Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexion de serveurs MCP
Les serveurs MCP (Model Context Protocol) étendent les capacités d'investigation de l' AWS DevOps agent en fournissant un accès aux données provenant de vos outils d'observabilité externes, de vos systèmes de surveillance personnalisés et de vos sources de données opérationnelles. Ce guide explique comment connecter un serveur MCP à l' AWS DevOps agent.
Exigences
Avant de connecter un serveur MCP, assurez-vous que celui-ci répond aux exigences suivantes :
Protocole de transport HTTP streamable : seuls les serveurs MCP implémentant le protocole de transport HTTP Streamable sont pris en charge.
Prise en charge de l'authentification — Votre serveur MCP doit prendre en charge l'une des méthodes d'authentification suivantes : OAuth 2.0 (Client Credentials ou 3LO), authentification key/token basée sur une API ou AWS Signature Version 4 (Sigv4).
Considérations sur la sécurité
Lorsque vous connectez des serveurs MCP à l' AWS DevOps agent, tenez compte des aspects de sécurité suivants :
Liste des outils autorisés : vous devez uniquement autoriser les outils spécifiques dont votre agent Space a besoin, plutôt que d'exposer tous les outils de votre serveur MCP. Voir Configuration des outils MCP dans un espace d'agent pour savoir comment autoriser les outils de liste par espace d'agent.
Veuillez noter que la longueur maximale du nom d'outil de tout outil MCP est de 64 caractères. Pour connaître le nombre maximal d'outils MCP autorisés par espace d'agent, consultezQuotas.
Risques d'injection rapide — Les serveurs MCP personnalisés peuvent introduire un risque supplémentaire d'attaques par injection rapide. Voir Protection par injection rapide : sécurité des AWS DevOps agents pour plus d'informations.
Read-only outils et accès : autorisez uniquement la liste des outils MCP en lecture seule et assurez-vous que les informations d'authentification ne sont autorisées qu'en lecture seule.
Consultez AWS DevOps Sécurité des agents pour plus d'informations sur l'injection rapide et le modèle de responsabilité partagée.
Note
Si votre serveur MCP se trouve sur un réseau privé, voir Connexion à des outils hébergés en privé
Enregistrement d'un serveur MCP (au niveau du compte)
Les serveurs MCP sont enregistrés au niveau du AWS compte et partagés entre tous les agents Spaces de ce compte. Chaque agent Spaces peut ensuite choisir les outils spécifiques dont il a besoin sur chaque serveur MCP.
Étape 1 : détails du serveur MCP
Connectez-vous à la console AWS de gestion
Accédez à la console de AWS DevOps l'agent
Accédez à la page Capability Providers (accessible depuis la navigation latérale)
Trouvez le serveur MCP dans la section Fournisseurs disponibles et choisissez Enregistrer
Sur la page de détails du serveur MCP, entrez les informations suivantes :
Nom — Entrez un nom descriptif pour votre serveur MCP
URL du point de terminaison : entrez l'URL HTTPS complète du point de terminaison de votre serveur MCP
Description (facultatif) — Ajoutez une description pour aider à identifier l'objectif du serveur
Activer l'enregistrement dynamique des clients : cochez cette case si vous souhaitez autoriser l' AWS DevOps agent à s'enregistrer automatiquement auprès du serveur d'autorisation de votre serveur MCP
Se connecter au terminal via une connexion privée : cochez cette case si vous souhaitez que AWS DevOps l'agent envoie des demandes à votre serveur MCP en privé. Vous pouvez sélectionner une connexion privée existante ou en créer une nouvelle. Si vous utilisez l'authentification OAuth, la connexion privée s'applique à la fois au point de terminaison du serveur MCP et au point de terminaison d'échange de jetons. Assurez-vous que la connexion privée est configurée avec une adresse hôte capable d'acheminer le trafic vers les deux points de terminaison. Pour de plus amples informations, veuillez consulter Connexion à des outils hébergés en privé.
