Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menghubungkan Server MCP
Server Model Context Protocol (MCP) memperluas kemampuan investigasi AWS DevOps Agen dengan menyediakan akses ke data dari alat observabilitas eksternal Anda, sistem pemantauan khusus, dan sumber data operasional. Panduan ini menjelaskan cara menghubungkan server MCP ke AWS DevOps Agen.
## Persyaratan
Sebelum menghubungkan server MCP, pastikan server Anda memenuhi persyaratan ini:
+ **Protokol transport HTTP Streamable** — Hanya server MCP yang mengimplementasikan protokol transport HTTP Streamable yang didukung.
+ **Dukungan otentikasi** — Server MCP Anda harus mendukung salah satu metode otentikasi berikut: OAuth 2.0 (Client Credentials atau 3LO), kunci API/otentikasi berbasis token, atau Signature Version 4 (SigV4). AWS
## Pertimbangan keamanan
Saat menghubungkan server MCP ke AWS DevOps Agen, pertimbangkan aspek keamanan berikut:
+ **Tool allowlisting —** Anda harus mengizinkan daftar hanya alat khusus yang dibutuhkan Ruang Agen Anda, daripada mengekspos semua alat dari server MCP Anda. Lihat [Mengonfigurasi alat MCP di Ruang Agen](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers) untuk mengetahui cara mengizinkan alat daftar per Ruang Agen.
Harap dicatat bahwa panjang alat maksimum dari setiap alat MCP adalah 64.
+ **Risiko injeksi cepat** - Server MCP khusus dapat menimbulkan risiko tambahan serangan injeksi yang cepat. Lihat [Prompt injection protection: AWS DevOps Agent Security](aws-devops-agent-security.md) untuk informasi lebih lanjut.
+ **Alat dan akses hanya-baca — Hanya izinkan daftar alat** MCP hanya-baca dan pastikan bahwa kredensional otentikasi hanya diizinkan akses hanya-baca.
Lihat [AWS DevOps Agen Keamanan](aws-devops-agent-security.md) untuk informasi lebih lanjut tentang injeksi cepat dan model tanggung jawab bersama.
**catatan**
Jika server MCP Anda berada di jaringan pribadi, lihat [Menghubungkan ke alat yang dihosting secara pribadi](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md)
## Mendaftarkan server MCP (tingkat akun)
Server MCP terdaftar di tingkat AWS akun dan dibagikan di antara semua Ruang Agen di akun itu. Individual Agent Spaces kemudian dapat memilih alat spesifik mana yang mereka butuhkan dari setiap server MCP.
### Langkah 1: Detail server MCP
1. Masuk ke Konsol AWS Manajemen
1. Arahkan ke konsol AWS DevOps Agen
1. Buka halaman **Penyedia Kemampuan** (dapat diakses dari navigasi samping)
1. **Temukan **MCP Server** di bagian Penyedia **yang tersedia** dan klik Daftar**
1. Pada halaman **detail server MCP**, masukkan informasi berikut:
+ **Nama** - Masukkan nama deskriptif untuk server MCP Anda
+ **URL Endpoint** - Masukkan URL HTTPS lengkap dari titik akhir server MCP Anda
+ **Deskripsi** (opsional) - Tambahkan deskripsi untuk membantu mengidentifikasi tujuan server
+ **Aktifkan Pendaftaran Klien Dinamis** - Pilih kotak centang ini jika Anda ingin mengizinkan AWS DevOps Agen untuk secara otomatis mendaftar dengan server otorisasi server MCP Anda
+ **Connect to endpoint menggunakan koneksi pribadi** — Pilih kotak centang ini jika Anda ingin AWS DevOps Agen membuat permintaan ke server MCP Anda secara pribadi. Anda dapat memilih koneksi pribadi yang ada atau membuat yang baru. Jika Anda menggunakan OAuth otentikasi, koneksi pribadi berlaku untuk titik akhir server MCP dan titik akhir pertukaran token. Pastikan koneksi pribadi dikonfigurasi dengan alamat host yang dapat merutekan lalu lintas ke kedua titik akhir. Untuk informasi selengkapnya, lihat [Menghubungkan ke alat yang dihosting secara pribadi](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md).
