# Amazon Managed Grafana FedRAMP High: Observabilidade em Ambientes Regulados

O Amazon Managed Grafana alcançou autorização FedRAMP High nas regiões AWS GovCloud (US-East) e (US-West), desbloqueando observabilidade gerenciada para agências federais e setores com requisitos de conformidade rigorosos. Neste artigo, analiso o que essa autorização realmente significa em termos de arquitetura, os padrões de design que ela habilita e os anti-padrões que ainda persistem mesmo com o serviço autorizado.

- URL: https://fernando.moretes.com/blog/amazon-managed-grafana-fedramp-high-observabilidade-em-ambientes-regul-amazon-manag

- Markdown: https://fernando.moretes.com/blog/amazon-managed-grafana-fedramp-high-observabilidade-em-ambientes-regul-amazon-manag/article.md?lang=pt

- Published: 2026-07-17T09:03:17.653Z

- Category: IA & Agentes

- Tags: fedramp, govcloud, grafana, observability, compliance, security, iam, zero-trust

- Reading time: 9 min

- Source: [Amazon Managed Grafana achieves FedRAMP High authorization in AWS GovCloud (US)](https://aws.amazon.com/about-aws/whats-new/2026/07/amazon-managed-grafana-fedramp-high/)

---

FedRAMP High não é apenas um carimbo de conformidade. É um contrato arquitetural que redefine como você projeta, opera e audita sua pilha de observabilidade — e entender o que ele exige de você, não apenas do serviço, é o que separa uma implantação segura de uma falsa sensação de conformidade.

## O que a autorização FedRAMP High realmente significa para um arquiteto

FedRAMP High é o nível mais elevado do programa Federal Risk and Authorization Management Program dos EUA. Ele mapeia para o NIST SP 800-53 Rev. 5 com mais de 420 controles de segurança aplicáveis — cobrindo confidencialidade, integridade e disponibilidade de sistemas que processam dados cujo comprometimento poderia causar impacto severo ou catastrófico às operações governamentais. Isso inclui sistemas de saúde, aplicações de segurança nacional, infraestrutura crítica e qualquer workload que processe CUI (Controlled Unclassified Information) em categorias de alto impacto.

Quando a AWS anuncia que o Amazon Managed Grafana atingiu FedRAMP High nas regiões GovCloud (US-East e US-West), o que isso significa concretamente é que a AWS passou por uma avaliação independente de terceiros (3PAO) validando que o serviço gerenciado — sua infraestrutura subjacente, processos operacionais, controles de acesso, criptografia, logging e resposta a incidentes — atende a esses 420+ controles. O Authorization to Operate (ATO) é emitido pelo Joint Authorization Board (JAB) ou por uma agência patrocinadora, e é mantido através de monitoramento contínuo.

O ponto crítico para um arquiteto: a autorização FedRAMP High cobre o **serviço gerenciado em si**, não a sua workload. O modelo de responsabilidade compartilhada ainda se aplica com força total. Você precisa garantir que os dados que fluem para o Grafana, as fontes de dados que ele consulta, as identidades que o acessam e os alertas que ele dispara também operem dentro de um boundary FedRAMP High. Um workspace Grafana autorizado consultando um CloudWatch Log Group em us-east-1 (fora do GovCloud) invalida imediatamente seu boundary de conformidade.

## Anatomia de um workspace Managed Grafana em GovCloud: o que o serviço gerencia e o que você gerencia

O Amazon Managed Grafana provisiona workspaces Grafana como unidades de isolamento. Cada workspace recebe um endpoint HTTPS dedicado, opera em infraestrutura multi-tenant gerenciada pela AWS (com isolamento de plano de dados por workspace), e persiste configurações de dashboards, datasources e alertas no backend gerenciado. A AWS cuida de patches, upgrades de versão do Grafana, alta disponibilidade e backups do plano de controle.

