O blog da AWS
Execução segura de código para agentes de IA com AWS Lambda MicroVMs
Por Shridhar Pandey, Ayush Kulkarni e Tarun Rai Madan.
Equipes de desenvolvimento que constroem aplicações Serverless com agentes de codificação de IA enfrentam a questão de como permitir que esses agentes gerem e executem código sem perder o controle sobre a governança. O código gerado por agentes precisa de um ambiente seguro para executar, isolado dos sistemas de produção e do ambiente local do desenvolvedor. Abordar isso requer três coisas trabalhando juntas: um sandbox de execução seguro, expertise de domínio para construir corretamente e governança sobre o que os agentes têm permissão para fazer. Esta publicação mostra como você pode usar AWS Lambda MicroVMs, o Agent Toolkit for AWS e Policy in Amazon Bedrock AgentCore para permitir que agentes de codificação de IA construam, testem e implantem aplicações Serverless com segurança e controles de governança granulares.
Visão geral
Agentes de codificação de IA como Claude Code, Kiro e Cursor aceleram o desenvolvimento Serverless gerando código, instalando dependências, executando testes e implantando infraestrutura em nome dos desenvolvedores. Mas hoje, a maior parte desse trabalho é executada com quaisquer permissões e acesso que o desenvolvedor tenha. Se o agente agir fora de seu escopo pretendido, seja por erro ou por manipulação de prompt, não há limite entre as ações do agente e o restante do ambiente.
Passar de prova de conceito (PoC) para produção requer isolar o código gerado por agentes em um ambiente contido onde ele possa executar livremente sem afetar o ambiente host ou outros tenants. Requer expertise de domínio incorporada para que os agentes produzam saída de nível de produção em vez de improvisar a partir de dados de treinamento gerais. E requer governança determinística que controle o que os agentes têm permissão para fazer, independentemente de como são solicitados.
Cada um desses requisitos mapeia para uma camada específica na pilha. Lambda MicroVMs fornecem um ambiente de computação isolado e efêmero onde os agentes escrevem, constroem, testam e executam código. O Agent Toolkit for AWS fornece procedimentos validados e melhores práticas que orientam os agentes em direção a saída de qualidade de produção. Policy in AgentCore impõe autorização determinística sobre interações agente-ferramenta no limite.
Cada camada resolve um problema que as outras duas não podem. Sem expertise incorporada no fluxo de trabalho, agentes executando em isolamento ainda produzem código que falha em produção. Sem governança, mesmo agentes bem orientados podem ultrapassar seus limites. E sem isolamento de execução, políticas de governança podem ser contornadas no nível de runtime. As três camadas funcionam como uma unidade.

