O S3: Classes de Armazenamento da AWS

Francisco Claudeilton Dantas — Sat, 25 Oct 2025 21:39:16 +0000

Quando pensamos em guardar dinheiro, fazemos escolhas conscientes: parte fica na conta corrente para uso imediato, outra vai para a poupança ou investimentos de longo prazo. Essa lógica também se aplica ao armazenamento de dados na nuvem. O Amazon S3 oferece diferentes classes de armazenamento, cada uma com características próprias — como se fossem “contas” para guardar seus dados com inteligência e economia.

Acesse o exemplo de mapa de classes S3: https://aws-s3-classes-arm.d1wmixdezoes8g.amplifyapp.com/

🏦 S3 Standard — como uma conta corrente
Essa é a classe para dados que você acessa com frequência. Assim como o dinheiro na conta corrente, os arquivos estão sempre disponíveis, com alta velocidade e baixa latência. É ideal para sites, aplicativos e arquivos que estão em uso constante.

🔄 S3 Intelligent-Tiering — como uma conta corrente com gestão automática
Imagine uma conta que movimenta seu dinheiro entre poupança e investimentos conforme seu uso. O Intelligent-Tiering faz isso com seus dados: monitora o acesso e os move automaticamente para camadas mais baratas quando possível, sem comprometer a disponibilidade.

💸 S3 Standard-IA (Infrequent Access) — como uma conta poupança
Para dados que você acessa ocasionalmente, essa classe oferece custo menor de armazenamento, mas cobra quando você precisa acessar. É como guardar dinheiro na poupança: está seguro, mas você pensa duas vezes antes de mexer.

🏡 S3 One Zone-IA — como uma poupança em uma única agência
Semelhante à Standard-IA, mas armazenado em uma única zona de disponibilidade. É mais barato, porém menos resiliente. Serve para dados que podem ser recuperados de outra fonte em caso de falha.

📈 S3 Glacier — como o Tesouro Direto
Essa classe é voltada para arquivamento de longo prazo. Os dados ficam armazenados com segurança, mas a recuperação pode levar horas. É como investir no Tesouro Direto: você economiza, mas precisa esperar para resgatar.

🗿 S3 Glacier Deep Archive — como bens imóveis
A classe mais econômica, ideal para dados que raramente serão acessados, como registros legais ou históricos. A recuperação pode levar até 12 horas. É como guardar valor em um imóvel: seguro, mas nada ágil.

✅ Vantagens
Flexibilidade: escolha a classe ideal para cada tipo de dado.
Economia: paga menos por dados que acessa pouco.
Automação: Intelligent-Tiering reduz esforço de gestão.

⚠️ Desvantagens
Custo de recuperação: algumas classes cobram por acesso.
Tempo de espera: Glacier e Deep Archive não são imediatas.
Complexidade inicial: exige planejamento para escolher bem.

🎯 Lição de Casa para o seu Projeto
Mapeie: Classifique seus dados: Acesso Diário? Acesso Raro? Arquivamento de Longo Prazo?

Automatize: Use o S3 Intelligent-Tiering quando não souber o padrão de acesso.

Use Políticas: Configure políticas de Ciclo de Vida do S3 para mover automaticamente o "dinheiro" da sua Conta Corrente (Standard) para a sua Poupança (IA) e, finalmente, para o Tesouro (Glacier), conforme ele envelhece.

A economia do S3 está na gestão de tempo e valor do seu dado.

📚 Links Importantes para Leitura:

Página Oficial de Classes de Armazenamento (Visão Geral): https://aws.amazon.com/pt/s3/storage-classes/
Página de Preços do S3 (Detalhes por Região e Categoria): https://aws.amazon.com/pt/s3/pricing/
Guia do Usuário: Gerenciamento de Ciclo de Vida do Objeto (Automatização de Movimentação de Classes): https://docs.aws.amazon.com/pt_br/AmazonS3/latest/userguide/object-lifecycle-mgmt.html

Introdução ao AWS IAM: Gestão de Identidades e Permissões na Nuvem

Francisco Claudeilton Dantas — Mon, 29 Sep 2025 23:28:32 +0000

Hoje iremos abordar sobre o pilar de segurança na Amazon Web Services - AWS. Inicialmente abordamos uma introdução ao serviço responsável por gerenciar gestão de acesso aos recursos na AWS.

