Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connessione dei server MCP
I server Model Context Protocol (MCP) estendono le capacità di indagine di AWS DevOps Agent fornendo l'accesso ai dati provenienti da strumenti di osservabilità esterni, sistemi di monitoraggio personalizzati e fonti di dati operative. Questa guida spiega come connettere un server MCP all'agente. AWS DevOps
Requisiti
Prima di connettere un server MCP, assicuratevi che il server soddisfi questi requisiti:
Protocollo di trasporto HTTP Streamable: sono supportati solo i server MCP che implementano il protocollo di trasporto HTTP Streamable.
Supporto per l'autenticazione: il server MCP deve supportare uno dei seguenti metodi di autenticazione: OAuth 2.0 (Client Credentials o 3LO), autenticazione key/token basata su API o Signature Version 4 (SigV4). AWS
Considerazioni relative alla sicurezza
Quando connetti i server MCP all'agente, considera questi aspetti di sicurezza: AWS DevOps
Elenco degli strumenti consentiti: è consigliabile inserire nell'elenco consentito solo gli strumenti specifici necessari ad Agent Space, anziché esporre tutti gli strumenti del server MCP. Vedi Configurazione degli strumenti MCP in un Agent Space per sapere come consentire gli strumenti di elenco per Agent Space.
Si noti che la lunghezza massima del nome dell'utensile di qualsiasi strumento MCP è di 64 caratteri. Per il numero massimo di strumenti MCP consentiti per spazio agente, vedere. Quote
Rischi di iniezione rapida: i server MCP personalizzati possono comportare un rischio aggiuntivo di attacchi di pronta iniezione. Per ulteriori informazioni, vedere Prompt injection protection: AWS DevOps Agent Security.
Read-only strumenti e accesso: consenti solo gli strumenti MCP di sola lettura e assicurati che alle credenziali di autenticazione sia consentito solo l'accesso in sola lettura.
AWS DevOps Sicurezza degli agentiPer ulteriori informazioni sull'iniezione tempestiva e sul modello di responsabilità condivisa, vedere.
Nota
Se il server MCP si trova su una rete privata, vedere Connessione a strumenti ospitati privatamente
Registrazione di un server MCP (a livello di account)
I server MCP sono registrati a livello di AWS account e condivisi tra tutti gli Agent Spaces di quell'account. I singoli Agent Spaces possono quindi scegliere gli strumenti specifici di cui hanno bisogno da ciascun server MCP.
Fase 1: Dettagli del server MCP
Accedere alla console di AWS gestione
Passa alla console AWS DevOps dell'agente
Vai alla pagina Capability Provider (accessibile dalla barra di navigazione laterale)
Trova MCP Server nella sezione Provider disponibili e scegli Registra
Nella pagina dei dettagli del server MCP, inserite le seguenti informazioni:
Nome: immettete un nome descrittivo per il server MCP
URL dell'endpoint: immettete l'URL HTTPS completo dell'endpoint del server MCP
Descrizione (opzionale): aggiungi una descrizione per aiutare a identificare lo scopo del server
Abilita la registrazione dinamica del client: selezionare questa casella di controllo se si desidera consentire all' AWS DevOps agente di registrarsi automaticamente sul server di autorizzazione del server MCP
Connetti all'endpoint utilizzando una connessione privata: seleziona questa casella di controllo se desideri che AWS DevOps l'agente effettui richieste al tuo server MCP in privato. È possibile selezionare una connessione privata esistente o crearne una nuova. Se si utilizza l'autenticazione OAuth, la connessione privata si applica sia all'endpoint del server MCP che all'endpoint di scambio di token. Assicurati che la connessione privata sia configurata con un indirizzo host in grado di indirizzare il traffico verso entrambi gli endpoint. Per ulteriori informazioni, consulta Connessione a strumenti ospitati privatamente.
Seleziona Successivo.
