View a markdown version of this page

Conectando servidores MCP - AWS DevOps Agente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectando servidores MCP

Os servidores do Model Context Protocol (MCP) ampliam os recursos de investigação do AWS DevOps Agente fornecendo acesso aos dados de suas ferramentas externas de observabilidade, sistemas de monitoramento personalizados e fontes de dados operacionais. Este guia explica como conectar um servidor MCP ao AWS DevOps Agente.

Requisitos

Antes de conectar um servidor MCP, certifique-se de que seu servidor atenda aos seguintes requisitos:

  • Protocolo de transporte HTTP simplificável — Somente servidores MCP que implementam o protocolo de transporte HTTP simplificável são suportados.

  • Suporte à autenticação — Seu servidor MCP deve suportar um dos seguintes métodos de autenticação: OAuth 2.0 (Client Credentials ou 3LO), autenticação key/token baseada em API ou AWS Signature Version 4 (SigV4).

Considerações sobre segurança

Ao conectar servidores MCP ao AWS DevOps Agente, considere estes aspectos de segurança:

  • Lista de permissões de ferramentas — Você deve listar somente as ferramentas específicas de que seu Espaço do Agente precisa, em vez de expor todas as ferramentas do seu servidor MCP. Consulte Configurando ferramentas MCP em um Espaço do Agente para saber como permitir ferramentas de lista por Espaço do Agente.

Observe que o tamanho máximo do nome da ferramenta de qualquer ferramenta MCP é de 64 caracteres. Para obter o número máximo de ferramentas MCP permitidas por espaço de agente, consulteCotas.

  • Riscos de injeção imediata — servidores MCP personalizados podem introduzir riscos adicionais de ataques de injeção imediata. Consulte Proteção imediata por injeção: AWS DevOps Agent Security para obter mais informações.

  • Read-only ferramentas e acesso — Liste somente as ferramentas MCP somente para leitura e garanta que as credenciais de autenticação sejam permitidas somente para acesso somente para leitura.

Consulte AWS DevOps Segurança do agente para obter mais informações sobre injeção imediata e o modelo de responsabilidade compartilhada.

nota

Se o seu servidor MCP estiver em uma rede privada, consulte Conectando-se a ferramentas hospedadas de forma privada

Registrando um servidor MCP (nível de conta)

Os servidores MCP são registrados no nível da AWS conta e compartilhados entre todos os Agent Spaces nessa conta. Os Agent Spaces individuais podem então escolher quais ferramentas específicas precisam de cada servidor MCP.

Etapa 1: detalhes do servidor MCP

  1. Faça login no console AWS de gerenciamento

  2. Navegue até o console do AWS DevOps agente

  3. Vá para a página Capability Providers (acessível na navegação lateral)

  4. Encontre o MCP Server na seção Provedores disponíveis e escolha Registrar

  5. Na página de detalhes do servidor MCP, insira as seguintes informações:

    • Nome — Insira um nome descritivo para seu servidor MCP

    • URL do endpoint — insira o URL HTTPS completo do endpoint do servidor MCP

    • Descrição (opcional) — Adicione uma descrição para ajudar a identificar a finalidade do servidor

    • Ativar registro dinâmico de clientes — Marque essa caixa de seleção se quiser permitir que o AWS DevOps Agente se registre automaticamente no servidor de autorização do seu servidor MCP

    • Conectar-se ao endpoint usando conexão privada — Marque essa caixa de seleção se quiser que o AWS DevOps Agente faça solicitações ao seu servidor MCP de forma privada. Você pode selecionar uma conexão privada existente ou criar uma nova. Se você usa a autenticação OAuth, a conexão privada se aplica tanto ao endpoint do servidor MCP quanto ao endpoint de troca de tokens. Certifique-se de que a conexão privada esteja configurada com um endereço de host que possa rotear o tráfego para os dois endpoints. Para obter mais informações, consulte Conectando-se a ferramentas hospedadas de forma privada.

