View a markdown version of this page

Conectando servidores MCP - AWS DevOps Agente
RequisitosConsiderações sobre segurançaRegistrando um servidor MCP (nível de conta)Configurando ferramentas MCP em um espaço de agenteGerenciando conexões do servidor MCPCriação de uma função do IAM para autenticação SigV4Tópicos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectando servidores MCP

Os servidores do Model Context Protocol (MCP) ampliam os recursos de investigação do AWS DevOps Agente fornecendo acesso aos dados de suas ferramentas externas de observabilidade, sistemas de monitoramento personalizados e fontes de dados operacionais. Este guia explica como conectar um servidor MCP ao AWS DevOps Agente.

Requisitos

Antes de conectar um servidor MCP, certifique-se de que seu servidor atenda aos seguintes requisitos:

  • Protocolo de transporte HTTP simplificável — Somente servidores MCP que implementam o protocolo de transporte HTTP simplificável são suportados.

  • Suporte à autenticação — Seu servidor MCP deve oferecer suporte a um dos seguintes métodos de autenticação: OAuth 2.0 (Credenciais do Cliente ou 3LO), autenticação baseada em chave de API/token ou AWS Signature Version 4 (SigV4).

Considerações sobre segurança

Ao conectar servidores MCP ao AWS DevOps Agente, considere estes aspectos de segurança:

  • Lista de permissões de ferramentas — Você deve listar somente as ferramentas específicas de que seu Espaço do Agente precisa, em vez de expor todas as ferramentas do seu servidor MCP. Consulte Configurando ferramentas MCP em um Espaço do Agente para saber como permitir ferramentas de lista por Espaço do Agente.

Observe que o comprimento máximo da ferramenta de qualquer ferramenta MCP é 64.

  • Riscos de injeção imediata — servidores MCP personalizados podem introduzir riscos adicionais de ataques de injeção imediata. Consulte Proteção imediata por injeção: AWS DevOps Agent Security para obter mais informações.

  • Ferramentas e acesso somente para leitura — Liste somente as ferramentas MCP somente para leitura e garanta que as credenciais de autenticação tenham acesso somente para leitura.

Consulte AWS DevOps Segurança do agente para obter mais informações sobre injeção imediata e o modelo de responsabilidade compartilhada.

nota

Se o servidor MCP estiver em uma rede privada, consulte Conectando-se a ferramentas hospedadas de forma privada

Registrando um servidor MCP (nível de conta)

Os servidores MCP são registrados no nível da AWS conta e compartilhados entre todos os Agent Spaces nessa conta. Os Agent Spaces individuais podem então escolher quais ferramentas específicas precisam de cada servidor MCP.

Etapa 1: detalhes do servidor MCP

  1. Faça login no console AWS de gerenciamento

  2. Navegue até o console do AWS DevOps agente

  3. Vá para a página Capability Providers (acessível na navegação lateral)

  4. Encontre o MCP Server na seção Provedores disponíveis e clique em Registrar

  5. Na página de detalhes do servidor MCP, insira as seguintes informações:

    • Nome — Insira um nome descritivo para seu servidor MCP

    • URL do endpoint — insira o URL HTTPS completo do endpoint do servidor MCP

    • Descrição (opcional) — Adicione uma descrição para ajudar a identificar a finalidade do servidor

    • Ativar registro dinâmico de clientes — Marque essa caixa de seleção se quiser permitir que o AWS DevOps Agente se registre automaticamente no servidor de autorização do seu servidor MCP.

    • Conectar-se ao endpoint usando conexão privada — Marque essa caixa de seleção se quiser que o AWS DevOps Agente faça solicitações ao seu servidor MCP de forma privada. Você pode selecionar uma conexão privada existente ou criar uma nova. Se você usa OAuth autenticação, a conexão privada se aplica tanto ao endpoint do servidor MCP quanto ao endpoint de troca de tokens. Certifique-se de que a conexão privada esteja configurada com um endereço de host que possa rotear o tráfego para os dois endpoints. Para obter mais informações, consulte Conectando-se a ferramentas hospedadas de forma privada.

