Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect ke server jauh DevOps Agen
AWS DevOps Agen menyediakan server jarak jauh khusus untuk protokol Model Context Protocol (MCP) dan Agent-to-Agent (A2A). Gunakan server ini untuk menghubungkan IDE, CLI, atau integrasi agen kustom Anda ke Ruang Agen.
Protokol yang didukung
MCP (Model Context Protocol) — Hubungkan klien IDE dan CLI seperti Kiro, Claude Code, Cursor, dan alat lainnya. MCP-compatible
A2A (Agent-to-Agent) v1.0 — Hubungkan agen otonom untuk komunikasi agen-ke-agen.
Titik akhir
Server jarak jauh tersedia di URL regional:
https://connect.aidevops.{region}.api.aws
| Protokol | Jalan | Metode |
|---|---|---|
| MCP | /mcp |
POST |
| A2A | /a2a/* |
POST |
| Kartu agen A2A | /.well-known/agent-card.json |
GET |
Untuk daftar Wilayah yang tersedia, lihatWilayah yang Didukung.
Autentikasi
Dua metode otentikasi tersedia untuk titik akhir MCP dan A2A:
Access token (Bearer) — Satu token yang dicakup ke satu Ruang Agen. Pengaturan paling sederhana untuk penggunaan individu.
AWS SiGv4 — otentikasi berbasis AWS kredensyal. Mendukung beberapa Ruang Agen dan terintegrasi dengan tata kelola AWS identitas yang ada. Ditangani secara otomatis oleh mcp-proxy-for-aws
, proxy lokal yang menandatangani permintaan menggunakan kredensyal Anda. AWS
Buat token akses
Prasyarat
Fitur token akses harus diaktifkan di Ruang Agen Anda.
Anda harus memiliki izin IAM untuk mengelola token akses (
aidevops:CreateAccessToken,aidevops:RevokeAccessToken,aidevops:RotateAccessToken). Untuk daftar lengkapnya, lihat DevOps Izin Agen IAM.
Aktifkan token akses
Masuk ke Konsol AWS Manajemen dan buka konsol AWS DevOps Agen.
Pilih Ruang Agen Anda.
Pilih tab Konfigurasi.
Di bagian Access token, pilih Enable.
Konfirmasikan tindakan.
Buat token
Buka aplikasi web DevOps Agen untuk Ruang Agen Anda, lalu dari menu navigasi, pilih Pengaturan, lalu pilih Token Akses.
Pilih Hasilkan token.
Masukkan nama untuk token.
Pilih ruang lingkup:
read— Lihat investigasi, rekomendasi, obrolan, dan sumber daya Agen Ruang.operate— Akses penuh. Termasuk semua yang ada di dalamnyaread, ditambah mengirim pesan, membuat obrolan, dan mengelola tugas dan rekomendasi backlog.
Pilih jenis klien:
human— Untuk penggunaan IDE dan CLI (Kiro, Kode Claude, Kursor, dan alat interaktif lainnya).agent— Untuk integrasi A2A otonom dan agen terprogram.
Tetapkan kedaluwarsa (1 hingga 60 hari).
Salin nilai token dan simpan di lokasi yang aman dan aman, seperti AWS Secrets Manager. Anda tidak dapat mengambilnya lagi.
Setelah membuat token, aplikasi web menampilkan contoh konfigurasi yang dapat Anda salin langsung ke klien Anda.
Connect dengan Kiro
Untuk pengguna Kiro
Langkah 1: Pasang daya
Instal kekuatan aws-devops-agent dari pasar Powers.
Langkah 2: Mengatur variabel lingkungan
Mengatur variabel lingkungan berikut untuk mengkonfigurasi koneksi:
DEVOPS_AGENT_TOKEN=<your-access-token> DEVOPS_AGENT_REGION=<your-agent-space-region>
Langkah 3: Menyetujui variabel di Kiro
Buka Pengaturan> MCP Disetujui Env Vars dan setujui dan. DEVOPS_AGENT_TOKEN DEVOPS_AGENT_REGION Kiro tidak meneruskan variabel lingkungan ke server MCP sampai mereka disetujui.
Langkah 4: Mulai ulang Kiro
Mulai ulang Kiro untuk menerapkan perubahan.
Daya Kiro termasuk aws-mcp sebagai fallback, yang menyediakan akses AWS API langsung ketika titik akhir server jarak jauh tidak tersedia.
Connect dengan Claude Code
Untuk pengguna Claude Code
Instal plugin aws-agents-for-devsecops.
Jalankan
/aws-agents-for-devsecops:setup-devops-agentperintah untuk mengkonfigurasi koneksi Anda.
