요구 사항 보안 고려 사항 MCP 서버 등록(계정 수준)에이전트 스페이스에서 MCP 도구 구성 MCP 서버 연결 관리 SigV4 인증을 위한 IAM 역할 생성 관련 주제

MCP 서버 연결

모델 컨텍스트 프로토콜(MCP) 서버는 외부 관찰성 도구, 사용자 지정 모니터링 시스템 및 운영 데이터 소스의 데이터에 대한 액세스를 제공하여 AWS DevOps 에이전트의 조사 기능을 확장합니다. 이 가이드에서는 MCP 서버를 AWS DevOps 에이전트에 연결하는 방법을 설명합니다.

요구 사항

MCP 서버를 연결하기 전에 서버가 다음 요구 사항을 충족하는지 확인합니다.

스트리밍 가능한 HTTP 전송 프로토콜 - 스트리밍 가능한 HTTP 전송 프로토콜을 구현하는 MCP 서버만 지원됩니다.
인증 지원 - MCP 서버는 OAuth 2.0(클라이언트 자격 증명 또는 3LO), API 키/토큰 기반 인증 또는 AWS 서명 버전 4(SigV4) 중 하나를 지원해야 합니다.

보안 고려 사항

MCP 서버를 AWS DevOps Agent에 연결할 때 다음 보안 측면을 고려하세요.

도구 허용 목록 - MCP 서버의 모든 도구를 노출하는 대신 에이전트 스페이스에 필요한 특정 도구만 허용 목록으로 지정해야 합니다. 에이전트 공간당 목록 도구를 허용하는 방법은 에이전트 공간에서 MCP 도구 구성을 참조하세요.

MCP 도구의 최대 도구 길이는 64입니다.

프롬프트 주입 위험 - 사용자 지정 MCP 서버는 프롬프트 주입 공격의 추가 위험을 초래할 수 있습니다. 자세한 내용은 프롬프트 주입 방지: AWS DevOps 에이전트 보안을 참조하세요.
읽기 전용 도구 및 액세스 - 읽기 전용 MCP 도구만 허용하고 인증 자격 증명이 읽기 전용 액세스만 허용되도록 합니다.

프롬프트 주입 및 공동 책임 모델에 대한 AWS DevOps 에이전트 보안 자세한 내용은 섹션을 참조하세요.

참고

MCP 서버가 프라이빗 네트워크에 있는 경우 섹션을 참조하세요. 프라이빗 호스팅 도구에 연결

MCP 서버 등록(계정 수준)

MCP 서버는 AWS 계정 수준에서 등록되고 해당 계정의 모든 에이전트 스페이스 간에 공유됩니다. 그러면 개별 에이전트 스페이스가 각 MCP 서버에 필요한 특정 도구를 선택할 수 있습니다.

1단계: MCP 서버 세부 정보

AWS Management Console에 로그인
AWS DevOps 에이전트 콘솔로 이동
기능 공급자 페이지로 이동(측면 탐색에서 액세스 가능)
사용 가능한 공급자 섹션에서 MCP 서버를 찾아 등록을 클릭합니다.
MCP 서버 세부 정보 페이지에서 다음 정보를 입력합니다.
- 이름 - MCP 서버의 설명 이름을 입력합니다.
- 엔드포인트 URL - MCP 서버 엔드포인트의 전체 HTTPS URL을 입력합니다.
- 설명(선택 사항) - 서버의 목적을 식별하는 데 도움이 되는 설명을 추가합니다.
- 동적 클라이언트 등록 활성화 - MCP 서버의 권한 부여 서버에 AWS DevOps 에이전트가 자동으로 등록하도록 허용하려면이 확인란을 선택합니다.
- 프라이빗 연결을 사용하여 엔드포인트에 연결 - AWS DevOps 에이전트가 MCP 서버에 비공개로 요청하도록 하려면이 확인란을 선택합니다. 기존 프라이빗 연결을 선택하거나 새 연결을 생성할 수 있습니다. OAuth 인증을 사용하는 경우 프라이빗 연결은 MCP 서버 엔드포인트와 토큰 교환 엔드포인트 모두에 적용됩니다. 프라이빗 연결이 두 엔드포인트로 트래픽을 라우팅할 수 있는 호스트 주소로 구성되어 있는지 확인합니다. 자세한 내용은 프라이빗 호스팅 도구에 연결 단원을 참조하십시오.
다음을 클릭합니다.

