View a markdown version of this page

Connessione dei server MCP - AWS DevOps Agente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione dei server MCP

I server Model Context Protocol (MCP) estendono le capacità di indagine di AWS DevOps Agent fornendo l'accesso ai dati provenienti da strumenti di osservabilità esterni, sistemi di monitoraggio personalizzati e fonti di dati operative. Questa guida spiega come connettere un server MCP all'agente. AWS DevOps

Requisiti

Prima di connettere un server MCP, assicuratevi che il server soddisfi questi requisiti:

  • Protocollo di trasporto HTTP Streamable: sono supportati solo i server MCP che implementano il protocollo di trasporto HTTP Streamable.

  • Supporto per l'autenticazione: il server MCP deve supportare uno dei seguenti metodi di autenticazione: OAuth 2.0 (Client Credentials o 3LO), autenticazione key/token basata su API o Signature Version 4 (SigV4). AWS

Considerazioni relative alla sicurezza

Quando connetti i server MCP all'agente, considera questi aspetti di sicurezza: AWS DevOps

Si noti che la lunghezza massima del nome dell'utensile di qualsiasi strumento MCP è di 64 caratteri. Per il numero massimo di strumenti MCP consentiti per spazio agente, vedere. Quote

  • Rischi di iniezione rapida: i server MCP personalizzati possono comportare un rischio aggiuntivo di attacchi di pronta iniezione. Per ulteriori informazioni, vedere Prompt injection protection: AWS DevOps Agent Security.

  • Read-only strumenti e accesso: consenti solo gli strumenti MCP di sola lettura e assicurati che alle credenziali di autenticazione sia consentito solo l'accesso in sola lettura.

AWS DevOps Sicurezza degli agentiPer ulteriori informazioni sull'iniezione tempestiva e sul modello di responsabilità condivisa, vedere.

Nota

Se il server MCP si trova su una rete privata, vedere Connessione a strumenti ospitati privatamente

Registrazione di un server MCP (a livello di account)

I server MCP sono registrati a livello di AWS account e condivisi tra tutti gli Agent Spaces di quell'account. I singoli Agent Spaces possono quindi scegliere gli strumenti specifici di cui hanno bisogno da ciascun server MCP.

Fase 1: Dettagli del server MCP

  1. Accedere alla console di AWS gestione

  2. Passa alla console AWS DevOps dell'agente

  3. Vai alla pagina Capability Provider (accessibile dalla barra di navigazione laterale)

  4. Trova MCP Server nella sezione Provider disponibili e scegli Registra

  5. Nella pagina dei dettagli del server MCP, inserite le seguenti informazioni:

    • Nome: immettete un nome descrittivo per il server MCP

    • URL dell'endpoint: immettete l'URL HTTPS completo dell'endpoint del server MCP

    • Descrizione (opzionale): aggiungi una descrizione per aiutare a identificare lo scopo del server

    • Abilita la registrazione dinamica del client: selezionare questa casella di controllo se si desidera consentire all' AWS DevOps agente di registrarsi automaticamente sul server di autorizzazione del server MCP

    • Connetti all'endpoint utilizzando una connessione privata: seleziona questa casella di controllo se desideri che AWS DevOps l'agente effettui richieste al tuo server MCP in privato. È possibile selezionare una connessione privata esistente o crearne una nuova. Se si utilizza l'autenticazione OAuth, la connessione privata si applica sia all'endpoint del server MCP che all'endpoint di scambio di token. Assicurati che la connessione privata sia configurata con un indirizzo host in grado di indirizzare il traffico verso entrambi gli endpoint. Per ulteriori informazioni, consulta Connessione a strumenti ospitati privatamente.

  6. Seleziona Successivo.

Nota

L'URL dell'endpoint del server MCP verrà visualizzato nei AWS CloudTrail log del tuo account.