Figura 1 Pilha de três camadas para execução segura de código para agentes de IA
Camada 1: Execução (Lambda MicroVMs)
O código gerado por agentes de IA precisa de um ambiente seguro para executar, isolado de sistemas de produção, outros tenants e do ambiente host. Lambda MicroVMs fornecem um ambiente de computação baseado em Firecracker com seu próprio kernel, seu próprio sistema de arquivos e seu próprio namespace de rede. Esta é a mesma base de isolamento que alimenta o Lambda desde 2018, agora disponível como um substrato de computação independente. Dentro de uma MicroVM, os agentes podem realizar as mesmas operações que um desenvolvedor faria em sua máquina local, como instalar pacotes, executar comandos shell, executar toolchains de build e executar testes. A diferença está na contenção. Se o agente gerar código destrutivo, seja por alucinação ou injeção de prompt, o impacto é limitado a um único ambiente efêmero.
Cada MicroVM fornece acesso ao sistema operacional com vCPU, memória e disco configuráveis. Os agentes podem executar sessões de usuário por até 8 horas, com acesso de rede configurável (público ou somente virtual private cloud (VPC)). MicroVMs podem ser suspensas e retomadas com seu estado preservado, dando aos agentes retenção de estado entre sessões sem sacrificar o isolamento entre tenants.
Camada 2: Expertise (Agent Toolkit for AWS)
O isolamento de execução sozinho não é suficiente. Um agente que executa em uma MicroVM mas improvisa a partir de dados de treinamento gerais é improvável que produza saída de nível de produção. Por exemplo, ele pode gerar funções Lambda com permissões IAM excessivamente amplas, pular configuração de observabilidade ou implantar sem padrões de rollback seguros. O Agent Toolkit for AWS fornece aos agentes de codificação procedimentos validados e atualizados para tarefas da AWS. Em vez de improvisar, agentes usando o Agent Toolkit seguem habilidades curadas que codificam como um engenheiro experiente realmente constrói em Serverless. O toolkit codifica IAM de menor privilégio por padrão, observabilidade conectada desde o início e padrões de implantação que refletem melhores práticas de produção.
Para Claude Code e Cursor, o Agent Plugin for AWS Serverless empacota essas habilidades como um plugin. No Kiro e outras ferramentas que suportam habilidades de agente, elas estão disponíveis diretamente. Essas habilidades carregam dinamicamente orientação relevante ao longo do ciclo de vida de desenvolvimento, desde a inicialização do projeto até a implantação e solução de problemas. Isso inclui uma habilidade dedicada de Lambda MicroVMs que fornece aos agentes os procedimentos para provisionar, configurar e usar ambientes MicroVM diretamente.
Camada 3: Governança (Policy in AgentCore)
Expertise sem governança pode produzir código correto sem limites sobre quais ações o agente pode realizar. Por exemplo, um agente seguindo melhores práticas ainda pode implantar em produção, sobrescrever infraestrutura existente ou acessar dados fora de seu escopo. Policy in AgentCore intercepta cada chamada de ferramenta no Amazon Bedrock AgentCore Gateway e a avalia contra políticas Cedar antes de permitir a execução. Cedar é uma linguagem de autorização de código aberto construída especificamente para permissões de granularidade fina. Suas políticas são legíveis por humanos, analisáveis por máquinas e avaliam deterministicamente independentemente de como o agente foi solicitado. O gateway expõe as ferramentas disponíveis ao agente. Cedar pode inspecionar parâmetros de entrada da ferramenta, a identidade do usuário em nome do qual o agente está agindo e a ferramenta específica sendo invocada. Uma política pode permitir que um agente chame uma ferramenta de implantação, mas negá-la quando o parâmetro de ambiente for produção.
A aplicação opera inteiramente fora do loop de raciocínio do agente, então as decisões de política não são influenciadas pelo contexto ou prompt do modelo. Ações que sempre seriam negadas são omitidas da lista de ferramentas do agente inteiramente, então o agente nunca sequer as tenta. Um modo somente log suporta rollout incremental, e cada decisão de aplicação é registrada no Amazon CloudWatch para auditoria.
A pilha Serverless agêntica em ação
O passo a passo a seguir mostra um agente de codificação de IA construindo e implantando uma API de processamento de pedidos usando as três camadas trabalhando juntas. A mesma abordagem se aplica a qualquer carga de trabalho Serverless, seja um pipeline de eventos, uma transformação de dados ou um manipulador de webhook. O desenvolvedor solicita ao agente que construa a API. O agente usa a habilidade Lambda MicroVMs para provisionar seu ambiente de execução, então trabalha autonomamente dentro dele. Ele segue habilidades do Agent Toolkit para melhores práticas de produção e invoca ferramentas de implantação através do AgentCore Gateway sob uma política Cedar que controla o que ele tem permissão para fazer.

Figura 2 Fluxo de trabalho de ponta a ponta do prompt do desenvolvedor à implantação governada
Passo 1: Escrever e testar dentro da MicroVM. O agente começa dentro de uma MicroVM. Ele estrutura a aplicação, instala dependências e executa o conjunto de testes até que todos os testes passem. As ações do agente estão contidas na MicroVM, sem impacto no ambiente host ou em qualquer outro tenant.

Figura 3 Agente executando o conjunto de testes dentro de uma Lambda MicroVM
Passo 2: Estruturar com habilidades do toolkit. Com os testes passando, o agente gera o template AWS Serverless Application Model (SAM) para implantação. As habilidades Serverless do Agent Toolkit orientam o agente a usar templates de política SAM (como DynamoDBCrudPolicy) em vez de permissões wildcard inline, habilitar rastreamento AWS X-Ray por padrão e conectar a fonte de eventos a uma HTTP API. O agente não precisa improvisar essas escolhas porque as habilidades as codificam como padrões validados.

Figura 4 Template SAM gerado usando habilidades Serverless do Agent Toolkit
Passo 3: Implantar através do gateway governado. O agente construiu e testou a aplicação dentro de sua MicroVM. Para implantar, ele invoca uma ferramenta de implantação através do AgentCore Gateway. A primeira solicitação do agente especifica environment: "production" como um parâmetro de entrada. A política Cedar avalia a chamada da ferramenta, inspeciona os parâmetros de entrada e nega a solicitação porque o agente está autorizado apenas a implantar em ambientes de staging.
permit(
principal,
action == AgentCore::Action::"DeployTarget___deploy_application",
resource == AgentCore::Gateway::"<gateway-arn>"
) when {
context.input.environment == "staging"
};
forbid(
principal,
action == AgentCore::Action::"DeployTarget___deploy_application",
resource == AgentCore::Gateway::"<gateway-arn>"
) when {
context.input.environment == "production"
};
O agente recebe a negação, ajusta e reinvoca a ferramenta de implantação com environment: "staging". A política permite esta solicitação e a implantação é bem-sucedida. O agente exibe o endpoint da API e observa que a promoção para produção deve passar pelo pipeline de CI/CD.

