Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menghubungkan Server MCP
Server Model Context Protocol (MCP) memperluas kemampuan investigasi AWS DevOps Agen dengan menyediakan akses ke data dari alat observabilitas eksternal Anda, sistem pemantauan khusus, dan sumber data operasional. Panduan ini menjelaskan cara menghubungkan server MCP ke AWS DevOps Agen.
Persyaratan
Sebelum menghubungkan server MCP, pastikan server Anda memenuhi persyaratan ini:
Protokol transport HTTP Streamable — Hanya server MCP yang mengimplementasikan protokol transport HTTP Streamable yang didukung.
Dukungan otentikasi — Server MCP Anda harus mendukung salah satu metode otentikasi berikut: OAuth 2.0 (Client Credentials atau 3LO), kunci API/otentikasi berbasis token, atau Signature Version 4 (SigV4). AWS
Pertimbangan keamanan
Saat menghubungkan server MCP ke AWS DevOps Agen, pertimbangkan aspek keamanan berikut:
Tool allowlisting — Anda harus mengizinkan daftar hanya alat khusus yang dibutuhkan Ruang Agen Anda, daripada mengekspos semua alat dari server MCP Anda. Lihat Mengonfigurasi alat MCP di Ruang Agen untuk mengetahui cara mengizinkan alat daftar per Ruang Agen.
Harap dicatat bahwa panjang alat maksimum dari setiap alat MCP adalah 64.
Risiko injeksi cepat - Server MCP khusus dapat menimbulkan risiko tambahan serangan injeksi yang cepat. Lihat Prompt injection protection: AWS DevOps Agent Security untuk informasi lebih lanjut.
Alat dan akses hanya-baca — Hanya izinkan daftar alat MCP hanya-baca dan pastikan bahwa kredensional otentikasi hanya diizinkan akses hanya-baca.
Lihat AWS DevOps Agen Keamanan untuk informasi lebih lanjut tentang injeksi cepat dan model tanggung jawab bersama.
catatan
Jika server MCP Anda berada di jaringan pribadi, lihat Menghubungkan ke alat yang dihosting secara pribadi
Mendaftarkan server MCP (tingkat akun)
Server MCP terdaftar di tingkat AWS akun dan dibagikan di antara semua Ruang Agen di akun itu. Individual Agent Spaces kemudian dapat memilih alat spesifik mana yang mereka butuhkan dari setiap server MCP.
Langkah 1: Detail server MCP
Masuk ke Konsol AWS Manajemen
Arahkan ke konsol AWS DevOps Agen
Buka halaman Penyedia Kemampuan (dapat diakses dari navigasi samping)
Temukan MCP Server di bagian Penyedia yang tersedia dan klik Daftar
Pada halaman detail server MCP, masukkan informasi berikut:
Nama - Masukkan nama deskriptif untuk server MCP Anda
URL Endpoint - Masukkan URL HTTPS lengkap dari titik akhir server MCP Anda
Deskripsi (opsional) - Tambahkan deskripsi untuk membantu mengidentifikasi tujuan server
Aktifkan Pendaftaran Klien Dinamis - Pilih kotak centang ini jika Anda ingin mengizinkan AWS DevOps Agen untuk secara otomatis mendaftar dengan server otorisasi server MCP Anda
Connect to endpoint menggunakan koneksi pribadi — Pilih kotak centang ini jika Anda ingin AWS DevOps Agen membuat permintaan ke server MCP Anda secara pribadi. Anda dapat memilih koneksi pribadi yang ada atau membuat yang baru. Jika Anda menggunakan OAuth otentikasi, koneksi pribadi berlaku untuk titik akhir server MCP dan titik akhir pertukaran token. Pastikan koneksi pribadi dikonfigurasi dengan alamat host yang dapat merutekan lalu lintas ke kedua titik akhir. Untuk informasi selengkapnya, lihat Menghubungkan ke alat yang dihosting secara pribadi.
Klik Berikutnya
catatan
URL endpoint server MCP akan ditampilkan di AWS CloudTrail log di akun Anda.
