região, contendo informações corporativas localizadas. O objetivo é garantir que usuários europeus acessem apenas os recursos na Europa e os americanos, os dos EUA.

Para isso, a solução utiliza:

• Amazon Quick multi-região: agentes de chat, fluxos e bases de conhecimento separados por região.
• IAM Identity Center da AWS: para autenticação unificada, com configuração de Trusted Token Issuer (TTI).
• Microsoft Entra ID: para controle de acesso baseado em grupos, integrando autenticação SAML com o IAM Identity Center.
• Extensões Amazon Quick para Microsoft Teams: para permitir o uso dos recursos diretamente no Teams, com roteamento automático conforme a região do usuário.

Pré-requisitos essenciais

Antes de iniciar, certifique-se de que:

• Você possui uma conta Amazon Quick ativa nas regiões AWS alvo (ex.: eu-west-1 e us-east-1).
• IAM Identity Center configurado para sua organização, com integração SAML configurada com Microsoft Entra ID.
• AWS Secrets Manager disponível em cada região para armazenar credenciais da extensão.
• Permissões IAM para criar funções, políticas e configurar o IAM Identity Center.
• Acesso administrativo no Microsoft 365, incluindo o Microsoft Teams Admin Center e permissão para criar e configurar aplicações empresariais no Microsoft Entra ID.

Passo 1: Criar a aplicação Microsoft Entra ID

Esta aplicação será a base para autenticação dos usuários entre Microsoft 365 e Amazon Quick.

1. No portal Azure, acesse App registrations e clique em New registration.
2. Selecione “Accounts in this organizational directory only (Single tenant)”.
3. Registre a aplicação.
4. Vá em Manage > Authentication e adicione os URLs de redirecionamento (redirect URLs) para cada região AWS. Use o padrão exato:

• https://qbs-cell001.dp.appintegrations.eu-west-1.prod.plato.ai.aws.dev/auth/idc-tti/callback
  • https://qbs-cell001.dp.appintegrations.us-east-1.prod.plato.ai.aws.dev/auth/idc-tti/callback

5. Conceda permissão delegada para Microsoft Graph User.Read para permitir login básico.
6. Anote o Tenant ID, Application (client) ID e crie um client secret, que serão usados posteriormente.

Passo 2: Configurar Trusted Token Issuer no IAM Identity Center

No console do IAM Identity Center da AWS:

1. Vá em Settings > Create trusted token issuer.
2. Insira o URL do emissor do token no formato:

https://login.microsoftonline.com/[YOUR_TENANT_ID]/v2.0

3. Nomeie o token issuer, por exemplo, [YOUR_COMPANY_NAME]-MS365Extensions-Trust-Token-Issuer.
4. Crie o token issuer.
5. Repita essa configuração para todas as regiões onde a extensão será implantada.

Passo 3: Criar segredos no AWS Secrets Manager e configurar permissões IAM

Para cada região AWS:

1. Crie um segredo no Secrets Manager com o nome:

[YOUR_COMPANY_NAME]/MS365/Extensions/[AWS_REGION]

2. Armazene as credenciais da aplicação Microsoft (client_id e client_secret) no formato JSON:

Bloco de código
Copiar
   {
     "client_id": "[YOUR_CLIENT_ID]",
     "client_secret": "[YOUR_CLIENT_SECRET]"
   }

3. Crie uma política IAM chamada [YOUR_COMPANY_NAME]-MS365-Extensions-Policy com permissões para acessar os segredos e descrever o Trusted Token Issuer.

4. Crie uma role IAM com trust relationship para os serviços regionais da extensão Amazon Quick, incluindo os principals regionais, por exemplo:

Bloco de código
Copiar
   "Principal": {
       "Service": [
         "eu-west-1.prod.appintegrations.plato.aws.internal",
         "us-east-1.prod.appintegrations.plato.aws.internal"
       ]
   }

5. Guarde o ARN dessa role para uso posterior.

Passo 4: Configurar extensões Amazon Quick para Microsoft Teams

1. Acesse a console Amazon Quick e selecione a região (ex.: eu-west-1).
2. Em Manage Quick > Extension access > Add extension access:
   • Informe o ARN do Trusted Token Issuer criado.
   • Informe o client ID como audiência (Aud claim).
3. Crie uma extensão Microsoft Teams em Extensions > Create extension:
   • Informe o Tenant ID do Microsoft Entra.
   • Informe o ARN da role IAM e o ARN do segredo regional.
4. Instale a extensão para que o Amazon Quick crie a aplicação empresarial correspondente no Microsoft Entra ID.
5. Repita para todas as regiões.

Passo 5: Criar agentes de chat regionais

Em cada região, crie agentes de chat Amazon Quick com conhecimento local:

1. No console Amazon Quick, vá em Chat agents > Create chat agent.
2. Nomeie o agente incluindo a região, por exemplo:
   • MyCompany-Knowledge-Agent-eu-west-1
   • MyCompany-Knowledge-Agent-us-east-1
3. Configure as bases de conhecimento com dados localizados para respeitar a residência de dados.

Passo 6: Distribuir as extensões no Microsoft Teams

No Microsoft Teams Admin Center:

1. Acesse Team apps > Manage apps e filtre por “Amazon Quick”.
2. Para cada extensão criada (ex.: MyCompany-Teams-eu-west-1), edite a disponibilidade.
3. Atribua a extensão somente aos grupos regionais correspondentes no Microsoft Entra ID.
4. Isso garante que usuários europeus acessem a extensão e agentes da região Europa, e usuários americanos, os da região EUA.

Validação e troubleshooting

• Validação: Usuários devem ser roteados automaticamente para o agente regional correto. No Teams, ao abrir a extensão, escolha o agente regional correspondente.
• Problemas comuns:
  • Extensão não aparece: aguarde 24–48 horas para propagação no Microsoft 365, verifique grupos de usuários.
  • Erros de autenticação: confirme URLs de redirecionamento, configurações do Trusted Token Issuer e trust relationships.
  • Agente errado listado: verifique a associação do usuário aos grupos regionais e configurações no Teams Admin Center.
  • Lista de agentes vazia: confirme se o agente está compartilhado e existe na região correta, e se as permissões estão corretas.

Limitações e cuidados práticos

• Cada nova região exige criar segredos, roles IAM e atualizar políticas e trust relationships.
• A propagação no Microsoft 365 pode levar até dois dias.
• O roteamento depende estritamente da associação correta dos usuários aos grupos regionais no Microsoft Entra ID.
• Para evitar cobranças desnecessárias, limpe os recursos criados caso não sejam mais usados.

Referências e links úteis

• Documentação oficial Amazon Quick: https://docs.aws.amazon.com/quick/latest/userguide/getting-started.html
• Configuração da extensão Amazon Quick para Microsoft Teams: https://docs.aws.amazon.com/quicksuite/latest/userguide/teams-extension.html
• Integração SAML com Microsoft Entra ID: https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html
• Gerenciamento da extensão e acesso: https://docs.aws.amazon.com/quicksuite/latest/userguide/extension-access.html
• Microsoft Teams Admin Center: https://admin.teams.microsoft.com/policies/manage-apps
• AWS Management Console: http://aws.amazon.com/console
• AWS re:Post para dúvidas e suporte: https://repost.aws/?nc1=f_dr

Com essa configuração, sua organização pode garantir que o uso do Amazon Quick integrado ao Microsoft Teams respeite rigorosamente as políticas de residência de dados, mantendo a conformidade e a segurança, sem abrir mão da produtividade dos usuários em diferentes regiões do mundo.