Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conectarse a los servidores remotos del DevOps agente
AWS DevOps El agente proporciona servidores remotos dedicados para los protocolos Model Context Protocol (MCP) y Agent-to-Agent (A2A). Utilice estos servidores para conectar sus integraciones de IDE, CLI o agentes personalizados a un Agent Space.
Protocolos admitidos
MCP (Model Context Protocol): conecta clientes IDE y CLI como Kiro, Claude Code, Cursor y otras MCP-compatible herramientas.
A2A (Agent-to-Agent) v1.0: Connect agentes autónomos para la comunicación entre agentes.
Puntos de conexión
Los servidores remotos están disponibles en una URL regional:
https://connect.aidevops.{region}.api.aws
| Protocolo | Ruta | Método |
|---|---|---|
| MCP | /mcp |
POST |
| A2A | /a2a/* |
POST |
| Tarjeta de agente A2A | /.well-known/agent-card.json |
GET |
Para ver la lista de regiones disponibles, consulteRegiones admitidas.
Autenticación
Hay dos métodos de autenticación disponibles para los puntos finales MCP y A2A:
Token de acceso (portador): un único token destinado a un espacio de agente. La configuración más sencilla para uso individual.
AWS SigV4: autenticación basada en AWS credenciales. Admite varios espacios de agentes y se integra con el gobierno de identidad existente AWS . Lo gestiona automáticamente mcp-proxy-for-aws
, un proxy local que firma las solicitudes con sus credenciales. AWS
Crea un token de acceso
Requisitos previos
La función de fichas de acceso debe estar habilitada en su espacio de agente.
Debe tener permisos de IAM para administrar los tokens de acceso (
aidevops:CreateAccessToken,aidevops:RevokeAccessToken,aidevops:RotateAccessToken). Puede consultar la lista completa e DevOps Permisos de IAM para agentes.
Habilite los tokens de acceso
Inicie sesión en la consola AWS de administración y abra la consola del AWS DevOps agente.
Elija su espacio de agente.
Elija la pestaña Configuración.
En la sección Tokens de acceso, selecciona Activar.
Confirme la acción.
Crea un token
Abre la aplicación web DevOps Agent para tu espacio de agente y, a continuación, en el menú de navegación, selecciona Configuración y, a continuación, selecciona Access Tokens.
Elija Generar token.
Ingrese un nombre para el token.
Elige un ámbito:
read— Consulta las investigaciones, las recomendaciones, los chats y los recursos de Agent Space.operate— Acceso completo. Incluye todoread, además de enviar mensajes, crear chats y gestionar las tareas pendientes y las recomendaciones.
Elige un tipo de cliente:
human— Para uso de IDE y CLI (Kiro, Claude Code, Cursor y otras herramientas interactivas).agent— Para integraciones A2A autónomas y agentes programáticos.
Establezca una caducidad (de 1 a 60 días).
Copia el valor del token y guárdalo en un lugar seguro, como AWS Secrets Manager. No puedes volver a recuperarlo.
Tras crear un token, la aplicación web muestra un ejemplo de configuración que puede copiar directamente en su cliente.
Conéctate con Kiro
Para los usuarios de Kiro
Paso 1: Instale la alimentación
Instale la potencia aws-devops-agent del mercado de Powers.
Paso 2: Defina las variables de entorno
Establezca las siguientes variables de entorno para configurar la conexión:
DEVOPS_AGENT_TOKEN=<your-access-token> DEVOPS_AGENT_REGION=<your-agent-space-region>
Paso 3: Aprobar las variables en Kiro
Vaya a Configuración > Variables ambientales aprobadas por MCP y apruebe y. DEVOPS_AGENT_TOKEN DEVOPS_AGENT_REGION Kiro no transfiere variables de entorno a los servidores MCP hasta que se aprueban.
Paso 4: Reiniciar Kiro
Reinicia Kiro para aplicar los cambios.
La potencia de Kiro se incluye aws-mcp como alternativa, que proporciona acceso directo a la AWS API cuando el punto final del servidor remoto no está disponible.
Conéctese con Claude Code
Para los usuarios de Claude Code
Instale el complemento aws-agents-for-devsecops.
Ejecute el comando para configurar la conexión.
/aws-agents-for-devsecops:setup-devops-agent
Conéctese con otros clientes de MCP
Para cualquier MCP-compatible cliente, configure el servidor con:
URL —
https://connect.aidevops.{region}.api.aws/mcpEncabezado de autorización —
Bearer <your-token>Tiempo de espera: 120 segundos como mínimo (las respuestas iniciales pueden tardar entre 5 y 30 segundos; las sesiones de chat en curso pueden tardar más)
Esta configuración también funciona con Kiro y Claude Code si prefieres configurar la conexión manualmente en lugar de utilizar la alimentación o el complemento dedicados.
