--- title: "Sua chave, suas regras: AWS finalmente permite que clientes usem as próprias chaves de criptografia no IAM Identity Center" author: "Gabriela P. Torres" date: "2025-10-20 13:37:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/20/sua-chave-suas-regras-aws-finalmente-permite-que-clientes-usem-as-proprias-chaves-de-criptografia-no-iam-identity-center/md" --- # Suas chaves, suas regras: AWS finalmente permite que clientes usem as próprias chaves de criptografia no IAM Identity Center A Amazon Web Services (AWS) anunciou uma atualização significativa para seu serviço de gerenciamento de identidades, o IAM Identity Center. A partir de agora, a plataforma passa a suportar o uso de chaves KMS gerenciadas pelo cliente (CMKs), permitindo que as organizações utilizem suas próprias chaves para criptografar dados de identidade em repouso. A mudança, datada de 19 de outubro de 2025, atende a uma demanda antiga do mercado corporativo, especialmente de empresas que operam em setores altamente regulados e com exigências rigorosas de conformidade. ## Controle é a Palavra-Chave (Literalmente) Até então, a lógica era simples: o AWS IAM Identity Center, serviço que centraliza o acesso via Single Sign-On (SSO) a múltiplas contas AWS e aplicações, já criptografava os dados. Ponto para a AWS. Contudo, a criptografia era realizada com chaves pertencentes e gerenciadas pela própria Amazon. Se você é uma empresa que precisa de controle absoluto sobre seus dados, então essa configuração era um "depende" que soava como um "não". Com a nova funcionalidade, o cenário muda para uma lógica booleana mais clara. A integração com o AWS Key Management Service (KMS) transfere o poder de decisão para o cliente. Segundo o comunicado, isso significa que o ciclo de vida da chave de criptografia – criação, rotação e exclusão – fica inteiramente nas mãos da organização. De acordo com Alex Milanovic, gerente de produto sênior do AWS IAM Identity Center, os benefícios são diretos e auditáveis. Em uma publicação, ele resumiu os ganhos em quatro pontos principais: controle total sobre as chaves de criptografia; gerenciamento granular de acesso aos dados via políticas de KMS e IAM; capacidades de auditoria aprimoradas através dos logs do AWS CloudTrail; e, por fim, o fortalecimento da postura de conformidade para indústrias reguladas. Sébastien Stormacq, evangelista de desenvolvimento da AWS, reforçou essa visão, detalhando o nível de controle que a atualização proporciona. "Você pode configurar controles de acesso granulares para as chaves com políticas de chave do AWS Key Management Service (AWS KMS) e políticas do IAM, ajudando a garantir que apenas os principais autorizados possam acessar seus dados criptografados", afirmou Stormacq, conforme reportado pelo InfoQ. Para qualquer CISO (Chief Information Security Officer), essa frase significa que a responsabilidade e o poder estão exatamente onde deveriam estar: dentro de casa. ## BYOK: A Sigla que o Mundo Corporativo Ama A novidade implementa um conceito conhecido no mercado de segurança como "Bring Your Own Key" (BYOK), ou "Traga Sua Própria Chave". A premissa é que, ao permitir que o cliente forneça a chave mestra, a nuvem se torna um cofre, mas a combinação continua sendo propriedade exclusiva do dono dos dados. Se o provedor de nuvem não tem acesso à chave, então ele não pode decifrar os dados, mesmo que seja legalmente compelido a fazê-lo. É o auge da soberania de dados na nuvem. É preciso ser preciso: a AWS não está inventando a roda aqui. A capacidade de usar CMKs para dados em repouso é um requisito padrão para empresas sérias e já é amplamente suportada por outros gigantes da nuvem. O InfoQ, que reportou a notícia, destaca que a Microsoft Azure já facilita isso por meio do Azure Key Vault, permitindo que os clientes criptografem dados em vários serviços e autentiquem o acesso via Microsoft Entra ID. Da mesma forma, o Google Cloud oferece CMKs através do Cloud Key Management Service (Cloud KMS), garantindo um limite criptográfico e controle total do ciclo de vida da chave para serviços como Cloud Storage e BigQuery. Portanto, a atualização da AWS é menos uma inovação e mais uma equalização de funcionalidades essenciais para competir no segmento enterprise. ## Detalhes Técnicos: Multi-Region ou Single-Region? Na prática, o IAM Identity Center agora suporta tanto chaves de região única quanto de múltiplas regiões, buscando atender a diferentes necessidades de implantação. Curiosamente, embora o serviço Identity Center em si só possa ser implantado em uma única região no momento, a própria AWS recomenda o uso de chaves KMS de múltiplas regiões. A justificativa, segundo a empresa, é que as chaves multi-regionais fornecem material de chave consistente entre as regiões, ao mesmo tempo que mantêm uma infraestrutura de chave independente em cada localidade. A exceção, claro, é para empresas cujas políticas internas restrinjam o uso a chaves de região única. A funcionalidade já está disponível em todas as regiões comerciais da AWS, bem como nas regiões AWS GovCloud (US) e AWS China. Em relação aos custos, a conta é direta: os clientes pagam pelo uso do Identity IAM Center, e os encargos padrão do AWS KMS se aplicam ao armazenamento e ao uso da API das chaves. Em resumo, a atualização do AWS IAM Identity Center é uma resposta direta às demandas de soberania e conformidade de dados. Para empresas que antes hesitavam em adotar o serviço por não terem controle total sobre a criptografia, a barreira foi removida. A AWS finalmente entrega as chaves do cofre aos seus clientes, afirmando que, no fim das contas, a segurança dos dados de identidade é uma responsabilidade que deve, de fato, ser controlada por quem eles pertencem.