Nota
L'URL dell'endpoint del server MCP verrà visualizzato nei AWS CloudTrail log del tuo account.
Fase 2: Flusso di autorizzazione
Seleziona il metodo di autenticazione per il tuo server MCP:
Credenziali del client OAuth: se il server MCP utilizza il flusso di credenziali del client OAuth:
Seleziona le credenziali del client OAuth
Seleziona Next (Successivo).
OAuth 3LO (OAuth): se il Three-Legged server MCP utilizza OAuth 3LO per l'autenticazione:
Seleziona OAuth 3LO
Seleziona Next (Successivo).
Chiave API: se il server MCP utilizza l'autenticazione tramite chiave API:
Seleziona la chiave API
Seleziona Next (Successivo).
AWS SigV4 — Se il server MCP utilizza l'autenticazione AWS Signature Version 4:
AWS Seleziona SigV4
Seleziona Next (Successivo).
Fase 3: Configurazione dell'autorizzazione
Configura parametri di autorizzazione aggiuntivi in base al metodo di autenticazione selezionato:
Per le credenziali del client OAuth:
ID client: inserisci l'ID client del client OAuth
Segreto client: immetti il segreto del client OAuth
URL di Exchange: inserisci l'URL dell'endpoint di scambio di token OAuth
Parametri di Exchange: inserisci i parametri di scambio del token OAuth per l'autenticazione con il servizio
Aggiungi ambito: aggiungi ambiti OAuth per l'autenticazione
Seleziona Next (Successivo).
Per OAuth 3LO:
ID client: inserisci l'ID client del client OAuth
Segreto client: inserisci il segreto del client OAuth se richiesto dal tuo client OAuth
URL di Exchange: inserisci l'URL dell'endpoint di scambio di token OAuth
URL di autorizzazione: inserisci l'URL dell'endpoint di autorizzazione OAuth
Code Challenge Support: seleziona questa casella di controllo se il tuo client OAuth supporta la Code Challenge
Aggiungi ambito: aggiungi ambiti OAuth per l'autenticazione
Seleziona Next (Successivo).
Per la chiave API:
Inserisci il nome di una chiave API
Inserisci il nome dell'intestazione che conterrà la chiave API nella richiesta
Inserisci il valore della tua chiave API
Seleziona Next (Successivo).
Per AWS SIGv4:
AWS L'autenticazione SIGv4 consente all' AWS DevOps agente di connettersi ai server MCP che utilizzano la versione 4 di Signature per AWS la firma delle richieste. Ciò è utile per i server MCP ospitati su Amazon API Gateway o altri AWS servizi che supportano l'autenticazione SigV4.
Configura il ruolo IAM: scegli una delle seguenti opzioni:
Usa un ruolo esistente: seleziona un ruolo IAM esistente dal menu a discesa. Il ruolo deve avere una politica di fiducia che consenta al responsabile del servizio AWS DevOps Agent di assumerlo (vedi Creazione di un ruolo IAM per l'autenticazione SigV4).
Crea un nuovo ruolo manualmente: segui le istruzioni dettagliate visualizzate nella console per creare un nuovo ruolo IAM con la policy di fiducia corretta.
AWS Regione: inserisci la AWS regione per la firma SIGv4 (ad esempio,).
us-east-1Per utilizzare la firma multiregionale SigV4A, inserisci.*Nome servizio: immettere il nome del AWS servizio per la firma SIGv4 (ad esempio,
execute-apiper API Gateway).Intestazioni personalizzate (facoltative): aggiungi fino a 10 coppie di intestazioni chiave-valore personalizzate da includere in ogni richiesta firmata.
Seleziona Next (Successivo).
