Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# MCP-Server verbinden
Model Context Protocol (MCP) -Server erweitern die Ermittlungsmöglichkeiten von AWS DevOps Agent, indem sie Zugriff auf Daten aus Ihren externen Observability-Tools, benutzerdefinierten Überwachungssystemen und betrieblichen Datenquellen bieten. In diesem Handbuch wird erklärt, wie Sie einen MCP-Server mit dem Agenten verbinden. AWS DevOps
## Voraussetzungen
Bevor Sie einen MCP-Server verbinden, stellen Sie sicher, dass Ihr Server die folgenden Anforderungen erfüllt:
+ **Streamables HTTP-Transportprotokoll** — Nur MCP-Server, die das Streamable HTTP-Transportprotokoll implementieren, werden unterstützt.
+ **Authentifizierungsunterstützung** — Ihr MCP-Server muss eine der folgenden Authentifizierungsmethoden unterstützen: OAuth 2.0 (Client Credentials oder 3LO), API-Schlüssel-/Token-basierte Authentifizierung oder Signature Version 4 (Sigv4). AWS
## Sicherheitsüberlegungen
Beachten Sie bei der Verbindung von MCP-Servern mit Agent die folgenden Sicherheitsaspekte: AWS DevOps
+ **Zulassungsliste für Tools —** Sie sollten nur die spezifischen Tools zulassen, die Ihr Agent Space benötigt, anstatt alle Tools von Ihrem MCP-Server verfügbar zu machen. Informationen dazu, wie Sie das Auflisten von [Tools pro Agent Space zulassen, finden Sie unter Konfiguration von MCP-Tools in einem Agent Space](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers).
Bitte beachten Sie, dass die maximale Werkzeuglänge eines MCP-Tools 64 beträgt.
+ **Prompt-Injection-Risiken** — Benutzerdefinierte MCP-Server können ein zusätzliches Risiko von Prompt-Injection-Angriffen mit sich bringen. Weitere Informationen finden Sie unter [Prompt-Injection-Schutz: AWS DevOps Agent Security](aws-devops-agent-security.md).
+ **Schreibgeschützte Tools und Zugriff —** Setzen Sie nur schreibgeschützte MCP-Tools auf die Liste und stellen Sie sicher, dass Authentifizierungsdaten nur Lesezugriff haben.
Weitere Informationen zu [AWS DevOps Agentensicherheit](aws-devops-agent-security.md) Prompt Injection und dem Modell der gemeinsamen Verantwortung finden Sie unter.
**Anmerkung**
Wenn sich Ihr MCP-Server in einem privaten Netzwerk befindet, finden Sie unter [Verbindung zu privat gehosteten Tools herstellen](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md)
## Registrierung eines MCP-Servers (auf Kontoebene)
MCP-Server werden auf AWS Kontoebene registriert und von allen Agent Spaces in diesem Konto gemeinsam genutzt. Einzelne Agent Spaces können dann auswählen, welche spezifischen Tools sie von jedem MCP-Server benötigen.
### Schritt 1: Details zum MCP-Server
1. Melden Sie sich bei der AWS Management Console an
1. Navigieren Sie zur AWS DevOps Agent-Konsole
1. Gehen Sie zur Seite **Capability Providers** (zugänglich über die Seitennavigation)
1. **Suchen Sie im Bereich **Verfügbare** Anbieter nach **MCP Server** und klicken Sie auf Registrieren**
1. Geben Sie auf der Seite mit den **MCP-Serverdetails** die folgenden Informationen ein:
+ **Name** — Geben Sie einen aussagekräftigen Namen für Ihren MCP-Server ein
+ **Endpunkt-URL** — Geben Sie die vollständige HTTPS-URL Ihres MCP-Serverendpunkts ein
+ **Beschreibung** (optional) — Fügen Sie eine Beschreibung hinzu, um den Zweck des Servers zu identifizieren
+ **Dynamische Client-Registrierung aktivieren** — Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass sich der AWS DevOps Agent automatisch beim Autorisierungsserver Ihres MCP-Servers registriert
+ **Connect zum Endpunkt über private Verbindung** herstellen — Aktivieren Sie dieses Kontrollkästchen, wenn der AWS DevOps Agent privat Anfragen an Ihren MCP-Server stellen soll. Sie können eine bestehende private Verbindung auswählen oder eine neue erstellen. Wenn Sie die OAuth Authentifizierung verwenden, gilt die private Verbindung sowohl für den MCP-Serverendpunkt als auch für den Token-Exchange-Endpunkt. Stellen Sie sicher, dass die private Verbindung mit einer Hostadresse konfiguriert ist, die den Datenverkehr an beide Endpunkte weiterleiten kann. Weitere Informationen finden Sie unter [Verbindung zu privat gehosteten Tools herstellen](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md).
