As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conectando servidores MCP
<a name="configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers"></a>

Os servidores do Model Context Protocol (MCP) ampliam os recursos de investigação do AWS DevOps Agente fornecendo acesso aos dados de suas ferramentas externas de observabilidade, sistemas de monitoramento personalizados e fontes de dados operacionais. Este guia explica como conectar um servidor MCP ao AWS DevOps Agente.

## Requisitos
<a name="requirements"></a>

Antes de conectar um servidor MCP, certifique-se de que seu servidor atenda aos seguintes requisitos:
+ **Protocolo de transporte HTTP simplificável** — Somente servidores MCP que implementam o protocolo de transporte HTTP simplificável são suportados.
+ **Suporte à autenticação** — Seu servidor MCP deve oferecer suporte a um dos seguintes métodos de autenticação: OAuth 2.0 (Credenciais do Cliente ou 3LO), autenticação baseada em chave de API/token ou AWS Signature Version 4 (SigV4).

## Considerações sobre segurança
<a name="security-considerations"></a>

Ao conectar servidores MCP ao AWS DevOps Agente, considere estes aspectos de segurança:
+ **Lista de permissões de ferramentas —** Você deve listar somente as ferramentas específicas de que seu Espaço do Agente precisa, em vez de expor todas as ferramentas do seu servidor MCP. Consulte [Configurando ferramentas MCP em um Espaço do Agente](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers) para saber como permitir ferramentas de lista por Espaço do Agente.

Observe que o comprimento máximo da ferramenta de qualquer ferramenta MCP é 64.
+ **Riscos de injeção imediata** — servidores MCP personalizados podem introduzir riscos adicionais de ataques de injeção imediata. Consulte [Proteção imediata por injeção: AWS DevOps Agent Security](aws-devops-agent-security.md) para obter mais informações.
+ **Ferramentas e acesso somente para leitura — Liste** somente as ferramentas MCP somente para leitura e garanta que as credenciais de autenticação tenham acesso somente para leitura.

Consulte [AWS DevOps Segurança do agente](aws-devops-agent-security.md) para obter mais informações sobre injeção imediata e o modelo de responsabilidade compartilhada.

**nota**  
Se o servidor MCP estiver em uma rede privada, consulte [Conectando-se a ferramentas hospedadas de forma privada](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md)

## Registrando um servidor MCP (nível de conta)
<a name="registering-an-mcp-server-account-level"></a>

Os servidores MCP são registrados no nível da AWS conta e compartilhados entre todos os Agent Spaces nessa conta. Os Agent Spaces individuais podem então escolher quais ferramentas específicas precisam de cada servidor MCP.

### Etapa 1: detalhes do servidor MCP
<a name="step-1-mcp-server-details"></a>

1. Faça login no console AWS de gerenciamento

1. Navegue até o console do AWS DevOps agente

1. Vá para a página **Capability Providers** (acessível na navegação lateral)

1. **Encontre o **MCP Server** na seção Provedores **disponíveis** e clique em Registrar**

1. Na página de **detalhes do servidor MCP**, insira as seguintes informações:
   + **Nome** — Insira um nome descritivo para seu servidor MCP
   + **URL do endpoint** — insira o URL HTTPS completo do endpoint do servidor MCP
   + **Descrição** (opcional) — Adicione uma descrição para ajudar a identificar a finalidade do servidor
   + **Ativar registro dinâmico de clientes** — Marque essa caixa de seleção se quiser permitir que o AWS DevOps Agente se registre automaticamente no servidor de autorização do seu servidor MCP.
   + **Conectar-se ao endpoint usando conexão privada** — Marque essa caixa de seleção se quiser que o AWS DevOps Agente faça solicitações ao seu servidor MCP de forma privada. Você pode selecionar uma conexão privada existente ou criar uma nova. Se você usa OAuth autenticação, a conexão privada se aplica tanto ao endpoint do servidor MCP quanto ao endpoint de troca de tokens. Certifique-se de que a conexão privada esteja configurada com um endereço de host que possa rotear o tráfego para os dois endpoints. Para obter mais informações, consulte [Conectando-se a ferramentas hospedadas de forma privada](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md).