Langkah 2: Aliran otorisasi
Pilih metode otentikasi untuk server MCP Anda:
OAuth Client Client Client - Jika server MCP Anda menggunakan alur Client OAuth Client Client:
Pilih Kredensial OAuth Klien
Klik Berikutnya
OAuth 3LO (Three-Legged OAuth) - Jika server MCP Anda menggunakan OAuth 3LO untuk otentikasi:
Pilih OAuth 3LO
Klik Berikutnya
Kunci API - Jika server MCP Anda menggunakan otentikasi kunci API:
Pilih Kunci API
Klik Berikutnya
AWS SiGv4 - Jika server MCP Anda menggunakan otentikasi AWS Signature Version 4:
Pilih AWS SiGv4
Klik Berikutnya
Langkah 3: Konfigurasi otorisasi
Konfigurasikan parameter otorisasi tambahan berdasarkan metode otentikasi yang dipilih:
Untuk Kredensi OAuth Klien:
ID Klien — Masukkan ID klien OAuth klien
Rahasia Klien — Masukkan rahasia OAuth klien klien
URL Exchange — Masukkan URL titik akhir pertukaran OAuth token
Parameter Pertukaran — Masukkan parameter pertukaran OAuth token untuk otentikasi dengan layanan
Tambahkan Lingkup - Tambahkan OAuth cakupan untuk otentikasi
Klik Berikutnya
Untuk OAuth 3LO:
ID Klien — Masukkan ID klien OAuth klien
Rahasia Klien — Masukkan rahasia OAuth klien dari klien jika diperlukan oleh OAuth klien Anda
URL Exchange — Masukkan URL titik akhir pertukaran OAuth token
URL Otorisasi - Masukkan URL titik akhir OAuth otorisasi
Code Challenge Support - Pilih kotak centang ini jika OAuth klien Anda mendukung tantangan kode
Tambahkan Lingkup - Tambahkan OAuth cakupan untuk otentikasi
Klik Berikutnya
Untuk Kunci API:
Masukkan nama kunci API
Masukkan nama header yang akan berisi kunci API dalam permintaan
Masukkan nilai kunci API Anda
Klik Berikutnya
Untuk AWS SiGv4:
AWS Otentikasi SiGv4 memungkinkan AWS DevOps Agen untuk terhubung ke server MCP yang menggunakan AWS Signature Versi 4 untuk penandatanganan permintaan. Ini berguna untuk server MCP yang dihosting di belakang Amazon API Gateway atau AWS layanan lain yang mendukung otentikasi SiGv4.
Konfigurasikan peran IAM - Pilih salah satu opsi berikut:
Gunakan peran yang ada — Pilih peran IAM yang ada dari dropdown. Peran tersebut harus memiliki kebijakan kepercayaan yang memungkinkan prinsipal layanan AWS DevOps Agen untuk mengasumsikan peran tersebut (lihat Membuat peran IAM untuk otentikasi SigV4).
Buat peran baru secara manual — Ikuti step-by-step petunjuk yang ditampilkan di konsol untuk membuat peran IAM baru dengan kebijakan kepercayaan yang benar.
AWS Region — Masukkan AWS Region untuk penandatanganan SigV4 (misalnya,
us-east-1). Untuk menggunakan penandatanganan multi-wilayah Sigv4a, masukkan.*Nama Layanan — Masukkan nama AWS layanan untuk penandatanganan SiGv4 (misalnya,
execute-apiuntuk API Gateway).Kustom Header (opsional) - Tambahkan hingga 10 pasangan header kunci-nilai kustom untuk disertakan dengan setiap permintaan ditandatangani.
