連接 MCP 伺服器 - AWS DevOps 代理程式
要求安全考量註冊 MCP 伺服器 (帳戶層級)在客服人員空間中設定 MCP 工具管理 MCP 伺服器連線相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連接 MCP 伺服器

模型內容通訊協定 (MCP) 伺服器透過提供來自外部可觀測性工具、自訂監控系統和操作資料來源的資料存取權,來擴展 AWS DevOps 代理程式的調查功能。本指南說明如何將 MCP 伺服器連線至 AWS DevOps Agent。

要求

連接 MCP 伺服器之前,請確定您的伺服器符合下列要求:

  • 可串流 HTTP 傳輸通訊協定 – 僅支援實作可串流 HTTP 傳輸通訊協定的 MCP 伺服器。

  • 身分驗證支援 – MCP 伺服器必須支援 OAuth 2.0 身分驗證流程或 API 金鑰/金鑰型身分驗證。

安全考量

將 MCP 伺服器連線至 AWS DevOps 代理程式時,請考慮下列安全層面:

請注意,任何 MCP 工具的工具長度上限為 64。

  • 提示注入風險 – 自訂 MCP 伺服器可能會帶來提示注入攻擊的額外風險。如需詳細資訊,請參閱提示注入保護: AWS DevOps 代理程式安全

  • 唯讀工具和存取 – 僅允許列出唯讀 MCP 工具,並確保身分驗證登入資料只允許唯讀存取。

AWS DevOps 代理程式安全性 如需提示注入和共同責任模型的詳細資訊,請參閱 。

注意

如果您的 MCP 伺服器位於私有網路上,請參閱 連線至私有託管工具

註冊 MCP 伺服器 (帳戶層級)

MCP 伺服器會在 AWS 帳戶層級註冊,並在該帳戶中的所有客服人員空間之間共用。個別客服人員空間接著可以從每個 MCP 伺服器選擇他們所需的特定工具。

步驟 1:MCP 伺服器詳細資訊

  1. 登入 AWS 管理主控台

  2. 導覽至 AWS DevOps 代理程式主控台

  3. 前往能力提供者頁面 (可從側邊導覽存取)

  4. 可用供應商區段中尋找 MCP 伺服器,然後按一下註冊

  5. MCP 伺服器詳細資訊頁面上,輸入下列資訊:

    • 名稱 – 輸入 MCP 伺服器的描述性名稱

    • 端點 URL – 輸入 MCP 伺服器端點的完整 HTTPS URL

    • 描述 (選用) – 新增描述以協助識別伺服器的目的

    • 啟用動態用戶端註冊 – 如果您想要允許 AWS DevOps 代理程式自動向 MCP 伺服器的授權伺服器註冊,請選取此核取方塊

  6. 按一下下一步

注意

MCP 伺服器端點 URL 會顯示在您帳戶中的 AWS CloudTrail 日誌中。

步驟 2:授權流程

選取 MCP 伺服器的身分驗證方法:

OAuth 用戶端登入資料 – 如果您的 MCP 伺服器使用 OAuth 用戶端登入資料流程:

  1. 選取 OAuth 用戶端登入資料

  2. 按一下下一步

OAuth 3LO (三引號 OAuth) – 如果您的 MCP 伺服器使用 OAuth 3LO 進行身分驗證:

  1. 選取 OAuth 3LO

  2. 按一下下一步

API 金鑰 – 如果您的 MCP 伺服器使用 API 金鑰身分驗證:

  1. 選取 API 金鑰

  2. 按一下下一步

步驟 3:授權組態

根據選取的身分驗證方法設定其他授權參數:

對於 OAuth 用戶端登入資料:

  1. 用戶端 ID – 輸入 OAuth 用戶端的用戶端 ID

  2. 用戶端秘密 – 輸入 OAuth 用戶端的用戶端秘密

  3. Exchange URL – 輸入 OAuth 權杖交換端點 URL

  4. Exchange 參數 – 輸入 OAuth 權杖交換參數以使用 服務進行驗證

  5. 新增範圍 – 新增身分驗證的 OAuth 範圍

  6. 按一下下一步

對於 OAuth 3LO:

  1. 用戶端 ID – 輸入 OAuth 用戶端的用戶端 ID

  2. 用戶端秘密 – 如果您的 OAuth 用戶端需要,請輸入 OAuth 用戶端的用戶端秘密

  3. Exchange URL – 輸入 OAuth 權杖交換端點 URL

  4. 授權 URL - 輸入 OAuth 授權端點 URL

  5. 程式碼挑戰支援 - 如果您的 OAuth 用戶端支援程式碼挑戰,請選取此核取方塊

  6. 新增範圍 – 新增身分驗證的 OAuth 範圍

  7. 按一下下一步

針對 API 金鑰:

  1. 輸入 API 金鑰名稱

  2. 輸入將在請求中包含 API 金鑰的標頭名稱

  3. 輸入您的 API 金鑰值

  4. 按一下下一步

步驟 4:檢閱並提交

  1. 檢閱所有 MCP 伺服器組態詳細資訊

  2. 按一下提交以完成註冊

  3. AWS DevOps 代理程式將驗證與您的 MCP 伺服器的連線

  4. 成功驗證後,您的 MCP 伺服器將在帳戶層級註冊

在客服人員空間中設定 MCP 工具

在帳戶層級註冊 MCP 伺服器之後,您可以設定該伺服器的哪些工具可供特定 Agent Spaces 使用:

  1. 在 AWS DevOps 代理程式主控台中,選取您的代理程式空間

  2. 前往功能索引標籤

  3. MCP 伺服器區段中,按一下新增

  4. 選取您要連線至此客服人員空間的已註冊 MCP 伺服器

  5. 設定 Agent Space 應可從此 MCP 伺服器使用哪些工具:

    • 允許所有工具 – 讓 MCP 伺服器中的所有工具都可用

    • 選取特定工具 – 可讓您選擇要允許清單的工具

  6. 按一下新增,將 MCP 伺服器連線至您的客服人員空間

AWS DevOps 代理程式現在可以在此代理程式空間的調查期間,使用 MCP 伺服器的允許清單工具。

管理 MCP 伺服器連線

更新身分驗證憑證 – 如果您的身分驗證憑證需要更新,您將需要重新註冊 MCP 伺服器。導覽至 AWS DevOps 代理程式主控台中的功能提供者頁面,尋找您的 MCP 伺服器,移除任何作用中的關聯,然後按一下取消註冊。接著,使用新的身分驗證登入資料註冊您的 MCP 伺服器,然後重新建立與 Agent Space 的任何必要關聯。

檢視連線的 MCP 伺服器 – 若要查看所有連線至客服人員空間的 MCP 伺服器,請選取您的客服人員空間,前往功能索引標籤,然後檢查 MCP 伺服器區段。您也可以在這裡更新選取的工具。

移除 MCP 伺服器連線 – 若要中斷 MCP 伺服器與客服人員空間的連線,請在 MCP 伺服器區段中選取伺服器,然後按一下移除。若要完全刪除 MCP 伺服器註冊,請先將其從所有客服人員空間中移除,然後刪除帳戶層級註冊。

  • 安全 in AWS DevOps 代理程式

  • 設定 代理程式空間

  • 提示注入保護