Histórico de atualizações do guia - conteúdo novo adicionado regularmente
Reorganização estrutural do guia para separar conteúdo cloud-específico do conteúdo provider-agnostic. O capítulo 5 (Terraform) volta a ser puro Terraform, e todo o conteúdo AWS que estava espalhado entre 3.15 (AWS MCP), 5.15 (CFN/CDK), 12.6 (Bedrock) e 12.7 (Least-Privilege IAM) foi consolidado em um novo Capítulo 6 dedicado: "AWS com IA ... Deep Dive". A seção 5.9.5 (Hard Guardrail IAM) permanece em Terraform e também aparece duplicada como 6.2 dentro do contexto AWS. Capítulos 6-15 anteriores foram renumerados para 7-16. Links antigos (chapter-5.html#5.15, chapter-12.html#12.6 etc.) continuam funcionando via redirect-stubs com JS. Esta reestruturação prepara o terreno para futuros capítulos dedicados a GCP e Azure.
Adição de uma seção inteiramente nova fechando o arco pedagógico do capítulo 5. Depois que o leitor constrói o CLAUDE.md monolítico em 5.8 (Step 8, ~530 linhas com 13 patterns arquiteturais) e aprende subagentes + skills em 5.13, a 5.17 mostra como refatorar o monólito em um sistema composto: CLAUDE.md slim de ~80 linhas (identity + safety + tooling + ponteiros) + 3 subagentes (terraform-architect, terraform-cost-reviewer, terraform-security-reviewer) + 5 skills (tf-scaffold-stack, tf-variables-review, tf-naming-review, tf-cross-stack, tf-outputs-review). Inclui diagnóstico com tabela always-on vs on-demand, regra de partição, walkthrough de 3 patterns concretos migrados, estrutura final do diretório, e quando NÃO refatorar. Conecta com seção 5.9.5 (Hard Guardrail), 5.13 (Subagents e Skills), capítulo 6 (mesmo padrão) e capítulo 15 (princípio do livro). O Step 8 da seção 5.8 ganha um forward-reference apontando para 5.17.
terraform-architect-pack/ em devopsai-templates: pack composto com README, CLAUDE.md slim (~80 linhas), 3 subagentes em .claude/agents/ e 5 skills em .claude/skills/. Convive com o template monolítico CLAUDE-terraform-architect.md existente; cada um serve a um estágio de maturidade do projeto
CLAUDE-terraform-architect.md: blockquote no topo distinguindo "monolithic" de "composed" e apontando para o novo pack como evolução natural
Três adições substantivas ao capítulo 5 nesta release. A seção 5.8 ganhou um Step 8 novo dedicado a Production-Grade CLAUDE.md, com excerpts de Tooling Strategy e Stack Architecture, mais um callout em Step 2 distinguindo o template minimal (bom para testes iniciais) do template production-grade (referência canônica para projetos reais). A seção 5.9.5 é uma adição inteiramente nova focada em defense-in-depth de verdade: Hard Guardrail Plan-Only IAM Role para produção. E a seção 5.10 (Integração com Infracost) deixou de recomendar instalação manual do CLI para passar a usar o plugin oficial Claude Code, integração que reduz fricção a zero.
brew install infracost/tap/infracost ou curl -fsSL https://raw.githubusercontent.com/infracost/infracost/master/scripts/install.sh | sh + infracost auth login) para o plugin oficial Claude Code (claude plugin marketplace add infracost/agent-skills + claude plugin install infracost@infracost). O fluxo passa a usar slash commands nativos: /infracost:breakdown, /infracost:fix-tags, /infracost:optimize. Sem mais wiring de PATH ou autenticação separada
CLAUDE-terraform-architect.md: 450+ linhas com Senior Infrastructure Architect agent definition mais 13 architectural patterns (numbered stacks, native S3 backend, assume_role + default_tags workspace-aware, padrão de variáveis em objetos, naming conventions de resource labels, count para listas, tags Name-only, file organization kebab-case, splat outputs, cross-stack state, new-stack checklist, mais o Plan-Only IAM Role para produção e Infracost via plugin). O template está versionado em github.com/filipemotta/devopsai-templates e pronto para copiar como CLAUDE.md em qualquer projeto Terraform
<details> no menu lateral do produto para acomodar a sub-entry 5.9.5 Hard Guardrail IAM Plan-Only. Quem está percorrendo o capítulo enxerga claramente que existe uma profundidade extra dentro do tema Workspace Safety
Reestruturação substantiva de três seções do capítulo 5 para corrigir confusão arquitetural. O capítulo agora estabelece com clareza que Terraform é multi-cloud por design (provider-agnostic) e oferece uma árvore de decisão concreta para a pergunta que mais aparece em times reais: "quais MCPs eu instalo para começar?". A seção 5.8 deixou de ser um caso pontual AWS para virar um walkthrough evolutivo aplicável a qualquer cloud, começando do mkdir e indo até o segundo módulo aproveitando contexto acumulado.
