View a markdown version of this page

Connexion de serveurs MCP - AWS DevOps Agent

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion de serveurs MCP

Les serveurs MCP (Model Context Protocol) étendent les capacités d'investigation de l' AWS DevOps agent en fournissant un accès aux données provenant de vos outils d'observabilité externes, de vos systèmes de surveillance personnalisés et de vos sources de données opérationnelles. Ce guide explique comment connecter un serveur MCP à l' AWS DevOps agent.

Exigences

Avant de connecter un serveur MCP, assurez-vous que celui-ci répond aux exigences suivantes :

  • Protocole de transport HTTP streamable : seuls les serveurs MCP implémentant le protocole de transport HTTP Streamable sont pris en charge.

  • Prise en charge de l'authentification — Votre serveur MCP doit prendre en charge l'une des méthodes d'authentification suivantes : OAuth 2.0 (Client Credentials ou 3LO), authentification key/token basée sur une API ou AWS Signature Version 4 (Sigv4).

Considérations sur la sécurité

Lorsque vous connectez des serveurs MCP à l' AWS DevOps agent, tenez compte des aspects de sécurité suivants :

  • Liste des outils autorisés : vous devez uniquement autoriser les outils spécifiques dont votre agent Space a besoin, plutôt que d'exposer tous les outils de votre serveur MCP. Voir Configuration des outils MCP dans un espace d'agent pour savoir comment autoriser les outils de liste par espace d'agent.

Veuillez noter que la longueur maximale du nom d'outil de tout outil MCP est de 64 caractères. Pour connaître le nombre maximal d'outils MCP autorisés par espace d'agent, consultezQuotas.

  • Risques d'injection rapide — Les serveurs MCP personnalisés peuvent introduire un risque supplémentaire d'attaques par injection rapide. Voir Protection par injection rapide : sécurité des AWS DevOps agents pour plus d'informations.

  • Read-only outils et accès : autorisez uniquement la liste des outils MCP en lecture seule et assurez-vous que les informations d'authentification ne sont autorisées qu'en lecture seule.

Consultez AWS DevOps Sécurité des agents pour plus d'informations sur l'injection rapide et le modèle de responsabilité partagée.

Note

Si votre serveur MCP se trouve sur un réseau privé, voir Connexion à des outils hébergés en privé

Enregistrement d'un serveur MCP (au niveau du compte)

Les serveurs MCP sont enregistrés au niveau du AWS compte et partagés entre tous les agents Spaces de ce compte. Chaque agent Spaces peut ensuite choisir les outils spécifiques dont il a besoin sur chaque serveur MCP.

Étape 1 : détails du serveur MCP

  1. Connectez-vous à la console AWS de gestion

  2. Accédez à la console de AWS DevOps l'agent

  3. Accédez à la page Capability Providers (accessible depuis la navigation latérale)

  4. Trouvez le serveur MCP dans la section Fournisseurs disponibles et choisissez Enregistrer

  5. Sur la page de détails du serveur MCP, entrez les informations suivantes :

    • Nom — Entrez un nom descriptif pour votre serveur MCP

    • URL du point de terminaison : entrez l'URL HTTPS complète du point de terminaison de votre serveur MCP

    • Description (facultatif) — Ajoutez une description pour aider à identifier l'objectif du serveur

    • Activer l'enregistrement dynamique des clients : cochez cette case si vous souhaitez autoriser l' AWS DevOps agent à s'enregistrer automatiquement auprès du serveur d'autorisation de votre serveur MCP

    • Se connecter au terminal via une connexion privée : cochez cette case si vous souhaitez que AWS DevOps l'agent envoie des demandes à votre serveur MCP en privé. Vous pouvez sélectionner une connexion privée existante ou en créer une nouvelle. Si vous utilisez l'authentification OAuth, la connexion privée s'applique à la fois au point de terminaison du serveur MCP et au point de terminaison d'échange de jetons. Assurez-vous que la connexion privée est configurée avec une adresse hôte capable d'acheminer le trafic vers les deux points de terminaison. Pour de plus amples informations, veuillez consulter Connexion à des outils hébergés en privé.

