本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
連線至 DevOps Agent 遠端伺服器
AWS DevOps Agent 為模型內容通訊協定 (MCP) 和Agent-to-Agent(A2A) 通訊協定提供專用遠端伺服器。使用這些伺服器將您的 IDE、CLI 或自訂代理程式整合連接到 代理程式空間。
支援的通訊協定
MCP (模型內容通訊協定) – 連接 IDE 和 CLI 用戶端,例如 Kiro、Claude Code、Cursor 和其他 MCP 相容工具。
A2A Agent-to-Agent) 1.0 版 – 連接自動代理程式以進行agent-to-agent程式的通訊。
端點
遠端伺服器可在區域 URL 取得:
https://connect.aidevops.{region}.api.aws
| 通訊協定 | 路徑 | Method |
|---|---|---|
| MCP | /mcp |
POST |
| A2A | /a2a/* |
POST |
| A2A 代理程式卡 | /.well-known/agent-card.json |
GET |
如需可用區域的清單,請參閱 支援的區域。
身分驗證
MCP 和 A2A 端點皆可使用兩種身分驗證方法:
存取字符 (承載) – 範圍為一個客服人員空間的單一字符。用於個別用途的最簡單設定。
AWS SigV4 – AWS 以憑證為基礎的身分驗證。支援多個 Agent Spaces,並與現有的 AWS 身分控管整合。由 mcp-proxy-for-aws
自動處理,這是使用登入 AWS 資料簽署請求的本機代理。
建立存取字符
先決條件
必須在您的客服人員空間上啟用存取權杖功能。
您必須擁有 IAM 許可才能管理存取權杖 (
aidevops:CreateAccessToken、aidevops:RevokeAccessToken、aidevops:RotateAccessToken)。如需完整清單,請參閱DevOps 代理程式 IAM 許可。
啟用存取權杖
登入 AWS 管理主控台並開啟 AWS DevOps 代理程式主控台。
選擇您的客服人員空間。
選擇 Configuration (組態) 索引標籤。
在存取字符區段中,選擇啟用。
確認動作。
建立權杖
開啟代理程式空間的 DevOps 代理程式 Web 應用程式,然後從導覽功能表中選擇設定,然後選擇存取字符。
選擇 Generate token (產生字符)。
輸入字符的名稱。
選擇範圍:
read– 檢視調查、建議、聊天和客服人員空間資源。operate– 完整存取。包含 中的所有內容read,以及傳送訊息、建立聊天和管理待處理任務和建議。
選擇用戶端類型:
human– 適用於 IDE 和 CLI 使用 (Kiro、Claude Code、Cursor 和其他互動式工具)。agent– 用於自動 A2A 整合和程式設計代理程式。
設定過期時間 (1 到 60 天)。
複製字符值並存放在安全的位置,例如 AWS Secrets Manager。您無法再次擷取它。
建立字符之後,Web 應用程式會顯示組態範例,您可以直接複製到用戶端。
與 Kiro 連線
對於 Kiro
步驟 1:安裝電源
從 Powers 市集安裝 aws-devops-agent 電源。
步驟 2:設定環境變數
設定下列環境變數來設定連線:
DEVOPS_AGENT_TOKEN=<your-access-token> DEVOPS_AGENT_REGION=<your-agent-space-region>
步驟 3:核准 Kiro 中的變數
前往設定 > MCP 核准的 Env Vars 並核准 DEVOPS_AGENT_TOKEN和 DEVOPS_AGENT_REGION。在環境變數獲得核准之前,Kiro 不會將它們傳遞至 MCP 伺服器。
步驟 4:重新啟動 Kiro
重新啟動 Kiro 以套用變更。
Kiro 電源包含 aws-mcp做為備用,可在遠端伺服器端點無法使用時提供直接 AWS API 存取。
使用 Claude Code 連線
對於 Claude Code
安裝 aws-agents-for-devsecops 外掛程式。
執行
/aws-agents-for-devsecops:setup-devops-agent命令來設定您的連線。
與其他 MCP 用戶端連線
對於任何與 MCP 相容的用戶端,請使用下列項目設定伺服器:
URL –
https://connect.aidevops.{region}.api.aws/mcp授權標頭 –
