View a markdown version of this page

Integration des Model Context Protocol (MCP) - Amazon Quick
Unterstützte FunktionenBevor Sie beginnenBereiten Sie die Einrichtung und Authentifizierung des MCP-Servers vorRichten Sie die MCP-Integration einÜberprüfen Sie die IntegrationMCP-Integrationen verwaltenFehlerbehebungEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration des Model Context Protocol (MCP)

Das Model Context Protocol (MCP) ist ein offener Standard, der definiert, wie KI-Anwendungen mit externen Tools und Datenquellen kommunizieren. MCP verwendet eine Client-Server-Architektur. KI-Anwendungen agieren als Clients, die eine Verbindung zu MCP-Servern herstellen. Jeder MCP-Server stellt eine Reihe von Tools zur Verfügung. Bei diesen Tools handelt es sich um strukturierte Operationen, die die KI-Anwendung aufrufen kann, um Aufgaben wie das Abfragen von Datenbanken, das Aufrufen von APIs oder die Interaktion mit Diensten von Drittanbietern auszuführen.

Mit der MCP-Integration in Amazon Quick können Sie eine Verbindung zu Remote-MCP-Servern herstellen, sodass Ihr KI-Assistent die Tools verwenden kann, die diese Server bereitstellen. Sie können beispielsweise eine Verbindung zu einem MCP-Server herstellen, der Zugriff auf Ihr Projektmanagementsystem bietet. Diese Verbindung ermöglicht es dem Assistenten, im Rahmen einer Konversation Tickets zu erstellen, nach Problemen zu suchen oder den Status zu aktualisieren. Da MCP ein offener Standard ist, können Sie eine Verbindung zu jedem kompatiblen Server herstellen, ohne für jedes Tool eigene Integrationen erstellen zu müssen.

Sie können eine Verbindung zu MCP-Servern herstellen, die über das öffentliche Internet erreichbar sind. Sie können auch eine Verbindung zu privaten MCP-Servern herstellen, die über eine Virtual Private Cloud (VPC) in Ihrem AWS Konto erreichbar sind, indem Sie eine Amazon Quick VPC-Verbindung verwenden. Der MCP-Server kann sich in der VPC, in einer anderen VPC befinden, die über Peering oder Transit-Gateway erreichbar ist, oder vor Ort, der über AWS Direct Connect oder VPN erreichbar ist. Informationen zum Erstellen einer VPC-Verbindung in Amazon Quick finden Sie unterKonfiguration von VPC-Verbindungen in Amazon Quick Sight.

Wichtig

Wenn Sie über eine VPC-Verbindung eine Verbindung zu einem privaten MCP-Server herstellen, müssen die vom MCP-Server verwendeten OAuth-Endpunkte über das öffentliche Internet erreichbar sein. Dies gilt sowohl für die Benutzerauthentifizierung (die Autorisierungs- und Token-Endpunkte) als auch für die Dienstauthentifizierung (den Token-Endpunkt). Private OAuth-Anbieter werden nicht unterstützt. MCP-Server, für die keine Authentifizierung erforderlich ist, werden ebenfalls unterstützt.

Unterstützte Funktionen

Die MCP-Integration registriert MCP-Servertools als Aktionen in Amazon Quick.

Action-Konnektor

Jedes Tool, das ein MCP-Server verfügbar macht, wird als Aktion registriert, die Ihr KI-Assistent während Konversationen aufrufen kann. Die Integration sichert diese Verbindungen mithilfe von Proof Key for Code Exchange (PKCE) mit der S256-Challenge-Methode und Resource Indicators (RFC 8707), um Zugriffstoken an bestimmte MCP-Server zu binden.

Bevor Sie beginnen

Bevor Sie die MCP-Integration einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

Anmerkung

Die MCP-Integration unterstützt nur Remote-Server. HTTP-Streaming wird Server-Sent Events (SSE) vorgezogen. Lokale Studio-Verbindungen werden nicht unterstützt.

