Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menghubungkan Server MCP
Server Model Context Protocol (MCP) memperluas kemampuan investigasi AWS DevOps Agen dengan menyediakan akses ke data dari alat observabilitas eksternal Anda, sistem pemantauan khusus, dan sumber data operasional. Panduan ini menjelaskan cara menghubungkan server MCP ke AWS DevOps Agen.
Persyaratan
Sebelum menghubungkan server MCP, pastikan server Anda memenuhi persyaratan ini:
Protokol transport HTTP Streamable — Hanya server MCP yang mengimplementasikan protokol transport HTTP Streamable yang didukung.
Dukungan otentikasi — Server MCP Anda harus mendukung salah satu metode otentikasi berikut: OAuth 2.0 (Client Credentials atau 3LO), autentikasi key/token berbasis API, atau Signature Version 4 (SigV4). AWS
Pertimbangan keamanan
Saat menghubungkan server MCP ke AWS DevOps Agen, pertimbangkan aspek keamanan berikut:
Tool allowlisting — Anda harus mengizinkan daftar alat khusus yang dibutuhkan Ruang Agen Anda, daripada mengekspos semua alat dari server MCP Anda. Lihat Mengonfigurasi alat MCP di Ruang Agen untuk mengetahui cara mengizinkan alat daftar per Ruang Agen.
Harap dicatat bahwa panjang nama alat maksimum dari setiap alat MCP adalah 64 karakter. Untuk jumlah maksimum alat MCP yang diizinkan per ruang agen, lihatKuota.
Risiko injeksi cepat - Server MCP khusus dapat menimbulkan risiko tambahan serangan injeksi yang cepat. Lihat Prompt injection protection: AWS DevOps Agent Security untuk informasi lebih lanjut.
Read-only alat dan akses - Hanya izinkan daftar alat MCP hanya-baca dan pastikan bahwa kredensional otentikasi hanya diizinkan akses hanya-baca.
Lihat AWS DevOps Agen Keamanan untuk informasi lebih lanjut tentang injeksi cepat dan model tanggung jawab bersama.
catatan
Jika server MCP Anda berada di jaringan pribadi, lihat Menghubungkan ke alat yang dihosting secara pribadi
Mendaftarkan server MCP (tingkat akun)
Server MCP terdaftar di tingkat AWS akun dan dibagikan di antara semua Ruang Agen di akun itu. Individual Agent Spaces kemudian dapat memilih alat spesifik mana yang mereka butuhkan dari setiap server MCP.
Langkah 1: Detail server MCP
Masuk ke Konsol AWS Manajemen
Arahkan ke konsol AWS DevOps Agen
Buka halaman Penyedia Kemampuan (dapat diakses dari navigasi samping)
Temukan MCP Server di bagian Penyedia yang tersedia dan pilih Daftar
Pada halaman detail server MCP, masukkan informasi berikut:
Nama - Masukkan nama deskriptif untuk server MCP Anda
URL Endpoint - Masukkan URL HTTPS lengkap dari titik akhir server MCP Anda
Deskripsi (opsional) - Tambahkan deskripsi untuk membantu mengidentifikasi tujuan server
Aktifkan Pendaftaran Klien Dinamis - Pilih kotak centang ini jika Anda ingin mengizinkan AWS DevOps Agen untuk secara otomatis mendaftar dengan server otorisasi server MCP Anda
Connect to endpoint menggunakan koneksi pribadi — Pilih kotak centang ini jika Anda ingin AWS DevOps Agen membuat permintaan ke server MCP Anda secara pribadi. Anda dapat memilih koneksi pribadi yang ada atau membuat yang baru. Jika Anda menggunakan otentikasi OAuth, koneksi pribadi berlaku untuk titik akhir server MCP dan titik akhir pertukaran token. Pastikan koneksi pribadi dikonfigurasi dengan alamat host yang dapat merutekan lalu lintas ke kedua titik akhir. Untuk informasi selengkapnya, lihat Menghubungkan ke alat yang dihosting secara pribadi.
Pilih Berikutnya
catatan
URL endpoint server MCP akan ditampilkan di AWS CloudTrail log di akun Anda.