Fase 2: Flusso di autorizzazione

Seleziona il metodo di autenticazione per il tuo server MCP:

Credenziali del client OAuth: se il server MCP utilizza il flusso di credenziali del client OAuth:

  1. Seleziona le credenziali del client OAuth

  2. Seleziona Next (Successivo).

OAuth 3LO (OAuth): se il Three-Legged server MCP utilizza OAuth 3LO per l'autenticazione:

  1. Seleziona OAuth 3LO

  2. Seleziona Next (Successivo).

Chiave API: se il server MCP utilizza l'autenticazione tramite chiave API:

  1. Seleziona la chiave API

  2. Seleziona Next (Successivo).

AWS SigV4 — Se il server MCP utilizza l'autenticazione AWS Signature Version 4:

  1. AWS Seleziona SigV4

  2. Seleziona Next (Successivo).

Fase 3: Configurazione dell'autorizzazione

Configura parametri di autorizzazione aggiuntivi in base al metodo di autenticazione selezionato:

Per le credenziali del client OAuth:

  1. ID client: inserisci l'ID client del client OAuth

  2. Segreto client: immetti il segreto del client OAuth

  3. URL di Exchange: inserisci l'URL dell'endpoint di scambio di token OAuth

  4. Parametri di Exchange: inserisci i parametri di scambio del token OAuth per l'autenticazione con il servizio

  5. Aggiungi ambito: aggiungi ambiti OAuth per l'autenticazione

  6. Seleziona Next (Successivo).

Per OAuth 3LO:

  1. ID client: inserisci l'ID client del client OAuth

  2. Segreto client: inserisci il segreto del client OAuth se richiesto dal tuo client OAuth

  3. URL di Exchange: inserisci l'URL dell'endpoint di scambio di token OAuth

  4. URL di autorizzazione: inserisci l'URL dell'endpoint di autorizzazione OAuth

  5. Code Challenge Support: seleziona questa casella di controllo se il tuo client OAuth supporta la Code Challenge

  6. Aggiungi ambito: aggiungi ambiti OAuth per l'autenticazione

  7. Seleziona Next (Successivo).

Per la chiave API:

  1. Inserisci il nome di una chiave API

  2. Inserisci il nome dell'intestazione che conterrà la chiave API nella richiesta

  3. Inserisci il valore della tua chiave API

  4. Seleziona Next (Successivo).

Per AWS SIGv4:

AWS L'autenticazione SIGv4 consente all' AWS DevOps agente di connettersi ai server MCP che utilizzano la versione 4 di Signature per AWS la firma delle richieste. Ciò è utile per i server MCP ospitati su Amazon API Gateway o altri AWS servizi che supportano l'autenticazione SigV4.

  1. Configura il ruolo IAM: scegli una delle seguenti opzioni:

    • Usa un ruolo esistente: seleziona un ruolo IAM esistente dal menu a discesa. Il ruolo deve avere una politica di fiducia che consenta al responsabile del servizio AWS DevOps Agent di assumerlo (vedi Creazione di un ruolo IAM per l'autenticazione SigV4).

    • Crea un nuovo ruolo manualmente: segui le istruzioni dettagliate visualizzate nella console per creare un nuovo ruolo IAM con la policy di fiducia corretta.

  2. AWS Regione: inserisci la AWS regione per la firma SIGv4 (ad esempio,). us-east-1 Per utilizzare la firma multiregionale SigV4A, inserisci. *

  3. Nome servizio: immettere il nome del AWS servizio per la firma SIGv4 (ad esempio, execute-api per API Gateway).

  4. Intestazioni personalizzate (facoltative): aggiungi fino a 10 coppie di intestazioni chiave-valore personalizzate da includere in ogni richiesta firmata.

