View a markdown version of this page

MCP-Server verbinden - AWS DevOps Agentin

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MCP-Server verbinden

Model Context Protocol (MCP) -Server erweitern die Ermittlungsmöglichkeiten von AWS DevOps Agent, indem sie Zugriff auf Daten aus Ihren externen Observability-Tools, benutzerdefinierten Überwachungssystemen und betrieblichen Datenquellen bieten. In diesem Handbuch wird erklärt, wie Sie einen MCP-Server mit dem Agenten verbinden. AWS DevOps

Voraussetzungen

Bevor Sie einen MCP-Server verbinden, stellen Sie sicher, dass Ihr Server die folgenden Anforderungen erfüllt:

  • Streamables HTTP-Transportprotokoll — Nur MCP-Server, die das Streamable HTTP-Transportprotokoll implementieren, werden unterstützt.

  • Authentifizierungsunterstützung — Ihr MCP-Server muss eine der folgenden Authentifizierungsmethoden unterstützen: OAuth 2.0 (Client Credentials oder 3LO), key/token API-basierte Authentifizierung oder Signature Version 4 (Sigv4). AWS

Sicherheitsüberlegungen

Beachten Sie bei der Verbindung von MCP-Servern mit AWS DevOps Agent die folgenden Sicherheitsaspekte:

Bitte beachten Sie, dass die maximale Länge des Tool-Namens für alle MCP-Tools 64 Zeichen beträgt. Informationen zur maximal zulässigen Anzahl von MCP-Tools pro Agent-Speicherplatz finden Sie unter. Kontingente

  • Risiken durch Prompt-Injection-Angriffe — Benutzerdefinierte MCP-Server können ein zusätzliches Risiko von Prompt-Injection-Angriffen mit sich bringen. Weitere Informationen finden Sie unter Prompt-Injection-Schutz: AWS DevOps Agent Security.

  • Read-only Tools und Zugriff — Erlauben Sie nur schreibgeschützte MCP-Tools und stellen Sie sicher, dass für die Authentifizierungsdaten nur Lesezugriff gewährt wird.

AWS DevOps AgentensicherheitWeitere Informationen zu Prompt Injection und dem Modell der gemeinsamen Verantwortung finden Sie unter.

Anmerkung

Wenn sich Ihr MCP-Server in einem privaten Netzwerk befindet, finden Sie unter Verbindung zu privat gehosteten Tools herstellen

Registrierung eines MCP-Servers (auf Kontoebene)

MCP-Server werden auf AWS Kontoebene registriert und von allen Agent Spaces in diesem Konto gemeinsam genutzt. Einzelne Agent Spaces können dann auswählen, welche spezifischen Tools sie von jedem MCP-Server benötigen.

Schritt 1: Details zum MCP-Server

  1. Melden Sie sich bei der AWS Management Console an

  2. Navigieren Sie zur AWS DevOps Agent-Konsole

  3. Gehen Sie zur Seite Capability Providers (zugänglich über die Seitennavigation)

  4. Suchen Sie im Bereich Verfügbare Anbieter nach MCP Server und wählen Sie Registrieren

  5. Geben Sie auf der Seite mit den MCP-Serverdetails die folgenden Informationen ein:

    • Name — Geben Sie einen aussagekräftigen Namen für Ihren MCP-Server ein

    • Endpunkt-URL — Geben Sie die vollständige HTTPS-URL Ihres MCP-Serverendpunkts ein

    • Beschreibung (optional) — Fügen Sie eine Beschreibung hinzu, um den Zweck des Servers zu identifizieren

    • Dynamische Client-Registrierung aktivieren — Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass sich der AWS DevOps Agent automatisch beim Autorisierungsserver Ihres MCP-Servers registriert

    • Connect zum Endpunkt über private Verbindung herstellen — Aktivieren Sie dieses Kontrollkästchen, wenn der AWS DevOps Agent privat Anfragen an Ihren MCP-Server stellen soll. Sie können eine bestehende private Verbindung auswählen oder eine neue erstellen. Wenn Sie die OAuth-Authentifizierung verwenden, gilt die private Verbindung sowohl für den MCP-Serverendpunkt als auch für den Token-Exchange-Endpunkt. Stellen Sie sicher, dass die private Verbindung mit einer Hostadresse konfiguriert ist, die den Datenverkehr an beide Endpunkte weiterleiten kann. Weitere Informationen finden Sie unter Verbindung zu privat gehosteten Tools herstellen.

  6. Wählen Sie Next (Weiter).

Anmerkung

Die URL des MCP-Serverendpunkts wird in den AWS CloudTrail Protokollen Ihres Kontos angezeigt.

