

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Connect ai server remoti di DevOps Agent
<a name="accessing-devops-agent-connect-to-devops-agent-remote-servers"></a>

AWS DevOps Agent fornisce server remoti dedicati per i protocolli Model Context Protocol (MCP) e Agent-to-Agent (A2A). Usa questi server per connettere le tue integrazioni IDE, CLI o agenti personalizzati a un Agent Space.

## Protocolli supportati
<a name="supported-protocols"></a>
+ **MCP (Model Context Protocol)**: collega client IDE e CLI come Kiro, Claude Code, Cursor e altri strumenti. MCP-compatible 
+ **A2A (Agent-to-Agent) v1.0 —** Connetti agenti autonomi per la comunicazione tra agenti.

## Endpoints
<a name="endpoints"></a>

I server remoti sono disponibili presso un URL regionale:

```
https://connect.aidevops.{region}.api.aws
```


| Protocollo | Path | Metodo | 
| --- | --- | --- | 
| MCP | /mcp | POST | 
| A2A | /a2a/\* | POST | 
| carta agente A2A | /.well-known/agent-card.json | GET | 

Per l'elenco delle regioni disponibili, vedere. [Regioni supportate](about-aws-devops-agent-supported-regions.md)

## Autenticazione
<a name="authentication"></a>

Sono disponibili due metodi di autenticazione per gli endpoint MCP e A2A:
+ **Token di accesso (Bearer)**: un singolo token assegnato a un Agent Space. Configurazione più semplice per uso individuale.
+ **AWS SIGv4**: autenticazione basata su AWS credenziali. Supporta più Agent Spaces e si integra con la governance delle identità esistente. AWS Gestito automaticamente da [mcp-proxy-for-aws, un proxy locale](https://github.com/aws/mcp-proxy-for-aws) che firma le richieste utilizzando le tue credenziali. AWS 

## Crea un token di accesso
<a name="create-an-access-token"></a>

### Prerequisiti
<a name="prerequisites"></a>
+ La funzionalità dei token di accesso deve essere abilitata sul tuo Agent Space.
+ È necessario disporre delle autorizzazioni IAM per gestire i token di accesso (`aidevops:CreateAccessToken`,,`aidevops:RevokeAccessToken`). `aidevops:RotateAccessToken` Per l'elenco completo, consulta [DevOps Autorizzazioni Agent IAM](aws-devops-agent-security-devops-agent-iam-permissions.md).

### Abilita i token di accesso
<a name="enable-access-tokens"></a>

1. Accedi alla console di AWS gestione e apri la console dell' AWS DevOps agente.

1. Scegli il tuo Agent Space.

1. Scegli la scheda **Configurazione**.

1. Nella sezione **Token di accesso**, scegli **Abilita.**

1. Conferma l'operazione.

### Crea un token
<a name="create-a-token"></a>

1. Apri l'app web DevOps Agent per Agent Space, quindi dal menu di navigazione, scegli **Impostazioni**, quindi scegli **Access Tokens**.

1. Scegli **Generate token (Genera token)**.

1. Inserisci un nome per il token.

1. Scegli un ambito:
   + `read`— Visualizza indagini, consigli, chat e risorse di Agent Space.
   + `operate`— Accesso completo. Include tutto ciò che è incluso`read`, oltre a inviare messaggi, creare chat e gestire attività e consigli arretrati.

1. Scegli un tipo di cliente:
   + `human`— Per l'utilizzo di IDE e CLI (Kiro, Claude Code, Cursor e altri strumenti interattivi).
   + `agent`— Per integrazioni A2A autonome e agenti programmatici.

1. Imposta una scadenza (da 1 a 60 giorni).

1. Copia il valore del token e conservalo in un luogo sicuro e protetto, ad esempio [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html). Non è possibile recuperarlo di nuovo.

Dopo aver creato un token, l'app Web visualizza un esempio di configurazione che puoi copiare direttamente nel tuo client.

## Connect con Kiro
<a name="connect-with-kiro"></a>

Per gli utenti di [Kiro](https://kiro.dev/), è disponibile un **AWS DevOps Agent** Power dedicato dall'IDE o dal marketplace di [Kiro Powers](https://kiro.dev/powers/#aws-devops-agent).

**Fase 1: Installare l'alimentazione**

Installa **aws-devops-agent** power dal marketplace di Powers.