1. Clique em **Avançar**.

**nota**  
**O URL do endpoint do servidor MCP será exibido nos AWS CloudTrail registros da sua conta.

### Etapa 2: fluxo de autorização
<a name="step-2-authorization-flow"></a>

Selecione o método de autenticação para seu servidor MCP:

**OAuth Credenciais do cliente** — Se o servidor MCP usar o fluxo de credenciais OAuth do cliente:

1. Selecione as **credenciais OAuth do cliente**

1. Clique em **Avançar**.

**OAuth 3LO (Three-Legged OAuth)** — Se o seu servidor MCP usa OAuth 3LO para autenticação:

1. Selecione **OAuth 3LO**

1. Clique em **Avançar**.

**Chave de API** — Se seu servidor MCP usa autenticação de chave de API:

1. Selecione a **chave de API**

1. Clique em **Avançar**.

**AWS SigV4** — Se o seu servidor MCP usa a autenticação AWS Signature Version 4:

1. Selecione **AWS SigV4**

1. Clique em **Avançar**.

### Etapa 3: configuração da autorização
<a name="step-3-authorization-configuration"></a>

Configure parâmetros de autorização adicionais com base no método de autenticação selecionado:

**Para credenciais OAuth do cliente:**

1. **ID do cliente** — Insira o ID do OAuth cliente

1. **Segredo** do cliente — Insira o segredo do OAuth cliente

1. **URL do Exchange** — Insira o URL do endpoint de troca de OAuth tokens

1. **Parâmetros de troca** — insira os parâmetros de troca de OAuth tokens para autenticação com o serviço

1. **Adicionar escopo** — Adicione OAuth escopos para autenticação

1. Clique em **Avançar**.

**Para OAuth 3LO:**

1. **ID do cliente** — Insira o ID do OAuth cliente

1. **Segredo** do cliente — Insira o segredo do OAuth cliente se for exigido pelo seu OAuth cliente

1. **URL do Exchange** — Insira o URL do endpoint de troca de OAuth tokens

1. **URL de autorização** - Insira a URL do endpoint de OAuth autorização

1. **Suporte ao Code Challenge** - Marque essa caixa de seleção se seu OAuth cliente suportar o Code Challenge

1. **Adicionar escopo** — Adicione OAuth escopos para autenticação

1. Clique em **Avançar**.

**Para chave de API:**

1. Insira um nome de chave de API

1. Insira o nome do cabeçalho que conterá a chave de API na solicitação

1. Insira o valor da sua chave de API

1. Clique em **Avançar**.

**Para AWS SigV4:**

AWS A autenticação SigV4 permite que o AWS DevOps Agente se conecte aos servidores MCP que usam o AWS Signature Versão 4 para assinatura de solicitações. Isso é útil para servidores MCP hospedados por trás do Amazon API Gateway ou outros AWS serviços que oferecem suporte à autenticação SigV4.

**Nota:** As conexões privadas não são suportadas para servidores MCP usando a autenticação SigV4. O endpoint do servidor MCP deve estar acessível ao público. Para servidores MCP em redes privadas usando outros métodos de autenticação, consulte[Conectando-se a ferramentas hospedadas de forma privada](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md).

1. **Configurar a função do IAM** — Escolha uma das seguintes opções:
   + **Use uma função existente** — Selecione uma função do IAM existente no menu suspenso. A função deve ter uma política de confiança que permita que o diretor do serviço do AWS DevOps agente a assuma (consulte [Criação de uma função do IAM para autenticação SigV4)](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers).
   + **Crie uma nova função manualmente** — Siga as step-by-step instruções exibidas no console para criar uma nova função do IAM com a política de confiança correta.

1. **AWS Região** — Insira a AWS região para assinatura SigV4 (por exemplo,`us-east-1`). Para usar a assinatura multirregional SigV4a, digite. `*`

1. **Nome do serviço** — Insira o nome do AWS serviço para assinatura SigV4 (por exemplo, `execute-api` para API Gateway).

1. **Cabeçalhos personalizados** (opcional) — Adicione até 10 pares de cabeçalhos de valores-chave personalizados para incluir em cada solicitação assinada.