Schritt 2: Autorisierungsablauf

Wählen Sie die Authentifizierungsmethode für Ihren MCP-Server aus:

OAuth-Client-Anmeldeinformationen — Wenn Ihr MCP-Server den OAuth-Client-Anmeldedatenfluss verwendet:

  1. Wählen Sie OAuth-Client-Anmeldeinformationen

  2. Wählen Sie Weiter

OAuth 3LO (OAuth) — Wenn Ihr MCP-Server Three-Legged OAuth 3LO zur Authentifizierung verwendet:

  1. Wählen Sie OAuth 3LO

  2. Wählen Sie Weiter

API-Schlüssel — Wenn Ihr MCP-Server die API-Schlüsselauthentifizierung verwendet:

  1. Wählen Sie API-Schlüssel

  2. Wählen Sie Weiter

AWS SigV4 — Wenn Ihr MCP-Server die Authentifizierung mit AWS Signature Version 4 verwendet:

  1. Wählen Sie SigV4 AWS

  2. Wählen Sie Weiter

Schritt 3: Konfiguration der Autorisierung

Konfigurieren Sie zusätzliche Autorisierungsparameter basierend auf der ausgewählten Authentifizierungsmethode:

Für OAuth-Client-Anmeldeinformationen:

  1. Client-ID — Geben Sie die Client-ID des OAuth-Clients ein

  2. Geheimer Client-Schlüssel — Geben Sie den geheimen Client-Schlüssel des OAuth-Clients ein

  3. Exchange-URL — Geben Sie die URL des OAuth-Token-Exchange-Endpunkts ein

  4. Exchange-Parameter — Geben Sie die OAuth-Token-Austauschparameter für die Authentifizierung beim Dienst ein

  5. Bereich hinzufügen — Fügen Sie OAuth-Bereiche für die Authentifizierung hinzu

  6. Wählen Sie Weiter

Für OAuth 3LO:

  1. Client-ID — Geben Sie die Client-ID des OAuth-Clients ein

  2. Geheimer Client-Schlüssel — Geben Sie den geheimen Client-Schlüssel des OAuth-Clients ein, falls dieser von Ihrem OAuth-Client benötigt wird

  3. Exchange-URL — Geben Sie die URL des OAuth-Token-Exchange-Endpunkts ein

  4. Autorisierungs-URL — Geben Sie die URL des OAuth-Autorisierungsendpunkts ein

  5. Code Challenge-Unterstützung — Wählen Sie dieses Kontrollkästchen, wenn Ihr OAuth-Client Code Challenge unterstützt

  6. Bereich hinzufügen — Fügen Sie OAuth-Bereiche für die Authentifizierung hinzu

  7. Wählen Sie Weiter

Für den API-Schlüssel:

  1. Geben Sie einen API-Schlüsselnamen ein

  2. Geben Sie den Namen des Headers ein, der den API-Schlüssel in der Anfrage enthalten soll

  3. Geben Sie den Wert Ihres API-Schlüssels ein

  4. Wählen Sie Weiter

Für AWS SigV4:

AWS Die SigV4-Authentifizierung ermöglicht es dem AWS DevOps Agenten, eine Verbindung zu MCP-Servern herzustellen, die AWS Signature Version 4 für die Signierung von Anfragen verwenden. Dies ist nützlich für MCP-Server, die hinter Amazon API Gateway oder anderen AWS Diensten gehostet werden, die die SigV4-Authentifizierung unterstützen.

  1. IAM-Rolle konfigurieren — Wählen Sie eine der folgenden Optionen:

    • Eine bestehende Rolle verwenden — Wählen Sie eine vorhandene IAM-Rolle aus der Dropdownliste aus. Die Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal ermöglicht, sie zu übernehmen (siehe Erstellen einer IAM-Rolle für die SigV4-Authentifizierung).

    • Manuelles Erstellen einer neuen Rolle — Folgen Sie den schrittweisen Anweisungen in der Konsole, um eine neue IAM-Rolle mit der richtigen Vertrauensrichtlinie zu erstellen.

  2. AWS Region — Geben Sie die AWS Region für die Sigv4-Signatur ein (z. B.us-east-1). Um die SigV4a-Signatur für mehrere Regionen zu verwenden, geben Sie ein. *

  3. Dienstname — Geben Sie den AWS Dienstnamen für die SigV4-Signatur ein (z. B. execute-api für API Gateway).

  4. Benutzerdefinierte Header (optional) — Fügen Sie bis zu 10 benutzerdefinierte Schlüssel-Wert-Header-Paare hinzu, die jeder signierten Anfrage beigefügt werden sollen.