**Fase 2: Impostare le variabili di ambiente**

Imposta le seguenti variabili di ambiente per configurare la connessione:

```
DEVOPS_AGENT_TOKEN=<your-access-token>
DEVOPS_AGENT_REGION=<your-agent-space-region>
```

**Fase 3: Approvare le variabili in Kiro**

Vai su **Impostazioni** > **MCP Approved Env Vars e approva** e. `DEVOPS_AGENT_TOKEN` `DEVOPS_AGENT_REGION` Kiro non passa le variabili di ambiente ai server MCP finché non vengono approvate.

**Fase 4: Riavviare Kiro**

Riavvia Kiro per applicare le modifiche.

Kiro Power include `aws-mcp` una soluzione di riserva, che fornisce l'accesso diretto alle AWS API quando l'endpoint del server remoto non è disponibile.

## Connect con Claude Code
<a name="connect-with-claude-code"></a>

Per gli utenti di [Claude Code](https://code.claude.com/docs/en/overview), AWS DevOps Agent è disponibile tramite il plugin Claude **aws-agents-for-devsecops**, che porta in Claude sia le funzionalità di Agent che quelle di Security Agent. AWS DevOps AWS [Installalo [dai plugin](https://github.com/aws/agent-toolkit-for-aws/tree/main/plugins/aws-agents-for-devsecops) di Claude o dal repository dei sorgenti.](https://claude.com/plugins/aws-agents-for-devsecops)

1. **Installa il plugin aws-agents-for-devsecops.**

1. `/aws-agents-for-devsecops:setup-devops-agent`Esegui il comando per configurare la tua connessione.

## Connect con altri client MCP
<a name="connect-with-other-mcp-clients"></a>

Per qualsiasi MCP-compatible client, configura il server con:
+ **URL** — `https://connect.aidevops.{region}.api.aws/mcp`
+ **Intestazione di autorizzazione** — `Bearer <your-token>`
+ **Timeout**: minimo 120 secondi (le risposte iniziali possono richiedere 5-30 secondi; le sessioni di chat in corso potrebbero richiedere più tempo)

Questa configurazione funziona anche con Kiro e Claude Code se preferisci configurare la connessione manualmente invece di utilizzare l'alimentazione o il plug-in dedicati.

Esempio di configurazione MCP:

```
{
  "mcpServers": {
    "aws-devops-agent": {
      "url": "https://connect.aidevops.{region}.api.aws/mcp",
      "headers": {
        "Authorization": "Bearer <your-access-token>"
      }
    }
  }
}
```

Sostituisci `{region}` con la regione di Agent Space (ad esempio`us-east-1`) e `<your-access-token>` con il valore del token.

## Usa l'autenticazione SigV4
<a name="use-sigv4-authentication"></a>

L'autenticazione SigV4 utilizza AWS le tue credenziali anziché un token di accesso. I plugin Kiro power e Claude Code includono il supporto SigV4 integrato`mcp-proxy-for-aws`, che firma le richieste utilizzando le credenziali locali. AWS 

### Quando si usa SigV4
<a name="when-sigv4-is-used"></a>
+ Come **fallback** quando il token di accesso non è configurato o fallisce (scaduto, non valido).
+ Come autenticazione **principale** quando si dispone di più Agent Spaces ed è necessario eseguire il routing per ogni chiamata allo strumento. `agent_space_id`
+ A **scelta dell'utente**, in Claude Code, esegui l'abilità di configurazione per passare dal token Bearer all'autenticazione SigV4.

### Prerequisiti
<a name="prerequisites"></a>
+ AWS credenziali disponibili nell'ambiente (tramite SSO, variabili di ambiente o file di credenziali).
+ Le tue credenziali devono essere autorizzate a richiamare le azioni dell'agente. AWS DevOps Per le autorizzazioni richieste, consulta [DevOps Autorizzazioni Agent IAM](aws-devops-agent-security-devops-agent-iam-permissions.md).
+ `uvx`installato (il proxy funziona). `uvx mcp-proxy-for-aws@latest`

### Configurazione di esempio
<a name="example-configuration"></a>

Per configurare un client MCP in modo che utilizzi SigV4 anziché un token di accesso, esegui il server tramite. `mcp-proxy-for-aws` Sostituisci `{region}` con la regione di Agent Space (ad esempio,): `us-east-1`

```
{
  "mcpServers": {
    "aws-devops-agent": {
      "command": "uvx",
      "timeout": 120000,
      "args": [
        "mcp-proxy-for-aws@latest",
        "https://connect.aidevops.{region}.api.aws/mcp",
        "--service", "aidevops",
        "--region", "{region}"
      ]
    }
  }
}
```

Il proxy firma ogni richiesta con le tue AWS credenziali locali, quindi non è richiesto alcun token di accesso.