Connect dengan klien MCP lainnya
Untuk MCP-compatible klien apa pun, konfigurasikan server dengan:
URL —
https://connect.aidevops.{region}.api.aws/mcpHeader otorisasi -
Bearer <your-token>Timeout - 120 detik minimum (tanggapan awal dapat memakan waktu 5-30 detik; sesi obrolan yang sedang berlangsung mungkin memakan waktu lebih lama)
Konfigurasi ini juga berfungsi dengan Kiro dan Claude Code jika Anda lebih suka mengonfigurasi koneksi secara manual daripada menggunakan daya atau plugin khusus.
Contoh konfigurasi MCP:
{ "mcpServers": { "aws-devops-agent": { "url": "https://connect.aidevops.{region}.api.aws/mcp", "headers": { "Authorization": "Bearer <your-access-token>" } } } }
Ganti {region} dengan Wilayah Ruang Agen Anda (misalnya,us-east-1) dan <your-access-token> dengan nilai token.
Gunakan otentikasi SiGv4
Otentikasi SiGv4 menggunakan AWS kredensyal Anda alih-alih token akses. Plugin Kiro power dan Claude Code menyertakan dukungan SigV4 bawaanmcp-proxy-for-aws, yang menandatangani permintaan menggunakan kredensyal lokal Anda. AWS
Ketika SiGv4 digunakan
Sebagai fallback ketika token akses tidak dikonfigurasi atau gagal (kedaluwarsa, tidak valid).
Sebagai autentikasi utama ketika Anda memiliki beberapa Ruang Agen dan perlu merutekan
agent_space_idper panggilan alat.Sebagai pilihan pengguna — di Claude Code, jalankan skill setup untuk beralih dari token Bearer ke sigV4 auth.
Prasyarat
AWS kredensyal yang tersedia di lingkungan (melalui SSO, variabel lingkungan, atau file kredensyal).
Kredensyal Anda harus memiliki izin untuk memanggil tindakan Agen AWS DevOps . Untuk izin yang diperlukan, lihat DevOps Izin Agen IAM.
uvxdiinstal (proxy berjalan melaluiuvx mcp-proxy-for-aws@latest).
Contoh konfigurasi
Untuk mengonfigurasi klien MCP agar menggunakan SiGv4 alih-alih token akses, jalankan server melalui. mcp-proxy-for-aws Ganti {region} dengan Wilayah Ruang Agen Anda (misalnya,us-east-1):
{ "mcpServers": { "aws-devops-agent": { "command": "uvx", "timeout": 120000, "args": [ "mcp-proxy-for-aws@latest", "https://connect.aidevops.{region}.api.aws/mcp", "--service", "aidevops", "--region", "{region}" ] } } }
Proxy menandatangani setiap permintaan dengan AWS kredensyal lokal Anda, jadi tidak diperlukan token akses.
Multi-Agent-Space perutean
Dalam mode SiGv4, agent_space_id teruskan setiap panggilan alat untuk menentukan Ruang Agen mana yang akan digunakan. Ini memungkinkan untuk merutekan beberapa Ruang Agen dari satu klien.
Integrasi A2A
Titik akhir A2A mengimplementasikan spesifikasi A2A v1.0 menggunakan pengikatan HTTP+JSON
Penemuan kartu agen
Ambil kartu agen di:
GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json
Operasi yang didukung
SendMessage— Kirim pesan dan terima tanggapan.SendStreamingMessage— Streaming tanggapan saat dihasilkan.GetTask— Periksa status tugas asinkron.ListTasks— Daftar tugas untuk Ruang Agen.CancelTask— Batalkan tugas yang sedang berjalan.SubscribeToTask— Berlangganan pembaruan tugas melalui acara yang dikirim server.
Keterampilan
menyelidiki — Analisis asinkron mendalam dari masalah operasional (5-8 menit).
obrolan — Jawaban instan untuk pertanyaan operasional.
Pertimbangan keamanan
Pelingkupan token
Gunakan hak istimewa paling sedikit: pilih
readuntuk integrasi hanya-baca,operatehanya ketika klien perlu mengirim pesan atau mengelola tugas.Putar token secara berkala. Token kedaluwarsa setelah durasi yang dikonfigurasi (maksimum 60 hari).
Simpan token dalam variabel lingkungan atau manajer rahasia. Jangan hardcode token dalam kode sumber.
Jangan mengeksekusi respons agen secara otomatis tanpa tinjauan manusia.
Daftar Izin IP
Saat membuat token akses, Anda dapat secara opsional menentukan daftar izin IP. Saat dikonfigurasi, token hanya dapat digunakan dari alamat IP atau rentang CIDR yang ditentukan. Permintaan dari IP lain ditolak dengan kesalahan akses ditolak.
Rotasi dan pencabutan token
Rotasi — Putar token untuk menghasilkan nilai token baru sambil mempertahankan nama token, cakupan, dan daftar izin IP. Token lama segera dibatalkan. Perbarui konfigurasi klien Anda dengan nilai token baru.