  6. Choisissez Next (Suivant)

Note

L'URL du point de terminaison du serveur MCP sera affichée dans AWS CloudTrail les journaux de votre compte.

Étape 2 : flux d'autorisation

Sélectionnez la méthode d'authentification pour votre serveur MCP :

Informations d'identification du client OAuth — Si votre serveur MCP utilise le flux d'informations d'identification du client OAuth :

  1. Sélectionnez les informations d'identification du client OAuth

  2. Choisissez Next (Suivant)

OAuth 3LO (Three-Legged OAuth) — Si votre serveur MCP utilise OAuth 3LO pour l'authentification :

  1. Sélectionnez OAuth 3LO

  2. Choisissez Next (Suivant)

Clé d'API — Si votre serveur MCP utilise l'authentification par clé d'API :

  1. Sélectionnez la clé d'API

  2. Choisissez Next (Suivant)

AWS SigV4 — Si votre serveur MCP utilise l'authentification AWS Signature Version 4 :

  1. Sélectionnez AWS SigV4

  2. Choisissez Next (Suivant)

Étape 3 : Configuration de l'autorisation

Configurez des paramètres d'autorisation supplémentaires en fonction de la méthode d'authentification sélectionnée :

Pour les informations d'identification du client OAuth :

  1. ID client — Entrez l'ID client du client OAuth

  2. Secret client — Entrez le secret client du client OAuth

  3. URL d'échange — Entrez l'URL du point de terminaison d'échange de jetons OAuth

  4. Paramètres d'échange — Entrez les paramètres d'échange de jetons OAuth pour vous authentifier auprès du service

  5. Ajouter une étendue — Ajouter des étendues OAuth pour l'authentification

  6. Choisissez Next (Suivant)

Pour OAuth 3LO :

  1. ID client — Entrez l'ID client du client OAuth

  2. Secret client — Entrez le secret client du client OAuth s'il est requis par votre client OAuth

  3. URL d'échange — Entrez l'URL du point de terminaison d'échange de jetons OAuth

  4. URL d'autorisation : entrez l'URL du point de terminaison d'autorisation OAuth

  5. Support pour les défis de code : cochez cette case si votre client OAuth prend en charge les défis de code

  6. Ajouter une étendue — Ajouter des étendues OAuth pour l'authentification

  7. Choisissez Next (Suivant)

Pour la clé API :

  1. Entrez un nom de clé d'API

  2. Entrez le nom de l'en-tête qui contiendra la clé d'API dans la demande

  3. Entrez la valeur de votre clé d'API

  4. Choisissez Next (Suivant)

Pour AWS SigV4 :

AWS L'authentification SigV4 permet à AWS DevOps l'agent de se connecter aux serveurs MCP qui utilisent AWS Signature Version 4 pour la signature des demandes. Cela est utile pour les serveurs MCP hébergés derrière Amazon API Gateway ou d'autres AWS services prenant en charge l'authentification Sigv4.

  1. Configurer le rôle IAM : choisissez l'une des options suivantes :

    • Utiliser un rôle existant : sélectionnez un rôle IAM existant dans la liste déroulante. Le rôle doit avoir une politique de confiance qui autorise le principal du service de l' AWS DevOps agent à l'assumer (voir Création d'un rôle IAM pour l'authentification SigV4).

    • Création manuelle d'un nouveau rôle : suivez les instructions détaillées affichées dans la console pour créer un nouveau rôle IAM avec la politique de confiance appropriée.

  2. AWS Région — Entrez la AWS région pour la signature Sigv4 (par exemple,us-east-1). Pour utiliser la signature multirégionale SigV4A, entrez. *

  3. Nom du service — Entrez le nom du AWS service pour la signature SigV4 (par exemple, execute-api pour API Gateway).

  4. En-têtes personnalisés (facultatif) — Ajoutez jusqu'à 10 paires d'en-têtes clé-valeur personnalisées à inclure dans chaque demande signée.