1. **Klicken Sie auf Weiter**
**Anmerkung**
**Die URL des MCP-Serverendpunkts wird in den AWS CloudTrail Protokollen Ihres Kontos angezeigt.
### Schritt 2: Autorisierungsablauf
Wählen Sie die Authentifizierungsmethode für Ihren MCP-Server aus:
**OAuth Client-Anmeldeinformationen** — Wenn Ihr MCP-Server den OAuth Client Credentials Flow verwendet:
1. Wählen Sie **OAuth Client-Anmeldeinformationen**
1. Klicken Sie auf **Weiter**
**OAuth 3LO (Three-Legged OAuth)** — Wenn Ihr MCP-Server 3LO zur Authentifizierung verwendet OAuth :
1. **OAuth Wählen** Sie 3LO
1. **Klicken Sie auf Weiter**
**API-Schlüssel** — Wenn Ihr MCP-Server die API-Schlüsselauthentifizierung verwendet:
1. Wählen Sie **API-Schlüssel**
1. Klicken Sie auf **Weiter**
**AWS SigV4** — Wenn Ihr MCP-Server die Authentifizierung mit AWS Signature Version 4 verwendet:
1. **Wählen Sie SigV4 AWS **
1. **Klicken Sie auf Weiter**
### Schritt 3: Konfiguration der Autorisierung
Konfigurieren Sie zusätzliche Autorisierungsparameter basierend auf der ausgewählten Authentifizierungsmethode:
**Für OAuth Kundenanmeldedaten:**
1. **Client-ID** — Geben Sie die Client-ID des OAuth Kunden ein
1. **Geheimer Client-Schlüssel** — Geben Sie den geheimen Client-Schlüssel des OAuth Clients ein
1. **Exchange-URL** — Geben Sie die URL des OAuth Token-Exchange-Endpunkts ein
1. **Exchange-Parameter** — Geben Sie OAuth Token-Austauschparameter für die Authentifizierung beim Dienst ein
1. **Bereich hinzufügen** — Fügen Sie OAuth Bereiche für die Authentifizierung hinzu
1. **Klicken Sie auf Weiter**
**Für OAuth 3LO:**
1. **Client-ID** — Geben Sie die Client-ID des OAuth Kunden ein
1. **Kundengeheimnis** — Geben Sie das geheime Kundengeheimnis des OAuth Kunden ein, falls dies von Ihrem OAuth Kunden verlangt wird
1. **Exchange-URL** — Geben Sie die URL des OAuth Token-Exchange-Endpunkts ein
1. **Autorisierungs-URL** — Geben Sie die URL des OAuth Autorisierungsendpunkts ein
1. **Code Challenge-Support** — Markieren Sie dieses Kontrollkästchen, wenn Ihr OAuth Client Code Challenge unterstützt
1. **Bereich hinzufügen** — Fügen Sie OAuth Bereiche für die Authentifizierung hinzu
1. **Klicken Sie auf Weiter**
**Für den API-Schlüssel:**
1. Geben Sie einen API-Schlüsselnamen ein
1. Geben Sie den Namen des Headers ein, der den API-Schlüssel in der Anfrage enthalten soll
1. Geben Sie den Wert Ihres API-Schlüssels ein
1. Klicken Sie auf **Weiter**
**Für AWS SigV4:**
AWS Die SigV4-Authentifizierung ermöglicht es dem AWS DevOps Agenten, eine Verbindung zu MCP-Servern herzustellen, die AWS Signature Version 4 für die Signierung von Anfragen verwenden. Dies ist nützlich für MCP-Server, die hinter Amazon API Gateway oder anderen AWS Diensten gehostet werden, die die SigV4-Authentifizierung unterstützen.
