View a markdown version of this page

Integración del Protocolo de contexto modelo (MCP) - Amazon Quick
Capacidades compatiblesAntes de empezarPrepare la configuración y la autenticación del servidor MCPConfigure la integración de MCPRevise la integraciónGestione las integraciones de MCPResolución de problemasLimitaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración del Protocolo de contexto modelo (MCP)

El Model Context Protocol (MCP) es un estándar abierto que define cómo se comunican las aplicaciones de IA con herramientas y fuentes de datos externas. El MCP utiliza una arquitectura cliente-servidor. Las aplicaciones de IA actúan como clientes que se conectan a los servidores MCP. Cada servidor MCP expone un conjunto de herramientas. Estas herramientas son operaciones estructuradas que la aplicación de IA puede invocar para realizar tareas, como consultar bases de datos, llamar a las API o interactuar con servicios de terceros.

Con la integración de MCP en Amazon Quick, puede conectarse a servidores MCP remotos para que su asistente de IA pueda utilizar las herramientas que proporcionan esos servidores. Por ejemplo, puede conectarse a un servidor MCP que proporciona acceso a su sistema de gestión de proyectos. Esta conexión permite al asistente crear tickets, buscar problemas o actualizar estados como parte de una conversación. Como el MCP es un estándar abierto, puede conectarse a cualquier servidor compatible sin necesidad de crear integraciones personalizadas para cada herramienta.

Puede conectarse a servidores MCP a los que se puede acceder a través de la Internet pública. También puede conectarse a servidores MCP privados a los que se puede acceder desde una nube privada virtual (VPC) de su AWS cuenta mediante una conexión Amazon Quick VPC. El servidor MCP puede estar en la VPC, en otra VPC a la que se pueda acceder a través de una puerta de enlace de tránsito o peering, o en las instalaciones, a la que se pueda acceder mediante Direct Connect o una VPN. AWS Para obtener información sobre cómo crear una conexión de VPC en Amazon Quick, consulte. Configuración de conexiones de VPC en Amazon Quick Sight

importante

Cuando se conecta a un servidor MCP privado a través de una conexión de VPC, se debe poder acceder a los puntos finales de OAuth utilizados por el servidor MCP a través de la Internet pública. Esto se aplica tanto a la autenticación de usuarios (los puntos finales de autorización y token) como a la autenticación de servicios (los puntos finales de token). No se admiten los proveedores de OAuth privados. También se admiten los servidores MCP que no requieren autenticación.

Capacidades compatibles

La integración de MCP registra las herramientas del servidor MCP como acciones en Amazon Quick.

Conector de acción

Cada herramienta que expone un servidor MCP se registra como una acción que su asistente de IA puede invocar durante las conversaciones. La integración asegura estas conexiones mediante el uso de una clave de prueba para el intercambio de códigos (PKCE) con el método de desafío S256 y los indicadores de recursos (RFC 8707) para vincular los tokens de acceso a servidores MCP específicos.

Antes de empezar

Antes de configurar la integración de MCP, asegúrese de disponer de lo siguiente:

nota

La integración de MCP solo es compatible con servidores remotos. Se prefiere la transmisión HTTP a la de Server-Sent eventos (SSE). No se admiten las conexiones de estudio locales.

Prepare la configuración y la autenticación del servidor MCP

Cuando se conecta a un servidor MCP, Amazon Quick utiliza los metadatos de recursos protegidos de OAuth 2.0 (RFC 9728) para descubrir automáticamente la información del servidor de autorización. El cliente envía una solicitud inicial no autenticada al servidor MCP. Si el servidor responde con un estado 401 que contiene un WWW-Authenticate encabezado con una resource_metadata URL, Amazon Quick utilizará esa URL para buscar el documento de metadatos. Si el encabezado no está presente, Amazon Quick recurre al conocido URI de la raíz del servidor.

Si el servidor de autorización admite el registro dinámico de clientes (DCR), Amazon Quick se registra automáticamente utilizando los metadatos descubiertos en el servidor registration_endpoint de autorización. No se requiere una configuración manual de credenciales. Amazon Quick admite flujos de clientes públicos y confidenciales. La DCR se aplica independientemente del método de autenticación que elija.

Si el servidor de autorización no admite el DCR, debe proporcionar las credenciales manualmente. Elija el método de autenticación que coincida con los requisitos de su servidor MCP.

Autenticación de usuario (OAuth)

Recopile la siguiente información de la configuración de su servidor MCP:

  • ID de cliente: el ID de cliente de OAuth.