참고

MCP 서버 엔드포인트 URL은 계정의 AWS CloudTrail 로그에 표시됩니다.

2단계: 권한 부여 흐름

MCP 서버의 인증 방법을 선택합니다.

OAuth 클라이언트 자격 증명 - MCP 서버가 OAuth 클라이언트 자격 증명 흐름을 사용하는 경우:

OAuth 클라이언트 자격 증명 선택
다음을 클릭합니다.

OAuth 3LO(3레깅 OAuth) - MCP 서버가 인증에 OAuth 3LO를 사용하는 경우:

OAuth 3LO 선택
다음을 클릭합니다.

API 키 - MCP 서버가 API 키 인증을 사용하는 경우:

API 키 선택
다음을 클릭합니다.

AWS SigV4 - MCP 서버가 AWS 서명 버전 4 인증을 사용하는 경우:

AWS SigV4 선택
다음을 클릭합니다.

3단계: 권한 부여 구성

선택한 인증 방법을 기반으로 추가 권한 부여 파라미터를 구성합니다.

OAuth 클라이언트 자격 증명의 경우:

클라이언트 ID - OAuth 클라이언트의 클라이언트 ID를 입력합니다.
클라이언트 보안 암호 - OAuth 클라이언트의 클라이언트 보안 암호를 입력합니다.
Exchange URL - OAuth 토큰 교환 엔드포인트 URL을 입력합니다.
Exchange 파라미터 - 서비스 인증을 위한 OAuth 토큰 교환 파라미터를 입력합니다.
범위 추가 - 인증을 위한 OAuth 범위 추가
다음을 클릭합니다.

OAuth 3LO의 경우:

클라이언트 ID - OAuth 클라이언트의 클라이언트 ID를 입력합니다.
클라이언트 보안 암호 - OAuth 클라이언트에 필요한 경우 OAuth 클라이언트의 클라이언트 보안 암호를 입력합니다.
Exchange URL - OAuth 토큰 교환 엔드포인트 URL을 입력합니다.
권한 부여 URL - OAuth 권한 부여 엔드포인트 URL을 입력합니다.
코드 챌린지 지원 - OAuth 클라이언트가 코드 챌린지를 지원하는 경우이 확인란을 선택합니다.
범위 추가 - 인증을 위한 OAuth 범위 추가
다음을 클릭합니다.

API 키의 경우:

API 키 이름 입력
요청에 API 키를 포함할 헤더의 이름을 입력합니다.
API 키 값 입력
다음을 클릭합니다.

For AWS SigV4:

AWS SigV4 인증을 사용하면 AWS DevOps 에이전트가 요청 서명을 위해 AWS 서명 버전 4를 사용하는 MCP 서버에 연결할 수 있습니다. 이는 Amazon API Gateway 또는 SigV4 인증을 지원하는 기타 AWS 서비스에서 호스팅되는 MCP 서버에 유용합니다.

IAM 역할 구성 - 다음 옵션 중 하나를 선택합니다.
- 기존 역할 사용 - 드롭다운에서 기존 IAM 역할을 선택합니다. 역할에는 AWS DevOps 에이전트 서비스 보안 주체가 이를 수임하도록 허용하는 신뢰 정책이 있어야 합니다(SigV4 인증을 위한 IAM 역할 생성 참조).
- 수동으로 새 역할 생성 - 콘솔에 표시된 step-by-step 지침에 따라 올바른 신뢰 정책으로 새 IAM 역할을 생성합니다.
AWS 리전 - SigV4 서명을 위한 AWS 리전을 입력합니다(예: us-east-1). SigV4a 다중 리전 서명을 사용하려면를 입력합니다*.
서비스 이름 - SigV4 서명을 위한 AWS 서비스 이름을 입력합니다(예: API Gatewayexecute-api의 경우).
사용자 지정 헤더(선택 사항) - 서명된 각 요청에 포함할 최대 10개의 사용자 지정 키-값 헤더 페어를 추가합니다.
다음을 클릭합니다.

4단계: 검토 및 제출

모든 MCP 서버 구성 세부 정보 검토
제출을 클릭하여 등록을 완료합니다.
AWS DevOps Agent가 MCP 서버에 대한 연결을 검증합니다.
검증에 성공하면 MCP 서버가 계정 수준에서 등록됩니다.

