Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
MCP-Server verbinden
Model Context Protocol (MCP) -Server erweitern die Ermittlungsmöglichkeiten von AWS DevOps Agent, indem sie Zugriff auf Daten aus Ihren externen Observability-Tools, benutzerdefinierten Überwachungssystemen und betrieblichen Datenquellen bieten. In diesem Handbuch wird erklärt, wie Sie einen MCP-Server mit dem Agenten verbinden. AWS DevOps
Voraussetzungen
Bevor Sie einen MCP-Server verbinden, stellen Sie sicher, dass Ihr Server die folgenden Anforderungen erfüllt:
Streamables HTTP-Transportprotokoll — Nur MCP-Server, die das Streamable HTTP-Transportprotokoll implementieren, werden unterstützt.
Authentifizierungsunterstützung — Ihr MCP-Server muss eine der folgenden Authentifizierungsmethoden unterstützen: OAuth 2.0 (Client Credentials oder 3LO), key/token API-basierte Authentifizierung oder Signature Version 4 (Sigv4). AWS
Sicherheitsüberlegungen
Beachten Sie bei der Verbindung von MCP-Servern mit AWS DevOps Agent die folgenden Sicherheitsaspekte:
Zulassungsliste für Tools — Sie sollten nur die spezifischen Tools zulassen, die Ihr Agent Space benötigt, anstatt alle Tools von Ihrem MCP-Server verfügbar zu machen. Informationen dazu, wie Sie das Auflisten von Tools pro Agent Space zulassen, finden Sie unter Konfiguration von MCP-Tools in einem Agent Space.
Bitte beachten Sie, dass die maximale Länge des Tool-Namens für alle MCP-Tools 64 Zeichen beträgt. Informationen zur maximal zulässigen Anzahl von MCP-Tools pro Agent-Speicherplatz finden Sie unter. Kontingente
Risiken durch Prompt-Injection-Angriffe — Benutzerdefinierte MCP-Server können ein zusätzliches Risiko von Prompt-Injection-Angriffen mit sich bringen. Weitere Informationen finden Sie unter Prompt-Injection-Schutz: AWS DevOps Agent Security.
Read-only Tools und Zugriff — Erlauben Sie nur schreibgeschützte MCP-Tools und stellen Sie sicher, dass für die Authentifizierungsdaten nur Lesezugriff gewährt wird.
AWS DevOps AgentensicherheitWeitere Informationen zu Prompt Injection und dem Modell der gemeinsamen Verantwortung finden Sie unter.
Anmerkung
Wenn sich Ihr MCP-Server in einem privaten Netzwerk befindet, finden Sie unter Verbindung zu privat gehosteten Tools herstellen
Registrierung eines MCP-Servers (auf Kontoebene)
MCP-Server werden auf AWS Kontoebene registriert und von allen Agent Spaces in diesem Konto gemeinsam genutzt. Einzelne Agent Spaces können dann auswählen, welche spezifischen Tools sie von jedem MCP-Server benötigen.
Schritt 1: Details zum MCP-Server
Melden Sie sich bei der AWS Management Console an
Navigieren Sie zur AWS DevOps Agent-Konsole
Gehen Sie zur Seite Capability Providers (zugänglich über die Seitennavigation)
Suchen Sie im Bereich Verfügbare Anbieter nach MCP Server und wählen Sie Registrieren
Geben Sie auf der Seite mit den MCP-Serverdetails die folgenden Informationen ein:
Name — Geben Sie einen aussagekräftigen Namen für Ihren MCP-Server ein
Endpunkt-URL — Geben Sie die vollständige HTTPS-URL Ihres MCP-Serverendpunkts ein
Beschreibung (optional) — Fügen Sie eine Beschreibung hinzu, um den Zweck des Servers zu identifizieren
Dynamische Client-Registrierung aktivieren — Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass sich der AWS DevOps Agent automatisch beim Autorisierungsserver Ihres MCP-Servers registriert
Connect zum Endpunkt über private Verbindung herstellen — Aktivieren Sie dieses Kontrollkästchen, wenn der AWS DevOps Agent privat Anfragen an Ihren MCP-Server stellen soll. Sie können eine bestehende private Verbindung auswählen oder eine neue erstellen. Wenn Sie die OAuth-Authentifizierung verwenden, gilt die private Verbindung sowohl für den MCP-Serverendpunkt als auch für den Token-Exchange-Endpunkt. Stellen Sie sicher, dass die private Verbindung mit einer Hostadresse konfiguriert ist, die den Datenverkehr an beide Endpunkte weiterleiten kann. Weitere Informationen finden Sie unter Verbindung zu privat gehosteten Tools herstellen.
Wählen Sie Next (Weiter).
Anmerkung
Die URL des MCP-Serverendpunkts wird in den AWS CloudTrail Protokollen Ihres Kontos angezeigt.