Bereiten Sie die Einrichtung und Authentifizierung des MCP-Servers vor

Wenn Sie eine Verbindung zu einem MCP-Server herstellen, verwendet Amazon Quick OAuth 2.0 Protected Resource Metadata (RFC 9728), um automatisch Autorisierungsserverinformationen zu ermitteln. Der Client sendet eine erste, nicht authentifizierte Anfrage an den MCP-Server. Wenn der Server mit einem 401-Status antwortet, der einen WWW-Authenticate Header mit einer resource_metadata URL enthält, verwendet Amazon Quick diese URL, um das Metadatendokument abzurufen. Wenn der Header nicht vorhanden ist, greift Amazon Quick auf den bekannten URI im Serverstammverzeichnis zurück.

Wenn der Autorisierungsserver Dynamic Client Registration (DCR) unterstützt, registriert sich Amazon Quick automatisch anhand der registration_endpoint vom Autorisierungsserver erkannten Metadaten. Es ist keine manuelle Konfiguration der Anmeldeinformationen erforderlich. Amazon Quick unterstützt sowohl vertrauliche als auch öffentliche Kundenflüsse. DCR gilt unabhängig von der von Ihnen gewählten Authentifizierungsmethode.

Wenn der Autorisierungsserver DCR nicht unterstützt, müssen Sie die Anmeldeinformationen manuell eingeben. Wählen Sie die Authentifizierungsmethode, die Ihren MCP-Serveranforderungen entspricht.

Benutzerauthentifizierung (OAuth)

Erfassen Sie die folgenden Informationen aus Ihrer MCP-Serverkonfiguration:

  • Client-ID — Die OAuth-Client-ID.

  • Geheimer Client-Schlüssel — Der geheime OAuth-Client-Schlüssel.

  • Token-URL — Der OAuth-Token-Endpunkt.

  • Autorisierungs-URL — Der OAuth-Autorisierungsendpunkt.

  • Weiterleitungs-URL — Die OAuth-Umleitungs-URI.

Dienstauthentifizierung () Service-to-Service

Erfassen Sie die folgenden Informationen aus Ihrer MCP-Serverkonfiguration:

  • Client-ID — Die Service-Client-ID.

  • Kundengeheimnis — Das geheime Dienstclientgeheimnis.

  • Token-URL — Der Endpunkt des Service-Tokens.

Keine Authentifizierung

Wenn der MCP-Server keine Authentifizierung benötigt, sind keine Anmeldeinformationen erforderlich. Wählen Sie diese Option für MCP-Server, die einen nicht authentifizierten Zugriff zulassen.

Richten Sie die MCP-Integration ein

Nachdem Sie Ihre MCP-Serverkonfiguration und Ihre Authentifizierungsdaten vorbereitet haben, erstellen Sie Ihre MCP-Integration.

  1. Wählen Sie in der Amazon Quick-Konsole Connectors aus.

  2. Wählen Sie den Tab „Für Ihr Team erstellen“.

  3. Suchen Sie Model Context Protocol (MCP) und wählen Sie es aus.

  4. Geben Sie auf der Seite „Integration erstellen“ die Integrationsdetails ein:

    • Name — Ein beschreibender Name für Ihre MCP-Integration.

    • Beschreibung (optional) — Der Zweck der Integration.

    • MCP-Serverendpunkt — Die URL des MCP-Servers.

    • Verbindungstyp — Wählen Sie aus, wie Amazon Quick eine Verbindung zum MCP-Server herstellt:

      • Öffentliches Netzwerk — Verwenden Sie diese Option für MCP-Server, die über das öffentliche Internet erreichbar sind.

      • Eine benannte VPC-Verbindung — Verwenden Sie diese Option für private MCP-Server. In der Dropdownliste sind die VPC-Verbindungen aufgeführt, die in Ihrem Amazon Quick-Konto konfiguriert sind. Wählen Sie die Verbindung aus, die Netzwerkzugriff auf Ihren MCP-Server hat. Wenn Sie Ihre VPC-Verbindung nicht in der Liste sehen, vergewissern Sie sich, dass sie vollständig bereitgestellt und aktiv ist. Weitere Informationen finden Sie unter Konfiguration von VPC-Verbindungen in Amazon Quick Sight.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie die Authentifizierungsmethode aus (Benutzer, Dienst oder keine Authentifizierung).