call_aws. Step 3 da seção faz a referência cruzada explícita com 3.15.1
mkdir e git init, depois pede ao Claude para gerar o CLAUDE.md do repositório, escreve o primeiro módulo com validate e plan, executa apply em sandbox isolado, e termina com um segundo módulo aproveitando o contexto que o Claude já acumulou no projeto
@modelcontextprotocol/server-filesystem saiu de 5.5 (era redundante em Claude Code, que já tem Read, Write, Edit e Bash nativos). Em seu lugar, callout explicativo de quando esse MCP ainda faz sentido (Claude Desktop, Cursor sem ferramentas nativas equivalentes, integrações headless via SDK em ambientes onde o filesystem não está exposto)
Adição crítica de segurança ao capítulo 12. Desde que o AWS MCP Server virou GA (Maio/2026, seção 3.15), times pelo mundo começaram a anexar AdministratorAccess à role usada pelo Claude Code só para o agente "funcionar". Esta seção é direta: AdministratorAccess + call_aws é uma outage de produção esperando para acontecer. O agente herda as permissões IAM do usuário e não existe sandbox automático para tools MCP. A seção 13.7 entrega o playbook completo para evitar isso, em sete subseções práticas com policies prontas para colar.
call_aws herda IAM do usuário, por que não existe sandbox automático para MCP tools, e o que acontece quando um prompt mal interpretado encontra permissões amplas demais (delete em DynamoDB de produção, terminate de instâncias EC2 críticas, drop de tabelas RDS)
Describe*, List*, Get*). Policy C: produção write-controlled (deny explícito para ações destrutivas como iam:Delete*, ec2:TerminateInstances, rds:Delete*, dynamodb:DeleteTable, s3:DeleteBucket)
aws:PrincipalTag, aws:RequestTag e sts:RoleSessionName. Exemplo concreto: write em produção só permitido quando aws:PrincipalTag/AgentMode=false, ou seja, a mesma role bloqueia mutação quando a sessão é do agente e libera quando é o humano logado com MFA
eventName em uma lista de ações destrutivas (TerminateInstances, DeleteDBInstance, DeleteTable, etc.) e userIdentity.sessionContext.sessionIssuer.userName matching com a role do agente. Notificação imediata em Slack via SNS + Lambda, com link direto para o evento no CloudTrail. Reação em segundos, não em horas
PreToolUse em .claude/settings.json que intercepta chamadas a call_aws e bloqueia padrões destrutivos antes de saírem da máquina. Script de validação que inspeciona o payload (action name + ARN) e retorna exit 2 se a ação estiver na blocklist. Última linha de defesa, executada client-side
call_aws em qualquer conta com dados reais, leia o playbook de IAM least-privilege na seção 13.7". Conexão explícita entre o entry point técnico e o playbook de segurança
Nova seção sênior (~2.300 palavras) que fecha um gap crítico: até agora o guia tratou Claude Code como ferramenta interativa de IDE. Mas em DevOps, a maior parte do valor aparece quando ele roda sem terminal — dentro de GitHub Actions, Lambdas reagindo a CloudWatch Alarms, ou orquestradores externos como Hermes. A seção 4.17 mapeia os três caminhos oficiais da Anthropic para rodar Claude Code de forma não-interativa, mostra três padrões reais de produção, ensina autenticação em CI sem fricção e estabelece cost guardrails obrigatórios. Inclui um heads-up crítico: a partir de 15/Jun/2026, Agent SDK e claude -p em planos de subscription (Pro, Max, Team) passarão a consumir um credit pool separado da sessão interativa — quem já tem orquestradores em produção precisa planejar.
claude -p): Print Mode com --output-format stream-json, --allowedTools, --max-turns, --permission-mode acceptEdits. Exemplo concreto de PR review via cat diff.patch | claude -p em um workflow de 12 linhas
claude-agent-sdk (Python) e @anthropic-ai/claude-agent-sdk (TypeScript). Function query(), streaming de eventos via async iterator, opções allowed_tools, max_turns, system_prompt, mcp_servers. Quando escolher SDK vs CLI
anthropics/claude-code-action; (2) AWS Lambda event-driven reagindo a CloudWatch Alarm — investigação inicial com AWS MCP Server e postagem em Slack; (3) Hermes Agent — orquestrador externo open-source com memória persistente, multi-projeto e roteamento por capabilities
claude setup-token (long-lived OAuth token, 1 ano) para subscription plans; ANTHROPIC_API_KEY para API direta; AWS Bedrock + Vertex AI para deploy enterprise. Cost guardrails obrigatórios: --max-budget-usd, --max-turns, --allowedTools como whitelist. Heads-up 15/Jun/2026 sobre credit pool separado
Entre 6 e 9 de Maio/2026, AWS e Anthropic anunciaram a disponibilidade geral do AWS MCP Server — um servidor MCP oficial e pricing-free que se torna o novo entry point canônico para ~80% das interações com a AWS via Claude Code. O guia foi reestruturado de ponta a ponta: a seção 3.15 virou quatro subseções, a seção 5.15 ganhou uma decisão prática nova e seção 7/seção 9 receberam callouts de reposicionamento. A filosofia central: augment, not replace — os servidores awslabs especializados continuam valendo para tarefas task-oriented.