에이전트 스페이스에서 MCP 도구 구성

계정 수준에서 MCP 서버를 등록한 후 해당 서버에서 특정 에이전트 스페이스에 사용할 수 있는 도구를 구성할 수 있습니다.

AWS DevOps 에이전트 콘솔에서 에이전트 스페이스를 선택합니다.
기능 탭으로 이동
MCP 서버 섹션에서 추가를 클릭합니다.
이 에이전트 스페이스에 연결할 등록된 MCP 서버를 선택합니다.
이 MCP 서버의 도구를 에이전트 스페이스에서 사용할 수 있도록 구성합니다.
- 모든 도구 허용 - MCP 서버의 모든 도구를 사용할 수 있도록 설정합니다.
- 특정 도구 선택 - 허용 목록에 추가할 도구를 선택할 수 있습니다.
추가를 클릭하여 MCP 서버를 에이전트 스페이스에 연결합니다.

이제AWS DevOps 에이전트는이 에이전트 스페이스에서 조사하는 동안 MCP 서버의 허용 목록에 있는 도구를 사용할 수 있습니다.

MCP 서버 연결 관리

인증 자격 증명 업데이트 - 인증 자격 증명을 업데이트해야 하는 경우 MCP 서버를 다시 등록해야 합니다. AWS DevOps 에이전트 콘솔의 기능 공급자 페이지로 이동하여 MCP 서버를 찾고 활성 연결을 제거한 다음 등록 취소를 클릭합니다. 그런 다음 새 인증 자격 증명으로 MCP 서버를 등록하고 에이전트 스페이스와 필요한 연결을 다시 생성합니다.

연결된 MCP 서버 보기 - 에이전트 스페이스에 연결된 모든 MCP 서버를 보려면 에이전트 스페이스를 선택하고 기능 탭으로 이동하여 MCP 서버 섹션을 확인합니다. 여기에서 선택한 도구를 업데이트할 수도 있습니다.

MCP 서버 연결 제거 - 에이전트 공간에서 MCP 서버를 연결 해제하려면 MCP 서버 섹션에서 서버를 선택하고 제거를 클릭합니다. MCP 서버 등록을 완전히 삭제하려면 먼저 모든 에이전트 스페이스에서 제거한 다음 계정 수준 등록을 삭제합니다.

SigV4 인증을 위한 IAM 역할 생성

AWS SigV4 인증을 사용하는 경우 AWS DevOps Agent는 계정의 IAM 역할을 수임하여 MCP 서버에 대한 요청에 서명합니다. 이 역할에는 AWS DevOps 에이전트 서비스 보안 주체(aidevops.amazonaws.com)가 혼동된 대리자 보호와 함께 이를 수임할 수 있도록 허용하는 신뢰 정책이 있어야 합니다.

신뢰 정책

다음 신뢰 정책을 사용하여 IAM 역할을 생성합니다. REGION를 AWS 리전(예: us-east-1)으로 바꾸고를 AWS 계정 IDACCOUNT_ID로 바꿉니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
        }
      }
    }
  ]
}

신뢰 정책에는 혼동된 대리자 문제를 방지하기 위한 다음 조건이 포함됩니다.

aws:SourceAccount - 역할 가정을 AWS 계정에서 시작된 요청으로 제한합니다.
aws:SourceArn - 역할 가정을 계정의 AWS DevOps 에이전트 서비스 리소스에서 시작된 요청으로 제한합니다.

권한 정책

MCP 서버를 호출하는 데 필요한 최소 권한을 부여하는 권한 정책을 역할에 연결합니다. 예를 들어 MCP 서버가 Amazon API Gateway 뒤에 호스팅되는 경우 역할에 API Gateway 리소스에 대한 execute-api:Invoke 권한이 있어야 합니다.

다중 리전 서명(SigV4a)

MCP 서버가 여러 AWS 리전에 배포된 경우 다중 리전 서명에 SigV4a(서명 버전 4a)를 사용할 수 있습니다. 이를 활성화하려면 SigV4 권한 부여를 구성할 때를 AWS 리전*으로 입력합니다. SigV4a는 비대칭 서명을 사용하므로 서명된 단일 요청이 여러 리전에서 유효할 수 있습니다.

in AWS DevOps 에이전트의 보안
에이전트 공간 설정
프롬프트 주입 보호

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

GitLab 연결

여러 AWS 계정 연결