  6. Escolha Next (Próximo)

nota

O URL do endpoint do servidor MCP será exibido nos AWS CloudTrail registros da sua conta.

Etapa 2: fluxo de autorização

Selecione o método de autenticação para seu servidor MCP:

Credenciais do cliente OAuth — Se o seu servidor MCP usa o fluxo de credenciais do cliente OAuth:

  1. Selecione as credenciais do cliente OAuth

  2. Escolha Próximo.

OAuth 3LO (Three-Legged OAuth) — Se o seu servidor MCP usa o OAuth 3LO para autenticação:

  1. Selecione OAuth 3LO

  2. Escolha Próximo.

Chave de API — Se seu servidor MCP usa autenticação de chave de API:

  1. Selecione a chave de API

  2. Escolha Próximo.

AWS SigV4 — Se o seu servidor MCP usa a autenticação AWS Signature Version 4:

  1. Selecione AWS SigV4

  2. Escolha Próximo.

Etapa 3: configuração da autorização

Configure parâmetros de autorização adicionais com base no método de autenticação selecionado:

Para credenciais do cliente OAuth:

  1. ID do cliente — Insira o ID do cliente OAuth

  2. Segredo do cliente — Insira o segredo do cliente OAuth

  3. URL do Exchange — Insira o URL do endpoint de troca do token OAuth

  4. Parâmetros do Exchange — Insira os parâmetros de troca do token OAuth para autenticação com o serviço

  5. Adicionar escopo — Adicione escopos do OAuth para autenticação

  6. Escolha Próximo.

Para OAuth 3LO:

  1. ID do cliente — Insira o ID do cliente OAuth

  2. Segredo do cliente — Insira o segredo do cliente OAuth se for exigido pelo seu cliente OAuth

  3. URL do Exchange — Insira o URL do endpoint de troca do token OAuth

  4. URL de autorização - Insira a URL do endpoint de autorização do OAuth

  5. Suporte ao Code Challenge - Marque essa caixa de seleção se seu cliente OAuth suportar o desafio de código

  6. Adicionar escopo — Adicione escopos do OAuth para autenticação

  7. Escolha Próximo.

Para chave de API:

  1. Insira um nome de chave de API

  2. Insira o nome do cabeçalho que conterá a chave de API na solicitação

  3. Insira o valor da sua chave de API

  4. Escolha Próximo.

Para AWS SigV4:

AWS A autenticação SigV4 permite que o AWS DevOps Agente se conecte aos servidores MCP que usam o AWS Signature Versão 4 para assinatura de solicitações. Isso é útil para servidores MCP hospedados por trás do Amazon API Gateway ou outros AWS serviços que oferecem suporte à autenticação SigV4.

  1. Configurar a função do IAM — Escolha uma das seguintes opções:

    • Use uma função existente — Selecione uma função do IAM existente no menu suspenso. A função deve ter uma política de confiança que permita que o diretor do serviço do AWS DevOps agente a assuma (consulte Criação de uma função do IAM para autenticação SigV4).

    • Crie uma nova função manualmente — Siga as instruções passo a passo exibidas no console para criar uma nova função do IAM com a política de confiança correta.

  2. AWS Região — Insira a AWS região para assinatura SigV4 (por exemplo,us-east-1). Para usar a assinatura multirregional SigV4a, insira. *

  3. Nome do serviço — Insira o nome do AWS serviço para assinatura SigV4 (por exemplo, execute-api para API Gateway).

  4. Cabeçalhos personalizados (opcional) — Adicione até 10 pares de cabeçalhos de valores-chave personalizados para incluir em cada solicitação assinada.