Langkah 2: Aliran otorisasi
Pilih metode otentikasi untuk server MCP Anda:
OAuth Client Client Client — Jika server MCP Anda menggunakan alur OAuth Client Client Client:
Pilih Kredensial Klien OAuth
Pilih Berikutnya
OAuth 3LO (Three-Legged OAuth) - Jika server MCP Anda menggunakan OAuth 3LO untuk otentikasi:
Pilih OAuth 3LO
Pilih Berikutnya
Kunci API - Jika server MCP Anda menggunakan otentikasi kunci API:
Pilih Kunci API
Pilih Berikutnya
AWS SiGv4 - Jika server MCP Anda menggunakan otentikasi AWS Signature Version 4:
Pilih AWS SiGv4
Pilih Berikutnya
Langkah 3: Konfigurasi otorisasi
Konfigurasikan parameter otorisasi tambahan berdasarkan metode otentikasi yang dipilih:
Untuk Kredensi Klien OAuth:
ID Klien - Masukkan ID klien klien OAuth
Rahasia Klien - Masukkan rahasia klien klien OAuth
URL Exchange — Masukkan URL titik akhir pertukaran token OAuth
Parameter Pertukaran — Masukkan parameter pertukaran token OAuth untuk otentikasi dengan layanan
Tambahkan Lingkup - Tambahkan cakupan OAuth untuk otentikasi
Pilih Berikutnya
Untuk OAuth 3LO:
ID Klien - Masukkan ID klien klien OAuth
Rahasia Klien - Masukkan rahasia klien klien OAuth jika diperlukan oleh klien OAuth Anda
URL Exchange — Masukkan URL titik akhir pertukaran token OAuth
URL Otorisasi - Masukkan URL titik akhir otorisasi OAuth
Code Challenge Support - Pilih kotak centang ini jika klien OAuth Anda mendukung tantangan kode
Tambahkan Lingkup - Tambahkan cakupan OAuth untuk otentikasi
Pilih Berikutnya
Untuk Kunci API:
Masukkan nama kunci API
Masukkan nama header yang akan berisi kunci API dalam permintaan
Masukkan nilai kunci API Anda
Pilih Berikutnya
Untuk AWS SiGv4:
AWS Otentikasi SiGv4 memungkinkan AWS DevOps Agen untuk terhubung ke server MCP yang menggunakan AWS Signature Versi 4 untuk penandatanganan permintaan. Ini berguna untuk server MCP yang dihosting di belakang Amazon API Gateway atau AWS layanan lain yang mendukung otentikasi SiGv4.
Konfigurasikan peran IAM - Pilih salah satu opsi berikut:
Gunakan peran yang ada — Pilih peran IAM yang ada dari dropdown. Peran tersebut harus memiliki kebijakan kepercayaan yang memungkinkan prinsipal layanan AWS DevOps Agen untuk mengasumsikan peran tersebut (lihat Membuat peran IAM untuk otentikasi SigV4).
Buat peran baru secara manual — Ikuti petunjuk langkah demi langkah yang ditampilkan di konsol untuk membuat peran IAM baru dengan kebijakan kepercayaan yang benar.
AWS Region — Masukkan AWS Region untuk penandatanganan SigV4 (misalnya,
us-east-1). Untuk menggunakan penandatanganan multi-wilayah Sigv4a, masukkan.*Nama Layanan — Masukkan nama AWS layanan untuk penandatanganan SiGv4 (misalnya,
execute-apiuntuk API Gateway).Kustom Header (opsional) - Tambahkan hingga 10 pasangan header kunci-nilai kustom untuk disertakan dengan setiap permintaan ditandatangani.