Klik Berikutnya
Langkah 4: Tinjau dan kirimkan
Tinjau semua detail konfigurasi server MCP
Klik Submit untuk menyelesaikan pendaftaran
AWS DevOps Agen akan memvalidasi koneksi ke server MCP Anda
Setelah validasi berhasil, server MCP Anda akan terdaftar di tingkat akun
Mengkonfigurasi alat MCP di Ruang Agen
Setelah mendaftarkan server MCP di tingkat akun, Anda dapat mengonfigurasi alat mana dari server tersebut yang tersedia untuk Ruang Agen tertentu:
Di konsol AWS DevOps Agen, pilih Ruang Agen Anda
Buka tab Kemampuan
Di bagian MCP Server, klik Tambah
Pilih server MCP terdaftar yang ingin Anda sambungkan ke Ruang Agen ini
Konfigurasikan alat mana dari server MCP ini yang harus tersedia untuk Ruang Agen:
Izinkan semua alat - Membuat semua alat dari server MCP tersedia
Pilih alat khusus - Memungkinkan Anda memilih alat mana yang akan diijinkan
Klik Tambah untuk menghubungkan server MCP ke Ruang Agen Anda
AWS DevOps Agen sekarang akan dapat menggunakan alat yang diizinkan dari server MCP Anda selama penyelidikan di Ruang Agen ini.
Mengelola koneksi server MCP
Memperbarui kredensi otentikasi — Jika kredensi otentikasi Anda perlu diperbarui, Anda harus mendaftarkan ulang server MCP Anda. Arahkan ke halaman Penyedia Kemampuan di konsol AWS DevOps Agen, cari server MCP Anda, hapus semua asosiasi aktif, dan klik Deregister. Selanjutnya, daftarkan server MCP Anda dengan kredensi otentikasi baru dan buat ulang asosiasi yang diperlukan dengan Ruang Agen Anda.
Melihat server MCP yang terhubung — Untuk melihat semua server MCP yang terhubung ke Ruang Agen Anda, pilih Ruang Agen Anda, buka tab Kemampuan, dan periksa bagian Server MCP. Anda juga dapat memperbarui alat yang dipilih di sini.
Menghapus koneksi server MCP - Untuk memutuskan sambungan server MCP dari Ruang Agen, pilih server di bagian MCP Server dan klik Hapus. Untuk menghapus pendaftaran server MCP sepenuhnya, hapus dari semua Ruang Agen terlebih dahulu, lalu hapus pendaftaran tingkat akun.
Membuat peran IAM untuk otentikasi SiGv4
Saat menggunakan otentikasi AWS SigV4, AWS DevOps Agen mengasumsikan peran IAM di akun Anda untuk menandatangani permintaan ke server MCP Anda. Peran ini harus memiliki kebijakan kepercayaan yang memungkinkan prinsipal layanan AWS DevOps Agen (aidevops.amazonaws.com) untuk menganggapnya, dengan perlindungan wakil yang membingungkan.
Kebijakan kepercayaan
Buat peran IAM dengan kebijakan kepercayaan berikut. Ganti REGION dengan AWS Wilayah Anda (misalnya,us-east-1) dan ACCOUNT_ID dengan ID AWS akun Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }
Kebijakan kepercayaan mencakup kondisi berikut untuk mencegah masalah wakil yang membingungkan:
aws:SourceAccount— Membatasi asumsi peran untuk permintaan yang berasal dari akun Anda. AWSaws:SourceArn— Membatasi asumsi peran untuk permintaan yang berasal dari sumber daya layanan AWS DevOps Agen di akun Anda.
Kebijakan izin
Lampirkan kebijakan izin ke peran yang memberikan izin minimum yang diperlukan untuk memanggil server MCP Anda. Misalnya, jika server MCP Anda di-host di belakang Amazon API Gateway, peran tersebut harus memiliki execute-api:Invoke izin pada sumber daya API Gateway.
Penandatanganan multi-wilayah (Sigv4a)
Jika server MCP Anda digunakan di beberapa AWS Wilayah, Anda dapat menggunakan Sigv4a (Sigv4a Versi 4a) untuk penandatanganan multi-wilayah. Untuk mengaktifkan ini, masukkan * sebagai AWS Wilayah saat mengonfigurasi otorisasi SigV4. Sigv4a menggunakan penandatanganan asimetris, yang memungkinkan satu permintaan yang ditandatangani valid di beberapa Wilayah.
Topik terkait
Keamanan di AWS DevOps Agen
Menyiapkan Ruang Agen
Perlindungan Injeksi yang Cepat