  • Secreto de cliente: el secreto del cliente de OAuth.

  • URL del token: el punto final del token de OAuth.

  • URL de autorización: el punto final de autorización de OAuth.

  • URL de redireccionamiento: el URI de redireccionamiento de OAuth.

Autenticación de servicio () Service-to-Service

Recopile la siguiente información de la configuración de su servidor MCP:

  • ID de cliente: el ID del cliente del servicio.

  • Secreto de cliente: el secreto del cliente del servicio.

  • URL del token: el punto final del token de servicio.

Sin autenticación

Si el servidor MCP no requiere autenticación, no se necesitan credenciales. Seleccione esta opción para los servidores MCP que permiten el acceso no autenticado.

Configure la integración de MCP

Después de preparar la configuración y las credenciales de autenticación del servidor MCP, cree la integración de MCP.

  1. En la consola Amazon Quick, selecciona Connectors.

  2. Selecciona la pestaña Crear para tu equipo.

  3. Busque y elija Model Context Protocol (MCP).

  4. En la página Crear integración, introduzca los detalles de la integración:

    • Nombre: un nombre descriptivo para la integración de MCP.

    • Descripción (opcional): el propósito de la integración.

    • Punto final del servidor MCP: la URL del servidor MCP.

    • Tipo de conexión: elija cómo se conecta Amazon Quick al servidor MCP:

      • Red pública: utilice esta opción para los servidores MCP a los que se puede acceder a través de Internet pública.

      • Una conexión de VPC con nombre: utilice esta opción para servidores MCP privados. El menú desplegable muestra las conexiones de VPC que están configuradas en tu cuenta de Amazon Quick. Elija la conexión que tiene acceso de red a su servidor MCP. Si no ve su conexión de VPC en la lista, confirme que esté completamente aprovisionada y activa. Para obtener más información, consulte Configuración de conexiones de VPC en Amazon Quick Sight.

  5. Elija Siguiente.

  6. Selecciona el método de autenticación (usuario, servicio o sin autenticación).

  7. Introduzca los detalles de configuración correspondientes.

  8. Seleccione Crear y continuar.

  9. Revise los detalles de la integración.

  10. Elija Siguiente.

  11. Comparta la integración con otros usuarios si es necesario.

Tras crear la integración de MCP, Amazon Quick descubre las herramientas disponibles y las registra como acciones.

Revise la integración

Después de configurar la autenticación, revise las capacidades de integración del MCP:

  1. El sistema se conecta al servidor MCP y descubre las capacidades disponibles.

  2. Revise la lista de acciones y tareas disponibles que proporciona el servidor MCP.

  3. Confirme la configuración y las capacidades de la integración.

Descubrimiento de capacidades

Durante el proceso de conexión que se describe enPrepare la configuración y la autenticación del servidor MCP, Amazon Quick también descubre y registra las herramientas que proporciona el servidor MCP. Una vez finalizada la detección, cada herramienta aparece como una acción que puede revisar y activar.

Gestione las integraciones de MCP

Para editar, compartir o eliminar su integración, consulte. Administrar las integraciones existentes

Resolución de problemas

Utilice las siguientes instrucciones para diagnosticar y resolver problemas habituales al crear o utilizar una integración de MCP en Amazon Quick.

Problemas de creación de conectores

  • El conector no se detecta, pero se produce un error al publicarlo Creation failed: este error suele indicar que una o más definiciones de herramientas de la tools/list respuesta del servidor MCP contienen una no válidainputSchema. Amazon Quick valida cada herramienta con JSON inputSchema Schema Draft 7 o una versión posterior durante la fase de publicación.

    La causa más común es la obsoleta sintaxis del Borrador 3, donde required hay un booleano dentro de la definición de una propiedad (por ejemplo,). "required": true En el borrador 7 del esquema de JSON y versiones posteriores, required debe haber una matriz de nombres de propiedades en la raíz del esquema, similar a una de ellas. properties

    Actualice las definiciones de las herramientas para utilizar el formato correcto y vuelva a implementar el servidor MCP. Tras volver a desplegarlo, elimine el conector defectuoso y cree uno nuevo para volver a activar la detección y la publicación.