  6. Clique em Avançar.

nota

O URL do endpoint do servidor MCP será exibido nos AWS CloudTrail registros da sua conta.

Etapa 2: fluxo de autorização

Selecione o método de autenticação para seu servidor MCP:

OAuth Credenciais do cliente — Se o servidor MCP usar o fluxo de credenciais OAuth do cliente:

  1. Selecione as credenciais OAuth do cliente

  2. Clique em Avançar.

OAuth 3LO (Three-Legged OAuth) — Se o seu servidor MCP usa OAuth 3LO para autenticação:

  1. Selecione OAuth 3LO

  2. Clique em Avançar.

Chave de API — Se seu servidor MCP usa autenticação de chave de API:

  1. Selecione a chave de API

  2. Clique em Avançar.

AWS SigV4 — Se o seu servidor MCP usa a autenticação AWS Signature Version 4:

  1. Selecione AWS SigV4

  2. Clique em Avançar.

Etapa 3: configuração da autorização

Configure parâmetros de autorização adicionais com base no método de autenticação selecionado:

Para credenciais OAuth do cliente:

  1. ID do cliente — Insira o ID do OAuth cliente

  2. Segredo do cliente — Insira o segredo do OAuth cliente

  3. URL do Exchange — Insira o URL do endpoint de troca de OAuth tokens

  4. Parâmetros de troca — insira os parâmetros de troca de OAuth tokens para autenticação com o serviço

  5. Adicionar escopo — Adicione OAuth escopos para autenticação

  6. Clique em Avançar.

Para OAuth 3LO:

  1. ID do cliente — Insira o ID do OAuth cliente

  2. Segredo do cliente — Insira o segredo do OAuth cliente se for exigido pelo seu OAuth cliente

  3. URL do Exchange — Insira o URL do endpoint de troca de OAuth tokens

  4. URL de autorização - Insira a URL do endpoint de OAuth autorização

  5. Suporte ao Code Challenge - Marque essa caixa de seleção se seu OAuth cliente suportar o Code Challenge

  6. Adicionar escopo — Adicione OAuth escopos para autenticação

  7. Clique em Avançar.

Para chave de API:

  1. Insira um nome de chave de API

  2. Insira o nome do cabeçalho que conterá a chave de API na solicitação

  3. Insira o valor da sua chave de API

  4. Clique em Avançar.

Para AWS SigV4:

AWS A autenticação SigV4 permite que o AWS DevOps Agente se conecte aos servidores MCP que usam o AWS Signature Versão 4 para assinatura de solicitações. Isso é útil para servidores MCP hospedados por trás do Amazon API Gateway ou outros AWS serviços que oferecem suporte à autenticação SigV4.

  1. Configurar a função do IAM — Escolha uma das seguintes opções:

    • Use uma função existente — Selecione uma função do IAM existente no menu suspenso. A função deve ter uma política de confiança que permita que o diretor do serviço do AWS DevOps agente a assuma (consulte Criação de uma função do IAM para autenticação SigV4).

    • Crie uma nova função manualmente — Siga as step-by-step instruções exibidas no console para criar uma nova função do IAM com a política de confiança correta.

  2. AWS Região — Insira a AWS região para assinatura SigV4 (por exemplo,us-east-1). Para usar a assinatura multirregional SigV4a, digite. *

  3. Nome do serviço — Insira o nome do AWS serviço para assinatura SigV4 (por exemplo, execute-api para API Gateway).

  4. Cabeçalhos personalizados (opcional) — Adicione até 10 pares de cabeçalhos de valores-chave personalizados para incluir em cada solicitação assinada.