  7. Geben Sie die entsprechenden Konfigurationsdetails ein.

  8. Wählen Sie Erstellen und fahren Sie fort.

  9. Überprüfen Sie die Integrationsdetails.

  10. Wählen Sie Weiter aus.

  11. Teilen Sie die Integration bei Bedarf mit anderen Benutzern.

Nachdem Sie Ihre MCP-Integration erstellt haben, erkennt Amazon Quick die verfügbaren Tools und registriert sie als Aktionen.

Überprüfen Sie die Integration

Nachdem Sie die Authentifizierung konfiguriert haben, überprüfen Sie die MCP-Integrationsfunktionen:

  1. Das System stellt eine Verbindung zum MCP-Server her und erkennt die verfügbaren Funktionen.

  2. Sehen Sie sich die Liste der verfügbaren Aktionen und Aufgaben an, die der MCP-Server bereitstellt.

  3. Bestätigen Sie die Integrationskonfiguration und die Funktionen.

Entdeckung von Fähigkeiten

Während des Verbindungsvorgangs, der unter beschrieben wirdBereiten Sie die Einrichtung und Authentifizierung des MCP-Servers vor, erkennt und registriert Amazon Quick auch die Tools, die der MCP-Server bereitstellt. Nach Abschluss der Erkennung wird jedes Tool als Aktion aufgeführt, die Sie überprüfen und aktivieren können.

MCP-Integrationen verwalten

Informationen zum Bearbeiten, Teilen oder Löschen Ihrer Integration finden Sie unter. Verwaltung vorhandener Integrationen

Fehlerbehebung

Verwenden Sie die folgenden Anleitungen, um häufig auftretende Probleme zu diagnostizieren und zu lösen, wenn Sie eine MCP-Integration in Amazon Quick erstellen oder verwenden.

Probleme bei der Erstellung von Konnektoren

  • Der Connector besteht die Erkennung, schlägt aber bei der Veröffentlichung Creation failed mit fehl. Dieser Fehler bedeutet normalerweise, dass eine oder mehrere Tooldefinitionen in der tools/list Antwort Ihres MCP-Servers einen ungültigen inputSchema Wert enthalten. Amazon Quick validiert jedes Tool während der Veröffentlichungsphase inputSchema anhand von JSON Schema Draft 7 oder höher.

    Die häufigste Ursache ist die veraltete Draft 3-Syntax, bei required der sich ein boolescher Wert innerhalb einer Eigenschaftsdefinition befindet (z. B.). "required": true In JSON Schema Draft 7 und höher required muss sich ein Array von Eigenschaftsnamen im Schemastamm befinden, also gleichrangig von. properties

    Aktualisieren Sie Ihre Tooldefinitionen, sodass sie das richtige Format verwenden, und stellen Sie Ihren MCP-Server erneut bereit. Löschen Sie nach der erneuten Bereitstellung den ausgefallenen Connector und erstellen Sie einen neuen, um die Erkennung und Veröffentlichung erneut auszulösen.

    Das folgende Beispiel zeigt die falsche Draft 3-Syntax:

    {
  "type": "object",
  "properties": {
    "logNumber": {
      "type": "string",
      "description": "The permit log number",
      "required": true
    }
  }
}

    Das folgende Beispiel zeigt die korrekte Syntax von Draft 7:

    {
  "type": "object",
  "properties": {
    "logNumber": {
      "type": "string",
      "description": "The permit log number"
    }
  },
  "required": ["logNumber"]
}

    Einige MCP-Framework-Bibliotheken und Codegeneratoren geben standardmäßig die Draft 3-Syntax aus. Suchen Sie in Ihrer Framework-Dokumentation nach der Option, mit der die JSON-Schema-Ausgabeversion ausgewählt wird. Sie können Ihre Schemas vor der Bereitstellung auch mit einem beliebigen JSON Schema Draft 7-Validator validieren. Weitere Informationen zu den inputSchema Anforderungen finden Sie unter Tools in der Model Context Protocol-Spezifikation.