  5. Seleziona Next (Successivo).

Fase 4: Rivedi e invia

  1. Rivedi tutti i dettagli di configurazione del server MCP

  2. Scegli Invia per completare la registrazione

  3. AWS DevOps L'agente convaliderà la connessione al server MCP

  4. Una volta completata la convalida, il server MCP verrà registrato a livello di account

Configurazione degli strumenti MCP in un Agent Space

Dopo aver registrato un server MCP a livello di account, è possibile configurare quali strumenti di quel server sono disponibili per specifici Agent Spaces:

  1. Nella console dell' AWS DevOps agente, seleziona il tuo Agent Space

  2. Vai alla scheda Funzionalità

  3. Nella sezione Server MCP, scegli Aggiungi

  4. Seleziona il server MCP registrato che desideri connettere a questo Agent Space

  5. Configura quali strumenti di questo server MCP devono essere disponibili per Agent Space:

    • Consenti tutti gli strumenti: rende disponibili tutti gli strumenti del server MCP

    • Seleziona strumenti specifici: consente di scegliere quali strumenti consentire nell'elenco

  6. Scegli Aggiungi per connettere il server MCP al tuo Agent Space

AWS DevOps L'agente sarà ora in grado di utilizzare gli strumenti consentiti dal server MCP durante le indagini in questo Agent Space.

Gestione delle connessioni al server MCP

Aggiornamento delle credenziali di autenticazione: se è necessario aggiornare le credenziali di autenticazione, sarà necessario registrare nuovamente il server MCP. Passate alla pagina Capability Provider nella console dell' AWS DevOps agente, individuate il server MCP, rimuovete eventuali associazioni attive e scegliete Annulla registrazione. Successivamente, registrate il server MCP con le nuove credenziali di autenticazione e ricreate le associazioni necessarie con Agent Space.

Visualizzazione dei server MCP connessi: per vedere tutti i server MCP collegati a Agent Space, seleziona Agent Space, vai alla scheda Funzionalità e controlla la sezione Server MCP. Puoi anche aggiornare gli strumenti selezionati qui.

Rimozione delle connessioni al server MCP: per disconnettere un server MCP da un Agent Space, selezionate il server nella sezione Server MCP e scegliete Rimuovi. Per eliminare completamente una registrazione del server MCP, rimuovila prima da tutti gli Agent Spaces, quindi elimina la registrazione a livello di account.

Creazione di un ruolo IAM per l'autenticazione SigV4

Quando utilizza l'autenticazione AWS SigV4, l' AWS DevOps agente assume un ruolo IAM nell'account per firmare le richieste al server MCP. Questo ruolo deve avere una politica di fiducia che consenta all' AWS DevOps agente service principal (aidevops.amazonaws.com) di assumerlo, con una confusa protezione sostitutiva.

Policy di attendibilità

Crea un ruolo IAM con la seguente politica di fiducia. Sostituiscilo REGION con la tua AWS regione (ad esempious-east-1) e ACCOUNT_ID con l'ID AWS del tuo account.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }

La politica di fiducia include le seguenti condizioni per prevenire il confuso problema del vice:

  • aws:SourceAccount— Limita l'assunzione del ruolo alle richieste provenienti dal tuo account. AWS

  • aws:SourceArn— Limita l'assunzione del ruolo alle richieste provenienti dalle risorse del servizio AWS DevOps Agent presenti nell'account.

Policy delle autorizzazioni

Allega al ruolo una politica di autorizzazioni che conceda le autorizzazioni minime necessarie per richiamare il server MCP. Ad esempio, se il tuo server MCP è ospitato su Amazon API Gateway, il ruolo deve avere l'execute-api:Invokeautorizzazione sulla risorsa API Gateway.

Multi-region firma (SigV4a)

Se il server MCP è distribuito in più AWS regioni, è possibile utilizzare Sigv4a (Signature Version 4a) per la firma in più regioni. Per abilitare ciò, inserisci * come Regione durante la configurazione dell' AWS autorizzazione SigV4. SigV4a utilizza la firma asimmetrica, che consente a una singola richiesta firmata di essere valida in più regioni.

  • AWS DevOps Sicurezza in Agent

  • Configurazione di uno spazio per agenti

  • Protezione da iniezione rapida