O Desafio: Dados de Carbono Através das Fronteiras das Empresas

Sustentabilidade não é mais um diferencial — é uma exigência operacional impulsionada por regulamentações da UE e pela demanda dos clientes por dados de emissões auditáveis. Para fabricantes automotivos, o problema é que os dados de emissões vivem em camadas fragmentadas de fornecedores, sistemas internos e trocas manuais via planilhas e e-mails. A iniciativa Catena-X define expectativas de interoperabilidade e confiança, mas construir uma solução prática exige resolver dois problemas ao mesmo tempo: permitir colaboração sem atritos enquanto garante que cada empresa mantenha controle total sobre seus dados e credenciais.

O PACIFIC, um produto construído pela BASF e CircularTree na AWS, enfrenta isso de frente. É uma plataforma SaaS multi-inquilino que permite que empresas gerenciem e troquem Product Carbon Footprints (PCFs) mantendo a soberania dos dados — e é certificado Catena-X. A arquitetura é uma aula de como usar serviços nativos da AWS para isolamento de inquilinos sem a sobrecarga de contas por cliente.

Referência: AWS Architecture Blog

Multi-tenant SaaS architecture diagram showing tenant isolation on AWS with Cognito and IAM Development Concept Image

Arquitetura Principal: Isolamento de Inquilino Baseado em IAM

O insight principal? Em vez de provisionar contas AWS separadas por inquilino, o PACIFIC implementa um modelo de isolamento baseado em IAM de granulação fina usando Amazon Cognito e AWS Secrets Manager. Veja como funciona:

  1. Onboarding: Quando uma empresa entra, o PACIFIC provisiona automaticamente uma função IAM dedicada com uma política que só permite acesso aos segredos daquela empresa no Secrets Manager.
  2. Autenticação: Usuários são atribuídos a um grupo do Cognito vinculado à função IAM da empresa. Quando autenticam, o pool de identidades mapeia a associação ao grupo para a função IAM correspondente, e o AWS STS emite credenciais temporárias.
  3. Imposição: Essas credenciais só podem recuperar os segredos EDC da própria empresa — o acesso a configurações de outros inquilinos é negado no nível da política IAM.

Esse padrão oferece isolamento multi-inquilino verdadeiro usando serviços de identidade nativos da AWS, sem a sobrecarga de gerenciar VPCs ou contas dedicadas por cliente.

Protegendo a Camada de Troca

Além do isolamento de inquilinos, o PACIFIC impõe autorização na camada de troca de dados através do pcf-exchange-module, um endpoint por inquilino que serve dados PCF para parceiros autorizados. O fluxo:

  • O conector EDC do consumidor solicita dados do EDC do fornecedor.
  • Os dois conectores negociam e concordam com as políticas de uso.
  • O EDC do fornecedor emite um token OAuth2 especial derivado das credenciais do Cognito armazenadas no Secrets Manager.
  • O consumidor usa esse token para chamar o endpoint dedicado do fornecedor no PACIFIC.

Como o endpoint de cada inquilino só aceita tokens emitidos pelo handshake EDC, o acesso não autorizado é impedido em múltiplos níveis: negociação de política EDC + validação OAuth2 específica da empresa.

// Exemplo: política IAM para acesso com escopo de inquilino ao Secrets Manager
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:us-east-1:123456789012:secret:tenant-ABC-*"
      ]
    }
  ]
}

Integrando Sistemas de Fornecedores

O integration-module roda no AWS Fargate e oferece uma camada de integração flexível para ingerir dados PCF de sistemas proprietários de fornecedores (como os serviços internos da BASF). Cada integração de fornecedor lida com fluxos de autenticação únicos — credenciais OAuth2, autenticação baseada em certificado ou chaves de API — todos gerenciados de forma segura através do Secrets Manager. Os dados PCF recebidos devem estar no formato padronizado Catena-X JSON. Os dados são armazenados no S3 sob prefixos específicos da empresa, com políticas IAM garantindo que apenas a empresa proprietária possa acessá-los.

Para mais sobre padrões de theming visual e animação relacionados, confira este guia sobre theming de cores relativas com CSS.

Secure data exchange flow between EDC connectors using OAuth2 tokens and AWS Secrets Manager Developer Related Image

Limitações e Considerações

Embora a arquitetura do PACIFIC seja impressionante, não é isenta de trade-offs:

  • Complexidade do gerenciamento de políticas IAM: Conforme o número de inquilinos cresce, manter e auditar políticas IAM com escopo pode se tornar trabalhoso. Automação (Infraestrutura como Código) é essencial.
  • Dependência dos padrões Catena-X: A solução é fortemente acoplada aos conectores EDC do Catena-X. Se a indústria migrar para um protocolo diferente, pode ser necessário retrabalho significativo.
  • Latência da troca de tokens em múltiplas etapas: O fluxo de negociação EDC + emissão de token adiciona latência comparado a modelos simples de chave de API, embora seja aceitável para troca de PCF que não é em tempo real.
  • Sobrecarga de integração de fornecedores: Cada novo fornecedor exige tratamento de autenticação personalizado no módulo de integração, o que pode desacelerar o onboarding apesar da arquitetura desacoplada.

Próximos Passos para Aprendizado

  • Aprofunde suas habilidades em IAM da AWS: Estude a lógica de avaliação de políticas IAM e pratique escrever políticas com escopo para SaaS multi-inquilino.
  • Explore o Catena-X: Participe da comunidade Catena-X para entender as especificações do espaço de dados e a configuração do conector EDC.
  • Experimente o Data Commons MCP: Para uma abordagem diferente de consultar datasets públicos com IA, veja o Data Commons MCP hospedado no Google Cloud.
  • Construa seu próprio SaaS multi-inquilino: Use o programa AWS SaaS Factory para aprender padrões de isolamento de inquilinos além do IAM (como arquitetura baseada em células).

Dashboard showing carbon footprint data exchange metrics and supply chain emissions tracking Programming Illustration

Conclusão: Impacto Mensurável

O PACIFIC transforma a troca de PCF do Catena-X de uma especificação em um workflow interoperável e escalável. Os resultados falam por si:

  • 75% de economia de tempo: A troca manual de PCF leva até 7 dias; o PACIFIC responde em segundos.
  • Aumento de 80% no número de empresas integradas entre 2024 e 2025.
  • Crescimento de 55% em produtos solicitados e PCFs compartilhados no mesmo período.

Isso não é apenas uma vitória técnica — é um catalisador para acelerar a descarbonização nas cadeias de suprimento. Ao usar serviços nativos da AWS para isolamento de inquilinos e troca segura de dados, o PACIFIC prova que é possível escalar esforços de sustentabilidade sem comprometer a soberania dos dados.

Para explorar mais soluções de sustentabilidade e padrões de arquitetura AWS, visite o AWS Architecture Blog.

Este conteúdo foi elaborado com o auxílio de ferramentas de IA, com base em fontes confiáveis, e revisado pela nossa equipe editorial antes da publicação. Não substitui o aconselhamento de um profissional especializado.