  5. Escolha Próximo.

Etapa 4: revisar e enviar

  1. Revise todos os detalhes da configuração do servidor MCP

  2. Escolha Enviar para concluir o registro

  3. AWS DevOps O agente validará a conexão com seu servidor MCP

  4. Após a validação bem-sucedida, seu servidor MCP será registrado no nível da conta

Configurando ferramentas MCP em um espaço de agente

Depois de registrar um servidor MCP no nível da conta, você pode configurar quais ferramentas desse servidor estão disponíveis para Agent Spaces específicos:

  1. No console do AWS DevOps agente, selecione seu Espaço do agente

  2. Vá para a guia Capacidades

  3. Na seção Servidores MCP, escolha Adicionar

  4. Selecione o servidor MCP registrado que você deseja conectar a este Espaço do Agente

  5. Configure quais ferramentas desse servidor MCP devem estar disponíveis para o Espaço do Agente:

    • Permitir todas as ferramentas — Disponibiliza todas as ferramentas do servidor MCP

    • Selecionar ferramentas específicas — Permite que você escolha quais ferramentas serão permitidas na lista

  6. Escolha Adicionar para conectar o servidor MCP ao seu Espaço do Agente

AWS DevOps Agora, o agente poderá usar as ferramentas da lista de permissões do seu servidor MCP durante as investigações neste Espaço do Agente.

Gerenciando conexões do servidor MCP

Atualização das credenciais de autenticação — Se suas credenciais de autenticação precisarem ser atualizadas, você precisará registrar novamente o servidor MCP. Navegue até a página Capability Providers no console do AWS DevOps agente, localize seu servidor MCP, remova todas as associações ativas e escolha Cancelar registro. Em seguida, registre seu servidor MCP com as novas credenciais de autenticação e recrie todas as associações necessárias com seu Espaço do Agente.

Visualizando servidores MCP conectados — Para ver todos os servidores MCP conectados ao seu Espaço do Agente, selecione seu Espaço do Agente, vá até a guia Capacidades e verifique a seção Servidores MCP. Você também pode atualizar as ferramentas selecionadas aqui.

Removendo conexões do servidor MCP — Para desconectar um servidor MCP de um Espaço do Agente, selecione o servidor na seção Servidores MCP e escolha Remover. Para excluir completamente um registro do servidor MCP, primeiro remova-o de todos os Agent Spaces e, em seguida, exclua o registro no nível da conta.

Criação de uma função do IAM para autenticação SigV4

Ao usar a autenticação AWS SigV4, o AWS DevOps Agente assume uma função do IAM em sua conta para assinar solicitações no seu servidor MCP. Essa função deve ter uma política de confiança que permita que o AWS DevOps agente principal de serviço (aidevops.amazonaws.com) a assuma, com uma proteção adjunta confusa.

Política de confiança

Crie uma função do IAM com a seguinte política de confiança. REGIONSubstitua pela sua AWS região (por exemplo,us-east-1) e ACCOUNT_ID pelo ID AWS da sua conta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*" } } } ] }

A política de confiança inclui as seguintes condições para evitar o confuso problema do deputado:

  • aws:SourceAccount— Restringe a suposição de funções às solicitações provenientes de sua conta. AWS

  • aws:SourceArn— Restringe a suposição de funções às solicitações provenientes dos recursos de serviço do AWS DevOps Agente em sua conta.

Política de permissões

Anexe uma política de permissões à função que conceda as permissões mínimas necessárias para invocar seu servidor MCP. Por exemplo, se seu servidor MCP estiver hospedado por trás do Amazon API Gateway, a função deverá ter execute-api:Invoke permissão no recurso API Gateway.

Multi-region assinatura (Sigv4a)

Se o seu servidor MCP estiver implantado em várias AWS regiões, você poderá usar o SIGV4a (Sigv4a, Signature Version 4a) para assinatura multirregional. Para habilitar isso, insira * como AWS Região ao configurar a autorização SigV4. O Sigv4a usa assinatura assimétrica, o que permite que uma única solicitação assinada seja válida em várias regiões.

  • Segurança no AWS DevOps Agent

  • Configurando um Espaço do Agente

  • Proteção imediata de injeção