Conectar a AWS

A AWS (Amazon Web Services) conectada à Sofik dá aos agentes acesso à sua própria conta AWS — EC2, S3, Lambda, RDS, ECS, CloudWatch, SNS, SQS, STS e Cost Explorer. Cada serviço tem um card próprio na Loja, mas todos usam a mesma credencial.

A AWS não tem “Conectar com a Amazon”

Diferente da maioria das ferramentas (que é 1 clique), as APIs da AWS não usam OAuth. O jeito oficial — o mesmo do aws cli e dos SDKs — é uma chave de acesso IAM (Access Key ID + Secret). Por isso o card pede para você colar 3 campos, e não um botão de autorizar.

O que você vai precisar

• Uma conta na AWS com acesso ao Console (de preferência o administrador da conta).

Passo a passo

Vamos criar um usuário IAM dedicado à Sofik (não use a chave da conta-raiz) e gerar uma chave de acesso para ele.

1. Entre no Console da AWS e abra o serviço IAM (busque por “IAM” na barra de pesquisa do topo).

2. No menu lateral, clique em Users → Create user.

3. Dê um nome ao usuário (ex.: sofik) e clique Next.

4. Em Set permissions, escolha Attach policies directly e selecione as permissões que a Sofik vai usar (veja Quais permissões dar abaixo). Clique Next → Create user.

5. Abra o usuário recém-criado, vá na aba Security credentials e clique Create access key.

6. Em Use case, escolha Third-party service (ou Application running outside AWS), marque a confirmação e clique Next → Create access key.

7. Copie o Access key ID e o Secret access key. O Secret aparece só uma vez — copie agora (ou baixe o .csv).

O Secret aparece só uma vez

Se você fechar a tela sem copiar o Secret access key, não dá para vê-lo de novo: apague essa chave e crie uma nova na mesma aba Security credentials.

Descubra sua região

A AWS é organizada por região. Você cola na Sofik o código da região onde estão seus recursos — ele aparece no canto superior direito do Console (ex.: N. Virginia = us-east-1, São Paulo = sa-east-1).

Dica

Na dúvida, use a região onde você criou seus recursos (a maioria das contas no Brasil usa sa-east-1). O Cost Explorer é global e funciona com qualquer região informada.

O que colar na Sofik

Na Loja da Sofik, abra o card do serviço AWS que você quer usar (ex.: AWS S3) e preencha:

Campo na Sofik	Valor da AWS
Access Key ID	o Access key ID do usuário IAM
Secret Access Key	o Secret access key (mostrado uma vez)
Região	o código da região (ex.: us-east-1, sa-east-1)

Salve. A conexão fica ativa.

Uma chave serve para todos os serviços AWS

A mesma chave IAM vale para EC2, S3, Lambda, etc. Para usar mais de um serviço, abra cada card na Loja e cole os mesmos 3 valores. O que cada card pode fazer depende das permissões que você deu ao usuário IAM.

Quais permissões dar

Dê apenas o necessário — se a chave vazar, o estrago fica limitado.

• Só leitura (recomendado para começar): anexe a política gerenciada ReadOnlyAccess. Cobre listar/consultar em todos os serviços (instâncias EC2, buckets S3, funções Lambda, métricas, custos…).
• Leitura + ações de escrita: se você também quer que os agentes ajam (ligar/desligar uma instância EC2, enviar mensagem no SQS, publicar no SNS, invocar uma Lambda, subir um arquivo no S3…), anexe as políticas do serviço correspondente (ex.: AmazonS3FullAccess, AmazonEC2FullAccess, AmazonSQSFullAccess) — ou uma política personalizada com as ações exatas.

Ações que apagam pedem sua aprovação

Operações destrutivas (encerrar uma instância EC2, apagar um objeto/bucket no S3, esvaziar uma fila SQS) sempre passam por aprovação sua no Board Room antes de rodar — mesmo que a permissão IAM exista.

Suas chaves estão seguras

As credenciais ficam cifradas no cofre da sua empresa, são write-only (depois de salvas, a Sofik nunca as mostra de volta) e nunca chegam aos agentes de IA. Cada chamada à AWS é assinada no servidor (SigV4) no momento do uso. Para revogar o acesso, basta desativar a chave no IAM.