Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connexion de serveurs MCP
<a name="configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers"></a>

Les serveurs MCP (Model Context Protocol) étendent les capacités d'investigation de l' AWS DevOps agent en fournissant un accès aux données provenant de vos outils d'observabilité externes, de vos systèmes de surveillance personnalisés et de vos sources de données opérationnelles. Ce guide explique comment connecter un serveur MCP à l' AWS DevOps agent.

## Exigences
<a name="requirements"></a>

Avant de connecter un serveur MCP, assurez-vous que celui-ci répond aux exigences suivantes :
+ **Protocole de transport HTTP streamable** : seuls les serveurs MCP implémentant le protocole de transport HTTP Streamable sont pris en charge.
+ **Prise en charge de l'authentification** : votre serveur MCP doit prendre en charge l'une des méthodes d'authentification suivantes : OAuth 2.0 (informations d'identification du client ou 3LO), authentification basée sur une clé API/jeton ou AWS signature version 4 (SigV4).

## Considérations sur la sécurité
<a name="security-considerations"></a>

Lorsque vous connectez des serveurs MCP à l' AWS DevOps agent, tenez compte des aspects de sécurité suivants :
+ **Liste des outils autorisés :** vous devez uniquement autoriser les outils spécifiques dont votre agent Space a besoin, plutôt que d'exposer tous les outils de votre serveur MCP. Voir [Configuration des outils MCP dans un espace d'agent](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers) pour savoir comment autoriser les outils de liste par espace d'agent.

Veuillez noter que la longueur maximale d'un outil MCP est de 64.
+ **Risques d'injection rapide** — Les serveurs MCP personnalisés peuvent introduire un risque supplémentaire d'attaques par injection rapide. Voir [Protection contre les injections rapides : sécurité des AWS DevOps agents](aws-devops-agent-security.md) pour plus d'informations.
+ **Outils et accès en lecture seule :** autorisez uniquement la liste des outils MCP en lecture seule et assurez-vous que les informations d'authentification ne sont autorisées qu'en lecture seule.

Consultez [AWS DevOps Sécurité des agents](aws-devops-agent-security.md) pour plus d'informations sur l'injection rapide et le modèle de responsabilité partagée.

**Note**  
Si votre serveur MCP se trouve sur un réseau privé, voir [Connexion à des outils hébergés en privé](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md)

## Enregistrement d'un serveur MCP (au niveau du compte)
<a name="registering-an-mcp-server-account-level"></a>

Les serveurs MCP sont enregistrés au niveau du AWS compte et partagés entre tous les agents Spaces de ce compte. Chaque agent Spaces peut ensuite choisir les outils spécifiques dont il a besoin sur chaque serveur MCP.

### Étape 1 : détails du serveur MCP
<a name="step-1-mcp-server-details"></a>

1. Connectez-vous à la console AWS de gestion

1. Accédez à la console de AWS DevOps l'agent

1. Accédez à la page **Capability Providers** (accessible depuis la navigation latérale)

1. **Trouvez le **serveur MCP** dans la section Fournisseurs **disponibles** et cliquez sur Enregistrer**

1. Sur la page de **détails du serveur MCP**, entrez les informations suivantes :
   + **Nom** — Entrez un nom descriptif pour votre serveur MCP
   + **URL du point de terminaison** : entrez l'URL HTTPS complète du point de terminaison de votre serveur MCP
   + **Description** (facultatif) — Ajoutez une description pour aider à identifier l'objectif du serveur
   + **Activer l'enregistrement dynamique des clients** : cochez cette case si vous souhaitez autoriser l' AWS DevOps agent à s'enregistrer automatiquement auprès du serveur d'autorisation de votre serveur MCP
   + **Se connecter au terminal via une connexion privée** : cochez cette case si vous souhaitez que AWS DevOps l'agent envoie des demandes à votre serveur MCP en privé. Vous pouvez sélectionner une connexion privée existante ou en créer une nouvelle. Si vous utilisez l' OAuth authentification, la connexion privée s'applique à la fois au point de terminaison du serveur MCP et au point de terminaison de l'échange de jetons. Assurez-vous que la connexion privée est configurée avec une adresse hôte capable d'acheminer le trafic vers les deux points de terminaison. Pour de plus amples informations, veuillez consulter [Connexion à des outils hébergés en privé](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md).

1. Cliquez sur **Suivant**

**Note**  
**L'URL du point de terminaison du serveur MCP sera affichée dans AWS CloudTrail les journaux de votre compte.