Figura 5 Policy in AgentCore negando produção e permitindo implantação em staging
A política Cedar não exigiu mudanças no código ou prompting do agente. Ela foi definida uma vez no gateway e aplicada automaticamente em cada invocação de ferramenta.
Melhores práticas e considerações
Para implementar com sucesso esta arquitetura de três camadas, alinhe a configuração de cada camada aos requisitos de segurança e operacionais de sua carga de trabalho. Inicie Policy in AgentCore no modo somente log para observar quais políticas Cedar negariam antes de aplicá-las. Esta abordagem permite validar a cobertura contra fluxos de trabalho reais de agentes sem interromper o desenvolvimento. Implante a aplicação incrementalmente após validar contra sessões representativas.
Delimite o acesso de rede da MicroVM ao que o agente realmente precisa durante a fase de escrita e teste. Conectividade somente VPC geralmente é suficiente porque a implantação passa pelo gateway. Roteie todo o acesso de ferramentas do agente através do AgentCore Gateway. A aplicação de política se aplica apenas a chamadas de ferramentas roteadas através do gateway, então restringir o acesso direto à CLI na configuração de rede da MicroVM fornece cobertura completa. Marque recursos criados por agentes de forma consistente para que políticas Cedar, rastreamento de custos e automação de limpeza tenham um sinal confiável.
Trate políticas Cedar como código. Coloque-as no controle de versão, exija revisões para mudanças e teste-as contra ações representativas de agentes antes de implantar. Para o código da aplicação gerado em si, exponha uma ferramenta de controle de versão através do gateway para que o agente possa fazer commit da saída em um repositório. Isso preserva o histórico, habilita revisão de código antes da promoção e evita regenerar a aplicação do zero em cada atualização.
Conclusão
Esta publicação introduziu uma arquitetura de três camadas para execução segura de código por agentes de codificação de IA em AWS Serverless. Lambda MicroVMs fornecem ambientes de computação isolados e efêmeros onde os agentes escrevem, constroem e testam código. O Agent Toolkit for AWS codifica expertise de domínio através de habilidades validadas e o Agent Plugin for AWS Serverless. Policy in AgentCore impõe governança determinística no limite de acesso a ferramentas usando Cedar. Juntas, essas camadas permitem que os agentes construam e implantem software sem perder o controle.
À medida que os agentes de codificação de IA assumem tarefas mais complexas, a capacidade de executar com segurança código gerado por agentes mantendo qualidade de nível de produção e controle organizacional torna-se cada vez mais importante. Os padrões descritos neste post fornecem uma base que você pode estender à medida que seus fluxos de trabalho de agentes crescem em escopo, desde implantações únicas até arquiteturas de múltiplos serviços.
Para saber mais, visite o guia do desenvolvedor de Lambda MicroVMs. Para começar com Lambda MicroVMs, use o guia de configuração de agente Serverless ou habilidade Lambda MicroVMs para configurar seu agente de codificação de IA para trabalhar com ambientes MicroVM. Compartilhe suas experiências e sugestões através do roadmap do AWS Lambda no GitHub para ajudar a moldar o futuro do desenvolvimento Serverless assistido por agentes.
Este conteúdo foi traduzido do post original do blog, que pode ser encontrado aqui.
Autores
| Shridhar Pandey é Principal Product Manager, AWS Lambda na Amazon Web Services. | |
| Ayush Kulkarni é Senior Software Development Engineer, AWS Lambda na Amazon Web Services. | |
|
Tarun Rai Madan é Senior Product Manager, AWS Lambda na Amazon Web Services.
|
Tradutores
![]() |
Nicolas Tarzia é Senior Technical Account Manager na AWS, com mais de 13 anos de experiência, com ampla experiência em arquitetura cloud, engenharia e design de software. Sua área de interesse são tecnologias serverless.
https://www.linkedin.com/in/nicolastarzia |
![]() |
Daniel Abib é Arquiteto de Soluções Sênior e Especialista em Amazon Bedrock na AWS, com mais de 25 anos trabalhando com gerenciamento de projetos, arquiteturas de soluções escaláveis, desenvolvimento de sistemas e CI/CD, microsserviços, arquitetura Serverless & Containers e especialização em Machine Learning. Ele trabalha apoiando Startups, ajudando-os em sua jornada para a nuvem.
https://www.linkedin.com/in/danielabib/ |