call_aws (acesso a 15.000+ APIs AWS via SDK Python), run_script (Python sandboxed server-side para orquestração multi-etapas), search_documentation e read_documentation (docs AWS ao vivo — adeus knowledge cutoff)
awslabs como specialized servers • 3.15.3 árvore de decisão para escolher cada um • 3.15.4 novos padrões destravados (knowledge-cutoff bypass + run_script orchestration)
call_aws vs servidores awslabs especializados" — tabela de decisão para IaC + exemplo side-by-side de operações S3 (raw call_aws vs s3-tables-mcp-server) mostrando trade-offs reais
eks-mcp-server, CloudWatch, Cost Explorer) repositioning awslabs como specialized servers — complementam, não competem com o entry point canônico
read_documentation ao explorar S3 Vectors (anunciado pós-cutoff do modelo) + run_script orquestrando limpeza de EBS snapshots órfãos server-side em uma única chamada
aws-core, aws-agents, aws-data-analytics
Após o anúncio de Abr/2026 da Anthropic + AWS, Claude Code passou a rodar nativamente no Amazon Bedrock da própria conta do cliente — toda inferência permanece dentro do perímetro AWS, nada trafega para servidores Anthropic. Esta seção mostra por que isso destrava adoção em bancos, hospitais, defesa, telecom e governo, qual a arquitetura, e como configurar um deploy sênior do zero com IAM federado, pinagem de modelos, cost tagging por time e Bedrock Guardrails. Inclui disambiguação crítica entre "Claude on Bedrock" (compliance, hospedado na AWS do cliente) e "Claude Platform on AWS" (apenas procurement via AWS Marketplace, infra continua na Anthropic).
CLAUDE_CODE_USE_BEDROCK=1 com ANTHROPIC_BEDROCK_BASE_URL
Atualização estratégica: o guia agora cobre o framework Spec-Driven Development (SDD) de ponta a ponta, com fundação metodológica e três aplicações práticas. Com o EOL do AWS Q Developer empurrando times para Kiro, e a Anthropic só recomendando o pattern Skills+Subagents+Hooks (sem feature first-party), o guia se posiciona como a referência canônica de SDD nativo em Claude Code — exatamente o pattern oficial, com tudo pronto para usar.
slo.md versionado vira fonte de verdade que gera Prometheus rules + Grafana dashboards + runbooks automaticamente. Mudanças no SLO ficam regeneráveis
/spec-create, /spec-execute, /spec-status, /spec-validate), 5 subagentes (requirements, design, tasks, implementation, spec-validator) e hook enforce-spec.sh (PreToolUse). Tudo plug-and-play em qualquer projeto
A Anthropic lançou a Managed Agents API (Abr/2026, beta managed-agents-2026-04-01). Em vez de só citar de passagem, o guia agora tem uma seção opinativa comparando honestamente as duas abordagens — file-based (nosso default em todos os capítulos) vs managed (alternativa server-side stateful) — e ajuda o leitor a decidir quando cada uma faz sentido.
INCIDENT_NOTES.md manual
A Anthropic lançou o Claude Opus 4.7 com mudanças importantes para uso agentico. A seção 3.13 foi reescrita do zero refletindo o que mudou; capítulos 5.14, 6.14 e 6.18 ganharam exemplos de Task Budget para Agent Teams; templates do devopsai-templates foram atualizados.
thinking: {type:"adaptive"} — comportamento mudou vs 4.6
xhigh: recomendado para coding/agentic. Pensa mais que high; melhor para Agent Teams + tool calling repetitivo
output_config.task_budget + header task-budgets-2026-03-13. Cap de custo por sessão sem corte abrupto.
task_budget em Agent Teams para Terraform, EKS upgrade e GKE multi-região
claude-opus-4-6 atualizadas para claude-opus-4-7 em todos os capítulos e templates (Fast Mode mantido como exclusivo do 4.6)
Quatro novas seções equilibram a cobertura cloud do guia: 3.16 introduz a abordagem remote-HTTP do Google (vs local-stdio da AWS), 6.16 compara GKE vs EKS na ótica de IA, 6.17 explora as 27 tools do GKE MCP em incident-response real e 6.18 mostra Agent Team multi-região com reconciliação automática.
google/skills como exemplo canônico de Skills oficiais de fornecedor — alinhado com o padrão ensinado em 3.10
Nova seção 12.10 que aborda a inversão de paradigma 2023→2026: com janelas de 1M tokens, grep + contexto longo resolve a maioria dos casos de busca em documentação interna sem vector DB.