Pilih Berikutnya
Langkah 4: Tinjau dan kirimkan
Tinjau semua detail konfigurasi server MCP
Pilih Kirim untuk menyelesaikan pendaftaran
AWS DevOps Agen akan memvalidasi koneksi ke server MCP Anda
Setelah validasi berhasil, server MCP Anda akan terdaftar di tingkat akun
Mengkonfigurasi alat MCP di Ruang Agen
Setelah mendaftarkan server MCP di tingkat akun, Anda dapat mengonfigurasi alat mana dari server tersebut yang tersedia untuk Ruang Agen tertentu:
Di konsol AWS DevOps Agen, pilih Ruang Agen
Buka tab Kemampuan
Di bagian MCP Server, pilih Tambah
Pilih server MCP terdaftar yang ingin Anda sambungkan ke Ruang Agen ini
Konfigurasikan alat mana dari server MCP ini yang harus tersedia untuk Ruang Agen:
Izinkan semua alat - Membuat semua alat dari server MCP tersedia
Pilih alat khusus - Memungkinkan Anda memilih alat mana yang akan diijinkan
Pilih Tambah untuk menghubungkan server MCP ke Ruang Agen Anda
AWS DevOps Agen sekarang akan dapat menggunakan alat yang diizinkan dari server MCP Anda selama penyelidikan di Ruang Agen ini.
Mengelola koneksi server MCP
Memperbarui kredensi otentikasi — Jika kredensi otentikasi Anda perlu diperbarui, Anda harus mendaftarkan ulang server MCP Anda. Arahkan ke halaman Penyedia Kemampuan di konsol AWS DevOps Agen, cari server MCP Anda, hapus asosiasi aktif apa pun, dan pilih Deregister. Selanjutnya, daftarkan server MCP Anda dengan kredensi otentikasi baru dan buat ulang asosiasi yang diperlukan dengan Ruang Agen Anda.
Melihat server MCP yang terhubung — Untuk melihat semua server MCP yang terhubung ke Ruang Agen Anda, pilih Ruang Agen Anda, buka tab Kemampuan, dan periksa bagian Server MCP. Anda juga dapat memperbarui alat yang dipilih di sini.
Menghapus koneksi server MCP - Untuk memutuskan sambungan server MCP dari Ruang Agen, pilih server di bagian MCP Server dan pilih Hapus. Untuk menghapus pendaftaran server MCP sepenuhnya, hapus dari semua Ruang Agen terlebih dahulu, lalu hapus pendaftaran tingkat akun.
Membuat peran IAM untuk otentikasi SiGv4
Saat menggunakan otentikasi AWS SigV4, AWS DevOps Agen mengasumsikan peran IAM di akun Anda untuk menandatangani permintaan ke server MCP Anda. Peran ini harus memiliki kebijakan kepercayaan yang memungkinkan prinsipal layanan AWS DevOps Agen (aidevops.amazonaws.com) untuk menganggapnya, dengan perlindungan wakil yang membingungkan.
Kebijakan kepercayaan
Buat peran IAM dengan kebijakan kepercayaan berikut. Ganti REGION dengan AWS Wilayah Anda (misalnya,us-east-1) dan ACCOUNT_ID dengan ID AWS akun Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }
Kebijakan kepercayaan mencakup kondisi berikut untuk mencegah masalah wakil yang membingungkan:
aws:SourceAccount— Membatasi asumsi peran untuk permintaan yang berasal dari akun Anda. AWSaws:SourceArn— Membatasi asumsi peran untuk permintaan yang berasal dari sumber daya layanan AWS DevOps Agen di akun Anda.
Kebijakan izin
Lampirkan kebijakan izin ke peran yang memberikan izin minimum yang diperlukan untuk memanggil server MCP Anda. Misalnya, jika server MCP Anda di-host di belakang Amazon API Gateway, peran tersebut harus memiliki execute-api:Invoke izin pada sumber daya API Gateway.
Multi-region penandatanganan (Sigv4a)
Jika server MCP Anda digunakan di beberapa AWS Wilayah, Anda dapat menggunakan Sigv4a (Sigv4a Versi 4a) untuk penandatanganan multi-wilayah. Untuk mengaktifkan ini, masukkan * sebagai AWS Wilayah saat mengonfigurasi otorisasi SigV4. Sigv4a menggunakan penandatanganan asimetris, yang memungkinkan satu permintaan yang ditandatangani valid di beberapa Wilayah.
Topik terkait
Keamanan di AWS DevOps Agen
Menyiapkan Ruang Agen
Perlindungan Injeksi yang Cepat