AIF-C01 Domínio: Segurança, Conformidade e Governança de IA (14% do exame)

O que é o Domínio Segurança, Conformidade e Governança de IA?

O Domínio 5 da AIF-C01 responde por 14% do exame, ou seja, aproximadamente 9 das 65 questões. O tema pode parecer menor em peso, mas é estratégico: ele conecta o que você já sabe sobre segurança AWS (do CLF-C02 ou do dia a dia) com o que é específico de sistemas de IA. A prova não cobra segurança de infra genérica aqui; ela quer saber como você protege dados, modelos e pipelines de IA de ponta a ponta.

O domínio cobre dois subtopics oficiais: Segurança de dados e privacidade e IAM, criptografia e governança de modelos. Cada um é detalhado abaixo.

A AIF-C01 é uma prova foundational (65 questões, 90 minutos, nota de corte 700, USD 100). Não espere questões de implementação técnica profunda. O que cai é raciocínio conceitual: "qual serviço AWS resolve esse problema?", "quem é responsável por quê?" e "qual prática mitiga esse risco?".

---

Subtopic 1: Segurança de dados e privacidade

Por que dados de IA têm requisitos especiais

Sistemas de IA consomem e produzem dados em volume, velocidade e variedade muito maiores que sistemas convencionais. Um pipeline de ML típico passa por coleta, rotulagem, treinamento, avaliação e inferência. Em cada etapa, dados sensíveis podem vazar, ser manipulados ou ficar expostos mais tempo do que o necessário.

A prova cobra três categorias de risco:

• Dados de treinamento: podem conter PII (informação pessoal identificável) de usuários reais. Se um modelo é treinado com dados que incluem CPF, endereço ou comportamento de navegação, o modelo pode "memorizar" esses dados e reproduzi-los na inferência.
• Dados de inferência: o que o usuário envia para o modelo em runtime também é sensível. Em aplicações médicas, jurídicas ou financeiras, isso é especialmente crítico.
• Saída do modelo: o output de um LLM pode gerar conteúdo que revela informação de treinamento ou viola políticas de privacidade por outros meios.

Princípios de privacidade que a prova cobra

Minimização de dados: coletar apenas o necessário para a tarefa. A prova gosta de cenários onde a alternativa correta é "usar apenas os atributos necessários para o modelo" em vez de ingerir todo o dataset disponível.

Anonimização e pseudonimização: antes de usar dados reais para treinar modelos, remover ou mascarar identificadores pessoais. A prova distingue anonimização (remoção permanente, irreversível) de pseudonimização (substituição por token reversível com chave separada).

Controle de acesso a datasets: quem pode ler os dados de treinamento? A resposta correta sempre envolve menor privilégio, roles granulares e auditoria de acesso.

Retenção e exclusão: dados de treinamento e logs de inferência devem ter política de retenção definida. A prova cobra que você saiba que dados retidos além do necessário aumentam o risco de exposição.

Serviços AWS envolvidos

Amazon S3 é o repositório central de datasets de treinamento. Os controles relevantes que a prova menciona:

• Bucket policies e ACLs para restringir acesso
• S3 Block Public Access ativado por padrão em contas novas
• S3 Object Lock para imutabilidade de dados regulados
• Criptografia server-side (SSE-S3, SSE-KMS, SSE-C)

Amazon Macie detecta automaticamente PII e dados sensíveis em buckets S3. A prova adora Macie em cenários de governança de dados: "qual serviço identifica automaticamente dados pessoais nos datasets de treinamento?" A resposta é Macie.

AWS Glue processa e transforma dados antes do treinamento. Dados sensíveis precisam ser mascarados ou removidos no job Glue antes de chegarem ao SageMaker. A prova pode apresentar um pipeline onde o candidato deve identificar onde a anonimização deve ocorrer.

Amazon SageMaker Feature Store armazena features processadas. Tem controles de acesso integrados para separar quem pode ler features de produção vs. features de experimento.

AWS PrivateLink e VPC Endpoints permitem que o tráfego entre serviços AWS não saia para a internet pública. Em cenários de compliance (saúde, financeiro), a prova pode cobrar que você saiba usar VPC Endpoints para que os dados de treinamento nunca trafeguem pela internet.