### Multi-Agent-Space routing
<a name="multi-agent-space-routing"></a>

In modalità SigV4, `agent_space_id` trasmetti ogni chiamata allo strumento per specificare quale Agent Space utilizzare. In questo modo è possibile il routing su più Agent Spaces da un singolo client.

## Integrazione A2A
<a name="a2a-integration"></a>

L'endpoint A2A implementa la specifica A2A v1.0 utilizzando l'associazione [HTTP\+JSON](https://a2a-protocol.org/latest/specification/).

### Agent Card Discovery
<a name="agent-card-discovery"></a>

Recupera la carta dell'agente all'indirizzo:

```
GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json
```

### Operazioni supportate
<a name="supported-operations"></a>
+ `SendMessage`— Invia un messaggio e ricevi una risposta.
+ `SendStreamingMessage`— Trasmetti in streaming le risposte man mano che vengono generate.
+ `GetTask`— Controlla lo stato di un'attività asincrona.
+ `ListTasks`— Elenca le attività per un Agent Space.
+ `CancelTask`— Annullare un'attività in esecuzione.
+ `SubscribeToTask`— Iscriviti agli aggiornamenti delle attività tramite eventi inviati dal server.

### Competenze
<a name="skills"></a>
+ **investigare**: analisi asincrona approfondita dei problemi operativi (5—8 minuti).
+ **chat: risposte** istantanee a domande operative.

## Considerazioni relative alla sicurezza
<a name="security-considerations"></a>

### Scoping dei token
<a name="token-scoping"></a>
+ Usa il privilegio minimo: scegli `read` le integrazioni di sola lettura, `operate` solo quando il client deve inviare messaggi o gestire attività.
+ Ruota periodicamente i token. I token scadono dopo la durata configurata (massimo 60 giorni).
+ Memorizza i token in variabili di ambiente o gestori segreti. Non codificate i token nel codice sorgente.
+ Non eseguire automaticamente le risposte degli agenti senza una revisione umana.

### Elenco di indirizzi IP consentiti
<a name="ip-allowlist"></a>

Quando si crea un token di accesso, è possibile specificare facoltativamente una lista di indirizzi IP consentiti. Una volta configurato, il token può essere utilizzato solo dagli indirizzi IP o dagli intervalli CIDR specificati. Le richieste provenienti da altri IP vengono rifiutate con un errore di accesso negato.

### Rotazione e revoca dei token
<a name="token-rotation-and-revocation"></a>
+ **Rotazione**: ruota un token per generare un nuovo valore del token preservando il nome, gli ambiti e l'elenco di indirizzi IP consentiti del token. Il vecchio token viene immediatamente invalidato. Aggiorna la configurazione del client con il nuovo valore del token.
+ **Revoca**: se un token è compromesso, revocalo immediatamente. I token revocati non possono essere utilizzati e non possono essere ripristinati.

#### Risposta a un token compromesso
<a name="responding-to-a-compromised-token"></a>

Se sospetti che un token sia stato compromesso, segui questi passaggi:

1. **Blocca l'accesso a tutti i token**: nella console dell' AWS DevOps agente, apri Agent Space, scegli la scheda **Configurazione** e scegli **Disabilita** nella sezione Token di accesso. Ciò blocca immediatamente tutti gli accessi basati su token all'Agent Space.

1. **Revoca i token compromessi****: nell'app Web, vai su **Impostazioni** > Token di **accesso, scegli il token** compromesso e scegli Revoca.** Puoi revocare i token anche se i token di accesso sono disabilitati.

1. **Re-enable token di accesso****: dopo aver revocato i token compromessi, riattiva i token di accesso dalla scheda Configurazione se hai ancora bisogno di un accesso basato su token.**

#### Revoca dei token a livello di codice
<a name="revoking-tokens-programmatically"></a>

Puoi anche revocare i token a livello di codice utilizzando. `awscurl` I seguenti comandi utilizzano l'autenticazione SigV4. Sostituisci la regione (`us-east-1`) con la regione in cui viene creato lo spazio dell'agente.