Bearer <your-token>逾時 – 最短 120 秒 (初始回應可能需要 5–30 秒;持續的聊天工作階段可能需要更長的時間)
如果您偏好手動設定連線,而不是使用專用電源或外掛程式,則此組態也適用於 Kiro 和 Claude Code。
範例 MCP 組態:
{ "mcpServers": { "aws-devops-agent": { "url": "https://connect.aidevops.{region}.api.aws/mcp", "headers": { "Authorization": "Bearer <your-access-token>" } } } }
{region} 將 取代為您的 Agent Space 區域 (例如 us-east-1),並將 <your-access-token>取代為字符值。
使用 SigV4 身分驗證
SigV4 身分驗證使用您的 AWS 登入資料,而非存取字符。Kiro power 和 Claude Code 外掛程式包含透過 的內建 SigV4 支援mcp-proxy-for-aws,這會使用您的本機 AWS 登入資料簽署請求。
使用 SigV4 時
當存取權杖未設定或失敗 (過期、無效) 時做為備用。
當您有多個客服人員空間且需要
agent_space_id每個工具呼叫路由 時,做為主要身分驗證。作為使用者選擇 – 在 Claude Code 中,執行安裝技能以從 Bearer 權杖切換到 SigV4 驗證。
先決條件
AWS 環境中可用的登入資料 (透過 SSO、環境變數或登入資料檔案)。
您的登入資料必須具有叫用 AWS DevOps 代理程式動作的許可。如要了解必要的許可,請參閱 DevOps 代理程式 IAM 許可。
uvx已安裝 (代理透過 執行uvx mcp-proxy-for-aws@latest)。
範例組態
若要將 MCP 用戶端設定為使用 SigV4 而非存取字符,請透過 執行伺服器mcp-proxy-for-aws。{region} 將 取代為 代理程式空間的區域 (例如 us-east-1):
{ "mcpServers": { "aws-devops-agent": { "command": "uvx", "timeout": 120000, "args": [ "mcp-proxy-for-aws@latest", "https://connect.aidevops.{region}.api.aws/mcp", "--service", "aidevops", "--region", "{region}" ] } } }
代理會使用本機 AWS 登入資料簽署每個請求,因此不需要存取字符。
Multi-Agent-Space路由
在 SigV4 模式中,agent_space_id傳遞每個工具呼叫,以指定要使用的客服人員空間。這可讓您從單一用戶端跨多個客服人員空間進行路由。
A2A 整合
A2A 端點會使用 HTTP+JSON 繫結實作 A2A v1.0 規格
客服人員卡探索
在以下位置擷取代理程式卡:
GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json
受支援的操作
SendMessage– 傳送訊息並接收回應。SendStreamingMessage– 產生回應時串流回應。GetTask– 檢查非同步任務的狀態。ListTasks– 列出客服人員空間的任務。CancelTask– 取消執行中的任務。SubscribeToTask– 透過伺服器傳送的事件訂閱任務更新。
技能
調查 – 操作問題的深度非同步分析 (5-8 分鐘)。
聊天:操作問題的即時解答。
安全考量
權杖範圍
使用最低權限:
operate只有在用戶端需要傳送訊息或管理任務時,read才為唯讀整合選擇 。定期輪換權杖。字符會在設定的持續時間後過期 (最長 60 天)。
將權杖儲存在環境變數或秘密管理員中。請勿在原始程式碼中硬式編碼字符。
未經人工審核,請勿自動執行客服人員回應。
IP 允許清單
建立存取權杖時,您可以選擇指定 IP 允許清單。設定後,字符只能從指定的 IP 地址或 CIDR 範圍使用。來自其他 IPs請求會因存取遭拒錯誤而遭到拒絕。
權杖輪換和撤銷
輪換 – 輪換權杖以產生新的權杖值,同時保留權杖的名稱、範圍和 IP 允許清單。舊字符會立即失效。使用新的字符值更新您的用戶端組態。
撤銷 – 如果權杖洩露,請立即撤銷權杖。撤銷的權杖無法使用,也無法還原。
回應遭到入侵的字符