Schritt 2: Autorisierungsablauf
Wählen Sie die Authentifizierungsmethode für Ihren MCP-Server aus:
OAuth-Client-Anmeldeinformationen — Wenn Ihr MCP-Server den OAuth-Client-Anmeldedatenfluss verwendet:
Wählen Sie OAuth-Client-Anmeldeinformationen
Wählen Sie Weiter
OAuth 3LO (OAuth) — Wenn Ihr MCP-Server Three-Legged OAuth 3LO zur Authentifizierung verwendet:
Wählen Sie OAuth 3LO
Wählen Sie Weiter
API-Schlüssel — Wenn Ihr MCP-Server die API-Schlüsselauthentifizierung verwendet:
Wählen Sie API-Schlüssel
Wählen Sie Weiter
AWS SigV4 — Wenn Ihr MCP-Server die Authentifizierung mit AWS Signature Version 4 verwendet:
Wählen Sie SigV4 AWS
Wählen Sie Weiter
Schritt 3: Konfiguration der Autorisierung
Konfigurieren Sie zusätzliche Autorisierungsparameter basierend auf der ausgewählten Authentifizierungsmethode:
Für OAuth-Client-Anmeldeinformationen:
Client-ID — Geben Sie die Client-ID des OAuth-Clients ein
Geheimer Client-Schlüssel — Geben Sie den geheimen Client-Schlüssel des OAuth-Clients ein
Exchange-URL — Geben Sie die URL des OAuth-Token-Exchange-Endpunkts ein
Exchange-Parameter — Geben Sie die OAuth-Token-Austauschparameter für die Authentifizierung beim Dienst ein
Bereich hinzufügen — Fügen Sie OAuth-Bereiche für die Authentifizierung hinzu
Wählen Sie Weiter
Für OAuth 3LO:
Client-ID — Geben Sie die Client-ID des OAuth-Clients ein
Geheimer Client-Schlüssel — Geben Sie den geheimen Client-Schlüssel des OAuth-Clients ein, falls dieser von Ihrem OAuth-Client benötigt wird
Exchange-URL — Geben Sie die URL des OAuth-Token-Exchange-Endpunkts ein
Autorisierungs-URL — Geben Sie die URL des OAuth-Autorisierungsendpunkts ein
Code Challenge-Unterstützung — Wählen Sie dieses Kontrollkästchen, wenn Ihr OAuth-Client Code Challenge unterstützt
Bereich hinzufügen — Fügen Sie OAuth-Bereiche für die Authentifizierung hinzu
Wählen Sie Weiter
Für den API-Schlüssel:
Geben Sie einen API-Schlüsselnamen ein
Geben Sie den Namen des Headers ein, der den API-Schlüssel in der Anfrage enthalten soll
Geben Sie den Wert Ihres API-Schlüssels ein
Wählen Sie Weiter
Für AWS SigV4:
AWS Die SigV4-Authentifizierung ermöglicht es dem AWS DevOps Agenten, eine Verbindung zu MCP-Servern herzustellen, die AWS Signature Version 4 für die Signierung von Anfragen verwenden. Dies ist nützlich für MCP-Server, die hinter Amazon API Gateway oder anderen AWS Diensten gehostet werden, die die SigV4-Authentifizierung unterstützen.
IAM-Rolle konfigurieren — Wählen Sie eine der folgenden Optionen:
Eine bestehende Rolle verwenden — Wählen Sie eine vorhandene IAM-Rolle aus der Dropdownliste aus. Die Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal ermöglicht, sie zu übernehmen (siehe Erstellen einer IAM-Rolle für die SigV4-Authentifizierung).
Manuelles Erstellen einer neuen Rolle — Folgen Sie den schrittweisen Anweisungen in der Konsole, um eine neue IAM-Rolle mit der richtigen Vertrauensrichtlinie zu erstellen.
AWS Region — Geben Sie die AWS Region für die Sigv4-Signatur ein (z. B.
us-east-1). Um die SigV4a-Signatur für mehrere Regionen zu verwenden, geben Sie ein.*Dienstname — Geben Sie den AWS Dienstnamen für die SigV4-Signatur ein (z. B.
execute-apifür API Gateway).Benutzerdefinierte Header (optional) — Fügen Sie bis zu 10 benutzerdefinierte Schlüssel-Wert-Header-Paare hinzu, die jeder signierten Anfrage beigefügt werden sollen.