1. Klik **Berikutnya**
**catatan**
**URL endpoint server MCP akan ditampilkan di AWS CloudTrail log di akun Anda.
### Langkah 2: Aliran otorisasi
Pilih metode otentikasi untuk server MCP Anda:
**OAuth Client Client Client** - Jika server MCP Anda menggunakan alur Client OAuth Client Client:
1. Pilih **Kredensial OAuth Klien**
1. Klik **Berikutnya**
**OAuth 3LO (Three-Legged OAuth)** - Jika server MCP Anda menggunakan OAuth 3LO untuk otentikasi:
1. Pilih **OAuth 3LO**
1. Klik **Berikutnya**
**Kunci API** - Jika server MCP Anda menggunakan otentikasi kunci API:
1. Pilih **Kunci API**
1. Klik **Berikutnya**
**AWS SiGv4** - Jika server MCP Anda menggunakan otentikasi AWS Signature Version 4:
1. Pilih **AWS SiGv4**
1. Klik **Berikutnya**
### Langkah 3: Konfigurasi otorisasi
Konfigurasikan parameter otorisasi tambahan berdasarkan metode otentikasi yang dipilih:
**Untuk Kredensi OAuth Klien:**
1. **ID Klien** — Masukkan ID klien OAuth klien
1. **Rahasia Klien** — Masukkan rahasia OAuth klien klien
1. **URL Exchange** — Masukkan URL titik akhir pertukaran OAuth token
1. **Parameter Pertukaran** — Masukkan parameter pertukaran OAuth token untuk otentikasi dengan layanan
1. **Tambahkan Lingkup** - Tambahkan OAuth cakupan untuk otentikasi
1. Klik **Berikutnya**
**Untuk OAuth 3LO:**
1. **ID Klien** — Masukkan ID klien OAuth klien
1. **Rahasia Klien** — Masukkan rahasia OAuth klien dari klien jika diperlukan oleh OAuth klien Anda
1. **URL Exchange** — Masukkan URL titik akhir pertukaran OAuth token
1. URL **Otorisasi - Masukkan URL** titik akhir OAuth otorisasi
1. **Code Challenge Support** - Pilih kotak centang ini jika OAuth klien Anda mendukung tantangan kode
1. **Tambahkan Lingkup** - Tambahkan OAuth cakupan untuk otentikasi
1. Klik **Berikutnya**
**Untuk Kunci API:**
1. Masukkan nama kunci API
1. Masukkan nama header yang akan berisi kunci API dalam permintaan
1. Masukkan nilai kunci API Anda
1. Klik **Berikutnya**
**Untuk AWS SiGv4:**
AWS Otentikasi SiGv4 memungkinkan AWS DevOps Agen untuk terhubung ke server MCP yang menggunakan AWS Signature Versi 4 untuk penandatanganan permintaan. Ini berguna untuk server MCP yang dihosting di belakang Amazon API Gateway atau AWS layanan lain yang mendukung otentikasi SiGv4.
**Catatan:** Koneksi pribadi tidak didukung untuk server MCP yang menggunakan otentikasi SiGv4. Titik akhir server MCP Anda harus dapat diakses publik. Untuk server MCP di jaringan pribadi menggunakan metode otentikasi lainnya, lihat. [Menghubungkan ke alat yang dihosting secara pribadi](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md)
1. **Konfigurasikan peran IAM** - Pilih salah satu opsi berikut:
+ **Gunakan peran yang ada — Pilih peran** IAM yang ada dari dropdown. Peran tersebut harus memiliki kebijakan kepercayaan yang memungkinkan prinsipal layanan AWS DevOps Agen untuk mengasumsikan peran tersebut (lihat [Membuat peran IAM untuk otentikasi SigV4](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers)).
+ **Buat peran baru secara manual** — Ikuti step-by-step petunjuk yang ditampilkan di konsol untuk membuat peran IAM baru dengan kebijakan kepercayaan yang benar.
1. **AWS Region** — Masukkan AWS Region untuk penandatanganan SigV4 (misalnya,`us-east-1`). Untuk menggunakan penandatanganan multi-wilayah Sigv4a, masukkan. `*`
1. **Nama Layanan** — Masukkan nama AWS layanan untuk penandatanganan SiGv4 (misalnya, `execute-api` untuk API Gateway).
1. **Kustom Header** (opsional) - Tambahkan hingga 10 pasangan header kunci-nilai kustom untuk disertakan dengan setiap permintaan ditandatangani.