Nova seção 9.14 dedicada ao PagerDuty MCP Server oficial (70+ tools). Fecha o ciclo completo de observabilidade: Detect (CloudWatch) → Visualize (Grafana) → Respond (PagerDuty).
Seção 14.6 expandida com ArgoCD MCP Server oficial (Argo Labs). Claude conversa diretamente com a API do ArgoCD — lista apps, lê logs, sincroniza deployments e executa resource actions em tempo real.
Adicionadas 12 skills práticas complementando os subagentes existentes. Cada capítulo agora tem o padrão completo: Subagente (conversa interativa) + Skills (ação rápida e repetível).
Migração completa de 82 referências ao Cursor IDE em 12 capítulos. O guia agora foca em Claude Code CLI + VS Code como ferramentas principais, com Cursor apenas como alternativa compatível.
Migração de referências Cursor para Claude Code, novas skills práticas, e atualização de versões do AWS Provider (v5+/v6).
Nova seção 7.15 dedicada ao Karpenter v1 com foco em como IA ajuda na configuração, troubleshooting, consolidation e otimização de custos. Conteúdo sênior baseado em pesquisa de melhores práticas 2025-2026.
Seções 4.12, 4.13 e 4.14 reescritas com base na documentação oficial atualizada do Claude Code. Remoção de referências ao Cursor IDE, frontmatter completo de subagentes, tabela comparativa Subagentes vs Agent Teams, e expansão significativa do conteúdo.
4 novas seções cobrindo o ecossistema completo de MCP Servers da AWS para DevOps — do gateway unificado (Core MCP) até ferramentas especializadas para observabilidade, IaC e FinOps.
Nova seção sobre o Grafana MCP Server oficial (Grafana Labs) combinado com OpenTelemetry para observabilidade vendor-neutral e multi-cloud. Inclui stack completo LGTM e cenários práticos de investigação.
Nova seção sobre o Claude Code SDK para automação programática — use o mesmo Claude Code do terminal via TypeScript/JavaScript ou CLI headless. Inclui exemplos práticos para DevOps com referências cruzadas ao conteúdo existente do capítulo.
Nova seção sobre Hooks do Claude Code — automações que executam em resposta a eventos (PreToolUse, PostToolUse, Stop, SessionStart). Inclui exemplos práticos para cada domínio DevOps.
Cobertura completa das novas funcionalidades do Claude Opus 4.6, incluindo Agent Teams para colaboração multi-agente, Adaptive Thinking para controle de raciocínio, Compaction API para gerenciamento de contexto, e Fast Mode para saída 2.5x mais rápida.
Nova seção sobre o Context7, um MCP Server gratuito que injeta documentação oficial atualizada no contexto da IA, eliminando alucinações causadas por APIs deprecated ou sintaxe desatualizada.
Seção 1 completamente reescrito como experiência imersiva e interativa, com 8 seções redesenhadas, elementos clicáveis e narrativa transformadora.
Nova seção completa sobre upgrade de clusters EKS assistido por IA, incluindo detecção de APIs deprecadas, matriz de compatibilidade de addons e automação CI/CD.
Reescrita completa do capítulo de RAG para Runbooks com comparação detalhada de ferramentas, implementação passo a passo com Qdrant, métricas de avaliação e troubleshooting.
Expansão do capítulo RAG com integração multi-source (Jira, GitHub, Confluence, Slack) e criação de Agente/MCP para Claude usar RAG sem alucinar.
Seção expandida sobre CI/CD inteligente com GitHub Actions, incluindo workflows auto-diagnosticáveis e integração com Claude Code.
Nova seção sobre como hospedar MCP Servers no Amazon EKS com autoscaling, segurança RBAC/IRSA e integração com Cognito.
Lançamento do repositório de skills e templates para Claude Code, com automações prontas para uso em projetos DevOps.
Lançamento da primeira versão completa do guia "The AI-Native DevOps Engineer" com 15 capítulos cobrindo todo o ciclo DevOps com IA.
Ao adquirir o guia, você recebe acesso a todo conteúdo atual e futuras atualizações durante 1 ano.
Comprar Guia - R$ 187Garantia de 14 dias | 1 ano de acesso | Atualizações inclusas