View a markdown version of this page

MCP-Server verbinden - AWS DevOps Agentin
VoraussetzungenSicherheitsüberlegungenRegistrierung eines MCP-Servers (auf Kontoebene)Konfiguration von MCP-Tools in einem Agent SpaceMCP-Serververbindungen verwaltenEine IAM-Rolle für die SigV4-Authentifizierung erstellenVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MCP-Server verbinden

Model Context Protocol (MCP) -Server erweitern die Ermittlungsmöglichkeiten von AWS DevOps Agent, indem sie Zugriff auf Daten aus Ihren externen Observability-Tools, benutzerdefinierten Überwachungssystemen und betrieblichen Datenquellen bieten. In diesem Handbuch wird erklärt, wie Sie einen MCP-Server mit dem Agenten verbinden. AWS DevOps

Voraussetzungen

Bevor Sie einen MCP-Server verbinden, stellen Sie sicher, dass Ihr Server die folgenden Anforderungen erfüllt:

  • Streamables HTTP-Transportprotokoll — Nur MCP-Server, die das Streamable HTTP-Transportprotokoll implementieren, werden unterstützt.

  • Authentifizierungsunterstützung — Ihr MCP-Server muss eine der folgenden Authentifizierungsmethoden unterstützen: OAuth 2.0 (Client Credentials oder 3LO), API-Schlüssel-/Token-basierte Authentifizierung oder Signature Version 4 (Sigv4). AWS

Sicherheitsüberlegungen

Beachten Sie bei der Verbindung von MCP-Servern mit Agent die folgenden Sicherheitsaspekte: AWS DevOps

Bitte beachten Sie, dass die maximale Werkzeuglänge eines MCP-Tools 64 beträgt.

  • Prompt-Injection-Risiken — Benutzerdefinierte MCP-Server können ein zusätzliches Risiko von Prompt-Injection-Angriffen mit sich bringen. Weitere Informationen finden Sie unter Prompt-Injection-Schutz: AWS DevOps Agent Security.

  • Schreibgeschützte Tools und Zugriff — Setzen Sie nur schreibgeschützte MCP-Tools auf die Liste und stellen Sie sicher, dass Authentifizierungsdaten nur Lesezugriff haben.

Weitere Informationen zu AWS DevOps Agentensicherheit Prompt Injection und dem Modell der gemeinsamen Verantwortung finden Sie unter.

Anmerkung

Wenn sich Ihr MCP-Server in einem privaten Netzwerk befindet, finden Sie unter Verbindung zu privat gehosteten Tools herstellen

Registrierung eines MCP-Servers (auf Kontoebene)

MCP-Server werden auf AWS Kontoebene registriert und von allen Agent Spaces in diesem Konto gemeinsam genutzt. Einzelne Agent Spaces können dann auswählen, welche spezifischen Tools sie von jedem MCP-Server benötigen.

Schritt 1: Details zum MCP-Server

  1. Melden Sie sich bei der AWS Management Console an

  2. Navigieren Sie zur AWS DevOps Agent-Konsole

  3. Gehen Sie zur Seite Capability Providers (zugänglich über die Seitennavigation)

  4. Suchen Sie im Bereich Verfügbare Anbieter nach MCP Server und klicken Sie auf Registrieren

  5. Geben Sie auf der Seite mit den MCP-Serverdetails die folgenden Informationen ein:

    • Name — Geben Sie einen aussagekräftigen Namen für Ihren MCP-Server ein

    • Endpunkt-URL — Geben Sie die vollständige HTTPS-URL Ihres MCP-Serverendpunkts ein

    • Beschreibung (optional) — Fügen Sie eine Beschreibung hinzu, um den Zweck des Servers zu identifizieren

    • Dynamische Client-Registrierung aktivieren — Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass sich der AWS DevOps Agent automatisch beim Autorisierungsserver Ihres MCP-Servers registriert

    • Connect zum Endpunkt über private Verbindung herstellen — Aktivieren Sie dieses Kontrollkästchen, wenn der AWS DevOps Agent privat Anfragen an Ihren MCP-Server stellen soll. Sie können eine bestehende private Verbindung auswählen oder eine neue erstellen. Wenn Sie die OAuth Authentifizierung verwenden, gilt die private Verbindung sowohl für den MCP-Serverendpunkt als auch für den Token-Exchange-Endpunkt. Stellen Sie sicher, dass die private Verbindung mit einer Hostadresse konfiguriert ist, die den Datenverkehr an beide Endpunkte weiterleiten kann. Weitere Informationen finden Sie unter Verbindung zu privat gehosteten Tools herstellen.

  6. Klicken Sie auf Weiter

Anmerkung

Die URL des MCP-Serverendpunkts wird in den AWS CloudTrail Protokollen Ihres Kontos angezeigt.