    Möglicherweise stellen Sie auch fest, dass die Konnektorerstellung zwei bis fünf Minuten lang hängen bleibt, bevor sie fehlschlägt. Die verstrichene Zeit spiegelt interne Wiederholungen während der Veröffentlichungsphase wider, kein Netzwerk-Timeout. Die Lösung ist dieselbe: Überprüfen Sie Ihre inputSchema Tooldefinitionen auf Konformität mit JSON Schema Draft 7.

Probleme mit der VPC-Verbindung

  • Die VPC-Verbindung ist nicht in der Dropdownliste Verbindungstyp aufgeführt, oder die MCP-Erstellung schlägt unmittelbar nach der Auswahl fehl. Die VPC-Verbindung wird möglicherweise in der Dropdownliste angezeigt, bevor die Bereitstellung abgeschlossen ist. Warten Sie, bis die VPC-Verbindung auf der Amazon Quick Admin-Seite als verfügbar angezeigt wird, bevor Sie eine MCP-Integration dafür erstellen. Weitere Informationen finden Sie unter Konfiguration von VPC-Verbindungen in Amazon Quick Sight.

  • Die MCP-Erstellung schlägt fehl, weil der MCP-Server-Hostname nicht aufgelöst werden kann — Amazon Quick verwendet nicht den Standard-VPC-DNS-Resolver für MCP-Integrationen. Sie müssen das Feld DNS-Resolver-Endpunkte auf der VPC-Verbindung mit eingehenden Route 53 Resolver-Endpunkt-IP-Adressen auffüllen, die Ihren MCP-Server-Hostnamen auflösen können. Diese Anforderung gilt sowohl für private Hostnamen als auch für öffentliche Hostnamen, die Sie innerhalb der VPC in eine private Adresse auflösen möchten, z. B. für Endgeräte, denen eine private Hosting-Zone von Route 53 gegenübersteht, AWS PrivateLink oder für eine private gehostete Route 53-Zone. Ohne diese Resolver-Endpunkte kann der Hostname des MCP-Servers nicht aufgelöst werden und die Integrationserstellung schlägt fehl. Weitere Informationen finden Sie unter Konfiguration von VPC-Verbindungen in Amazon Quick Sight.

  • Der MCP-Server ist über die VPC-Verbindung nicht erreichbar — Der Datenverkehr von Amazon Quick zu Ihrem MCP-Server stammt aus den Subnetzen, die Sie bei der Einrichtung der VPC-Verbindung ausgewählt haben. Vergewissern Sie sich, dass Routing-Tabellen, Netzwerk-ACLs und Sicherheitsgruppen den Datenverkehr zwischen diesen Subnetzen und dem MCP-Serverendpunkt zulassen. Allgemeine Hinweise zu VPC-Netzwerken finden Sie unterKonfiguration von VPC-Verbindungen in Amazon Quick Sight.

  • Die Authentifizierung schlägt fehl, wenn Sie einen privaten MCP-Server verwenden — Wenn Sie über eine VPC-Verbindung eine Verbindung zu einem privaten MCP-Server herstellen, müssen die vom MCP-Server verwendeten OAuth-Endpunkte weiterhin über das öffentliche Internet erreichbar sein. Dies gilt sowohl für die Benutzerauthentifizierung (Autorisierung und Token-Endpunkte) als auch für die Dienstauthentifizierung (Token-Endpunkte). Private OAuth-Anbieter werden nicht unterstützt. Vergewissern Sie sich, dass die OAuth-URLs, die Ihr MCP-Server in seinen geschützten Ressourcenmetadaten zurückgibt, über das öffentliche Internet aufgelöst werden.

Probleme mit der Microsoft Entra ID

Wenn Ihr MCP-Server Microsoft Entra ID als Autorisierungsserver verwendet, treten beim Connector-Setup häufig die folgenden Fehler auf. Diese Probleme gelten sowohl für öffentliche Netzwerkverbindungen als auch für private MCP-Server, die Sie über eine VPC-Verbindung erreichen.

