连接 MCP 服务器 - AWS DevOps 代理人
要求安全注意事项注册 MCP 服务器(账户级)在代理空间中配置 MCP 工具管理 MCP 服务器连接相关主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接 MCP 服务器

模型上下文协议 (MCP) 服务器通过提供对来自外部可观测性工具、自定义监控系统和操作数据源的数据的访问权限来扩展 AWS DevOps 代理的调查能力。本指南介绍如何将 MCP 服务器连接到 AWS DevOps 代理。

要求

在连接 MCP 服务器之前,请确保您的服务器满足以下要求:

  • 可流式传输的 HTTP 传输协议 — 仅支持实现可流式传输 HTTP 传输协议的 MCP 服务器。

  • 身份验证支持-您的 MCP 服务器必须支持 OAuth 2.0 身份验证流程或基于 API 密钥/令牌的身份验证。

安全注意事项

将 MCP 服务器连接到 AWS DevOps Agent 时,请考虑以下安全方面:

请注意,任何 MCP 刀具的最大刀具长度均为 64。

  • 提示注入风险 — 自定义 MCP 服务器可能会带来额外的提示注入攻击风险。有关更多信息,请参见提示注入保护: AWS DevOps 客户端安全

  • 只读工具和访问权限- 仅允许将只读 MCP 工具列入许可名单,并确保仅允许身份验证凭据进行只读访问。

有关即时注入和责任共担模型的更多信息,请参阅AWS DevOps 代理安全

注意

如果您的 MCP 服务器位于专用网络上,请参阅 连接到私人托管的工具

注册 MCP 服务器(账户级)

MCP 服务器在 AWS 账户级别注册,并在该账户中的所有代理空间之间共享。然后,各个代理空间可以从每台 MCP 服务器中选择他们需要的特定工具。

步骤 1:MCP 服务器详细信息

  1. 登录 AWS 管理控制台

  2. 导航到 AWS DevOps 代理控制台

  3. 转到能力提供者页面(可从侧面导航栏访问)

  4. 在 “可用提供商” 部分中找到 MCP 服务器,然后单击 “注册”

  5. MCP 服务器详细信息页面上,输入以下信息:

    • 名称-输入 MCP 服务器的描述性名称

    • 端点网址-输入 MCP 服务器端点的完整 HTTPS 网址

    • 描述(可选)-添加描述以帮助确定服务器的用途

    • 启用动态客户端注册-如果要允许 AWS DevOps 代理自动向 MCP 服务器的授权服务器注册,请选中此复选框

  6. 单击下一步

注意

MCP 服务器端点 URL 将显示在您账户的 AWS CloudTrail 日志中。

步骤 2:授权流程

为您的 MCP 服务器选择身份验证方法:

OAuth 客户端凭证-如果您的 MCP 服务器使用 OAuth 客户端凭据流:

  1. 选择OAuth 客户凭证

  2. 单击下一步

OAuth 3LO(三腿 OAuth)— 如果您的 MCP 服务器使用 OAuth 3LO 进行身份验证:

  1. 选择 OAuth 3 LO

  2. 单击下一步

API 密钥 — 如果您的 MCP 服务器使用 API 密钥身份验证:

  1. 选择 API 密钥

  2. 单击下一步

步骤 3:授权配置

根据所选的身份验证方法配置其他授权参数:

对于 OAuth 客户凭证:

  1. 客户端 ID-输入客户端的 OAuth 客户端 ID

  2. 客户机密钥-输入 OAuth 客户端的客户机密钥

  3. 交易所 URL — 输入令 OAuth 牌交换端点 URL

  4. 交换参数-输入用于通过服务进行身份验证的 OAuth 令牌交换参数

  5. 添加作用域-为身份验证添加 OAuth 范围

  6. 单击下一步

对于 OAuth 3LO:

  1. 客户端 ID-输入客户端的 OAuth 客户端 ID

  2. 客户密钥-如果您的客户需要,请输入 OAuth 客户端的 OAuth 客户机密钥

  3. 交易所 URL — 输入令 OAuth 牌交换端点 URL

  4. 授权 URL-输入 OAuth 授权端点 URL

  5. Code Chall enge Support-如果您的 OAuth 客户支持代码挑战,请选中此复选框

  6. 添加作用域-为身份验证添加 OAuth 范围

  7. 单击下一步

对于 API 密钥:

  1. 输入 API 密钥名称

  2. 输入请求中将包含 API 密钥的标头的名称

  3. 输入你的 API 密钥值

  4. 单击下一步

第 4 步:查看并提交

  1. 查看所有 MCP 服务器配置详细信息

  2. 单击 “提交” 完成注册

  3. AWS DevOps 代理将验证与您的 MCP 服务器的连接

  4. 成功验证后,您的 MCP 服务器将在账户级别注册

在代理空间中配置 MCP 工具

在帐户级别注册 MCP 服务器后,您可以配置该服务器中的哪些工具可供特定的代理空间使用:

  1. 在 AWS DevOps 代理控制台中,选择您的代理空间

  2. 前往 “功能” 选项卡

  3. 在 “MCP 服务器” 部分中,单击 “添加”

  4. 选择要连接到此代理空间的已注册 MCP 服务器

  5. 配置此 MCP 服务器上的哪些工具应可供代理空间使用:

    • 允许所有工具-使 MCP 服务器中的所有工具都可用

    • 选择特定工具-允许您选择要列入许可名单的工具

  6. 单击 “添加” 将 MCP 服务器连接到您的代理空间

AWS DevOps 现在,在代理空间进行调查期间,代理将能够使用您的 MCP 服务器上的许可名单工具。

管理 MCP 服务器连接

更新身份验证凭证-如果需要更新您的身份验证凭据,则需要重新注册您的 MCP 服务器。导航到 AWS DevOps 代理控制台中的 “功能提供者” 页面,找到您的 MCP 服务器,移除所有活动关联,然后单击 “取消注册”。接下来,使用新的身份验证凭据注册您的 MCP 服务器,并与您的代理空间重新创建所有必要的关联。

查看连接的 MCP 服务器-要查看连接到您的代理空间的所有 MCP 服务器,请选择您的代理空间,转到 “功能” 选项卡,然后查看 “MCP 服务器” 部分。您也可以在此处更新所选工具。

删除 MCP 服务器连接 -要断开 MCP 服务器与代理空间的连接,请在 “MCP 服务器” 部分中选择该服务器,然后单击 “删除”。要完全删除 MCP 服务器注册,请先将其从所有代理空间中删除,然后删除账户级别的注册。

  • AWS DevOps 代理中的安全

  • 设置代理空间

  • 即时注射保护