如果您懷疑字符已洩露,請遵循下列步驟:
封鎖所有字符存取 – 在 AWS DevOps 代理程式主控台中,開啟您的代理程式空間,選擇組態索引標籤,然後在存取字符區段中選擇停用。這會立即封鎖對 代理程式空間的所有字符型存取。
撤銷洩露的字符 – 在 Web 應用程式中,前往設定 > 存取字符,選擇洩露的字符,然後選擇撤銷。即使停用存取權杖,您也可以撤銷權杖。
重新啟用存取字符 – 撤銷遭到入侵的字符之後,如果您仍需要字符型存取,請從組態索引標籤重新啟用存取字符。
以程式設計方式撤銷權杖
您也可以使用 以程式設計方式撤銷權杖awscurl。下列命令使用 SigV4 身分驗證。將區域 (us-east-1) 取代為建立客服人員空間的區域。
步驟 1:列出您的客服人員空間
aws aidevops list-agent-spaces --region us-east-1
步驟 2:列出客服人員空間的存取權杖
awscurl --service aidevops --region us-east-1 \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"
步驟 3:撤銷權杖
awscurl --service aidevops --region us-east-1 -X POST \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"
將 {agentSpaceId}和 取代{accessTokenId}為先前回應中的值。
可追蹤性
使用存取字符時, AWS DevOps 代理程式會代表您擔任角色來執行動作。此AssumeRole呼叫會記錄在具有工作階段標籤的 AWS CloudTrail 中,以識別權杖和呼叫者:
AgentSpaceId– 客服人員空間的識別符。UserId– 權杖建立者的身分。AccessTokenId– 字符的唯一識別符。TokenName– 使用的存取字符名稱。ClientType– 使用的通訊協定 (MCP、A2A)。SourceIp– 用戶端的 IP 地址。UserAgent– 用戶端使用者代理程式字串 (可用時)。
任一身分驗證方法的直接 MCP 和 A2A 端點調用都不會記錄在 CloudTrail 中。每個調用都有記錄在 CloudTrail 中的對應下游 AWS API 呼叫,其可識別的角色工作階段名稱格式為 token_{spaceId}_{timestamp}_{tokenName}。
VPC 端點政策限制
遠端伺服器端點不支援 VPC 端點政策。VPC 端點政策無法限制使用存取字符或 SigV4 身分驗證的呼叫。
停用存取權杖
存取字符功能預設為關閉。若要在啟用後停用它:
開啟 代理程式空間的組態索引標籤。
在存取字符區段中,選擇停用。
停用會立即封鎖所有字符型存取。現有的字符不會刪除,但在重新啟用功能之前無法使用。
為了防止組織中的使用者啟用存取權杖,請建立拒絕存取權杖 API 動作和 UpdateAgentSpace 動作 (控制存取權杖切換) 的服務控制政策 (SCP):
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessTokenOperations", "Effect": "Deny", "Action": [ "aidevops:UpdateAgentSpace", "aidevops:CreateAccessToken", "aidevops:GetAccessToken", "aidevops:ListAccessTokens", "aidevops:RotateAccessToken", "aidevops:RevokeAccessToken" ], "Resource": "*" } ] }
疑難排解
| 徵狀 | 原因 | Resolution |
|---|---|---|
| HTTP 401 未授權 | 字符無效或過期。 | 在 Web 應用程式中建立新的字符或輪換現有的字符。 |
| HTTP 400 "需要 A2A-Version 標頭" | 缺少通訊協定版本標頭。僅支援 A2A v1.0。 | 將A2A-Version: 1.0標頭新增至 A2A 請求。 |
| 請求逾時 | 初始回應需要 5-30 秒。調查需要 5-8 分鐘。 | 將用戶端逾時設定為至少 120 秒。 |
| 連線遭拒 | 不正確的端點 URL 或區域。 | 驗證 URL 格式: https://connect.aidevops.{region}.api.aws |