Schritt 2: Autorisierungsablauf

Wählen Sie die Authentifizierungsmethode für Ihren MCP-Server aus:

OAuth Client-Anmeldeinformationen — Wenn Ihr MCP-Server den OAuth Client Credentials Flow verwendet:

  1. Wählen Sie OAuth Client-Anmeldeinformationen

  2. Klicken Sie auf Weiter

OAuth 3LO (Three-Legged OAuth) — Wenn Ihr MCP-Server 3LO zur Authentifizierung verwendet OAuth :

  1. OAuth Wählen Sie 3LO

  2. Klicken Sie auf Weiter

API-Schlüssel — Wenn Ihr MCP-Server die API-Schlüsselauthentifizierung verwendet:

  1. Wählen Sie API-Schlüssel

  2. Klicken Sie auf Weiter

AWS SigV4 — Wenn Ihr MCP-Server die Authentifizierung mit AWS Signature Version 4 verwendet:

  1. Wählen Sie SigV4 AWS

  2. Klicken Sie auf Weiter

Schritt 3: Konfiguration der Autorisierung

Konfigurieren Sie zusätzliche Autorisierungsparameter basierend auf der ausgewählten Authentifizierungsmethode:

Für OAuth Kundenanmeldedaten:

  1. Client-ID — Geben Sie die Client-ID des OAuth Kunden ein

  2. Geheimer Client-Schlüssel — Geben Sie den geheimen Client-Schlüssel des OAuth Clients ein

  3. Exchange-URL — Geben Sie die URL des OAuth Token-Exchange-Endpunkts ein

  4. Exchange-Parameter — Geben Sie OAuth Token-Austauschparameter für die Authentifizierung beim Dienst ein

  5. Bereich hinzufügen — Fügen Sie OAuth Bereiche für die Authentifizierung hinzu

  6. Klicken Sie auf Weiter

Für OAuth 3LO:

  1. Client-ID — Geben Sie die Client-ID des OAuth Kunden ein

  2. Kundengeheimnis — Geben Sie das geheime Kundengeheimnis des OAuth Kunden ein, falls dies von Ihrem OAuth Kunden verlangt wird

  3. Exchange-URL — Geben Sie die URL des OAuth Token-Exchange-Endpunkts ein

  4. Autorisierungs-URL — Geben Sie die URL des OAuth Autorisierungsendpunkts ein

  5. Code Challenge-Support — Markieren Sie dieses Kontrollkästchen, wenn Ihr OAuth Client Code Challenge unterstützt

  6. Bereich hinzufügen — Fügen Sie OAuth Bereiche für die Authentifizierung hinzu

  7. Klicken Sie auf Weiter

Für den API-Schlüssel:

  1. Geben Sie einen API-Schlüsselnamen ein

  2. Geben Sie den Namen des Headers ein, der den API-Schlüssel in der Anfrage enthalten soll

  3. Geben Sie den Wert Ihres API-Schlüssels ein

  4. Klicken Sie auf Weiter

Für AWS SigV4:

AWS Die SigV4-Authentifizierung ermöglicht es dem AWS DevOps Agenten, eine Verbindung zu MCP-Servern herzustellen, die AWS Signature Version 4 für die Signierung von Anfragen verwenden. Dies ist nützlich für MCP-Server, die hinter Amazon API Gateway oder anderen AWS Diensten gehostet werden, die die SigV4-Authentifizierung unterstützen.

  1. IAM-Rolle konfigurieren — Wählen Sie eine der folgenden Optionen:

    • Eine bestehende Rolle verwenden — Wählen Sie eine vorhandene IAM-Rolle aus der Dropdownliste aus. Die Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal ermöglicht, sie zu übernehmen (siehe Erstellen einer IAM-Rolle für die SigV4-Authentifizierung).

    • Manuell eine neue Rolle erstellen — Folgen Sie den step-by-step Anweisungen in der Konsole, um eine neue IAM-Rolle mit der richtigen Vertrauensrichtlinie zu erstellen.

  2. AWS Region — Geben Sie die AWS Region für die Sigv4-Signatur ein (z. B.us-east-1). Um die SigV4a-Signatur für mehrere Regionen zu verwenden, geben Sie ein. *

  3. Dienstname — Geben Sie den AWS Dienstnamen für die SigV4-Signatur ein (z. B. execute-api für API Gateway).

  4. Benutzerdefinierte Header (optional) — Fügen Sie bis zu 10 benutzerdefinierte Schlüssel-Wert-Header-Paare hinzu, die jeder signierten Anfrage beigefügt werden sollen.