Modelo de responsabilidade compartilhada aplicado a IA

A prova retoma o modelo de responsabilidade compartilhada aqui, com um giro específico para IA.

A AWS é responsável pela segurança da infraestrutura onde rodam os serviços: os datacenters do SageMaker, a infraestrutura do Bedrock, a rede interna AWS. Você é responsável pela segurança nos seus sistemas: o conteúdo dos seus datasets, as políticas de acesso aos seus buckets, a configuração de criptografia que você ativa (ou não ativa).

Um erro comum em questões: candidatos acham que a AWS garante privacidade dos dados que você coloca nos serviços. Não garante. Se você armazenar PII sem criptografia em S3 e sem controle de acesso, isso é responsabilidade sua, não da AWS.

---

Subtopic 2: IAM, criptografia e governança de modelos

IAM aplicado a sistemas de IA

O IAM na AIF-C01 não é diferente do IAM que a CLF-C02 cobre, mas o contexto muda. Em sistemas de IA, as identidades relevantes são:

• Cientistas de dados e engenheiros de ML: precisam de acesso a datasets, notebooks SageMaker e jobs de treinamento. Geralmente não precisam de acesso à infraestrutura de produção.
• Roles de serviço SageMaker: cada job de treinamento, endpoint de inferência e pipeline no SageMaker assume uma IAM role. Essa role deve ter apenas as permissões mínimas: leitura do bucket de input, escrita no bucket de output, sem acesso a outros recursos.
• Roles de acesso ao Bedrock: aplicações que chamam a API do Bedrock precisam de uma role com bedrock:InvokeModel para os modelos específicos que usam. Não bedrock:* para todos os modelos.
• Usuários finais: em arquiteturas multi-tenant (um SaaS que usa IA), cada usuário não deve ter role AWS direta; a aplicação usa uma única role com controles lógicos na camada de aplicação.

Princípio do menor privilégio em pipelines de ML: a prova cobra cenários onde uma role de treinamento tem mais permissão do que precisa. A alternativa correta sempre é restringir para o mínimo necessário àquele estágio do pipeline.

SageMaker Execution Roles: cada componente do SageMaker (notebook, training job, endpoint) tem sua própria execution role. A prova pode perguntar qual role deve ter acesso a qual recurso.

Criptografia em sistemas de IA

AWS KMS (Key Management Service) é o pilar de criptografia que a prova cobra. Os padrões que aparecem em questões de IA:

• Criptografia de datasets em repouso: S3 com SSE-KMS, usando chaves gerenciadas pelo cliente (CMK) para controle total sobre rotação e revogação.
• Criptografia de artefatos de modelo: o modelo treinado (os pesos, o arquivo .tar.gz do SageMaker) deve ser criptografado em S3 com KMS antes do deploy.
• Criptografia de notebooks: volumes EBS de instâncias SageMaker podem ser criptografados com KMS.
• Criptografia de dados em trânsito: TLS 1.2+ para toda comunicação entre serviços. SageMaker usa TLS por padrão; a prova não vai cobrar configuração manual, mas pode cobrar que você saiba que está ativado.

A diferença entre chaves gerenciadas pela AWS (aws/s3, aws/sagemaker) e CMKs (Customer Managed Keys) aparece em questões de auditoria e compliance. CMKs permitem que você veja quem usou a chave, quando e para quê via CloudTrail, e permitem revogar acesso imediatamente.

Criptografia de endpoints de inferência: quando o SageMaker endpoint retorna a predição, o tráfego é criptografado por TLS. Se o endpoint fica dentro de uma VPC, você pode adicionar VPC Endpoint para que nenhum tráfego saia da rede privada.

Governança de modelos

Governança de modelos cobre o ciclo de vida completo: como os modelos são versionados, auditados, aprovados e desativados. A prova cobra os conceitos sem entrar em implementação profunda.

Model Registry no SageMaker: repositório centralizado de versões de modelo. Cada versão pode ter status Approved, Rejected ou PendingManualApproval. A prova pode perguntar qual serviço permite controlar qual versão de modelo vai para produção. Resposta: SageMaker Model Registry.

