View a markdown version of this page

連線至 DevOps Agent 遠端伺服器 - AWS DevOps 代理程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連線至 DevOps Agent 遠端伺服器

AWS DevOps Agent 為模型內容通訊協定 (MCP) 和Agent-to-Agent(A2A) 通訊協定提供專用遠端伺服器。使用這些伺服器將您的 IDE、CLI 或自訂代理程式整合連接到 代理程式空間。

支援的通訊協定

  • MCP (模型內容通訊協定) – 連接 IDE 和 CLI 用戶端,例如 Kiro、Claude Code、Cursor 和其他 MCP 相容工具。

  • A2A Agent-to-Agent) 1.0 版 – 連接自動代理程式以進行agent-to-agent程式的通訊。

端點

遠端伺服器可在區域 URL 取得:

https://connect.aidevops.{region}.api.aws
通訊協定 路徑 Method
MCP /mcp POST
A2A /a2a/* POST
A2A 代理程式卡 /.well-known/agent-card.json GET

如需可用區域的清單,請參閱 支援的區域

身分驗證

MCP 和 A2A 端點皆可使用兩種身分驗證方法:

  • 存取字符 (承載) – 範圍為一個客服人員空間的單一字符。用於個別用途的最簡單設定。

  • AWS SigV4 – AWS 以憑證為基礎的身分驗證。支援多個 Agent Spaces,並與現有的 AWS 身分控管整合。由 mcp-proxy-for-aws 自動處理,這是使用登入 AWS 資料簽署請求的本機代理。

建立存取字符

先決條件

  • 必須在您的客服人員空間上啟用存取權杖功能。

  • 您必須擁有 IAM 許可才能管理存取權杖 (aidevops:CreateAccessTokenaidevops:RevokeAccessTokenaidevops:RotateAccessToken)。如需完整清單,請參閱DevOps 代理程式 IAM 許可

啟用存取權杖

  1. 登入 AWS 管理主控台並開啟 AWS DevOps 代理程式主控台。

  2. 選擇您的客服人員空間。

  3. 選擇 Configuration (組態) 索引標籤。

  4. 存取字符區段中,選擇啟用

  5. 確認動作。

建立權杖

  1. 開啟代理程式空間的 DevOps 代理程式 Web 應用程式,然後從導覽功能表中選擇設定,然後選擇存取字符

  2. 選擇 Generate token (產生字符)

  3. 輸入字符的名稱。

  4. 選擇範圍:

    • read – 檢視調查、建議、聊天和客服人員空間資源。

    • operate – 完整存取。包含 中的所有內容read,以及傳送訊息、建立聊天和管理待處理任務和建議。

  5. 選擇用戶端類型:

    • human – 適用於 IDE 和 CLI 使用 (Kiro、Claude Code、Cursor 和其他互動式工具)。

    • agent – 用於自動 A2A 整合和程式設計代理程式。

  6. 設定過期時間 (1 到 60 天)。

  7. 複製字符值並存放在安全的位置,例如 AWS Secrets Manager。您無法再次擷取它。

建立字符之後,Web 應用程式會顯示組態範例,您可以直接複製到用戶端。

與 Kiro 連線

對於 Kiro 使用者,可以從 IDE 或 Kiro Powers 市集取得專用的 AWS DevOps Agent 電源。

步驟 1:安裝電源

從 Powers 市集安裝 aws-devops-agent 電源。

步驟 2:設定環境變數

設定下列環境變數來設定連線:

DEVOPS_AGENT_TOKEN=<your-access-token> DEVOPS_AGENT_REGION=<your-agent-space-region>

步驟 3:核准 Kiro 中的變數

前往設定 > MCP 核准的 Env Vars 並核准 DEVOPS_AGENT_TOKENDEVOPS_AGENT_REGION。在環境變數獲得核准之前,Kiro 不會將它們傳遞至 MCP 伺服器。

步驟 4:重新啟動 Kiro

重新啟動 Kiro 以套用變更。

Kiro 電源包含 aws-mcp做為備用,可在遠端伺服器端點無法使用時提供直接 AWS API 存取。

使用 Claude Code 連線

對於 Claude Code 使用者, AWS DevOps Agent 可從 aws-agents-for-devsecops Claude 外掛程式取得,該外掛程式將 AWS DevOps Agent 和 AWS 安全代理程式功能帶入 Claude。從 Claude 外掛程式來源儲存庫安裝它。

