Vou te contar o que acontece em 9 de cada 10 software houses que eu mentoro.
O fundador assina o Claude Code Max no cartão pessoal. Paga US$100/mês por dev. Cada dev usa com sua conta individual. O TI não sabe quantos devs usam, quanto gastam, que dados passam pelo Claude, nem em que servidor esses dados são processados.
E sabe o que é pior? Quando o cliente enterprise pergunta “onde os dados dos nossos projetos são processados pela IA?”, a resposta honesta é: “não sei, nos servidores da Anthropic, em algum lugar dos EUA”.
Isso não é AI governance. Isso é Shadow AI com cartão de crédito.
Desde a v2.1.94, o Claude Code suporta Amazon Bedrock Mantle — um endpoint que roda Claude na infraestrutura AWS da sua software house. Mesma IA. Mesma qualidade. Mas com billing consolidado na fatura AWS, IAM corporativo, data residency na região que você escolher, e guardrails de content filtering.
Uma variável de ambiente: CLAUDE_CODE_USE_MANTLE=1.
O Problema: Shadow AI Está Custando Mais do Que Você Imagina
Vou te dar os números que deveriam tirar o sono de qualquer CEO de software house.
Segundo a McKinsey, 75% do uso de IA em empresas não é aprovado ou monitorado pelo TI. São devs instalando ferramentas, criando contas, passando código proprietário por APIs sem que ninguém saiba.
O IBM Cost of a Data Breach 2025 coloca o custo médio de um breach envolvendo IA em US$4,88 milhões. E o vetor mais comum? Exatamente esse: ferramentas de IA não governadas processando dados sensíveis fora da infraestrutura controlada.
A FinOps Foundation reporta que 98% das organizações já gerenciam AI spending ativamente em 2026. Se a sua não gerencia, você está nos 2% que vão descobrir o problema tarde demais.
E tem o compliance. A LGPD prevê multas de até 2% do faturamento ou R$50 milhões por infração. O EU AI Act entra em vigor em agosto de 2026 e exige documentação de onde e como dados são processados por sistemas de IA. Se seus devs usam Claude Code com conta pessoal processando código de clientes, você tem um gap de compliance que nenhum contrato de confidencialidade cobre.
O Que é o Amazon Bedrock Mantle
Mantle é um endpoint da Amazon Bedrock que serve modelos Claude usando a API shape nativa da Anthropic — não a Bedrock Invoke API tradicional. Na prática, isso significa que o Claude Code se comunica com a AWS usando o mesmo formato de API que usaria com a Anthropic diretamente, mas os requests passam pela infraestrutura Bedrock.
Por que isso importa? Porque você ganha todo o ecossistema AWS — IAM, billing, guardrails, VPC, CloudTrail, data residency — sem mudar nada no Claude Code. Os devs nem percebem a diferença.
A ativação é uma variável de ambiente:
export CLAUDE_CODE_USE_MANTLE=1
export AWS_REGION=us-east-1Dois exports. Zero configuração de API. Zero migração de workflow. O Claude Code detecta o Mantle e roteia os requests automaticamente.
Para confirmar que está ativo, rode /status dentro do Claude Code. A linha de provider mostra Amazon Bedrock (Mantle) quando o Mantle está funcionando.
Mantle vs. Bedrock Invoke API: Qual Usar?
O Claude Code suporta duas formas de rodar via AWS:
| Aspecto | Bedrock Invoke API | Bedrock Mantle |
|---|---|---|
| Ativação | CLAUDE_CODE_USE_BEDROCK=1 |
CLAUDE_CODE_USE_MANTLE=1 |
| API shape | Bedrock Invoke (formato AWS) | Anthropic nativa (formato Anthropic) |
| Model IDs | us.anthropic.claude-sonnet-4-6 |
anthropic.claude-haiku-4-5 |
| Disponibilidade | Todos os modelos Claude no Bedrock | Modelos allowlisted por conta |
| Auth | AWS credentials (IAM, SSO, keys) | AWS credentials (mesmo) |
| Guardrails | Suportado | Suportado |
| Context 1M | Suportado (append [1m]) |
Suportado |
| Desde | v2.0+ | v2.1.94+ |
O mais poderoso: você pode rodar ambos simultaneamente:
export CLAUDE_CODE_USE_BEDROCK=1
export CLAUDE_CODE_USE_MANTLE=1Quando ambos estão ativos, o Claude Code roteia automaticamente: model IDs com prefixo anthropic. vão para o Mantle, todos os outros vão para a Bedrock Invoke API. Isso é útil quando o Mantle não tem todos os modelos que você precisa — o Bedrock Invoke serve como fallback transparente.