Choisissez Next (Suivant)
Note
L'URL du point de terminaison du serveur MCP sera affichée dans AWS CloudTrail les journaux de votre compte.
Étape 2 : flux d'autorisation
Sélectionnez la méthode d'authentification pour votre serveur MCP :
Informations d'identification du client OAuth — Si votre serveur MCP utilise le flux d'informations d'identification du client OAuth :
Sélectionnez les informations d'identification du client OAuth
Choisissez Next (Suivant)
OAuth 3LO (Three-Legged OAuth) — Si votre serveur MCP utilise OAuth 3LO pour l'authentification :
Sélectionnez OAuth 3LO
Choisissez Next (Suivant)
Clé d'API — Si votre serveur MCP utilise l'authentification par clé d'API :
Sélectionnez la clé d'API
Choisissez Next (Suivant)
AWS SigV4 — Si votre serveur MCP utilise l'authentification AWS Signature Version 4 :
Sélectionnez AWS SigV4
Choisissez Next (Suivant)
Étape 3 : Configuration de l'autorisation
Configurez des paramètres d'autorisation supplémentaires en fonction de la méthode d'authentification sélectionnée :
Pour les informations d'identification du client OAuth :
ID client — Entrez l'ID client du client OAuth
Secret client — Entrez le secret client du client OAuth
URL d'échange — Entrez l'URL du point de terminaison d'échange de jetons OAuth
Paramètres d'échange — Entrez les paramètres d'échange de jetons OAuth pour vous authentifier auprès du service
Ajouter une étendue — Ajouter des étendues OAuth pour l'authentification
Choisissez Next (Suivant)
Pour OAuth 3LO :
ID client — Entrez l'ID client du client OAuth
Secret client — Entrez le secret client du client OAuth s'il est requis par votre client OAuth
URL d'échange — Entrez l'URL du point de terminaison d'échange de jetons OAuth
URL d'autorisation : entrez l'URL du point de terminaison d'autorisation OAuth
Support pour les défis de code : cochez cette case si votre client OAuth prend en charge les défis de code
Ajouter une étendue — Ajouter des étendues OAuth pour l'authentification
Choisissez Next (Suivant)
Pour la clé API :
Entrez un nom de clé d'API
Entrez le nom de l'en-tête qui contiendra la clé d'API dans la demande
Entrez la valeur de votre clé d'API
Choisissez Next (Suivant)
Pour AWS SigV4 :
AWS L'authentification SigV4 permet à AWS DevOps l'agent de se connecter aux serveurs MCP qui utilisent AWS Signature Version 4 pour la signature des demandes. Cela est utile pour les serveurs MCP hébergés derrière Amazon API Gateway ou d'autres AWS services prenant en charge l'authentification Sigv4.
Configurer le rôle IAM : choisissez l'une des options suivantes :
Utiliser un rôle existant : sélectionnez un rôle IAM existant dans la liste déroulante. Le rôle doit avoir une politique de confiance qui autorise le principal du service de l' AWS DevOps agent à l'assumer (voir Création d'un rôle IAM pour l'authentification SigV4).
Création manuelle d'un nouveau rôle : suivez les instructions détaillées affichées dans la console pour créer un nouveau rôle IAM avec la politique de confiance appropriée.
AWS Région — Entrez la AWS région pour la signature Sigv4 (par exemple,
us-east-1). Pour utiliser la signature multirégionale SigV4A, entrez.*Nom du service — Entrez le nom du AWS service pour la signature SigV4 (par exemple,
execute-apipour API Gateway).En-têtes personnalisés (facultatif) — Ajoutez jusqu'à 10 paires d'en-têtes clé-valeur personnalisées à inclure dans chaque demande signée.