### Étape 2 : flux d'autorisation
<a name="step-2-authorization-flow"></a>

Sélectionnez la méthode d'authentification pour votre serveur MCP :

**OAuth Informations d'identification du client** : si votre serveur MCP utilise le flux d'informations d'identification du OAuth client :

1. Sélectionnez les **informations d'identification OAuth du client**

1. Cliquez sur **Suivant**

**OAuth 3LO (Three-Legged OAuth)** — Si votre serveur MCP utilise OAuth 3LO pour l'authentification :

1. Sélectionnez **OAuth 3LO**

1. Cliquez sur **Suivant**

**Clé d'API** — Si votre serveur MCP utilise l'authentification par clé d'API :

1. Sélectionnez la **clé d'API**

1. Cliquez sur **Suivant**

**AWS SigV4** — Si votre serveur MCP utilise l'authentification AWS Signature Version 4 :

1. Sélectionnez **AWS SigV4**

1. Cliquez sur **Suivant**

### Étape 3 : Configuration de l'autorisation
<a name="step-3-authorization-configuration"></a>

Configurez des paramètres d'autorisation supplémentaires en fonction de la méthode d'authentification sélectionnée :

**Pour les informations d'identification OAuth du client :**

1. **ID client** — Entrez l'ID client du OAuth client

1. **Secret client** — Entrez le secret client du OAuth client

1. **URL d'échange** — Entrez l'URL du point de terminaison de l'échange de OAuth jetons

1. **Paramètres d'échange** — Entrez les paramètres d'échange de OAuth jetons pour vous authentifier auprès du service

1. **Ajouter une étendue** — Ajouter des OAuth étendues pour l'authentification

1. Cliquez sur **Suivant**

**Pour OAuth 3LO :**

1. **ID client** — Entrez l'ID client du OAuth client

1. **Secret du client** — Entrez le secret du OAuth client s'il est exigé par votre OAuth client

1. **URL d'échange** — Entrez l'URL du point de terminaison de l'échange de OAuth jetons

1. **URL d'autorisation** : entrez l'URL du point de terminaison OAuth d'autorisation

1. **Support pour les défis de code** : cochez cette case si votre OAuth client prend en charge les défis de code

1. **Ajouter une étendue** — Ajouter des OAuth étendues pour l'authentification

1. Cliquez sur **Suivant**

**Pour la clé API :**

1. Entrez un nom de clé d'API

1. Entrez le nom de l'en-tête qui contiendra la clé d'API dans la demande

1. Entrez la valeur de votre clé d'API

1. Cliquez sur **Suivant**

**Pour AWS SigV4 :**

AWS L'authentification SigV4 permet à AWS DevOps l'agent de se connecter aux serveurs MCP qui utilisent AWS Signature Version 4 pour la signature des demandes. Cela est utile pour les serveurs MCP hébergés derrière Amazon API Gateway ou d'autres AWS services qui prennent en charge l'authentification Sigv4.

**Remarque :** Les connexions privées ne sont pas prises en charge pour les serveurs MCP utilisant l'authentification Sigv4. Le point de terminaison de votre serveur MCP doit être accessible au public. Pour les serveurs MCP sur des réseaux privés utilisant d'autres méthodes d'authentification, consultez[Connexion à des outils hébergés en privé](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md).

1. **Configurer le rôle IAM** : choisissez l'une des options suivantes :
   + **Utiliser un rôle existant** : sélectionnez un rôle IAM existant dans la liste déroulante. Le rôle doit avoir une politique de confiance qui autorise le principal du service de l' AWS DevOps agent à l'assumer (voir [Création d'un rôle IAM pour l'authentification SigV4](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers)).
   + **Création manuelle d'un nouveau rôle** : suivez les step-by-step instructions affichées dans la console pour créer un nouveau rôle IAM avec la politique de confiance appropriée.

1. **AWS Région** — Entrez la AWS région pour la signature Sigv4 (par exemple,`us-east-1`). Pour utiliser la signature multirégionale SigV4A, entrez. `*`

1. **Nom du service** — Entrez le nom du AWS service pour la signature SigV4 (par exemple, `execute-api` pour API Gateway).

1. **En-têtes personnalisés** (facultatif) — Ajoutez jusqu'à 10 paires d'en-têtes clé-valeur personnalisées à inclure dans chaque demande signée.