O /status mostra Amazon Bedrock + Amazon Bedrock (Mantle) confirmando os dois endpoints ativos.
Por Que Sua Software House Deveria Migrar Hoje
1. Billing consolidado — adeus cartão do fundador
Com Bedrock, o custo do Claude Code entra na fatura AWS da empresa. Sem cartão de crédito pessoal. Sem assinaturas individuais. Sem surpresas no fim do mês.
Para uma SH com 20 devs gastando US$200-500/mês cada em AI coding, são US$4.000-10.000/mês que hoje estão pulverizados em cartões pessoais sem visibilidade. Com Bedrock, tudo aparece no AWS Cost Explorer, com tags por time, projeto, ou centro de custo.
Você pode até usar AWS Budgets para alertas automáticos quando o spending de AI ultrapassa um threshold. FinOps nativo.
2. IAM e SSO — controle de acesso que escala
Com Bedrock, o acesso ao Claude Code é controlado por IAM policies. Quer dar acesso só para o time de backend? Uma policy. Quer bloquear um dev que saiu da empresa? Remove a role. Quer exigir MFA? Adiciona condição na policy.
O Claude Code suporta o credential chain completo da AWS:
# SSO corporativo
aws sso login --profile=dev-team
export AWS_PROFILE=dev-team
export CLAUDE_CODE_USE_MANTLE=1
claudeQuando as credenciais expiram, o Claude Code roda automaticamente o awsAuthRefresh configurado e continua — sem interromper o dev.
{
"awsAuthRefresh": "aws sso login --profile dev-team",
"env": {
"AWS_PROFILE": "dev-team"
}
}Sem mais “meu Claude Code parou de funcionar” no Slack do time.
3. Data residency — seus dados ficam onde você manda
Com AWS_REGION=sa-east-1, os requests do Claude Code são processados na região São Paulo. Para SHs que atendem clientes com requisitos de data residency — governo, saúde, financeiro — isso é a diferença entre poder usar IA e não poder.
A Anthropic direta processa em servidores nos EUA. O Bedrock processa na região que você configurar. Para LGPD e contratos que exigem processamento em território nacional, essa é a resposta para o jurídico.
4. AWS Guardrails — filtros de conteúdo enterprise
Amazon Bedrock Guardrails permite criar filtros de conteúdo que se aplicam a todas as interações do Claude Code. Configure no console da AWS, publique uma versão, e adicione ao settings do Claude Code:
{
"env": {
"ANTHROPIC_CUSTOM_HEADERS": "X-Amzn-Bedrock-GuardrailIdentifier: seu-guardrail-id\nX-Amzn-Bedrock-GuardrailVersion: 1"
}
}Casos de uso:
- Bloquear geração de código que acessa APIs internas não autorizadas
- Filtrar informações sensíveis (PII, dados financeiros) nos outputs
- Prevenir que o Claude Code discuta informações competitivas ou estratégicas
- Aplicar políticas de segurança de código específicas da empresa
5. Auditoria com CloudTrail
Cada request ao Bedrock é logado no AWS CloudTrail. Quem usou, quando, que modelo, quanto consumiu. Para auditorias de segurança, compliance SOC 2, ISO 27001, ou simplesmente para responder “quanto nosso time usou de IA no Q1” — os logs estão lá.