  5. Choisissez Next (Suivant)

Étape 4 : Réviser et soumettre

  1. Passez en revue tous les détails de configuration du serveur MCP

  2. Choisissez Soumettre pour terminer l'enregistrement

  3. AWS DevOps L'agent validera la connexion à votre serveur MCP

  4. Une fois la validation réussie, votre serveur MCP sera enregistré au niveau du compte

Configuration des outils MCP dans un espace d'agents

Après avoir enregistré un serveur MCP au niveau du compte, vous pouvez configurer les outils disponibles sur ce serveur pour des agents Spaces spécifiques :

  1. Dans la console AWS DevOps Agent, sélectionnez votre espace agent

  2. Accédez à l'onglet Fonctionnalités

  3. Dans la section Serveurs MCP, choisissez Ajouter

  4. Sélectionnez le serveur MCP enregistré que vous souhaitez connecter à cet agent Space

  5. Configurez les outils de ce serveur MCP qui doivent être accessibles à l'espace agent :

    • Autoriser tous les outils : rend disponibles tous les outils du serveur MCP

    • Sélectionnez des outils spécifiques : vous permet de choisir les outils à autoriser dans la liste

  6. Choisissez Ajouter pour connecter le serveur MCP à votre agent Space

AWS DevOps L'agent pourra désormais utiliser les outils autorisés de votre serveur MCP lors d'enquêtes dans cet espace d'agents.

Gestion des connexions au serveur MCP

Mise à jour des informations d'authentification — Si vos informations d'authentification doivent être mises à jour, vous devrez réenregistrer votre serveur MCP. Accédez à la page Capability Providers dans la console de l' AWS DevOps agent, localisez votre serveur MCP, supprimez toutes les associations actives et choisissez Désenregistrer. Enregistrez ensuite votre serveur MCP avec les nouvelles informations d'authentification et recréez toutes les associations nécessaires avec votre espace agent.

Affichage des serveurs MCP connectés : pour voir tous les serveurs MCP connectés à votre espace agent, sélectionnez votre espace agent, accédez à l'onglet Fonctionnalités et consultez la section Serveurs MCP. Vous pouvez également mettre à jour les outils sélectionnés ici.

Suppression des connexions au serveur MCP — Pour déconnecter un serveur MCP d'un espace agent, sélectionnez le serveur dans la section Serveurs MCP et choisissez Supprimer. Pour supprimer complètement un enregistrement de serveur MCP, supprimez-le d'abord de tous les agents Spaces, puis supprimez l'enregistrement au niveau du compte.

Création d'un rôle IAM pour l'authentification SigV4

Lorsque vous utilisez l'authentification AWS SigV4, AWS DevOps l'agent assume un rôle IAM dans votre compte pour signer les demandes adressées à votre serveur MCP. Ce rôle doit être régi par une politique de confiance qui permet au principal du service de l' AWS DevOps agent (aidevops.amazonaws.com) de l'assumer, avec confusion quant à la protection des adjoints.

Politique d’approbation

Créez un rôle IAM avec la politique de confiance suivante. Remplacez REGION par votre AWS région (par exemple,us-east-1) et ACCOUNT_ID par votre numéro de AWS compte.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }

La politique de confiance inclut les conditions suivantes pour éviter le problème de confusion des adjoints :

  • aws:SourceAccount— Limite l'attribution des rôles aux demandes provenant de votre AWS compte.

  • aws:SourceArn— Limite l'attribution des rôles aux demandes provenant des ressources du service d' AWS DevOps agent de votre compte.

Politique d’autorisations

Attachez au rôle une politique d'autorisation qui accorde les autorisations minimales requises pour appeler votre serveur MCP. Par exemple, si votre serveur MCP est hébergé derrière Amazon API Gateway, le rôle doit disposer d'une execute-api:Invoke autorisation sur la ressource API Gateway.

Multi-region signature (SigV4A)

Si votre serveur MCP est déployé dans plusieurs AWS régions, vous pouvez utiliser SigV4a (Signature Version 4a) pour la signature multirégionale. Pour l'activer, entrez * en tant que AWS région lors de la configuration de l'autorisation SigV4. SigV4a utilise la signature asymétrique, ce qui permet à une seule demande signée d'être valide dans plusieurs régions.

  • Sécurité dans l' AWS DevOps agent

  • Configuration d'un espace d'agents

  • Protection contre les injections rapides