Choisissez Next (Suivant)
Étape 4 : Réviser et soumettre
Passez en revue tous les détails de configuration du serveur MCP
Choisissez Soumettre pour terminer l'enregistrement
AWS DevOps L'agent validera la connexion à votre serveur MCP
Une fois la validation réussie, votre serveur MCP sera enregistré au niveau du compte
Configuration des outils MCP dans un espace d'agents
Après avoir enregistré un serveur MCP au niveau du compte, vous pouvez configurer les outils disponibles sur ce serveur pour des agents Spaces spécifiques :
Dans la console AWS DevOps Agent, sélectionnez votre espace agent
Accédez à l'onglet Fonctionnalités
Dans la section Serveurs MCP, choisissez Ajouter
Sélectionnez le serveur MCP enregistré que vous souhaitez connecter à cet agent Space
Configurez les outils de ce serveur MCP qui doivent être accessibles à l'espace agent :
Autoriser tous les outils : rend disponibles tous les outils du serveur MCP
Sélectionnez des outils spécifiques : vous permet de choisir les outils à autoriser dans la liste
Choisissez Ajouter pour connecter le serveur MCP à votre agent Space
AWS DevOps L'agent pourra désormais utiliser les outils autorisés de votre serveur MCP lors d'enquêtes dans cet espace d'agents.
Gestion des connexions au serveur MCP
Mise à jour des informations d'authentification — Si vos informations d'authentification doivent être mises à jour, vous devrez réenregistrer votre serveur MCP. Accédez à la page Capability Providers dans la console de l' AWS DevOps agent, localisez votre serveur MCP, supprimez toutes les associations actives et choisissez Désenregistrer. Enregistrez ensuite votre serveur MCP avec les nouvelles informations d'authentification et recréez toutes les associations nécessaires avec votre espace agent.
Affichage des serveurs MCP connectés : pour voir tous les serveurs MCP connectés à votre espace agent, sélectionnez votre espace agent, accédez à l'onglet Fonctionnalités et consultez la section Serveurs MCP. Vous pouvez également mettre à jour les outils sélectionnés ici.
Suppression des connexions au serveur MCP — Pour déconnecter un serveur MCP d'un espace agent, sélectionnez le serveur dans la section Serveurs MCP et choisissez Supprimer. Pour supprimer complètement un enregistrement de serveur MCP, supprimez-le d'abord de tous les agents Spaces, puis supprimez l'enregistrement au niveau du compte.
Création d'un rôle IAM pour l'authentification SigV4
Lorsque vous utilisez l'authentification AWS SigV4, AWS DevOps l'agent assume un rôle IAM dans votre compte pour signer les demandes adressées à votre serveur MCP. Ce rôle doit être régi par une politique de confiance qui permet au principal du service de l' AWS DevOps agent (aidevops.amazonaws.com) de l'assumer, avec confusion quant à la protection des adjoints.
Politique d’approbation
Créez un rôle IAM avec la politique de confiance suivante. Remplacez REGION par votre AWS région (par exemple,us-east-1) et ACCOUNT_ID par votre numéro de AWS compte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }
La politique de confiance inclut les conditions suivantes pour éviter le problème de confusion des adjoints :
aws:SourceAccount— Limite l'attribution des rôles aux demandes provenant de votre AWS compte.aws:SourceArn— Limite l'attribution des rôles aux demandes provenant des ressources du service d' AWS DevOps agent de votre compte.
Politique d’autorisations
Attachez au rôle une politique d'autorisation qui accorde les autorisations minimales requises pour appeler votre serveur MCP. Par exemple, si votre serveur MCP est hébergé derrière Amazon API Gateway, le rôle doit disposer d'une execute-api:Invoke autorisation sur la ressource API Gateway.
Multi-region signature (SigV4A)
Si votre serveur MCP est déployé dans plusieurs AWS régions, vous pouvez utiliser SigV4a (Signature Version 4a) pour la signature multirégionale. Pour l'activer, entrez * en tant que AWS région lors de la configuration de l'autorisation SigV4. SigV4a utilise la signature asymétrique, ce qui permet à une seule demande signée d'être valide dans plusieurs régions.
Rubriques en relation
Sécurité dans l' AWS DevOps agent
Configuration d'un espace d'agents
Protection contre les injections rapides