No contexto GovCloud com FedRAMP High, os controles que **você** precisa implementar e evidenciar incluem: (1) **Autenticação e autorização**: o Managed Grafana suporta integração com AWS IAM Identity Center (que também possui autorização FedRAMP High em GovCloud desde dezembro de 2022) e com SAML 2.0 para IdPs corporativos. Em ambientes FedRAMP High, MFA é mandatório — você precisa configurar sua política de autenticação no IAM Identity Center para exigir MFA resistente a phishing (FIDO2/WebAuthn) e garantir que os grupos SAML mapeiem corretamente para os papéis Grafana (Admin, Editor, Viewer). (2) **Controle de acesso a datasources**: cada datasource no Grafana precisa usar credenciais com privilégio mínimo. Para CloudWatch Metrics e Logs no GovCloud, isso significa IAM roles com políticas scoped para os namespaces e log groups específicos — não `cloudwatch:*`. Use `aws/grafana` KMS key para criptografia do workspace. (3) **Network boundary**: o workspace deve ser configurado com VPC connectivity habilitada, usando AWS PrivateLink para que o tráfego entre o plano de dados do Grafana e suas fontes de dados nunca atravesse a internet pública. Isso é um controle SC-8 (Transmission Confidentiality and Integrity) explícito no NIST 800-53.

A separação entre o que a AWS gerencia e o que você gerencia não é apenas conceitual — é auditável. Em uma avaliação FedRAMP, você precisará apresentar evidências de cada controle que é sua responsabilidade, incluindo screenshots de configuração, logs do CloudTrail mostrando alterações de configuração e políticas IAM exportadas.

## Arquitetura de Observabilidade FedRAMP High com Amazon Managed Grafana no GovCloud

Fluxo completo de dados de observabilidade dentro do boundary FedRAMP High no GovCloud, mostrando controles de identidade, rede e criptografia em cada camada.

### 👤 Identity & Access

- IAM Identity Center FedRAMP High FIDO2 MFA (security)
- SAML 2.0 IdP (Agency IdP) (external)

### 📊 Visualization Plane

- Managed Grafana Workspace FedRAMP High ATO (frontend)
- KMS aws/grafana GovCloud CMK (security)

### 🔒 Network Boundary (GovCloud VPC)

- PrivateLink VPC Endpoint SC-8 compliant (network)
- Customer VPC GovCloud no IGW (network)

### 📡 Data Sources (GovCloud only)

- CloudWatch Metrics & Logs scoped IAM role (data)
- Amazon Managed Prometheus GovCloud (data)
- OpenSearch Service GovCloud (storage)

### 🔍 Audit & Compliance

- CloudTrail Data Events S3 GovCloud (security)
- Security Hub FedRAMP findings GovCloud (security)

### Fluxos

- saml -> idcenter: federação SAML
- idcenter -> grafana: SSO + MFA FIDO2
- kms -> grafana: criptografia workspace
- grafana -> privatelink: consultas via PrivateLink
- privatelink -> vpc: tráfego interno VPC
- vpc -> cloudwatch: IAM role scoped
- vpc -> amp: SigV4 auth
- vpc -> opensearch: IAM + fine-grained
- grafana -> cloudtrail: API calls auditados
- cloudtrail -> securityhub: findings contínuos

## Integrações de datasource no GovCloud: onde a maioria dos projetos falha

A maior armadilha operacional que vejo em projetos de observabilidade em ambientes regulados é a configuração incorreta das fontes de dados. O Managed Grafana suporta nativamente CloudWatch, Amazon Managed Service for Prometheus (AMP), OpenSearch Service, Athena, Redshift e X-Ray como datasources AWS — mas nem todos esses serviços possuem autorização FedRAMP High no GovCloud na mesma data de publicação deste artigo. Você precisa verificar o AWS Services in Scope for FedRAMP ativamente antes de adicionar qualquer datasource.

Para CloudWatch no GovCloud, a integração usa uma IAM role assumida pelo workspace Grafana. O padrão correto é criar uma role com trust policy restrita ao principal do serviço Managed Grafana (`grafana.amazonaws.com`) com uma condição `aws:SourceAccount` apontando para seu account ID — isso previne confused deputy attacks. A política de permissões deve ser scoped para namespaces específicos: `cloudwatch:GetMetricData`, `cloudwatch:ListMetrics` com condição `cloudwatch:namespace` limitando a `AWS/ECS`, `AWS/RDS` etc., e `logs:StartQuery`, `logs:GetQueryResults` com `logs:ResourceArns` apontando para ARNs de log groups específicos. Nenhum wildcard.

Para Amazon Managed Prometheus, a autenticação usa SigV4 — o Grafana assina as requisições com a IAM role do workspace. O endpoint AMP workspace no GovCloud tem o formato `https://aps-workspaces.us-gov-west-1.amazonaws.com/workspaces/<id>`. O tráfego deve fluir via PrivateLink usando o endpoint `com.amazonaws.us-gov-west-1.aps-workspaces`. Se você não configurar o VPC endpoint e o workspace Grafana tiver VPC connectivity habilitada, as requisições falharão silenciosamente ou rotearão pela internet — ambos os cenários são inaceitáveis em FedRAMP High.