Wählen Sie Weiter
Schritt 4: Überprüfen und abschicken
Überprüfen Sie alle Konfigurationsdetails des MCP-Servers
Wählen Sie Senden, um die Registrierung abzuschließen
AWS DevOps Der Agent validiert die Verbindung zu Ihrem MCP-Server
Nach erfolgreicher Validierung wird Ihr MCP-Server auf Kontoebene registriert
Konfiguration von MCP-Tools in einem Agent Space
Nachdem Sie einen MCP-Server auf Kontoebene registriert haben, können Sie konfigurieren, welche Tools von diesem Server für bestimmte Agent Spaces verfügbar sind:
Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus
Gehen Sie zur Registerkarte Funktionen
Wählen Sie im Bereich MCP-Server die Option Hinzufügen
Wählen Sie den registrierten MCP-Server aus, den Sie mit diesem Agent Space verbinden möchten
Konfigurieren Sie, welche Tools von diesem MCP-Server für den Agent Space verfügbar sein sollen:
Alle Tools zulassen — Macht alle Tools vom MCP-Server verfügbar
Bestimmte Tools auswählen — Ermöglicht es Ihnen, auszuwählen, welche Tools auf die Zulassungsliste gesetzt werden sollen
Wählen Sie Hinzufügen, um den MCP-Server mit Ihrem Agent Space zu verbinden
AWS DevOps Der Agent kann nun bei Untersuchungen in diesem Agent Space die Tools auf der Zulassungsliste Ihres MCP-Servers verwenden.
Verwaltung von MCP-Serververbindungen
Aktualisierung der Authentifizierungsdaten — Wenn Ihre Authentifizierungsdaten aktualisiert werden müssen, müssen Sie Ihren MCP-Server erneut registrieren. Navigieren Sie in der AWS DevOps Agent-Konsole zur Seite Capability Providers, suchen Sie Ihren MCP-Server, entfernen Sie alle aktiven Verknüpfungen und wählen Sie Abmelden aus. Als Nächstes registrieren Sie Ihren MCP-Server mit den neuen Authentifizierungsdaten und stellen Sie alle erforderlichen Verknüpfungen mit Ihrem Agent Space erneut her.
Verbundene MCP-Server anzeigen — Um alle MCP-Server zu sehen, die mit Ihrem Agent Space verbunden sind, wählen Sie Ihren Agent Space aus, wechseln Sie zur Registerkarte Funktionen und überprüfen Sie den Abschnitt MCP-Server. Sie können hier auch ausgewählte Tools aktualisieren.
MCP-Serververbindungen entfernen — Um einen MCP-Server von einem Agent Space zu trennen, wählen Sie den Server im Abschnitt MCP-Server aus und klicken Sie auf Entfernen. Um eine MCP-Serverregistrierung vollständig zu löschen, entfernen Sie sie zuerst aus allen Agent Spaces und löschen Sie dann die Registrierung auf Kontoebene.
Eine IAM-Rolle für die SigV4-Authentifizierung erstellen
Wenn Sie die AWS SigV4-Authentifizierung verwenden, nimmt der AWS DevOps Agent eine IAM-Rolle in Ihrem Konto ein, um Anfragen an Ihren MCP-Server zu signieren. Diese Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal (aidevops.amazonaws.com) ermöglicht, diese Rolle zu übernehmen, wobei der stellvertretende Schutz nicht gewährleistet ist.
Vertrauensrichtlinie
Erstellen Sie eine IAM-Rolle mit der folgenden Vertrauensrichtlinie. REGIONErsetzen Sie sie durch Ihre AWS Region (z. B.us-east-1) und ACCOUNT_ID durch Ihre AWS Konto-ID.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }
Die Vertrauensrichtlinie umfasst die folgenden Bedingungen, um das Problem des verwirrten Stellvertreters zu verhindern:
aws:SourceAccount— Beschränkt die Übernahme der Rolle auf Anfragen, die von Ihrem AWS Konto stammen.aws:SourceArn— Beschränkt die Rollenübernahme auf Anfragen, die von den Serviceressourcen der AWS DevOps Agenten in Ihrem Konto stammen.
Berechtigungsrichtlinie
Fügen Sie der Rolle eine Berechtigungsrichtlinie hinzu, die die Mindestberechtigungen gewährt, die zum Aufrufen Ihres MCP-Servers erforderlich sind. Wenn Ihr MCP-Server beispielsweise hinter Amazon API Gateway gehostet wird, sollte die Rolle über execute-api:Invoke Berechtigungen für die API Gateway-Ressource verfügen.
Multi-region Signieren (SigV4a)
Wenn Ihr MCP-Server in mehreren AWS Regionen eingesetzt wird, können Sie SigV4a (Signature Version 4a) für das Signieren mehrerer Regionen verwenden. Um dies zu aktivieren, geben Sie bei der Konfiguration der * AWS SigV4-Autorisierung als Region ein. SigV4a verwendet eine asymmetrische Signatur, die es ermöglicht, dass eine einzelne signierte Anfrage für mehrere Regionen gültig ist.
Verwandte Themen
Sicherheit im Agenten AWS DevOps
Einen Agent-Bereich einrichten
Schutz vor sofortiger Injektion