Ejemplo de configuración de MCP:
{ "mcpServers": { "aws-devops-agent": { "url": "https://connect.aidevops.{region}.api.aws/mcp", "headers": { "Authorization": "Bearer <your-access-token>" } } } }
{region}Sustitúyala por la región de tu espacio de agente (por ejemplous-east-1) y <your-access-token> por el valor del token.
Usa la autenticación SigV4
La autenticación SigV4 usa tus AWS credenciales en lugar de un token de acceso. El plugin Kiro power y Claude Code incluyen soporte integrado para SigV4mcp-proxy-for-aws, que permite firmar las solicitudes con tus credenciales locales. AWS
Cuando se usa SigV4
Como alternativa cuando el token de acceso no está configurado o falla (caducado, no válido).
Como autenticación principal cuando tienes varios espacios de agente y necesitas redirigirlos
agent_space_idpor cada llamada a la herramienta.Como opción del usuario, en Claude Code, ejecute la habilidad de configuración para cambiar del token del portador a la autenticación SigV4.
Requisitos previos
AWS credenciales disponibles en el entorno (mediante el inicio de sesión único, las variables de entorno o el archivo de credenciales).
Sus credenciales deben tener permiso para AWS DevOps invocar las acciones del agente. Para conocer los permisos necesarios, consulte DevOps Permisos de IAM para agentes.
uvxinstalado (se ejecuta el proxyuvx mcp-proxy-for-aws@latest).
Configuración de ejemplo
Para configurar un cliente MCP para que utilice SiGv4 en lugar de un token de acceso, ejecute el servidor. mcp-proxy-for-aws {region}Sustitúyala por la región de tu espacio de agente (por ejemplo,us-east-1):
{ "mcpServers": { "aws-devops-agent": { "command": "uvx", "timeout": 120000, "args": [ "mcp-proxy-for-aws@latest", "https://connect.aidevops.{region}.api.aws/mcp", "--service", "aidevops", "--region", "{region}" ] } } }
El proxy firma cada solicitud con tus AWS credenciales locales, por lo que no es necesario ningún token de acceso.
Multi-Agent-Space enrutamiento
En el modo SiGv4, agent_space_id transfiera cada llamada a la herramienta para especificar qué espacio de agente utilizar. Esto permite enrutar varios Agent Spaces desde un único cliente.
Integración A2A
El punto final A2A implementa la especificación A2A v1.0 mediante
Detección de tarjetas de agente
Recupere la tarjeta de agente en:
GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json
Operaciones admitidas
SendMessage— Envía un mensaje y recibe una respuesta.SendStreamingMessage— Transmita las respuestas a medida que se generan.GetTask— Comprobar el estado de una tarea asíncrona.ListTasks— Listar las tareas de un espacio de agentes.CancelTask— Cancelar una tarea en ejecución.SubscribeToTask— Suscríbase a las actualizaciones de tareas mediante eventos enviados por el servidor.
Habilidades
investigar: análisis profundo y asincrónico de los problemas operativos (de 5 a 8 minutos).
chat: respuestas instantáneas a preguntas operativas.
Consideraciones de seguridad
Alcance de los tokens
Utilice los privilegios mínimos:
readopte por integraciones de solo lectura,operatesolo cuando el cliente necesite enviar mensajes o gestionar tareas.Rota las fichas periódicamente. Los tokens caducan después de la duración configurada (máximo 60 días).
Guarde los tokens en variables de entorno o en administradores de secretos. No codifique los tokens en el código fuente.
No ejecute automáticamente las respuestas de los agentes sin una revisión humana.
Lista de direcciones IP permitidas
Al crear un token de acceso, si lo desea, puede especificar una lista de direcciones IP permitidas. Cuando está configurado, el token solo se puede usar desde las direcciones IP o los rangos de CIDR especificados. Las solicitudes de otras IP se rechazan con un error de acceso denegado.
Rotación y revocación de los tokens
Rotación: rota un token para generar un nuevo valor de token y, al mismo tiempo, conservar el nombre, los ámbitos y la lista de IP permitidas del token. El token anterior se invalida inmediatamente. Actualice la configuración de su cliente con el nuevo valor del token.
Revocación: si un token está en peligro, revoquelo inmediatamente. Los tokens revocados no se pueden usar ni restaurar.
