IA em Foco
Voltar para o blog
Machine Learning

Como Referenciar Segredos do AWS Secrets Manager na Identidade do Amazon Bedrock AgentCore

2 de junho de 2026
00:06
IA AutônomaSegurança em NuvemautenticaçãoAmazon Bedrock AgentCoregovernança de TIGerenciamento de SegredosAWS Secrets ManagerAWS KMSCredenciais de APIIntegração AWS
Como Referenciar Segredos do AWS Secrets Manager na Identidade do Amazon Bedrock AgentCore

Nova funcionalidade para integração de segredos no Amazon Bedrock AgentCore Identity

A Amazon Web Services (AWS) anunciou uma atualização importante para o Amazon Bedrock AgentCore Identity: agora é possível referenciar segredos pré-configurados no AWS Secrets Manager diretamente nas credenciais de autenticação do AgentCore. Essa novidade permite que organizações mantenham o controle total sobre a gestão, segurança e governança dos seus segredos, estendendo seus processos já existentes para o ambiente do AgentCore.

Por que essa funcionalidade é relevante?

Agentes de IA, como os que utilizam o Amazon Bedrock, frequentemente precisam acessar APIs externas para executar tarefas, o que demanda o uso seguro de credenciais. Até então, o AgentCore Identity criava e gerenciava automaticamente esses segredos no Secrets Manager, mas sem permitir personalizações detalhadas, como configuração de tags, políticas de rotação, ou uso de chaves de criptografia gerenciadas pelo cliente.

Com a possibilidade de referenciar segredos já existentes, as equipes de segurança e desenvolvimento podem:

  • Manter controle total sobre a criptografia, rotação, replicação e políticas de acesso dos segredos.
  • Integrar segredos de outras contas AWS na mesma região, ampliando a flexibilidade organizacional.
  • Utilizar segredos importados via conectores externos do Secrets Manager, facilitando a integração com gerenciadores de segredos de terceiros.

Casos de uso práticos

  • Reutilização de segredos já existentes: Se sua equipe já possui um segredo configurado para acessar uma API externa, basta informar o ARN desse segredo no AgentCore Identity, evitando a criação duplicada.
  • Rotação segura de credenciais: Ao rotacionar o segredo no Secrets Manager, o AgentCore automaticamente recupera o novo valor sem necessidade de atualizar ou recriar recursos.
  • Controle granular de acesso: É possível definir diretamente no Secrets Manager quais identidades IAM podem acessar o segredo, garantindo segurança e compliance.
  • Ambientes regulados: Organizações que exigem criptografia com chaves gerenciadas pelo cliente podem manter essa configuração ao criar o segredo antes de referenciá-lo no AgentCore.
  • Governança e auditoria: Tags e políticas aplicadas ao segredo são mantidas, facilitando o acompanhamento de custos e conformidade.

Pré-requisitos para usar segredos referenciados

  • Um segredo existente no AWS Secrets Manager contendo a chave da API ou o segredo do cliente OAuth.
  • Permissões IAM adequadas para o serviço AgentCore Identity acessar o segredo (secretsmanager:GetSecretValue) e, se aplicável, permissão para descriptografar com a chave KMS gerenciada pelo cliente (kms:Decrypt).
  • Acesso ao console do Amazon Bedrock AgentCore Identity ou à AWS CLI.

Como configurar um segredo referenciado no AgentCore Identity

Via console do Amazon Bedrock AgentCore

  1. Acesse o console do Amazon Bedrock AgentCore Identity.
  2. No menu lateral, selecione Identity.
  3. Na seção Outbound Auth, clique em Add Outbound Auth.
  4. Para adicionar uma chave API, escolha Add API key. Para OAuth, escolha Add OAuth client.
  5. Informe um nome para o recurso de autenticação.
  6. Em API key selection method ou Client secret, selecione a opção para fornecer o segredo via Secrets Manager.
  7. Informe o ARN do segredo existente e a chave JSON que contém o valor da credencial.
  8. Confirme a criação e verifique se o recurso aparece na lista de autenticações.

Via AWS CLI

Exemplo para criar um provedor de credenciais OAuth2 referenciando um segredo externo:

aws bedrock-agentcore-control create-oauth2-credential-provider \
  --name "google-oauth-client-v5fz5" \
  --credential-provider-vendor "GoogleOauth2" \
  --oauth2-provider-config-input '{ "googleOauth2ProviderConfig": { "clientId": "<clientId>", "clientSecretSource": "EXTERNAL", "clientSecretConfig": { "secretId": "arn:aws:secretsmanager:us-east-1:123456789012:secret:myGoogleKeySecret-AbCdEf", "jsonKey": "key" } } }'

Usando agentes de IA para automação

Ferramentas de codificação assistidas por IA podem ser utilizadas para criar recursos no AgentCore Identity com comandos simples, por exemplo:

"Tenho um segredo existente no AWS Secrets Manager com ARN arn:aws:secretsmanager:us-east-1:123456789012:secret:my-api-key. Crie um provedor de credenciais OAuth2 no Amazon Bedrock AgentCore Identity chamado <client-name>, usando GoogleOauth2 como fornecedor. O client ID é <clientId>, a fonte do segredo é EXTERNAL e a chave JSON do segredo é key."

Permissões necessárias para o AgentCore Identity

Para que o AgentCore Identity acesse o segredo referenciado, é fundamental adicionar uma política de recurso no segredo que permita a chamada secretsmanager:GetSecretValue pelo principal do serviço AgentCore Identity. Se o segredo estiver criptografado com uma chave KMS gerenciada pelo cliente, a permissão kms:Decrypt também deve ser concedida.

Com essa atualização, o Amazon Bedrock AgentCore Identity ganha maior flexibilidade e segurança ao trabalhar com credenciais, permitindo que empresas mantenham suas políticas de governança e melhores práticas de segurança de forma consistente. A funcionalidade ajuda a garantir que agentes de IA possam operar com credenciais atualizadas e protegidas, sem necessidade de alterações constantes na configuração dos recursos.

Links úteis