  5. Klicken Sie auf Weiter

Schritt 4: Überprüfen und abschicken

  1. Überprüfen Sie alle Konfigurationsdetails des MCP-Servers

  2. Klicken Sie auf Senden, um die Registrierung abzuschließen

  3. AWS DevOps Der Agent validiert die Verbindung zu Ihrem MCP-Server

  4. Nach erfolgreicher Validierung wird Ihr MCP-Server auf Kontoebene registriert

Konfiguration von MCP-Tools in einem Agent Space

Nachdem Sie einen MCP-Server auf Kontoebene registriert haben, können Sie konfigurieren, welche Tools von diesem Server für bestimmte Agent Spaces verfügbar sind:

  1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus

  2. Gehen Sie zur Registerkarte Funktionen

  3. Klicken Sie im Bereich MCP-Server auf Hinzufügen

  4. Wählen Sie den registrierten MCP-Server aus, den Sie mit diesem Agent Space verbinden möchten

  5. Konfigurieren Sie, welche Tools von diesem MCP-Server für den Agent Space verfügbar sein sollen:

    • Alle Tools zulassen — Macht alle Tools vom MCP-Server verfügbar

    • Bestimmte Tools auswählen — Ermöglicht es Ihnen, auszuwählen, welche Tools zugelassen werden sollen

  6. Klicken Sie auf Hinzufügen, um den MCP-Server mit Ihrem Agent Space zu verbinden

AWS DevOps Der Agent kann nun bei Untersuchungen in diesem Agent Space die Tools auf der Zulassungsliste Ihres MCP-Servers verwenden.

MCP-Serververbindungen verwalten

Aktualisierung der Authentifizierungsdaten — Wenn Ihre Authentifizierungsdaten aktualisiert werden müssen, müssen Sie Ihren MCP-Server erneut registrieren. Navigieren Sie in der AWS DevOps Agent-Konsole zur Seite Capability Providers, suchen Sie Ihren MCP-Server, entfernen Sie alle aktiven Verknüpfungen und klicken Sie auf Abmelden. Als Nächstes registrieren Sie Ihren MCP-Server mit den neuen Authentifizierungsdaten und stellen Sie alle erforderlichen Verknüpfungen mit Ihrem Agent Space erneut her.

Verbundene MCP-Server anzeigen — Um alle MCP-Server zu sehen, die mit Ihrem Agent Space verbunden sind, wählen Sie Ihren Agent Space aus, wechseln Sie zur Registerkarte Funktionen und überprüfen Sie den Abschnitt MCP-Server. Sie können hier auch ausgewählte Tools aktualisieren.

MCP-Serververbindungen entfernen — Um einen MCP-Server von einem Agent Space zu trennen, wählen Sie den Server im Abschnitt MCP-Server aus und klicken Sie auf Entfernen. Um eine MCP-Serverregistrierung vollständig zu löschen, entfernen Sie sie zuerst aus allen Agent Spaces und löschen Sie dann die Registrierung auf Kontoebene.

Eine IAM-Rolle für die SigV4-Authentifizierung erstellen

Wenn Sie die AWS SigV4-Authentifizierung verwenden, nimmt der AWS DevOps Agent eine IAM-Rolle in Ihrem Konto ein, um Anfragen an Ihren MCP-Server zu signieren. Diese Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal (aidevops.amazonaws.com) ermöglicht, diese Rolle zu übernehmen, wobei der stellvertretende Schutz nicht gewährleistet ist.

Vertrauensrichtlinie

Erstellen Sie eine IAM-Rolle mit der folgenden Vertrauensrichtlinie. REGIONErsetzen Sie sie durch Ihre AWS Region (z. B.us-east-1) und ACCOUNT_ID durch Ihre AWS Konto-ID.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
        }
      }
    }
  ]
}

Die Vertrauensrichtlinie umfasst die folgenden Bedingungen, um das Problem des verwirrten Stellvertreters zu verhindern:

  • aws:SourceAccount— Beschränkt die Übernahme der Rolle auf Anfragen, die von Ihrem AWS Konto stammen.

  • aws:SourceArn— Beschränkt die Rollenübernahme auf Anfragen, die von den Serviceressourcen der AWS DevOps Agenten in Ihrem Konto stammen.

Berechtigungsrichtlinie

Fügen Sie der Rolle eine Berechtigungsrichtlinie hinzu, die die Mindestberechtigungen gewährt, die zum Aufrufen Ihres MCP-Servers erforderlich sind. Wenn Ihr MCP-Server beispielsweise hinter Amazon API Gateway gehostet wird, sollte die Rolle über execute-api:Invoke Berechtigungen für die API Gateway-Ressource verfügen.

Signierung in mehreren Regionen (SigV4a)

Wenn Ihr MCP-Server in mehreren AWS Regionen eingesetzt wird, können Sie SigV4a (Signature Version 4a) für das Signieren mehrerer Regionen verwenden. Um dies zu aktivieren, geben Sie bei der Konfiguration der * AWS SigV4-Autorisierung als Region ein. SigV4a verwendet eine asymmetrische Signatur, die es ermöglicht, dass eine einzelne signierte Anfrage für mehrere Regionen gültig ist.

  • Sicherheit im Agenten AWS DevOps

  • Einen Agent-Bereich einrichten

  • Schutz vor sofortiger Injektion