Um detalhe frequentemente ignorado: o Grafana Alerting no Managed Grafana pode disparar notificações para SNS, PagerDuty ou Slack. Em FedRAMP High, você precisa garantir que os canais de notificação também estejam dentro do boundary. SNS no GovCloud é FedRAMP High autorizado; Slack e PagerDuty não são serviços AWS e requerem análise de ATO separada ou uso de um relay interno.

> **O boundary FedRAMP High é tão forte quanto seu elo mais fraco:** Autorização FedRAMP High no serviço gerenciado não cobre automaticamente os dados que você injeta nele. Um workspace Grafana autorizado consultando um datasource não autorizado, ou com um canal de alerta que atravessa a internet pública, invalida o boundary inteiro. Trate cada integração como uma extensão do perímetro de conformidade — não como uma questão de conveniência operacional.

## Observabilidade como superfície de ataque: os riscos específicos do Grafana em ambientes de alto impacto

Grafana tem um histórico de vulnerabilidades críticas que precisam ser consideradas mesmo em um serviço gerenciado. CVE-2021-43798 (path traversal permitindo leitura arbitrária de arquivos) e CVE-2022-31107 (OAuth account takeover) são exemplos que afetaram instalações self-hosted. Em ambientes FedRAMP High, a vantagem do serviço gerenciado é que a AWS aplica patches sem janela de manutenção explícita do cliente — mas você precisa ter visibilidade sobre quando patches são aplicados e validar que seu ambiente não foi afetado.

No Managed Grafana, o plano de controle expõe APIs via AWS API (não via interface Grafana diretamente) para operações de provisionamento de workspace. Isso significa que CloudTrail captura `grafana:CreateWorkspace`, `grafana:UpdateWorkspace`, `grafana:AssociateLicense` e similares. Configure alertas no Security Hub ou CloudWatch Alarms para detectar alterações não autorizadas nesses recursos. Em FedRAMP High, o controle AU-6 (Audit Review, Analysis, and Reporting) exige que você revise logs de auditoria regularmente — automatize isso com EventBridge rules disparando Lambda para análise de anomalias.

Um vetor de risco específico do Grafana que frequentemente é subestimado: **datasource credentials exposure via dashboard sharing**. Se um usuário com papel Editor criar um dashboard que embute uma query contra um datasource sensível e compartilhar via snapshot público (Grafana suporta snapshots públicos por padrão), os dados podem vazar fora do boundary. No Managed Grafana, você pode desabilitar snapshots externos via configuração do workspace — em FedRAMP High, isso não é opcional, é mandatório. Verifique a configuração `grafana_config` no workspace para garantir que `external_enabled = false` nos snapshots.

Além disso, o Grafana suporta plugins de terceiros. No Managed Grafana, a AWS controla quais plugins estão disponíveis, o que reduz a superfície de ataque, mas você ainda precisa auditar quais plugins estão instalados no seu workspace e garantir que eles não introduzam conexões externas não autorizadas.

## Operacionalização: GitOps para dashboards, IaC para workspaces e SLOs em ambientes regulados

Em ambientes FedRAMP High, a rastreabilidade de mudanças não é uma boa prática — é um controle obrigatório (CM-3: Configuration Change Control). Isso tem implicações diretas em como você gerencia dashboards e configurações do Grafana. A abordagem que recomendo é tratar todo artefato do Grafana como código: dashboards em JSON versionados no CodeCommit (que possui FedRAMP High no GovCloud), datasources provisionados via Terraform usando o provider `grafana` com state no S3 GovCloud com versionamento habilitado e MFA delete, e workspaces provisionados via CloudFormation ou Terraform com drift detection habilitado.

O Managed Grafana suporta provisionamento de dashboards via API — você pode usar o Grafana HTTP API autenticado com uma service account (Grafana 9+) ou via AWS API para configurações de workspace. Em um pipeline CI/CD no GovCloud, o fluxo típico é: PR no CodeCommit → CodeBuild valida JSON do dashboard com `grafana-dashboard-lint` → CodePipeline aplica via API Grafana → CloudTrail registra a chamada API → notificação para o canal de mudanças aprovado. Cada step precisa de evidência auditável.