  5. Wählen Sie Weiter

Schritt 4: Überprüfen und abschicken

  1. Überprüfen Sie alle Konfigurationsdetails des MCP-Servers

  2. Wählen Sie Senden, um die Registrierung abzuschließen

  3. AWS DevOps Der Agent validiert die Verbindung zu Ihrem MCP-Server

  4. Nach erfolgreicher Validierung wird Ihr MCP-Server auf Kontoebene registriert

Konfiguration von MCP-Tools in einem Agent Space

Nachdem Sie einen MCP-Server auf Kontoebene registriert haben, können Sie konfigurieren, welche Tools von diesem Server für bestimmte Agent Spaces verfügbar sind:

  1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus

  2. Gehen Sie zur Registerkarte Funktionen

  3. Wählen Sie im Bereich MCP-Server die Option Hinzufügen

  4. Wählen Sie den registrierten MCP-Server aus, den Sie mit diesem Agent Space verbinden möchten

  5. Konfigurieren Sie, welche Tools von diesem MCP-Server für den Agent Space verfügbar sein sollen:

    • Alle Tools zulassen — Macht alle Tools vom MCP-Server verfügbar

    • Bestimmte Tools auswählen — Ermöglicht es Ihnen, auszuwählen, welche Tools auf die Zulassungsliste gesetzt werden sollen

  6. Wählen Sie Hinzufügen, um den MCP-Server mit Ihrem Agent Space zu verbinden

AWS DevOps Der Agent kann nun bei Untersuchungen in diesem Agent Space die Tools auf der Zulassungsliste Ihres MCP-Servers verwenden.

Verwaltung von MCP-Serververbindungen

Aktualisierung der Authentifizierungsdaten — Wenn Ihre Authentifizierungsdaten aktualisiert werden müssen, müssen Sie Ihren MCP-Server erneut registrieren. Navigieren Sie in der AWS DevOps Agent-Konsole zur Seite Capability Providers, suchen Sie Ihren MCP-Server, entfernen Sie alle aktiven Verknüpfungen und wählen Sie Abmelden aus. Als Nächstes registrieren Sie Ihren MCP-Server mit den neuen Authentifizierungsdaten und stellen Sie alle erforderlichen Verknüpfungen mit Ihrem Agent Space erneut her.

Verbundene MCP-Server anzeigen — Um alle MCP-Server zu sehen, die mit Ihrem Agent Space verbunden sind, wählen Sie Ihren Agent Space aus, wechseln Sie zur Registerkarte Funktionen und überprüfen Sie den Abschnitt MCP-Server. Sie können hier auch ausgewählte Tools aktualisieren.

MCP-Serververbindungen entfernen — Um einen MCP-Server von einem Agent Space zu trennen, wählen Sie den Server im Abschnitt MCP-Server aus und klicken Sie auf Entfernen. Um eine MCP-Serverregistrierung vollständig zu löschen, entfernen Sie sie zuerst aus allen Agent Spaces und löschen Sie dann die Registrierung auf Kontoebene.

Eine IAM-Rolle für die SigV4-Authentifizierung erstellen

Wenn Sie die AWS SigV4-Authentifizierung verwenden, nimmt der AWS DevOps Agent eine IAM-Rolle in Ihrem Konto ein, um Anfragen an Ihren MCP-Server zu signieren. Diese Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal (aidevops.amazonaws.com) ermöglicht, diese Rolle zu übernehmen, wobei der stellvertretende Schutz nicht gewährleistet ist.

Vertrauensrichtlinie

Erstellen Sie eine IAM-Rolle mit der folgenden Vertrauensrichtlinie. REGIONErsetzen Sie sie durch Ihre AWS Region (z. B.us-east-1) und ACCOUNT_ID durch Ihre AWS Konto-ID.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }

Die Vertrauensrichtlinie umfasst die folgenden Bedingungen, um das Problem des verwirrten Stellvertreters zu verhindern:

  • aws:SourceAccount— Beschränkt die Übernahme der Rolle auf Anfragen, die von Ihrem AWS Konto stammen.

  • aws:SourceArn— Beschränkt die Rollenübernahme auf Anfragen, die von den Serviceressourcen der AWS DevOps Agenten in Ihrem Konto stammen.

Berechtigungsrichtlinie

Fügen Sie der Rolle eine Berechtigungsrichtlinie hinzu, die die Mindestberechtigungen gewährt, die zum Aufrufen Ihres MCP-Servers erforderlich sind. Wenn Ihr MCP-Server beispielsweise hinter Amazon API Gateway gehostet wird, sollte die Rolle über execute-api:Invoke Berechtigungen für die API Gateway-Ressource verfügen.

Multi-region Signieren (SigV4a)

Wenn Ihr MCP-Server in mehreren AWS Regionen eingesetzt wird, können Sie SigV4a (Signature Version 4a) für das Signieren mehrerer Regionen verwenden. Um dies zu aktivieren, geben Sie bei der Konfiguration der * AWS SigV4-Autorisierung als Region ein. SigV4a verwendet eine asymmetrische Signatur, die es ermöglicht, dass eine einzelne signierte Anfrage für mehrere Regionen gültig ist.

  • Sicherheit im Agenten AWS DevOps

  • Einen Agent-Bereich einrichten

  • Schutz vor sofortiger Injektion