Responder a un token comprometido
Si sospechas que un token se ha visto comprometido, sigue estos pasos:
Bloquee el acceso a todos los tokens: en la AWS DevOps consola del agente, abra su espacio de agente, seleccione la pestaña Configuración y elija Inhabilitar en la sección Acceso a los tokens. Esto bloquea inmediatamente todos los accesos basados en fichas al espacio de agentes.
Revocar los tokens comprometidos: en la aplicación web, ve a Configuración > Acceder a los tokens, elige el token comprometido y elige Revocar. Puedes revocar las fichas incluso cuando las fichas de acceso estén desactivadas.
Re-enable fichas de acceso: tras revocar las fichas comprometidas, vuelve a activar las fichas de acceso desde la pestaña Configuración si aún necesitas un acceso basado en fichas.
Revocar los tokens mediante programación
También puede revocar los tokens mediante programación utilizando. awscurl Los siguientes comandos utilizan la autenticación SigV4. Sustituya la región (us-east-1) por la región en la que se creó su espacio de agente.
Paso 1: Enumere sus espacios de agente
aws aidevops list-agent-spaces --region us-east-1
Paso 2: Enumere los tokens de acceso a un espacio de agente
awscurl --service aidevops --region us-east-1 \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"
Paso 3: Revocar un token
awscurl --service aidevops --region us-east-1 -X POST \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"
Sustituya {agentSpaceId} y {accessTokenId} por los valores de las respuestas anteriores.
Trazabilidad
Cuando se utiliza un token de acceso, el AWS DevOps agente asume una función en su nombre para realizar acciones. Esta AssumeRole llamada se registra AWS CloudTrail con etiquetas de sesión que identifican al token y a la persona que llama:
AgentSpaceId— Identificador del espacio de agentes.UserId— Identidad del creador del token.AccessTokenId— Identificador único del token.TokenName— Nombre del token de acceso utilizado.ClientType— El protocolo utilizado (MCP, A2A).SourceIp— Dirección IP del cliente.UserAgent— User-Agent Cadena de cliente (cuando esté disponible).
Las invocaciones directas de los terminales MCP y A2A no se registran CloudTrail para ninguno de los dos métodos de autenticación. Cada invocación tiene iniciada una llamada a la AWS API descendente correspondiente CloudTrail, con un nombre de sesión de rol identificable en el formato. token_{spaceId}_{timestamp}_{tokenName}
Limitación de la política de puntos finales de VPC
Los puntos finales del servidor remoto no admiten las políticas de puntos finales de VPC. Las políticas de punto final de la VPC no pueden restringir las llamadas que utilizan tokens de acceso o autenticación SigV4.
Inhabilitar los tokens de acceso
La función de fichas de acceso está desactivada de forma predeterminada. Para deshabilitarla después de habilitarla:
Abra la pestaña de configuración de su espacio de agente.
En la sección Tokens de acceso, seleccione Desactivar.
La desactivación bloquea inmediatamente todos los accesos basados en tokens. Los tokens existentes no se eliminan, pero no se pueden usar hasta que se vuelva a activar la función.
Para evitar que los usuarios de su organización habiliten los tokens de acceso, cree una política de control de servicios (SCP) que deniegue las acciones de la API del token de acceso y la UpdateAgentSpace acción (que controla la activación de los tokens de acceso):
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessTokenOperations", "Effect": "Deny", "Action": [ "aidevops:UpdateAgentSpace", "aidevops:CreateAccessToken", "aidevops:GetAccessToken", "aidevops:ListAccessTokens", "aidevops:RotateAccessToken", "aidevops:RevokeAccessToken" ], "Resource": "*" } ] }
Resolución de problemas
| Síntoma | Causa | Resolución |
|---|---|---|
| HTTP 401: No autorizado | El token no es válido o ha caducado. | Cree un nuevo token o rote el token existente en la aplicación web. |
| HTTP 400: «Se requiere A2A-Version encabezado» | Falta el encabezado de la versión del protocolo. Solo se admite la versión 1.0 de A2A. | Agregue un A2A-Version: 1.0 encabezado a las solicitudes A2A. |
| Tiempo de espera de la solicitud | Las respuestas iniciales tardan entre 5 y 30 segundos. Las investigaciones tardan entre 5 y 8 minutos. | Establezca el tiempo de espera del cliente en al menos 120 segundos. |
| Conexión rechazada | URL o región de punto final incorrectas. | Compruebe el formato de la URL: https://connect.aidevops.{region}.api.aws |