**Nota:** la fase 1 utilizza la AWS CLI. I passaggi 2 e 3 utilizzano [awscurl](https://github.com/okigan/awscurl), uno strumento da riga di comando che firma le richieste HTTP con SigV4, poiché le operazioni dei token di accesso non dispongono ancora di comandi CLI dedicati. AWS 

**Fase 1: Elenca i tuoi Agent Spaces**

```
aws aidevops list-agent-spaces --region us-east-1
```

**Fase 2: Elenca i token di accesso per un Agent Space**

```
awscurl --service aidevops --region us-east-1 \
  -H "Accept: application/json" \
  "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"
```

**Fase 3: Revoca un token**

```
awscurl --service aidevops --region us-east-1 -X POST \
  -H "Accept: application/json" \
  "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"
```

Sostituisci `{agentSpaceId}` e `{accessTokenId}` con i valori delle risposte precedenti.

### Tracciabilità
<a name="traceability"></a>

Quando viene utilizzato un token di accesso, AWS DevOps l'agente assume un ruolo per conto dell'utente per eseguire le azioni. Questa `AssumeRole` chiamata viene registrata AWS CloudTrail con tag di sessione che identificano il token e il chiamante:
+ `AgentSpaceId`— Identificatore dello spazio dell'agente.
+ `UserId`— Identità del creatore del token.
+ `AccessTokenId`— Identificatore univoco del token.
+ `TokenName`— Nome del token di accesso utilizzato.
+ `ClientType`— Il protocollo utilizzato (MCP, A2A).
+ `SourceIp`— Indirizzo IP del client.
+ `UserAgent`— User-Agent Stringa del client (se disponibile).

Le chiamate dirette agli endpoint MCP e A2A non vengono registrate per nessuno dei due metodi di autenticazione. CloudTrail A ogni chiamata è registrata una chiamata AWS API downstream corrispondente, con un nome di sessione di ruolo identificabile nel CloudTrail formato. `token_{spaceId}_{timestamp}_{tokenName}`

### Limitazione delle policy relative agli endpoint VPC
<a name="vpc-endpoint-policy-limitation"></a>

Gli endpoint del server remoto non supportano le policy degli endpoint VPC. Le chiamate che utilizzano i token di accesso o l'autenticazione SigV4 non possono essere limitate dalle policy degli endpoint VPC.

### Disabilitazione dei token di accesso
<a name="disabling-access-tokens"></a>

La funzionalità dei token di accesso è disattivata per impostazione predefinita. Per disabilitarla dopo averla abilitata:

1. Apri la scheda **Configurazione** del tuo Agent Space.

1. Nella sezione **Token di accesso**, scegli **Disabilita**.

La disabilitazione blocca immediatamente tutti gli accessi basati su token. I token esistenti non vengono eliminati ma non possono essere utilizzati finché la funzionalità non viene riattivata.

Per impedire agli utenti della tua organizzazione di abilitare i token di accesso, crea una Service Control Policy (SCP) che neghi le azioni dell'API del token di accesso e l'`UpdateAgentSpace`azione (che controlla l'interruttore dei token di accesso):

**Nota:** la negazione impedisce `aidevops:UpdateAgentSpace` anche altri aggiornamenti di Agent Space (nome, descrizione, impostazioni locali). Se è troppo generico, omettilo da SCP: le negazioni rimanenti impediscono comunque la creazione e l'uso dei token, anche se qualcuno abilita la funzionalità.

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "DenyAccessTokenOperations",
      "Effect": "Deny",
      "Action": [
        "aidevops:UpdateAgentSpace",
        "aidevops:CreateAccessToken",
        "aidevops:GetAccessToken",
        "aidevops:ListAccessTokens",
        "aidevops:RotateAccessToken",
        "aidevops:RevokeAccessToken"
      ],
      "Resource": "*"
    }
  ]
}
```

## Risoluzione dei problemi
<a name="troubleshooting"></a>


| Caratteristiche | Causa | Risoluzione | 
| --- | --- | --- | 
| HTTP 401 non autorizzato | Il token non è valido o è scaduto. | Crea un nuovo token o ruota il token esistente nell'app web. | 
| «A2A-Version Intestazione HTTP 400 richiesta» | Intestazione della versione del protocollo mancante. È supportato solo A2A v1.0. | Aggiungi un'A2A-Version: 1.0intestazione alle richieste A2A. | 
| Timeout della richiesta | Le risposte iniziali richiedono 5-30 secondi. Le indagini richiedono 5-8 minuti. | Imposta il timeout del client su almeno 120 secondi. | 
| Connessione rifiutata | URL o regione dell'endpoint errati. | Verifica il formato dell'URL: https://connect.aidevops.{region}.api.aws | 