1. Cliquez sur **Suivant**

### Étape 4 : Réviser et soumettre
<a name="step-4-review-and-submit"></a>

1. Passez en revue tous les détails de configuration du serveur MCP

1. Cliquez sur **Soumettre** pour terminer l'enregistrement

1. AWS DevOps L'agent validera la connexion à votre serveur MCP

1. Une fois la validation réussie, votre serveur MCP sera enregistré au niveau du compte

## Configuration des outils MCP dans un espace d'agents
<a name="configuring-mcp-tools-in-an-agent-space"></a>

Après avoir enregistré un serveur MCP au niveau du compte, vous pouvez configurer les outils disponibles sur ce serveur pour des agents Spaces spécifiques :

1. Dans la console AWS DevOps Agent, sélectionnez votre espace agent

1. Accédez à l'onglet **Fonctionnalités**

1. **Dans la section **Serveurs MCP**, cliquez sur Ajouter**

1. Sélectionnez le serveur MCP enregistré que vous souhaitez connecter à cet agent Space

1. Configurez les outils de ce serveur MCP qui doivent être accessibles à l'espace agent :
   + **Autoriser tous les outils** : rend disponibles tous les outils du serveur MCP
   + **Sélectionnez des outils spécifiques** : vous permet de choisir les outils à autoriser dans la liste

1. Cliquez sur **Ajouter** pour connecter le serveur MCP à votre agent Space

AWS DevOps L'agent pourra désormais utiliser les outils autorisés de votre serveur MCP lors d'enquêtes dans cet espace d'agents.

## Gestion des connexions au serveur MCP
<a name="managing-mcp-server-connections"></a>

**Mise à jour des informations d'authentification** — Si vos informations d'authentification doivent être mises à jour, vous devrez réenregistrer votre serveur MCP. Accédez à la page **Capability Providers** dans la console de l' AWS DevOps agent, localisez votre serveur MCP, supprimez toutes les associations actives, puis cliquez sur **Désenregistrer**. **Enregistrez** ensuite votre serveur MCP avec les nouvelles informations d'authentification et recréez toutes les associations nécessaires avec votre espace agent.

**Affichage des serveurs MCP connectés** : pour voir tous les serveurs MCP connectés à votre espace agent, sélectionnez votre espace agent, accédez à l'onglet **Fonctionnalités** et consultez la section Serveurs **MCP**. Vous pouvez également mettre à jour les outils sélectionnés ici.

**Suppression des connexions au serveur MCP** **— Pour déconnecter un serveur MCP d'un espace agent, sélectionnez le serveur dans la section **Serveurs MCP** et cliquez sur Supprimer.** Pour supprimer complètement un enregistrement de serveur MCP, supprimez-le d'abord de tous les agents Spaces, puis supprimez l'enregistrement au niveau du compte.

## Création d'un rôle IAM pour l'authentification SigV4
<a name="creating-an-iam-role-for-sigv4-authentication"></a>

Lorsque vous utilisez l'authentification AWS SigV4, AWS DevOps l'agent assume un rôle IAM dans votre compte pour signer les demandes adressées à votre serveur MCP. Ce rôle doit être régi par une politique de confiance qui permet au principal du service de l' AWS DevOps agent (`aidevops.amazonaws.com`) de l'assumer, avec confusion quant à la protection des adjoints.

### Politique d’approbation
<a name="trust-policy"></a>

Créez un rôle IAM avec la politique de confiance suivante. Remplacez `REGION` par votre AWS région (par exemple,`us-east-1`) et `ACCOUNT_ID` par votre numéro de AWS compte.

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
        }
      }
    }
  ]
}
```

La politique de confiance inclut les conditions suivantes pour éviter le [problème de confusion des adjoints](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) :
+ `aws:SourceAccount`— Limite l'attribution des rôles aux demandes provenant de votre AWS compte.
+ `aws:SourceArn`— Limite l'attribution des rôles aux demandes provenant des ressources du service d' AWS DevOps agent de votre compte.

### Politique d’autorisations
<a name="permissions-policy"></a>

Attachez au rôle une politique d'autorisation qui accorde les autorisations minimales requises pour appeler votre serveur MCP. Par exemple, si votre serveur MCP est hébergé derrière Amazon API Gateway, le rôle doit disposer d'une `execute-api:Invoke` autorisation sur la ressource API Gateway.

### Signature multirégionale (SIGv4a)
<a name="multi-region-signing-sigv4a"></a>

Si votre serveur MCP est déployé dans plusieurs AWS régions, vous pouvez utiliser [SigV4a (Signature Version 4a) pour la signature](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) multirégionale. Pour l'activer, entrez `*` en tant que AWS région lors de la configuration de l'autorisation SigV4. SigV4a utilise la signature asymétrique, ce qui permet à une seule demande signée d'être valide dans plusieurs régions.

## Rubriques en relation
<a name="related-topics"></a>
+ Sécurité dans l' AWS DevOps agent
+ Configuration d'un espace d'agents
+ Protection contre les injections rapides