Como Implementar em 15 Minutos
Passo 1: Ativar acesso ao Bedrock (5 min)
No console AWS:
- Navegue até Amazon Bedrock → Model catalog
- Selecione um modelo Claude (ex: Claude Sonnet 4.6)
- Preencha o formulário de use case (aprovação imediata)
- Crie a IAM policy para o time:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:ListInferenceProfiles"
],
"Resource": [
"arn:aws:bedrock:*:*:inference-profile/*",
"arn:aws:bedrock:*:*:application-inference-profile/*",
"arn:aws:bedrock:*:*:foundation-model/*"
]
}
]
}Passo 2: Configurar o profile dos devs (5 min)
Adicione ao ~/.zshrc ou ~/.bashrc do time:
# Claude Code via AWS Bedrock Mantle
export CLAUDE_CODE_USE_MANTLE=1
export AWS_REGION=us-east-1
# Pin de versões (CRÍTICO — evita quebra quando Anthropic lança modelo novo)
export ANTHROPIC_DEFAULT_OPUS_MODEL='us.anthropic.claude-opus-4-6-v1'
export ANTHROPIC_DEFAULT_SONNET_MODEL='us.anthropic.claude-sonnet-4-6'
export ANTHROPIC_DEFAULT_HAIKU_MODEL='us.anthropic.claude-haiku-4-5-20251001-v1:0'Passo 3: Distribuir via managed settings (5 min)
Para enforcement irrevogável, distribua via managed settings no admin console do Claude.ai:
{
"env": {
"CLAUDE_CODE_USE_MANTLE": "1",
"AWS_REGION": "us-east-1"
},
"disableSkillShellExecution": true,
"sandbox": {
"enabled": true,
"failIfUnavailable": true
}
}Dev não consegue desativar. Deploy uma vez, aplica para toda a organização.
Passo 4: Configurar gateway corporativo (opcional)
Se sua SH tem um gateway centralizado que injeta credenciais AWS server-side:
export CLAUDE_CODE_USE_MANTLE=1
export CLAUDE_CODE_SKIP_MANTLE_AUTH=1
export ANTHROPIC_BEDROCK_MANTLE_BASE_URL=https://seu-gateway.internal.comO SKIP_MANTLE_AUTH desativa autenticação SigV4 client-side — o gateway cuida disso. Zero credencial na máquina do dev.
O Que os Concorrentes Oferecem
Vamos ser honestos sobre o que existe no mercado:
- GitHub Copilot Business: billing corporativo via GitHub, mas zero controle de data residency. Dados processados nos servidores do GitHub/Microsoft. Sem guardrails customizáveis.
- Cursor Business: plano enterprise com SSO, mas processamento nos servidores da Anysphere. Sem opção de rodar na sua cloud.
- Amazon Q Developer: nativo no Bedrock com todos os controles AWS, mas usa modelos Amazon — não Claude. Qualidade inferior para coding complexo.
O Claude Code via Bedrock Mantle é o único que combina: melhor modelo de AI coding (Claude) + melhor infraestrutura enterprise (AWS) + zero migração (mesma CLI, mesmos workflows).
O Que Eu Penso
Na minha experiência com 300+ software houses, existe um padrão claro: a adoção de IA começa bottom-up. Um dev experimenta, gosta, convence outros. Em três meses, metade do time usa. Em seis meses, é parte do workflow diário.
Mas a governança não acompanha. O billing fica no cartão do fundador. O acesso fica em contas pessoais. Os dados passam por servidores que ninguém auditou. E quando o cliente enterprise pergunta sobre compliance, a resposta é um silêncio constrangido.
O Bedrock Mantle é a ponte entre “adoção orgânica” e “deployment enterprise”. Não muda nada para o dev — mesma CLI, mesmos comandos, mesma experiência. Mas muda tudo para o CTO: billing no Cost Explorer, acesso via IAM, dados na região correta, guardrails ativos, logs no CloudTrail.
E o mais importante: é uma migração de zero esforço. Configura as variáveis, distribui via managed settings, e amanhã todos os devs estão rodando Claude Code via Bedrock sem nem perceber.
Se sua SH tem mais de 10 devs usando Claude Code e ainda está no cartão de crédito pessoal, você tem um problema de governance que só vai piorar. O Mantle resolve em 15 minutos.
Conclusão
A questão não é se sua software house vai precisar de AI governance. É quando. E “quando” geralmente significa “quando o cliente enterprise perguntar” ou “quando o regulador bater na porta”.
O Bedrock Mantle te prepara para as duas situações. Uma variável de ambiente. Billing consolidado. Data residency. IAM. Guardrails. CloudTrail. Tudo que o enterprise exige, sem nada que atrapalhe o dev.
Não espere o próximo contrato enterprise falhar por falta de compliance. Configure hoje.
Se você quer implementar AI governance na sua software house e não sabe por onde começar, eu já vi o que funciona e o que não funciona em mais de 300 operações.
Sou Thulio, mentoro 300+ SHs desde 2016. E a migração para Bedrock é a segunda coisa que eu peço para todo CEO implementar — logo depois do NO_FLICKER mode.