**Hinweis:** Private Verbindungen werden für MCP-Server, die die SigV4-Authentifizierung verwenden, nicht unterstützt. Ihr MCP-Serverendpunkt muss öffentlich zugänglich sein. Informationen zu MCP-Servern in privaten Netzwerken, die andere Authentifizierungsmethoden verwenden, finden Sie unter. [Verbindung zu privat gehosteten Tools herstellen](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md)
1. **IAM-Rolle konfigurieren** — Wählen Sie eine der folgenden Optionen:
+ **Eine bestehende Rolle verwenden** — Wählen Sie eine vorhandene IAM-Rolle aus der Dropdownliste aus. Die Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal ermöglicht, sie zu übernehmen (siehe [Erstellen einer IAM-Rolle für die SigV4-Authentifizierung](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers)).
+ **Manuell eine neue Rolle erstellen** — Folgen Sie den step-by-step Anweisungen in der Konsole, um eine neue IAM-Rolle mit der richtigen Vertrauensrichtlinie zu erstellen.
1. **AWS Region** — Geben Sie die AWS Region für die Sigv4-Signatur ein (z. B.`us-east-1`). Um die SigV4a-Signatur für mehrere Regionen zu verwenden, geben Sie ein. `*`
1. **Dienstname** — Geben Sie den AWS Dienstnamen für die SigV4-Signatur ein (z. B. `execute-api` für API Gateway).
1. **Benutzerdefinierte Header** (optional) — Fügen Sie bis zu 10 benutzerdefinierte Schlüssel-Wert-Header-Paare hinzu, die jeder signierten Anfrage beigefügt werden sollen.
1. **Klicken** Sie auf Weiter
### Schritt 4: Überprüfen und abschicken
1. Überprüfen Sie alle Konfigurationsdetails des MCP-Servers
1. Klicken Sie auf **Senden**, um die Registrierung abzuschließen
1. AWS DevOps Der Agent validiert die Verbindung zu Ihrem MCP-Server
1. Nach erfolgreicher Validierung wird Ihr MCP-Server auf Kontoebene registriert
## Konfiguration von MCP-Tools in einem Agent Space
Nachdem Sie einen MCP-Server auf Kontoebene registriert haben, können Sie konfigurieren, welche Tools von diesem Server für bestimmte Agent Spaces verfügbar sind:
1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus
1. Gehen Sie zur Registerkarte **Funktionen**
1. **Klicken Sie im Bereich **MCP-Server** auf Hinzufügen**
1. Wählen Sie den registrierten MCP-Server aus, den Sie mit diesem Agent Space verbinden möchten
1. Konfigurieren Sie, welche Tools von diesem MCP-Server für den Agent Space verfügbar sein sollen:
+ **Alle Tools zulassen** — Macht alle Tools vom MCP-Server verfügbar
+ **Bestimmte Tools auswählen** — Ermöglicht es Ihnen, auszuwählen, welche Tools zugelassen werden sollen
1. Klicken Sie auf **Hinzufügen**, um den MCP-Server mit Ihrem Agent Space zu verbinden
AWS DevOps Der Agent kann nun bei Untersuchungen in diesem Agent Space die Tools auf der Zulassungsliste Ihres MCP-Servers verwenden.