1. Klik **Berikutnya**
### Langkah 4: Tinjau dan kirimkan
1. Tinjau semua detail konfigurasi server MCP
1. Klik **Submit** untuk menyelesaikan pendaftaran
1. AWS DevOps Agen akan memvalidasi koneksi ke server MCP Anda
1. Setelah validasi berhasil, server MCP Anda akan terdaftar di tingkat akun
## Mengkonfigurasi alat MCP di Ruang Agen
Setelah mendaftarkan server MCP di tingkat akun, Anda dapat mengonfigurasi alat mana dari server tersebut yang tersedia untuk Ruang Agen tertentu:
1. Di konsol AWS DevOps Agen, pilih Ruang Agen Anda
1. Buka tab **Kemampuan**
1. **Di bagian **MCP Server**, klik Tambah**
1. Pilih server MCP terdaftar yang ingin Anda sambungkan ke Ruang Agen ini
1. Konfigurasikan alat mana dari server MCP ini yang harus tersedia untuk Ruang Agen:
+ **Izinkan semua alat** - Membuat semua alat dari server MCP tersedia
+ **Pilih alat khusus** - Memungkinkan Anda memilih alat mana yang akan diijinkan
1. Klik **Tambah** untuk menghubungkan server MCP ke Ruang Agen Anda
AWS DevOps Agen sekarang akan dapat menggunakan alat yang diizinkan dari server MCP Anda selama penyelidikan di Ruang Agen ini.
## Mengelola koneksi server MCP
**Memperbarui kredensi otentikasi** — Jika kredensi otentikasi Anda perlu diperbarui, Anda harus mendaftarkan ulang server MCP Anda. Arahkan ke halaman **Penyedia Kemampuan** di konsol AWS DevOps Agen, cari server MCP Anda, hapus semua asosiasi aktif, dan klik **Deregister**. Selanjutnya, **daftarkan** server MCP Anda dengan kredensi otentikasi baru dan buat ulang asosiasi yang diperlukan dengan Ruang Agen Anda.
**Melihat server MCP yang terhubung** — Untuk melihat semua server MCP yang terhubung ke Ruang Agen Anda, pilih Ruang Agen Anda, buka tab **Kemampuan**, dan periksa bagian Server **MCP**. Anda juga dapat memperbarui alat yang dipilih di sini.
**Menghapus koneksi server MCP** **- Untuk memutuskan sambungan server MCP dari Ruang Agen, pilih server di bagian **MCP Server** dan klik Hapus.** Untuk menghapus pendaftaran server MCP sepenuhnya, hapus dari semua Ruang Agen terlebih dahulu, lalu hapus pendaftaran tingkat akun.
## Membuat peran IAM untuk otentikasi SiGv4
Saat menggunakan otentikasi AWS SigV4, AWS DevOps Agen mengasumsikan peran IAM di akun Anda untuk menandatangani permintaan ke server MCP Anda. Peran ini harus memiliki kebijakan kepercayaan yang memungkinkan prinsipal layanan AWS DevOps Agen (`aidevops.amazonaws.com`) untuk menganggapnya, dengan perlindungan wakil yang membingungkan.
### Kebijakan kepercayaan
Buat peran IAM dengan kebijakan kepercayaan berikut. Ganti `REGION` dengan AWS Wilayah Anda (misalnya,`us-east-1`) dan `ACCOUNT_ID` dengan ID AWS akun Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "ACCOUNT_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
}
}
}
]
}
```
Kebijakan kepercayaan mencakup kondisi berikut untuk mencegah [masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html):
+ `aws:SourceAccount`— Membatasi asumsi peran untuk permintaan yang berasal dari akun Anda. AWS
+ `aws:SourceArn`— Membatasi asumsi peran untuk permintaan yang berasal dari sumber daya layanan AWS DevOps Agen di akun Anda.
### Kebijakan izin
Lampirkan kebijakan izin ke peran yang memberikan izin minimum yang diperlukan untuk memanggil server MCP Anda. Misalnya, jika server MCP Anda di-host di belakang Amazon API Gateway, peran tersebut harus memiliki `execute-api:Invoke` izin pada sumber daya API Gateway.
### Penandatanganan multi-wilayah (Sigv4a)
Jika server MCP Anda digunakan di beberapa AWS Wilayah, Anda dapat menggunakan [Sigv4a (Sigv4a Versi 4a) untuk penandatanganan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) multi-wilayah. Untuk mengaktifkan ini, masukkan `*` sebagai AWS Wilayah saat mengonfigurasi otorisasi SigV4. Sigv4a menggunakan penandatanganan asimetris, yang memungkinkan satu permintaan yang ditandatangani valid di beberapa Wilayah.
## Topik terkait
+ Keamanan di AWS DevOps Agen
+ Menyiapkan Ruang Agen
+ Perlindungan Injeksi yang Cepat