Pencabutan — Jika token dikompromikan, segera cabut. Token yang dicabut tidak dapat digunakan dan tidak dapat dipulihkan.
Menanggapi token yang dikompromikan
Jika Anda mencurigai token telah disusupi, ikuti langkah-langkah berikut:
Blokir semua akses token — Di konsol AWS DevOps Agen, buka Ruang Agen Anda, pilih tab Konfigurasi, dan pilih Nonaktifkan di bagian Token akses. Ini segera memblokir semua akses berbasis token ke Ruang Agen.
Cabut token yang dikompromikan — Di aplikasi web, buka Pengaturan> Token Akses, pilih token yang disusupi, dan pilih Cabut. Anda dapat mencabut token bahkan saat token akses dinonaktifkan.
Re-enable token akses — Setelah mencabut token yang disusupi, aktifkan kembali token akses dari tab Konfigurasi jika Anda masih memerlukan akses berbasis token.
Pencabutan token secara terprogram
Anda juga dapat mencabut token secara terprogram menggunakan. awscurl Perintah berikut menggunakan otentikasi SiGv4. Ganti Region (us-east-1) dengan Region tempat Agen Space Anda dibuat.
Langkah 1: Daftar Ruang Agen Anda
aws aidevops list-agent-spaces --region us-east-1
Langkah 2: Daftar token akses untuk Ruang Agen
awscurl --service aidevops --region us-east-1 \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"
Langkah 3: Cabut token
awscurl --service aidevops --region us-east-1 -X POST \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"
Ganti {agentSpaceId} dan {accessTokenId} dengan nilai dari tanggapan sebelumnya.
Ketertelusuran
Ketika token akses digunakan, AWS DevOps Agen mengambil peran atas nama Anda untuk melakukan tindakan. AssumeRolePanggilan ini masuk AWS CloudTrail dengan tag sesi yang mengidentifikasi token dan pemanggil:
AgentSpaceId— Pengidentifikasi Ruang Agen.UserId— Identitas pembuat token.AccessTokenId— Pengidentifikasi unik token.TokenName— Nama token akses yang digunakan.ClientType— Protokol yang digunakan (MCP, A2A).SourceIp— Alamat IP klien.UserAgent— User-Agent String klien (bila tersedia).
Pemanggilan titik akhir MCP dan A2A langsung tidak masuk untuk kedua metode otentikasi. CloudTrail Setiap pemanggilan memiliki panggilan AWS API hilir terkait yang masuk CloudTrail, dengan nama sesi peran yang dapat diidentifikasi dalam format. token_{spaceId}_{timestamp}_{tokenName}
Batasan kebijakan titik akhir VPC
Titik akhir server jarak jauh tidak mendukung kebijakan titik akhir VPC. Panggilan yang menggunakan token akses atau otentikasi SigV4 tidak dapat dibatasi oleh kebijakan titik akhir VPC.
Menonaktifkan token akses
Fitur token akses dinonaktifkan secara default. Untuk menonaktifkannya setelah mengaktifkan:
Buka tab Konfigurasi Ruang Agen Anda.
Di bagian Access token, pilih Nonaktifkan.
Menonaktifkan segera memblokir semua akses berbasis token. Token yang ada tidak dihapus tetapi tidak dapat digunakan sampai fitur diaktifkan kembali.
Untuk mencegah pengguna di organisasi Anda mengaktifkan token akses, buat Kebijakan Kontrol Layanan (SCP) yang menolak tindakan API token akses dan UpdateAgentSpace tindakan (yang mengontrol sakelar token akses):
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessTokenOperations", "Effect": "Deny", "Action": [ "aidevops:UpdateAgentSpace", "aidevops:CreateAccessToken", "aidevops:GetAccessToken", "aidevops:ListAccessTokens", "aidevops:RotateAccessToken", "aidevops:RevokeAccessToken" ], "Resource": "*" } ] }
Pemecahan masalah
| Gejala | Penyebab | Resolusi |
|---|---|---|
| HTTP 401 Tidak Sah | Token tidak valid atau kedaluwarsa. | Buat token baru atau putar token yang ada di aplikasi web. |
| HTTP 400 "A2A-Version header diperlukan” | Header versi protokol tidak ada. Hanya A2A v1.0 yang didukung. | Tambahkan A2A-Version: 1.0 header ke permintaan A2A. |
| Batas waktu permintaan | Respons awal membutuhkan waktu 5-30 detik. Investigasi memakan waktu 5-8 menit. | Atur batas waktu klien setidaknya 120 detik. |
| Koneksi ditolak | URL atau Wilayah titik akhir salah. | Verifikasi format URL: https://connect.aidevops.{region}.api.aws |