1. Clique em **Avançar**.

### Etapa 4: revisar e enviar
<a name="step-4-review-and-submit"></a>

1. Revise todos os detalhes da configuração do servidor MCP

1. Clique em **Enviar** para concluir o registro

1. AWS DevOps O agente validará a conexão com seu servidor MCP

1. Após a validação bem-sucedida, seu servidor MCP será registrado no nível da conta

## Configurando ferramentas MCP em um espaço de agente
<a name="configuring-mcp-tools-in-an-agent-space"></a>

Depois de registrar um servidor MCP no nível da conta, você pode configurar quais ferramentas desse servidor estão disponíveis para Agent Spaces específicos:

1. No console do AWS DevOps agente, selecione seu Espaço do agente

1. Vá para a guia **Capacidades**

1. **Na seção **Servidores MCP**, clique em Adicionar**

1. Selecione o servidor MCP registrado que você deseja conectar a este Espaço do Agente.

1. Configure quais ferramentas desse servidor MCP devem estar disponíveis para o Espaço do Agente:
   + **Permitir todas as ferramentas** — Disponibiliza todas as ferramentas do servidor MCP
   + **Selecionar ferramentas específicas** — Permite que você escolha quais ferramentas serão permitidas na lista.

1. Clique em **Adicionar** para conectar o servidor MCP ao seu Espaço do Agente.

AWS DevOps Agora, o agente poderá usar as ferramentas da lista de permissões do seu servidor MCP durante as investigações neste Espaço do Agente.

## Gerenciando conexões do servidor MCP
<a name="managing-mcp-server-connections"></a>

**Atualização das credenciais de autenticação** — Se suas credenciais de autenticação precisarem ser atualizadas, você precisará registrar novamente o servidor MCP. Navegue até a página **Capability Providers** no console do AWS DevOps Agente, localize seu servidor MCP, remova todas as associações ativas e clique em **Cancelar** registro. Em seguida, **registre** seu servidor MCP com as novas credenciais de autenticação e recrie todas as associações necessárias com seu Espaço do Agente.

**Visualizando servidores MCP conectados** — Para ver todos os servidores MCP conectados ao seu Espaço do Agente, selecione seu Espaço do Agente, vá até a guia **Capacidades** e verifique a seção Servidores **MCP.** Você também pode atualizar as ferramentas selecionadas aqui.

**Removendo conexões do servidor MCP** **— Para desconectar um servidor MCP de um Espaço do Agente, selecione o servidor na seção **Servidores MCP** e clique em Remover.** Para excluir completamente um registro do servidor MCP, primeiro remova-o de todos os Agent Spaces e, em seguida, exclua o registro no nível da conta.

## Criação de uma função do IAM para autenticação SigV4
<a name="creating-an-iam-role-for-sigv4-authentication"></a>

Ao usar a autenticação AWS SigV4, o AWS DevOps Agente assume uma função do IAM em sua conta para assinar solicitações no seu servidor MCP. Essa função deve ter uma política de confiança que permita que o AWS DevOps agente principal de serviço (`aidevops.amazonaws.com`) a assuma, com uma proteção adjunta confusa.

### Política de confiança
<a name="trust-policy"></a>

Crie uma função do IAM com a seguinte política de confiança. `REGION`Substitua pela sua AWS região (por exemplo,`us-east-1`) e `ACCOUNT_ID` pelo ID AWS da sua conta.

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
        }
      }
    }
  ]
}
```

A política de confiança inclui as seguintes condições para evitar o [confuso problema do deputado](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html):
+ `aws:SourceAccount`— Restringe a suposição de funções às solicitações provenientes de sua conta. AWS 
+ `aws:SourceArn`— Restringe a suposição de funções às solicitações provenientes dos recursos de serviço do AWS DevOps Agente em sua conta.

### Política de permissões
<a name="permissions-policy"></a>

Anexe uma política de permissões à função que conceda as permissões mínimas necessárias para invocar seu servidor MCP. Por exemplo, se seu servidor MCP estiver hospedado por trás do Amazon API Gateway, a função deverá ter `execute-api:Invoke` permissão no recurso API Gateway.

### Assinatura multirregional (SigV4a)
<a name="multi-region-signing-sigv4a"></a>

Se o seu servidor MCP estiver implantado em várias AWS regiões, você poderá usar o SIGV4a ([Sigv4a, Signature Version 4a) para assinatura](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) multirregional. Para habilitar isso, insira `*` como AWS Região ao configurar a autorização SigV4. O Sigv4a usa assinatura assimétrica, o que permite que uma única solicitação assinada seja válida em várias regiões.

## Tópicos relacionados
<a name="related-topics"></a>
+ Segurança no AWS DevOps Agent
+ Configurando um espaço de agente
+ Proteção imediata de injeção