Auditoria com CloudTrail: toda chamada à API SageMaker e Bedrock é registrada no CloudTrail. Isso permite responder perguntas de compliance: "quem invocou esse endpoint e quando?", "quem modificou essa policy de acesso ao modelo?". Em cenários de auditoria na prova, CloudTrail é quase sempre parte da resposta.

Amazon SageMaker Model Monitor: monitora a qualidade dos dados de entrada e do comportamento do modelo em produção. Detecta data drift (quando os dados que chegam no endpoint diferem dos dados de treinamento) e concept drift (quando a relação entre features e target muda no mundo real). A prova pode posicionar Model Monitor como parte da governança: não basta colocar o modelo em produção, é preciso monitorar se ele ainda se comporta como esperado.

Amazon Bedrock Guardrails: controla o que o modelo pode receber como input e retornar como output. Define temas proibidos, filtra conteúdo prejudicial e pode mascarar PII nas respostas. É um controle de governança em tempo de inferência, específico para modelos generativos.

Conformidade e regulações: a prova não exige memorizar siglas de compliance, mas pode citar contextos onde regulações se aplicam (saúde, financeiro, setor público). Os serviços relevantes nesse contexto são o AWS Artifact (documentação de compliance e relatórios de auditoria AWS, como SOC 2 e ISO 27001) e as certificações AWS que cobrem dados de saúde (HIPAA) e pagamentos (PCI DSS).

Pegadinhas comuns deste domínio

Responsabilidade pelo conteúdo dos dados: a AWS não filtra o que você coloca nos datasets. Se você treinar um modelo com dados enviesados ou ilegais, isso é responsabilidade sua. A prova pode apresentar cenários onde candidatos erram por achar que um serviço AWS previne isso automaticamente.

Criptografia não ativada por padrão em tudo: S3 agora criptografa por padrão (SSE-S3), mas KMS com CMK exige configuração explícita. A prova pode cobrar a distinção: SSE-S3 é automático, SSE-KMS com CMK precisa ser habilitado pelo usuário.

Model Monitor vs. Guardrails: confusão frequente. Model Monitor detecta problemas de qualidade de dados e drift nos dados de entrada/saída em produção. Guardrails filtra conteúdo proibido nas respostas de modelos generativos em tempo real. São camadas diferentes: Monitor é retrospectivo e estatístico; Guardrails é proativo e por regras.

CloudTrail vs. CloudWatch: CloudTrail registra chamadas à API (quem fez o quê). CloudWatch registra métricas e logs de aplicação (o que está acontecendo nos recursos). Para auditoria de acesso e compliance, a resposta geralmente é CloudTrail.

Macie vs. GuardDuty: Macie detecta dados sensíveis (PII) em S3. GuardDuty detecta comportamento malicioso e ameaças à conta AWS. Em cenários de "identificar dados pessoais no dataset", a resposta é Macie, não GuardDuty.

---

O que a prova cobra: resumo prático

O examinador AIF-C01 quer que você saiba:

• Onde PII pode aparecer em pipelines de IA e qual serviço AWS detecta isso automaticamente (Macie).
• Como aplicar menor privilégio a roles SageMaker e Bedrock: cada componente com a permissão mínima para sua função.
• Qual é a diferença entre criptografia gerenciada pela AWS e por CMK: CMK dá auditabilidade e controle de revogação via KMS.
• Model Registry como controle de promoção de modelos: não vai para produção sem aprovação explícita.
• CloudTrail como trilha de auditoria de tudo que acontece nas APIs SageMaker e Bedrock.
• Model Monitor para drift e Guardrails para filtragem de conteúdo em modelos generativos.
• A divisão de responsabilidade: AWS protege a infraestrutura, você configura e protege seus dados e modelos.

Com 14% do exame, esse domínio vale cerca de 9 questões. Acertar 7 ou 8 delas com esse conhecimento é totalmente factível.

---

Leia também

• AIF-C01 Domínio: Diretrizes para IA Responsável (14% do exame)
• AIF-C01 Domínio: Aplicações de Foundation Models (28% do exame)
• AWS AI Practitioner (AIF-C01) em português: guia completo
• Glossário AWS em PT-BR

Pronto para testar esse domínio?

Simulado focado em segurança e governança de IA, com flashcards dos serviços que mais caem. 7 dias grátis.

Conhecer o CertAI