  5. Clique em Avançar.

Etapa 4: revisar e enviar

  1. Revise todos os detalhes da configuração do servidor MCP

  2. Clique em Enviar para concluir o registro

  3. AWS DevOps O agente validará a conexão com seu servidor MCP

  4. Após a validação bem-sucedida, seu servidor MCP será registrado no nível da conta

Configurando ferramentas MCP em um espaço de agente

Depois de registrar um servidor MCP no nível da conta, você pode configurar quais ferramentas desse servidor estão disponíveis para Agent Spaces específicos:

  1. No console do AWS DevOps agente, selecione seu Espaço do agente

  2. Vá para a guia Capacidades

  3. Na seção Servidores MCP, clique em Adicionar

  4. Selecione o servidor MCP registrado que você deseja conectar a este Espaço do Agente.

  5. Configure quais ferramentas desse servidor MCP devem estar disponíveis para o Espaço do Agente:

    • Permitir todas as ferramentas — Disponibiliza todas as ferramentas do servidor MCP

    • Selecionar ferramentas específicas — Permite que você escolha quais ferramentas serão permitidas na lista.

  6. Clique em Adicionar para conectar o servidor MCP ao seu Espaço do Agente.

AWS DevOps Agora, o agente poderá usar as ferramentas da lista de permissões do seu servidor MCP durante as investigações neste Espaço do Agente.

Gerenciando conexões do servidor MCP

Atualização das credenciais de autenticação — Se suas credenciais de autenticação precisarem ser atualizadas, você precisará registrar novamente o servidor MCP. Navegue até a página Capability Providers no console do AWS DevOps Agente, localize seu servidor MCP, remova todas as associações ativas e clique em Cancelar registro. Em seguida, registre seu servidor MCP com as novas credenciais de autenticação e recrie todas as associações necessárias com seu Espaço do Agente.

Visualizando servidores MCP conectados — Para ver todos os servidores MCP conectados ao seu Espaço do Agente, selecione seu Espaço do Agente, vá até a guia Capacidades e verifique a seção Servidores MCP. Você também pode atualizar as ferramentas selecionadas aqui.

Removendo conexões do servidor MCP — Para desconectar um servidor MCP de um Espaço do Agente, selecione o servidor na seção Servidores MCP e clique em Remover. Para excluir completamente um registro do servidor MCP, primeiro remova-o de todos os Agent Spaces e, em seguida, exclua o registro no nível da conta.

Criação de uma função do IAM para autenticação SigV4

Ao usar a autenticação AWS SigV4, o AWS DevOps Agente assume uma função do IAM em sua conta para assinar solicitações no seu servidor MCP. Essa função deve ter uma política de confiança que permita que o AWS DevOps agente principal de serviço (aidevops.amazonaws.com) a assuma, com uma proteção adjunta confusa.

Política de confiança

Crie uma função do IAM com a seguinte política de confiança. REGIONSubstitua pela sua AWS região (por exemplo,us-east-1) e ACCOUNT_ID pelo ID AWS da sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
        }
      }
    }
  ]
}

A política de confiança inclui as seguintes condições para evitar o confuso problema do deputado:

  • aws:SourceAccount— Restringe a suposição de funções às solicitações provenientes de sua conta. AWS

  • aws:SourceArn— Restringe a suposição de funções às solicitações provenientes dos recursos de serviço do AWS DevOps Agente em sua conta.

Política de permissões

Anexe uma política de permissões à função que conceda as permissões mínimas necessárias para invocar seu servidor MCP. Por exemplo, se seu servidor MCP estiver hospedado por trás do Amazon API Gateway, a função deverá ter execute-api:Invoke permissão no recurso API Gateway.

Assinatura multirregional (SigV4a)

Se o seu servidor MCP estiver implantado em várias AWS regiões, você poderá usar o SIGV4a (Sigv4a, Signature Version 4a) para assinatura multirregional. Para habilitar isso, insira * como AWS Região ao configurar a autorização SigV4. O Sigv4a usa assinatura assimétrica, o que permite que uma única solicitação assinada seja válida em várias regiões.

  • Segurança no AWS DevOps Agent

  • Configurando um espaço de agente

  • Proteção imediata de injeção