  • AADSTS9010010— Der v2.0-Endpunkt lehnt den Ressourcenparameter ab — Amazon Quick sendet einen resource Parameter für OAuth-Anfragen, wie es die MCP-Spezifikation (RFC 8707) vorschreibt. Der Entra ID v2.0-Endpunkt lehnt Anfragen ab, die sowohl einen Parameter als auch Werte enthalten. resource scope Um diesen Fehler zu beheben, konfigurieren Sie Ihre App-Registrierung so, dass sie die Entra ID v1.0 OAuth-Endpunkte verwendet, und legen Sie im App-Manifest den Wert auf fest. accessTokenAcceptedVersion 2

  • AADSTS90009— Die Anwendung fordert ein Token für sich selbst an — Wenn Sie die Benutzerauthentifizierung (Autorisierungscodefluss) verwenden und der OAuth-Client und die MCP-Ressource zu derselben Entra-ID-Anwendung aufgelöst werden, blockiert Entra ID die Anfrage. Erstellen Sie zwei separate App-Registrierungen: eine Client-App für Amazon Quick und eine Ressourcen-App für den MCP-Server. Dieses Problem hat keine Auswirkungen auf die Serviceauthentifizierung (Fluss der Kundenanmeldedaten), bei der eine einzige App-Registrierung funktioniert.

Wenn Sie auf ein Problem stoßen, das in den vorherigen Abschnitten nicht behandelt wurde, wenden Sie sich AWS über die Amazon Quick-Konsole oder das AWS Support Center an den Support.

Einschränkungen

Beachten Sie bei der Verwendung von MCP-Integrationen in Amazon Quick die folgenden Einschränkungen:

  • MCP-Operationen haben ein festes Zeitlimit von 60 Sekunden. Operationen, die dieses Limit überschreiten, schlagen automatisch mit einem HTTP 424-Fehler fehl.

  • Für MCP-Server, die Sie über eine VPC-Verbindung erreichen, müssen die vom MCP-Server verwendeten OAuth-Endpunkte über das öffentliche Internet erreichbar sein. Dies gilt sowohl für die Benutzerauthentifizierung als auch für die Dienstauthentifizierung. Private OAuth-Anbieter werden nicht unterstützt.

  • Benutzerdefinierte HTTP-Header werden in MCP-Vorgängen nicht unterstützt. Es werden nur Standard-System-Header übertragen.

  • Die Werkzeuglisten bleiben nach der ersten Registrierung statisch. Um serverseitige Tool-Änderungen zu übernehmen, müssen Sie die Integration löschen und neu erstellen.

  • Die Connector-Erstellung schlägt möglicherweise fehl, wenn der Amazon Quick Callback-URI von Drittanbietern nicht zugelassen ist.

  • Probleme mit der Serverkonnektivität führen zu einem sofortigen Ausfall ohne erneute Versuche.

  • Step-up Die Autorisierung wird nicht unterstützt. Wenn ein MCP-Server nach der ersten Autorisierung (HTTP 403 mitinsufficient_scope) weitere Bereiche benötigt, müssen Sie die gesamte Verbindung erneut autorisieren. Inkrementelle Berechtigungsupgrades sind nicht verfügbar.

  • Für die Verarbeitung von Bereichen gelten die folgenden Einschränkungen:

    • Amazon Quick extrahiert den scope Parameter nicht aus der ersten 401-Abfrage des WWW-Authenticate Servers. Amazon Quick bestimmt die Bereiche stattdessen aus dem Dokument Protected Resource Metadata.

    • Wenn die Metadaten keine unterstützten Bereiche angeben, wendet Amazon Quick Standardbereiche an, anstatt sie wegzulassen. Dieses Verhalten kann zu Authentifizierungsfehlern bei Servern führen, die die Standardbereiche nicht erkennen.

  • Für die automatische Clientregistrierung wird nur Dynamic Client Registration (DCR) unterstützt. Client-ID-Metadatendokumente werden nicht unterstützt.

  • Well-known Die URI-Erkennung verwendet nur den Stammverzeichnispfad des Servers. Path-specific Speicherorte von Metadaten (Erkennung durch Einfügen von Pfaden) werden nicht unterstützt. Diese Einschränkung kann die Erkennung von Servern verhindern, die Metadaten nur über pfadspezifische URIs bereitstellen.