## MCP-Serververbindungen verwalten
**Aktualisierung der Authentifizierungsdaten** — Wenn Ihre Authentifizierungsdaten aktualisiert werden müssen, müssen Sie Ihren MCP-Server erneut registrieren. **Navigieren Sie in der AWS DevOps Agent-Konsole zur Seite **Capability Providers**, suchen Sie Ihren MCP-Server, entfernen Sie alle aktiven Verknüpfungen und klicken Sie auf Abmelden.** Als Nächstes **registrieren** Sie Ihren MCP-Server mit den neuen Authentifizierungsdaten und stellen Sie alle erforderlichen Verknüpfungen mit Ihrem Agent Space erneut her.
**Verbundene MCP-Server anzeigen** **— Um alle MCP-Server zu sehen, die mit Ihrem Agent Space verbunden sind, wählen Sie Ihren Agent Space aus, wechseln Sie zur Registerkarte **Funktionen** und überprüfen Sie den Abschnitt MCP-Server.** Sie können hier auch ausgewählte Tools aktualisieren.
**MCP-Serververbindungen entfernen** **— Um einen MCP-Server von einem Agent Space zu trennen, wählen Sie den Server im Abschnitt **MCP-Server** aus und klicken Sie auf Entfernen.** Um eine MCP-Serverregistrierung vollständig zu löschen, entfernen Sie sie zuerst aus allen Agent Spaces und löschen Sie dann die Registrierung auf Kontoebene.
## Eine IAM-Rolle für die SigV4-Authentifizierung erstellen
Wenn Sie die AWS SigV4-Authentifizierung verwenden, nimmt der AWS DevOps Agent eine IAM-Rolle in Ihrem Konto ein, um Anfragen an Ihren MCP-Server zu signieren. Diese Rolle muss über eine Vertrauensrichtlinie verfügen, die es dem AWS DevOps Agent-Dienstprinzipal (`aidevops.amazonaws.com`) ermöglicht, diese Rolle zu übernehmen, wobei der stellvertretende Schutz nicht gewährleistet ist.
### Vertrauensrichtlinie
Erstellen Sie eine IAM-Rolle mit der folgenden Vertrauensrichtlinie. `REGION`Ersetzen Sie sie durch Ihre AWS Region (z. B.`us-east-1`) und `ACCOUNT_ID` durch Ihre AWS Konto-ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "ACCOUNT_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
}
}
}
]
}
```
Die Vertrauensrichtlinie umfasst die folgenden Bedingungen, um das [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu verhindern:
+ `aws:SourceAccount`— Beschränkt die Übernahme der Rolle auf Anfragen, die von Ihrem AWS Konto stammen.
+ `aws:SourceArn`— Beschränkt die Rollenübernahme auf Anfragen, die von den Serviceressourcen der AWS DevOps Agenten in Ihrem Konto stammen.
### Berechtigungsrichtlinie
Fügen Sie der Rolle eine Berechtigungsrichtlinie hinzu, die die Mindestberechtigungen gewährt, die zum Aufrufen Ihres MCP-Servers erforderlich sind. Wenn Ihr MCP-Server beispielsweise hinter Amazon API Gateway gehostet wird, sollte die Rolle über `execute-api:Invoke` Berechtigungen für die API Gateway-Ressource verfügen.
### Signierung in mehreren Regionen (SigV4a)
Wenn Ihr MCP-Server in mehreren AWS Regionen eingesetzt wird, können Sie [SigV4a (Signature Version 4a)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) für das Signieren mehrerer Regionen verwenden. Um dies zu aktivieren, geben Sie bei der Konfiguration der `*` AWS SigV4-Autorisierung als Region ein. SigV4a verwendet eine asymmetrische Signatur, die es ermöglicht, dass eine einzelne signierte Anfrage für mehrere Regionen gültig ist.
## Verwandte Themen
+ Sicherheit im Agenten AWS DevOps
+ Einen Agent-Bereich einrichten
+ Schutz vor sofortiger Injektion