Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conexión de servidores MCP
Los servidores Model Context Protocol (MCP) amplían las capacidades de investigación del AWS DevOps agente al proporcionar acceso a los datos de sus herramientas de observabilidad externas, sistemas de monitoreo personalizados y fuentes de datos operativos. Esta guía explica cómo conectar un servidor MCP a Agent. AWS DevOps
Requisitos
Antes de conectar un servidor MCP, asegúrese de que el servidor cumpla estos requisitos:
Protocolo de transporte HTTP con capacidad de transmisión: solo se admiten los servidores MCP que implementan el protocolo de transporte HTTP con capacidad de transmisión.
Soporte de autenticación: su servidor MCP debe ser compatible con uno de los siguientes métodos de autenticación: OAuth 2.0 (credenciales de cliente o 3LO), autenticación basada en claves o tokens de API o firma versión 4 (SiGv4). AWS
Consideraciones de seguridad
Al conectar los servidores MCP al agente, tenga en cuenta estos aspectos de seguridad: AWS DevOps
Lista de herramientas permitidas: debe incluir en la lista solo las herramientas específicas que su espacio de agente necesita, en lugar de exponer todas las herramientas de su servidor MCP. Consulte Configurar las herramientas de MCP en un espacio de agente para ver cómo permitir la creación de listas de herramientas por espacio de agente.
Tenga en cuenta que la longitud máxima de cualquier herramienta MCP es de 64.
Riesgos de inyección inmediata: los servidores MCP personalizados pueden suponer un riesgo adicional de ataques de inyección inmediata. Para obtener más información, consulte Protección contra inyecciones rápidas: AWS DevOps Agent Security.
Acceso y herramientas de solo lectura: solo permita incluir en la lista las herramientas MCP de solo lectura y asegúrese de que las credenciales de autenticación solo permitan el acceso de solo lectura.
Consulte AWS DevOps Seguridad del agente para obtener más información sobre la inyección rápida y el modelo de responsabilidad compartida.
nota
Si su servidor MCP está en una red privada, consulte Conexión a herramientas alojadas de forma privada
Registrar un servidor MCP (a nivel de cuenta)
Los servidores MCP se registran a nivel de AWS cuenta y se comparten entre todos los espacios de agentes de esa cuenta. A continuación, los espacios de agentes individuales pueden elegir qué herramientas específicas necesitan de cada servidor MCP.
Paso 1: Detalles del servidor MCP
Inicie sesión en la consola de AWS administración
Navegue hasta la consola del AWS DevOps agente
Vaya a la página de proveedores de capacidades (a la que se puede acceder desde el panel de navegación lateral)
Busque el servidor MCP en la sección de proveedores disponibles y haga clic en Registrarse
En la página de detalles del servidor MCP, introduzca la siguiente información:
Nombre: introduzca un nombre descriptivo para su servidor MCP
URL del punto final: introduzca la URL HTTPS completa del punto final de su servidor MCP
Descripción (opcional): añada una descripción para ayudar a identificar el propósito del servidor
Habilitar el registro dinámico de clientes: seleccione esta casilla de verificación si desea permitir que el AWS DevOps agente se registre automáticamente en el servidor de autorización de su servidor MCP
Conectarse al punto final mediante una conexión privada: seleccione esta casilla de verificación si desea que el AWS DevOps agente realice solicitudes a su servidor MCP de forma privada. Puede seleccionar una conexión privada existente o crear una nueva. Si utiliza la OAuth autenticación, la conexión privada se aplica tanto al punto final del servidor MCP como al punto final del intercambio de fichas. Asegúrese de que la conexión privada esté configurada con una dirección de host que pueda enrutar el tráfico a ambos puntos finales. Para obtener más información, consulte Conexión a herramientas alojadas de forma privada.
Haga clic en Siguiente.
nota
La URL del punto final del servidor MCP se mostrará en AWS CloudTrail los registros de su cuenta.
Paso 2: Flujo de autorización
Seleccione el método de autenticación para su servidor MCP:
OAuth Credenciales de cliente: si su servidor MCP usa el flujo de credenciales de OAuth cliente:
Seleccione las credenciales OAuth del cliente
Haga clic en Siguiente.
OAuth 3LO (de tres patas OAuth): si su servidor MCP utiliza OAuth 3LO para la autenticación:
Seleccione 3LO OAuth
Haga clic en Siguiente.
Clave API: si su servidor MCP utiliza la autenticación mediante clave API:
Seleccione la clave de API
Haga clic en Siguiente.
AWS SigV4: si su servidor MCP utiliza la autenticación AWS Signature versión 4:
Seleccione SiGV4 AWS
Haga clic en Siguiente.
Paso 3: Configuración de la autorización
Configure parámetros de autorización adicionales en función del método de autenticación seleccionado:
Para las credenciales OAuth del cliente:
ID de cliente: introduzca el ID de OAuth cliente del cliente
Secreto de cliente: introduzca el secreto de OAuth cliente del cliente
URL de Exchange: introduzca la URL del punto de conexión de intercambio del OAuth token
Parámetros de intercambio: introduzca los parámetros de intercambio de OAuth tokens para autenticarse con el servicio
Añadir ámbito: añadir OAuth ámbitos para la autenticación
Haga clic en Siguiente.
Para OAuth 3LO:
ID de cliente: introduzca el ID de cliente del OAuth cliente
Secreto de cliente: introduzca el secreto de OAuth cliente del cliente si su OAuth cliente lo requiere
URL de Exchange: introduzca la URL del punto de conexión de intercambio del OAuth token
URL de autorización: introduzca la URL del punto final de OAuth autorización
Code Challenge Support: seleccione esta casilla de verificación si su OAuth cliente admite el desafío de código
Añadir ámbito: añada OAuth ámbitos para la autenticación
Haga clic en Siguiente.