Fase 4: Rivedi e invia
Rivedi tutti i dettagli di configurazione del server MCP
Scegli Invia per completare la registrazione
AWS DevOps L'agente convaliderà la connessione al server MCP
Una volta completata la convalida, il server MCP verrà registrato a livello di account
Configurazione degli strumenti MCP in un Agent Space
Dopo aver registrato un server MCP a livello di account, è possibile configurare quali strumenti di quel server sono disponibili per specifici Agent Spaces:
Nella console dell' AWS DevOps agente, seleziona il tuo Agent Space
Vai alla scheda Funzionalità
Nella sezione Server MCP, scegli Aggiungi
Seleziona il server MCP registrato che desideri connettere a questo Agent Space
Configura quali strumenti di questo server MCP devono essere disponibili per Agent Space:
Consenti tutti gli strumenti: rende disponibili tutti gli strumenti del server MCP
Seleziona strumenti specifici: consente di scegliere quali strumenti consentire nell'elenco
Scegli Aggiungi per connettere il server MCP al tuo Agent Space
AWS DevOps L'agente sarà ora in grado di utilizzare gli strumenti consentiti dal server MCP durante le indagini in questo Agent Space.
Gestione delle connessioni al server MCP
Aggiornamento delle credenziali di autenticazione: se è necessario aggiornare le credenziali di autenticazione, sarà necessario registrare nuovamente il server MCP. Passate alla pagina Capability Provider nella console dell' AWS DevOps agente, individuate il server MCP, rimuovete eventuali associazioni attive e scegliete Annulla registrazione. Successivamente, registrate il server MCP con le nuove credenziali di autenticazione e ricreate le associazioni necessarie con Agent Space.
Visualizzazione dei server MCP connessi: per vedere tutti i server MCP collegati a Agent Space, seleziona Agent Space, vai alla scheda Funzionalità e controlla la sezione Server MCP. Puoi anche aggiornare gli strumenti selezionati qui.
Rimozione delle connessioni al server MCP: per disconnettere un server MCP da un Agent Space, selezionate il server nella sezione Server MCP e scegliete Rimuovi. Per eliminare completamente una registrazione del server MCP, rimuovila prima da tutti gli Agent Spaces, quindi elimina la registrazione a livello di account.
Creazione di un ruolo IAM per l'autenticazione SigV4
Quando utilizza l'autenticazione AWS SigV4, l' AWS DevOps agente assume un ruolo IAM nell'account per firmare le richieste al server MCP. Questo ruolo deve avere una politica di fiducia che consenta all' AWS DevOps agente service principal (aidevops.amazonaws.com) di assumerlo, con una confusa protezione sostitutiva.
Policy di attendibilità
Crea un ruolo IAM con la seguente politica di fiducia. Sostituiscilo REGION con la tua AWS regione (ad esempious-east-1) e ACCOUNT_ID con l'ID AWS del tuo account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }
La politica di fiducia include le seguenti condizioni per prevenire il confuso problema del vice:
aws:SourceAccount— Limita l'assunzione del ruolo alle richieste provenienti dal tuo account. AWSaws:SourceArn— Limita l'assunzione del ruolo alle richieste provenienti dalle risorse del servizio AWS DevOps Agent presenti nell'account.
Policy delle autorizzazioni
Allega al ruolo una politica di autorizzazioni che conceda le autorizzazioni minime necessarie per richiamare il server MCP. Ad esempio, se il tuo server MCP è ospitato su Amazon API Gateway, il ruolo deve avere l'execute-api:Invokeautorizzazione sulla risorsa API Gateway.
Multi-region firma (SigV4a)
Se il server MCP è distribuito in più AWS regioni, è possibile utilizzare Sigv4a (Signature Version 4a) per la firma in più regioni. Per abilitare ciò, inserisci * come Regione durante la configurazione dell' AWS autorizzazione SigV4. SigV4a utilizza la firma asimmetrica, che consente a una singola richiesta firmata di essere valida in più regioni.
Argomenti correlati
AWS DevOps Sicurezza in Agent
Configurazione di uno spazio per agenti
Protezione da iniezione rapida