View a markdown version of this page

連接遠端 A2A 代理程式 - AWS DevOps 代理程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連接遠端 A2A 代理程式

遠端代理程式透過將任務委派給實作Agent-to-Agent(A2A) 通訊協定的外部代理程式,來擴展 AWS DevOps 代理程式的調查功能。當您連接遠端代理程式時, AWS DevOps 代理程式可以將調查子任務指派給它,並將其調查結果納入整體調查。本指南說明如何將遠端代理程式連線至 AWS DevOps 代理程式。

要求

在連接遠端代理程式之前,請確定您的代理程式符合下列要求:

  • A2A 通訊協定支援 – 您的代理程式必須實作Agent-to-Agent(A2A) 通訊協定 (JSONRPC 或 HTTP+JSON 繫結),並在可存取的 URL 中提供有效的代理程式卡。代理程式卡會告訴 AWS DevOps 代理程式如何與您的代理程式通訊。用來叫用代理程式的相同身分驗證憑證會用來擷取代理程式卡。下列客服人員卡欄位為必要欄位:

    • name – 識別代理程式的唯一名稱

    • 描述 – 代理程式功能的描述。 AWS DevOps 代理程式會使用此描述來判斷哪個遠端代理程式最適合指定的子任務

    • supportedInterfaces – 宣告叫用端點 URL、通訊協定繫結 (JSONRPCHTTP+JSON) 和通訊協定版本

    • 功能 – 物件,指出您的代理程式是否支援串流回應

    • 技能 – 描述代理程式特定功能的陣列。 AWS DevOps 代理程式使用技能將任務路由到最適當的遠端代理程式

  • 身分驗證支援 – 您的遠端代理程式必須支援下列其中一種身分驗證方法:Bearer 權杖、OAuth 用戶端登入資料、API 金鑰或 AWS Signature 第 4 版 (SigV4)。

安全考量

將遠端代理程式連線至 AWS DevOps 代理程式時,請考慮下列安全層面:

  • 唯讀代理程式 – 遠端代理程式應僅用於調查和資料收集。確保遠端代理程式不會對生產系統執行寫入操作或修改。

  • 提示注入風險 – 遠端代理程式可能會帶來提示注入攻擊的額外風險。如需詳細資訊,請參閱提示注入保護: AWS DevOps 代理程式安全

AWS DevOps 代理程式安全性 如需提示注入和共同責任模型的詳細資訊,請參閱 。

註冊遠端代理程式 (帳戶層級)

遠端客服人員會在 AWS 帳戶層級註冊,並在該帳戶中的所有客服人員空間之間共用。

步驟 1:設定遠端代理程式

  1. 登入 AWS 管理主控台

  2. 導覽至 AWS DevOps 代理程式主控台

  3. 前往功能提供者頁面 (可從側邊導覽存取)

  4. 可用供應商區段中尋找遠端代理程式,然後按一下註冊

  5. 設定遠端代理程式頁面上,輸入代理程式詳細資訊和身分驗證組態:

客服人員詳細資訊:

  • 名稱 – 此遠端代理程式的唯一名稱

  • 代理程式卡端點 – 遠端代理程式的代理程式卡的 HTTPS URL。 AWS DevOps 代理程式會擷取此 URL,以探索代理程式的功能並叫用端點。

  • 描述 (選用) – 新增描述以協助識別客服人員的目的

身分驗證方法:

選取下列其中一種身分驗證方法:

API 金鑰 – 使用在自訂標頭中傳送的靜態 API 金鑰進行驗證:

  1. API 金鑰名稱 – API 金鑰的易用名稱

  2. API 金鑰標頭 – 服務預期的標頭名稱 (例如 x-api-key)

  3. API 金鑰值 – 使用 服務進行驗證的 API 金鑰值

承載字符 – 使用承載字符進行驗證 (RFC 6750):

  1. 權杖 – 承載權杖值

OAuth 用戶端登入資料 – 使用 OAuth 2.0 用戶端登入資料授予流程進行驗證:

  1. 用戶端 ID – 輸入 OAuth 用戶端的用戶端 ID

  2. 用戶端秘密 – 輸入 OAuth 用戶端的用戶端秘密

  3. Exchange URL – 輸入 OAuth 權杖交換端點 URL

  4. 新增範圍 – 新增身分驗證的 OAuth 範圍

AWS SigV4 – 使用 AWS Signature 第 4 版進行驗證:

  1. 設定 IAM 角色 – 選擇下列其中一個選項:

    • 使用現有角色 – 從下拉式清單中選取現有的 IAM 角色。角色必須具有信任政策,允許 AWS DevOps Agent 服務主體擔任該角色 (請參閱為 SigV4 身分驗證建立 IAM 角色)。

    • 手動建立新角色 – 遵循主控台中顯示的step-by-step指示,使用正確的信任政策建立新的 IAM 角色。

  2. AWS 區域 – 輸入 SigV4 簽署 AWS 的區域 (例如 us-east-1)

  3. 服務名稱 – 輸入 SigV4 簽署 AWS 的服務名稱 (例如,execute-api針對 API Gateway,bedrock-agentcore針對 Amazon Bedrock AgentCore)

  4. 按一下下一步

步驟 2:檢閱並註冊

  1. 檢閱所有遠端代理程式組態詳細資訊

  2. 按一下註冊以完成註冊

  3. AWS DevOps 代理程式將透過擷取您的代理程式卡來驗證連線

  4. 成功驗證後,您的遠端代理程式將在帳戶層級註冊

將遠端客服人員與客服人員空間建立關聯

在帳戶層級註冊遠端客服人員之後,您可以將其與特定客服人員空間建立關聯:

  1. 在 AWS DevOps 代理程式主控台中,選取您的代理程式空間

  2. 前往功能索引標籤

  3. 遠端客服人員區段中,按一下新增

  4. 選取您要連接到此客服人員空間的已註冊遠端客服人員

  5. 按一下新增,將遠端代理程式與您的代理程式空間建立關聯

AWS DevOps 代理程式現在可以在此代理程式空間中將調查子任務委派給您的遠端代理程式。

管理遠端代理程式連線

檢視連線的客服人員 – 若要查看所有連線至您客服人員空間的遠端客服人員,請選取您的客服人員空間,前往功能索引標籤,然後檢查遠端客服人員區段。

移除遠端客服人員連線 – 若要中斷遠端客服人員與客服人員空間的連線,請在遠端客服人員區段中選取客服人員,然後按一下移除。若要完全刪除遠端客服人員註冊,請先將其從所有客服人員空間中移除,然後導覽至能力提供者,然後按一下取消註冊

更新身分驗證憑證 – 如果您的身分驗證憑證需要更新,您將需要重新註冊遠端代理程式。導覽至 AWS DevOps 代理程式主控台中的功能提供者頁面、尋找遠端代理程式、移除任何作用中的關聯,然後按一下取消註冊。接著,使用新的身分驗證登入資料註冊遠端代理程式,然後重新建立與代理程式空間的任何必要關聯。