Vamos o que interessa, o que realmente é o IAM na AWS?

O AWS Identity and Access Management (IAM) é o serviço que permite controlar quem pode acessar seus recursos na AWS e o que cada pessoa ou sistema pode fazer.
Mesmo sem experiência prévia em nuvem, é importante entender que IAM é a porta de segurança que garante que apenas usuários autorizados executem ações específicas em seus recursos.

Contas e Tipos de Usuários IAM
No IAM, cada identidade possui permissões específicas que definem o que ela pode acessar.
Existem três tipos principais de contas e perfis:

1. Usuário IAM:

Criado para pessoas ou sistemas que precisam acessar recursos de forma contínua.
Quando usar: colaboradores que acessam diariamente serviços da AWS.
Quando evitar: scripts automatizados ou aplicações; para esses casos, é melhor usar roles temporárias.

2. Usuário federado:

Permite login temporário usando sistemas de terceiros (como diretórios corporativos SAML ou OIDC).
Quando usar: acesso temporário ou integração com autenticação externa.
Quando evitar: atividades que exigem identidade permanente ou registros detalhados.

3. Root Account:

Conta principal da AWS, criada ao iniciar a conta, ele é responsável pelo gerenciamento da parte de pagamentos dos recursos na AWS.
Quando usar: apenas para configuração inicial, faturamento e definições críticas.
Quando evitar: não deve ser usada para tarefas do dia a dia, pois possui privilégios máximos, representando risco à segurança.

Políticas IAM: Como funcionam

As políticas definem as permissões de acesso aos recursos. Existem dois tipos principais:

Políticas baseadas em identidade:

Associadas a usuários, grupos ou roles.
Exemplo: um usuário pode ter acesso total apenas a uma tabela do DynamoDB.

Podem ser:

Gerenciadas pela AWS (prontas e seguras);
Gerenciadas pelo cliente (personalizáveis);
Inline (embutidas em um único usuário; não recomendadas para grande escala)

Políticas baseadas em recursos:

Anexadas diretamente aos recursos, como buckets do S3 ou chaves do KMS.
Permitem controle de acesso entre contas e acesso detalhado a recursos específicos.

Exemplo de política JSON para DynamoDB:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}

Essa política permite que o usuário execute todas as ações na tabela Books, mas não concede acesso a outros serviços.

Grupos e Roles

Grupos IAM: organizam usuários com permissões semelhantes, facilitando o gerenciamento em larga escala.
Roles (Perfis): usados por usuários federados ou aplicações, concedendo permissões temporárias.

Modelos de Controle de Acesso
Existem dois modelos principais:

1. RBAC – Role-Based Access Control (Controle baseado em função):

Permissões definidas de acordo com funções ou cargos.
Limitação: exige atualização manual quando novos recursos são criados.

2. ABAC – Attribute-Based Access Control (Controle baseado em atributos):

Permissões baseadas em atributos (tags) de usuários e recursos.
Permite acesso dinâmico e escalável, ideal para ambientes corporativos e multi-projeto.

Vantagens do ABAC sobre RBAC:

Escalabilidade e menor necessidade de manutenção.
Permissões automáticas para novos recursos quando tags correspondem.
Redução de políticas complexas, facilitando auditoria e governança.

Boas Práticas

Princípio do menor privilégio: conceda apenas as permissões necessárias.
Revisão periódica: audite políticas, roles e tags regularmente.
Evite root account: use apenas para funções críticas e administrativas.
Prefira roles temporárias para scripts e aplicações automáticas.

📌 Resumo
IAM gerencia identidades e permissões na AWS. Políticas podem ser identity-based ou resource-based, aplicadas a usuários, grupos ou roles. RBAC organiza permissões por função/cargo, enquanto ABAC usa atributos (tags) para autorização dinâmica e escalável. Em multi-account, recomenda-se usar AWS Organizations e SCPs. Princípio do menor privilégio e consistência nas tags são práticas essenciais.

Palavras-chave: IAM, policies, RBAC, ABAC, AWS Organizations, usuários, grupos, roles, SAA-C03, menor privilégio.

DEV Community: Francisco Claudeilton Dantas

O S3: Classes de Armazenamento da AWS

Introdução ao AWS IAM: Gestão de Identidades e Permissões na Nuvem