Para la clave de API:
Introduzca un nombre de clave de API
Introduce el nombre del encabezado que contendrá la clave de API en la solicitud
Introduce el valor de tu clave de API
Haga clic en Siguiente.
Para AWS SiGv4:
AWS La autenticación SigV4 permite al AWS DevOps agente conectarse a los servidores MCP que utilizan la versión 4 de AWS Signature para la firma de solicitudes. Esto resulta útil para los servidores MCP alojados detrás de Amazon API Gateway u otros AWS servicios que admiten la autenticación SigV4.
Configurar la función de IAM: elija una de las siguientes opciones:
Usar un rol existente: selecciona un rol de IAM existente en el menú desplegable. El rol debe tener una política de confianza que permita que el director del servicio del AWS DevOps agente lo asuma (consulte Creación de un rol de IAM para la autenticación SigV4).
Cree un nuevo rol manualmente: siga las step-by-step instrucciones que aparecen en la consola para crear un nuevo rol de IAM con la política de confianza correcta.
AWS Región: introduzca la AWS región en la que se va a firmar SigV4 (por ejemplo,
us-east-1). Para utilizar la firma multirregional de SigV4a, introduzca.*Nombre del servicio: introduzca el nombre del AWS servicio para la firma de SigV4 (por ejemplo,
execute-apipara API Gateway).Encabezados personalizados (opcional): añada hasta 10 pares de encabezados clave-valor personalizados para incluirlos en cada solicitud firmada.
Haga clic en Siguiente.
Paso 4: Revisar y enviar
Revise todos los detalles de configuración del servidor MCP
Haga clic en Enviar para completar el registro
AWS DevOps El agente validará la conexión con su servidor MCP
Tras la validación correcta, su servidor MCP se registrará a nivel de cuenta
Configuración de las herramientas de MCP en un espacio de agentes
Tras registrar un servidor MCP a nivel de cuenta, puede configurar qué herramientas de ese servidor están disponibles en espacios de agente específicos:
En la consola de AWS DevOps agentes, seleccione su espacio de agente
Ve a la pestaña Capacidades
En la sección Servidores MCP, haga clic en Agregar
Seleccione el servidor MCP registrado que desee conectar a este espacio de agentes
Configure qué herramientas de este servidor MCP deberían estar disponibles en el espacio de agentes:
Permitir todas las herramientas: hace que todas las herramientas del servidor MCP estén disponibles
Seleccionar herramientas específicas: le permite elegir qué herramientas permitir en la lista
Haga clic en Agregar para conectar el servidor MCP a su espacio de agente
AWS DevOps El agente ahora podrá utilizar las herramientas permitidas de su servidor MCP durante las investigaciones en este espacio de agentes.
Administrar las conexiones del servidor MCP
Actualización de las credenciales de autenticación: si es necesario actualizar sus credenciales de autenticación, tendrá que volver a registrar el servidor MCP. Vaya a la página Proveedores de capacidades de la consola del AWS DevOps agente, localice su servidor MCP, elimine cualquier asociación activa y haga clic en Anular el registro. A continuación, registre su servidor MCP con las nuevas credenciales de autenticación y vuelva a crear las asociaciones necesarias con su espacio de agente.
Visualización de los servidores MCP conectados: para ver todos los servidores MCP conectados a su espacio de agente, seleccione su espacio de agente, vaya a la pestaña Capacidades y consulte la sección Servidores MCP. También puede actualizar las herramientas seleccionadas aquí.
Eliminar las conexiones del servidor MCP: para desconectar un servidor MCP de un espacio de agentes, seleccione el servidor en la sección Servidores MCP y haga clic en Eliminar. Para eliminar por completo el registro de un servidor MCP, elimínelo primero de todos los Agent Spaces y, a continuación, elimine el registro a nivel de cuenta.
Crear un rol de IAM para la autenticación SigV4
Al utilizar la autenticación AWS SigV4, el AWS DevOps agente asume una función de IAM en su cuenta para firmar las solicitudes dirigidas a su servidor MCP. Esta función debe tener una política de confianza que permita que el director de servicio del AWS DevOps agente (aidevops.amazonaws.com) la asuma, con una confusa protección supletoria.
Política de confianza
Cree un rol de IAM con la siguiente política de confianza. REGIONSustitúyalo por tu AWS región (por ejemplous-east-1) y ACCOUNT_ID por tu ID de AWS cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }
La política de confianza incluye las siguientes condiciones para evitar el confuso problema de los diputados:
aws:SourceAccount— Limita la asunción de funciones a las solicitudes que se originen en tu AWS cuenta.aws:SourceArn— Limita la asunción de funciones a las solicitudes que se originen en los recursos de servicio del AWS DevOps agente en su cuenta.
Política de permisos
Adjunte una política de permisos al rol que otorgue los permisos mínimos necesarios para invocar su servidor MCP. Por ejemplo, si su servidor MCP está alojado detrás de Amazon API Gateway, el rol debe tener execute-api:Invoke permiso en el recurso API Gateway.
Firma multirregional (SigV4a)
Si su servidor MCP está desplegado en varias AWS regiones, puede utilizar el SiGv4a (versión 4a de la firma) para la firma en varias regiones. Para habilitarlo, introduzca * como AWS región al configurar la autorización de SiGv4. SiGV4a utiliza la firma asimétrica, que permite que una sola solicitud firmada sea válida en varias regiones.
Temas relacionados
Seguridad en el agente AWS DevOps
Configuración de un espacio de agentes
Protección de inyección rápida
