Amazon EKS Capabilities passa a suportar CloudWatch Vended Logs para logs de controllers gerenciados

A integração do Amazon EKS Capabilities com CloudWatch Vended Logs não é só mais um canal de exportação: é a primeira vez que logs de controllers gerenciados (como Argo CD, ACK e kro) são emitidos nativamente como Vended Logs, ou seja, sem sidecars, sem Fluent Bit personalizado, sem pipelines customizados no cluster. Isso significa que os logs saem diretamente da camada de controle da AWS, com schema pré-validado, enriquecimento automático de contexto (cluster, namespace, controller type) e cobrança separada do CloudWatch Logs padrão, seguindo o modelo de desconto por volume já aplicado aos logs do plano de controle desde 2023.

O diferencial técnico está na abstração: ao rodar esses controllers como parte das EKS Capabilities, a AWS executa-os em infraestrutura isolada (fora do seu cluster), então os logs são gerados *antes* de entrarem no ambiente Kubernetes, o que elimina problemas clássicos de perda de log durante falhas de nó, sobrecarga de CPU em agentes coletando logs de múltiplos pods, ou conflitos de RBAC entre controllers e agents. É observabilidade de plataforma, não de aplicação.

Antes, equipes tinham duas opções para observar controllers GitOps em EKS: implantar agentes sidecar (ex.: Fluent Bit + IAM roles específicas) ou usar soluções externas como Loki ou Datadog, com configuração manual de scraping, parsing e retenção. A novidade de 15/06/2026 substitui isso por um toggle no console EKS ou uma linha em eksctl ou Terraform, e os logs aparecem imediatamente em CloudWatch Logs com suporte nativo a tags, consultas via Logs Insights e roteamento para S3 ou Firehose. Isso fecha o ciclo iniciado em abril com o OTel Container Insights (métricas) e se alinha ao lançamento de maio sobre consultas por tags: agora logs, métricas e traces têm modelos unificados de descoberta e filtragem baseados em recursos, não em strings arbitrárias.

Para equipes de plataforma, isso reduz o custo operacional de manter pipelines de observabilidade para controllers críticos, especialmente em ambientes multi-cluster onde Argo CD sincroniza dezenas de repositórios. Não há mais necessidade de versionar configurações de agentes, auditar políticas de IAM para acesso a CloudWatch Logs, ou ajustar limites de memória em sidecars que competem com workloads. Para arquitetos de confiabilidade, é um passo concreto rumo à observabilidade 'by design': logs de controle passam a ter o mesmo SLA, segurança e governança dos logs nativos da AWS, incluindo proteção de dados sensíveis em Logs IA e compatibilidade com OpenSearch PPL, lançados em março.