Para SLOs em ambientes regulados, o Managed Grafana com datasource AMP é uma combinação poderosa. Defina SLIs como métricas Prometheus (ex: `sum(rate(http_requests_total{status=~"2.."}[5m])) / sum(rate(http_requests_total[5m]))`), configure recording rules no AMP para pré-computar SLO burn rates, e use Grafana Alerting para disparar alertas quando o error budget cair abaixo de thresholds definidos. Em FedRAMP High, os SLOs de disponibilidade do próprio Grafana precisam ser documentados — a AWS publica SLAs do Managed Grafana, mas você precisa incorporar esses números no seu System Security Plan (SSP).

Um aspecto frequentemente negligenciado em projetos de observabilidade regulados é a retenção de dados de telemetria. FedRAMP High pode exigir retenção de logs de auditoria por 3 anos (AU-11). Configure CloudWatch Log Groups com retention de 1095 dias e archive para S3 GovCloud com S3 Object Lock em modo COMPLIANCE para garantir imutabilidade.

## Anti-padrões críticos em implantações Grafana FedRAMP High

- **Assumir que FedRAMP High no serviço = conformidade automática da workload.** A autorização cobre a infraestrutura gerenciada pela AWS, não seus dados, identidades ou integrações. Cada componente que toca o workspace precisa de análise de conformidade independente.
- **Usar datasources fora do GovCloud boundary.** Conectar um workspace Grafana no GovCloud a um CloudWatch namespace em us-east-1 ou eu-west-1 move dados fora do boundary FedRAMP High. Isso é uma violação de controle SC-8 e invalida seu ATO.
- **IAM roles com permissões wildcard para datasources.** Policies com `cloudwatch:*` ou `logs:*` violam o princípio de privilégio mínimo (AC-6) e ampliam dramaticamente o raio de blast em caso de comprometimento do workspace.
- **Snapshots públicos habilitados.** O Grafana habilita snapshots externos por padrão. Em FedRAMP High, isso precisa ser explicitamente desabilitado. Um snapshot público de um dashboard com dados de métricas operacionais é uma exfiltração de dados não intencional.
- **Canais de alerta fora do boundary.** Configurar Grafana Alerting para enviar notificações diretamente para Slack, PagerDuty ou webhooks externos sem análise de ATO. Use SNS GovCloud como relay intermediário e implemente um relay interno para sistemas externos se necessário.
- **Dashboards gerenciados manualmente sem controle de versão.** Alterações manuais via UI do Grafana não são capturadas pelo CloudTrail com o mesmo nível de detalhe que chamadas API. Em FedRAMP High, toda mudança de configuração precisa ser rastreável — use GitOps com pipeline CI/CD para todas as alterações de dashboard.

## Managed Grafana FedRAMP High pela lente do AWS Well-Architected

- **security**: Implemente Zero Trust para cada datasource: IAM roles com `aws:SourceAccount` condition, PrivateLink para todo tráfego de dados, KMS CMK para criptografia do workspace, MFA FIDO2 obrigatório via IAM Identity Center, e snapshots externos desabilitados. Habilite CloudTrail com validação de integridade de log files no S3 GovCloud com Object Lock COMPLIANCE.
- **reliability**: O Managed Grafana é multi-AZ por design dentro de cada região GovCloud. Para workloads críticas, considere workspaces espelhados em GovCloud US-East e US-West com dashboards sincronizados via pipeline GitOps — isso fornece RTO próximo de zero para falhas regionais. Documente o SLA do serviço no SSP e implemente health checks via CloudWatch Synthetics.
- **performance**: Use AMP recording rules para pré-computar métricas de alta cardinalidade antes que o Grafana as consulte — isso reduz latência de query de segundos para milissegundos em dashboards com ranges de tempo longos. Para CloudWatch, prefira `GetMetricData` com múltiplas métricas em uma única chamada API ao invés de `GetMetricStatistics` por métrica individual.
- **sustainability**: O modelo serverless do Managed Grafana elimina instâncias EC2 ociosas de instalações self-hosted Grafana. Consolide workspaces quando possível — múltiplos times usando um único workspace com RBAC adequado é mais eficiente que um workspace por time. Use AMP com retention configurado apenas para o período necessário para conformidade.