  1. 安裝 aws-agents-for-devsecops 外掛程式。

  2. 執行 /aws-agents-for-devsecops:setup-devops-agent命令來設定您的連線。

與其他 MCP 用戶端連線

對於任何與 MCP 相容的用戶端,請使用下列項目設定伺服器:

  • URLhttps://connect.aidevops.{region}.api.aws/mcp

  • 授權標頭Bearer <your-token>

  • 逾時 – 最短 120 秒 (初始回應可能需要 5–30 秒;持續的聊天工作階段可能需要更長的時間)

如果您偏好手動設定連線,而不是使用專用電源或外掛程式,則此組態也適用於 Kiro 和 Claude Code。

範例 MCP 組態:

{ "mcpServers": { "aws-devops-agent": { "url": "https://connect.aidevops.{region}.api.aws/mcp", "headers": { "Authorization": "Bearer <your-access-token>" } } } }

{region} 將 取代為您的 Agent Space 區域 (例如 us-east-1),並將 <your-access-token>取代為字符值。

使用 SigV4 身分驗證

SigV4 身分驗證使用您的 AWS 登入資料,而非存取字符。Kiro power 和 Claude Code 外掛程式包含透過 的內建 SigV4 支援mcp-proxy-for-aws,這會使用您的本機 AWS 登入資料簽署請求。

使用 SigV4 時

  • 當存取權杖未設定或失敗 (過期、無效) 時做為備用

  • 當您有多個客服人員空間且需要agent_space_id每個工具呼叫路由 時,做為主要身分驗證。

  • 作為使用者選擇 – 在 Claude Code 中,執行安裝技能以從 Bearer 權杖切換到 SigV4 驗證。

先決條件

  • AWS 環境中可用的登入資料 (透過 SSO、環境變數或登入資料檔案)。

  • 您的登入資料必須具有叫用 AWS DevOps 代理程式動作的許可。如要了解必要的許可,請參閱 DevOps 代理程式 IAM 許可

  • uvx 已安裝 (代理透過 執行uvx mcp-proxy-for-aws@latest)。

範例組態

若要將 MCP 用戶端設定為使用 SigV4 而非存取字符,請透過 執行伺服器mcp-proxy-for-aws{region} 將 取代為 代理程式空間的區域 (例如 us-east-1):

{ "mcpServers": { "aws-devops-agent": { "command": "uvx", "timeout": 120000, "args": [ "mcp-proxy-for-aws@latest", "https://connect.aidevops.{region}.api.aws/mcp", "--service", "aidevops", "--region", "{region}" ] } } }

代理會使用本機 AWS 登入資料簽署每個請求,因此不需要存取字符。

Multi-Agent-Space路由

在 SigV4 模式中,agent_space_id傳遞每個工具呼叫,以指定要使用的客服人員空間。這可讓您從單一用戶端跨多個客服人員空間進行路由。

A2A 整合

A2A 端點會使用 HTTP+JSON 繫結實作 A2A v1.0 規格

客服人員卡探索

在以下位置擷取代理程式卡:

GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json

受支援的操作

  • SendMessage – 傳送訊息並接收回應。

  • SendStreamingMessage – 產生回應時串流回應。

  • GetTask – 檢查非同步任務的狀態。

  • ListTasks – 列出客服人員空間的任務。

  • CancelTask – 取消執行中的任務。

  • SubscribeToTask – 透過伺服器傳送的事件訂閱任務更新。

技能

  • 調查 – 操作問題的深度非同步分析 (5-8 分鐘)。

  • 聊天:操作問題的即時解答。

安全考量

權杖範圍

  • 使用最低權限:operate只有在用戶端需要傳送訊息或管理任務時,read才為唯讀整合選擇 。

  • 定期輪換權杖。字符會在設定的持續時間後過期 (最長 60 天)。

  • 將權杖儲存在環境變數或秘密管理員中。請勿在原始程式碼中硬式編碼字符。

  • 未經人工審核,請勿自動執行客服人員回應。

IP 允許清單

建立存取權杖時,您可以選擇指定 IP 允許清單。設定後,字符只能從指定的 IP 地址或 CIDR 範圍使用。來自其他 IPs請求會因存取遭拒錯誤而遭到拒絕。

權杖輪換和撤銷

  • 輪換 – 輪換權杖以產生新的權杖值,同時保留權杖的名稱、範圍和 IP 允許清單。舊字符會立即失效。使用新的字符值更新您的用戶端組態。

  • 撤銷 – 如果權杖洩露,請立即撤銷權杖。撤銷的權杖無法使用,也無法還原。

回應遭到入侵的字符

如果您懷疑字符已洩露,請遵循下列步驟:

  1. 封鎖所有字符存取 – 在 AWS DevOps 代理程式主控台中,開啟您的代理程式空間,選擇組態索引標籤,然後在存取字符區段中選擇停用。這會立即封鎖對 代理程式空間的所有字符型存取。

  2. 撤銷洩露的字符 – 在 Web 應用程式中,前往設定 > 存取字符,選擇洩露的字符,然後選擇撤銷。即使停用存取權杖,您也可以撤銷權杖。

  3. 重新啟用存取字符 – 撤銷遭到入侵的字符之後,如果您仍需要字符型存取,請從組態索引標籤重新啟用存取字符。

以程式設計方式撤銷權杖

您也可以使用 以程式設計方式撤銷權杖awscurl。下列命令使用 SigV4 身分驗證。將區域 (us-east-1) 取代為建立客服人員空間的區域。

步驟 1:列出您的客服人員空間

aws aidevops list-agent-spaces --region us-east-1

步驟 2:列出客服人員空間的存取權杖

awscurl --service aidevops --region us-east-1 \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"

步驟 3:撤銷權杖

awscurl --service aidevops --region us-east-1 -X POST \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"

{agentSpaceId}和 取代{accessTokenId}為先前回應中的值。

可追蹤性

使用存取字符時, AWS DevOps 代理程式會代表您擔任角色來執行動作。此AssumeRole呼叫會記錄在具有工作階段標籤的 AWS CloudTrail 中,以識別權杖和呼叫者:

  • AgentSpaceId – 客服人員空間的識別符。

  • UserId – 權杖建立者的身分。

  • AccessTokenId – 字符的唯一識別符。

  • TokenName – 使用的存取字符名稱。

  • ClientType – 使用的通訊協定 (MCP、A2A)。

  • SourceIp – 用戶端的 IP 地址。

  • UserAgent – 用戶端使用者代理程式字串 (可用時)。

任一身分驗證方法的直接 MCP 和 A2A 端點調用都不會記錄在 CloudTrail 中。每個調用都有記錄在 CloudTrail 中的對應下游 AWS API 呼叫,其可識別的角色工作階段名稱格式為 token_{spaceId}_{timestamp}_{tokenName}

VPC 端點政策限制

遠端伺服器端點不支援 VPC 端點政策。VPC 端點政策無法限制使用存取字符或 SigV4 身分驗證的呼叫。

停用存取權杖

存取字符功能預設為關閉。若要在啟用後停用它:

  1. 開啟 代理程式空間的組態索引標籤。

  2. 存取字符區段中,選擇停用

停用會立即封鎖所有字符型存取。現有的字符不會刪除,但在重新啟用功能之前無法使用。

為了防止組織中的使用者啟用存取權杖,請建立拒絕存取權杖 API 動作和 UpdateAgentSpace 動作 (控制存取權杖切換) 的服務控制政策 (SCP):

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessTokenOperations", "Effect": "Deny", "Action": [ "aidevops:UpdateAgentSpace", "aidevops:CreateAccessToken", "aidevops:GetAccessToken", "aidevops:ListAccessTokens", "aidevops:RotateAccessToken", "aidevops:RevokeAccessToken" ], "Resource": "*" } ] }

疑難排解

徵狀 原因 Resolution
HTTP 401 未授權 字符無效或過期。 在 Web 應用程式中建立新的字符或輪換現有的字符。
HTTP 400 "需要 A2A-Version 標頭" 缺少通訊協定版本標頭。僅支援 A2A v1.0。 A2A-Version: 1.0標頭新增至 A2A 請求。
請求逾時 初始回應需要 5-30 秒。調查需要 5-8 分鐘。 將用戶端逾時設定為至少 120 秒。
連線遭拒 不正確的端點 URL 或區域。 驗證 URL 格式: https://connect.aidevops.{region}.api.aws