## Self-hosted Grafana vs. Amazon Managed Grafana em ambientes FedRAMP High
| Critério | Dimensão | Self-hosted (EC2/EKS GovCloud) | Amazon Managed Grafana |
| --- | --- | --- | --- |
| Responsabilidade de patches | Cliente (CM-3, SI-2 inteiramente seu) | AWS gerencia patches do Grafana; cliente gerencia configuração | — |
| Evidência de controles FedRAMP | Cliente documenta e evidencia todos os controles de infraestrutura | AWS herança parcial via FedRAMP Package; cliente evidencia controles de configuração | — |
| Custo operacional | Alto: EC2/EKS + ALB + RDS para backend + equipe de operações | Médio: por usuário ativo + custos de datasource; sem overhead de infra Grafana | — |
| Flexibilidade de plugins | Total: qualquer plugin, mas cada um amplia superfície de ataque e escopo de auditoria | Limitada: apenas plugins aprovados pela AWS; menor superfície de ataque | — |
| Integração IAM Identity Center | Manual via SAML/OIDC; requer configuração de proxy de autenticação | Nativa; IAM Identity Center FedRAMP High integra diretamente | — |

> **Nota do arquiteto: o que eu faria de diferente:** Em projetos reais de observabilidade em ambientes regulados, o maior erro que vejo não é técnico — é tratar a autorização FedRAMP High do serviço como o fim do trabalho de conformidade, quando na verdade é o começo. Eu sempre começo mapeando cada datasource e canal de notificação contra a lista de serviços em escopo do FedRAMP antes de escrever uma linha de Terraform, porque descobrir que um datasource crítico não está no escopo depois que o workspace está em produção é um problema de arquitetura, não de configuração. A lição mais difícil que aprendi: documente o modelo de responsabilidade compartilhada explicitamente no SSP com evidências específicas por controle — auditores FedRAMP não aceitam 'o serviço é gerenciado pela AWS' como evidência suficiente para controles que são parcialmente sua responsabilidade. Por fim, use o próprio Grafana para monitorar sua postura de conformidade — um dashboard mostrando Config Rules em violação, findings do Security Hub e drift de configuração em tempo real é mais valioso que qualquer relatório mensal.

## Veredicto: quando e como adotar

A autorização FedRAMP High do Amazon Managed Grafana no GovCloud é um avanço genuíno para agências federais e organizações que precisam de observabilidade operacional em ambientes de alto impacto. O serviço gerenciado reduz materialmente o escopo de controles de infraestrutura que o cliente precisa evidenciar, e a integração nativa com IAM Identity Center (também FedRAMP High no GovCloud) simplifica o modelo de identidade. Minha recomendação: adote para novos projetos de observabilidade em GovCloud que já usam CloudWatch, AMP ou OpenSearch como datasources primários. Para migrações de self-hosted Grafana, o esforço de migração é justificado pelo ganho em postura de conformidade e redução de overhead operacional — mas planeje 3-4 semanas para mapear todos os datasources, reconfigurar IAM roles com privilégio mínimo, implementar PrivateLink para cada datasource, e construir o pipeline GitOps para dashboards. Não adote se você depende de plugins de terceiros não suportados pelo Managed Grafana ou se precisa de customizações de backend que o serviço gerenciado não expõe. A restrição de plugins é o trade-off mais significativo — avalie seu catálogo de plugins atual antes de comprometer a migração.

## Referências

- [Amazon Managed Grafana achieves FedRAMP High in AWS GovCloud (US) — AWS What's New, Jul 16 2026](https://aws.amazon.com/about-aws/whats-new/2026/07/amazon-managed-grafana-fedramp-high/)
- [Amazon Managed Grafana GovCloud Documentation](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/grafana.html)
- [AWS Services in Scope for FedRAMP](https://aws.amazon.com/compliance/fedramp/)
- [AWS IAM Identity Center achieves FedRAMP High in GovCloud — Dec 2022](https://aws.amazon.com/about-aws/whats-new/2022/12/aws-iam-identity-center-fedramp-high-authorization-aws-govcloud-us/)
- [Kiro achieves FedRAMP High and DoD IL-4/5 in GovCloud — Jun 2026](https://aws.amazon.com/about-aws/whats-new/2026/06/kiro-fedramp-high-dod-il-4-5-govcloud-us/)
- [NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)
- [Amazon Managed Grafana Product Page](https://aws.amazon.com/grafana/)
- [AWS Well-Architected Framework — Security Pillar](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