    En el siguiente ejemplo, se muestra una sintaxis de Draft 3 incorrecta:

    {
  "type": "object",
  "properties": {
    "logNumber": {
      "type": "string",
      "description": "The permit log number",
      "required": true
    }
  }
}

    El siguiente ejemplo muestra la sintaxis correcta del Borrador 7:

    {
  "type": "object",
  "properties": {
    "logNumber": {
      "type": "string",
      "description": "The permit log number"
    }
  },
  "required": ["logNumber"]
}

    Algunas bibliotecas de marcos y generadores de código de MCP emiten la sintaxis del Borrador 3 de forma predeterminada. Consulte la documentación de su marco para ver la opción que selecciona la versión de salida del esquema JSON. También puede validar sus esquemas con cualquier validador de JSON Schema Draft 7 antes de implementarlos. Para obtener más información sobre inputSchema los requisitos, consulte las herramientas de la especificación del protocolo Model Context.

    También puede observar que la creación del conector se bloquea de dos a cinco minutos antes de que se produzca un error. El tiempo transcurrido refleja los reintentos internos durante la fase de publicación, no el tiempo de espera de la red. La solución es la misma: compruebe si las inputSchema definiciones de las herramientas cumplen con el borrador 7 del esquema JSON.

Problemas de conexión de VPC

  • La conexión de VPC no aparece en el menú desplegable Tipo de conexión o se produce un error al crear el MCP inmediatamente después de seleccionarlo. Es posible que la conexión de VPC aparezca en el menú desplegable antes de que se complete el aprovisionamiento. Espere a que la conexión de VPC aparezca como disponible en la página de administración de Amazon Quick antes de crear una integración de MCP con ella. Para obtener más información, consulte Configuración de conexiones de VPC en Amazon Quick Sight.

  • Se produce un error en la creación del MCP porque no se puede resolver el nombre de host del servidor MCP. Amazon Quick no utiliza el solucionador de DNS de VPC predeterminado para las integraciones de MCP. Debe rellenar el campo de puntos finales de la resolución de DNS de la conexión de VPC con las direcciones IP de los puntos de conexión entrantes de Route 53 Resolver que puedan resolver el nombre de host del servidor MCP. Este requisito se aplica tanto a los nombres de host privados como a los nombres de host públicos que desee resolver en una dirección privada desde la VPC, como los puntos de enlace ubicados frente a una zona alojada privada de AWS PrivateLink Route 53 o una zona alojada privada. Sin estos puntos finales de resolución, el nombre de host del servidor MCP no se puede resolver y se produce un error al crear la integración. Para obtener más información, consulte Configuración de conexiones de VPC en Amazon Quick Sight.

  • No se puede acceder al servidor MCP desde la conexión de VPC: el tráfico de Amazon Quick a su servidor MCP se origina en las subredes que seleccionó durante la configuración de la conexión de VPC. Confirme que las tablas de enrutamiento, las ACL de red y los grupos de seguridad permiten el tráfico entre esas subredes y el punto final del servidor MCP. Para obtener instrucciones generales sobre redes de VPC, consulte. Configuración de conexiones de VPC en Amazon Quick Sight

  • La autenticación falla cuando usa un servidor MCP privado: cuando se conecta a un servidor MCP privado a través de una conexión de VPC, los puntos finales de OAuth utilizados por el servidor MCP deben seguir siendo accesibles a través de la Internet pública. Esto se aplica tanto a la autenticación de usuarios (puntos finales de autorización y token) como a la autenticación de servicios (punto final simbólico). No se admiten los proveedores de OAuth privados. Confirme que las direcciones URL de OAuth que su servidor MCP devuelve en sus metadatos de recursos protegidos se resuelven a través de la Internet pública.

Problemas con Microsoft Entra ID

Si su servidor MCP usa Microsoft Entra ID como servidor de autorización, los siguientes errores son comunes durante la configuración del conector. Estos problemas se aplican tanto a las conexiones de redes públicas como a los servidores MCP privados a los que se accede a través de una conexión de VPC.

  • AADSTS9010010— el punto final de la versión 2.0 rechaza el parámetro de recurso: Amazon Quick envía un resource parámetro en las solicitudes de OAuth según lo exige la especificación MCP (RFC 8707). El punto de conexión Entra ID v2.0 rechaza las solicitudes que incluyen tanto un parámetro como valores. resource scope Para resolver este error, configura el registro de la aplicación para que utilice los puntos finales de OAuth Entra ID v1.0 y accessTokenAcceptedVersion establézcalos en el manifiesto de la aplicación. 2

  • AADSTS90009— la aplicación solicita un token para sí misma: cuando utilizas la autenticación de usuario (flujo de códigos de autorización) y el cliente OAuth y el recurso MCP se resuelven en la misma aplicación de Entra ID, Entra ID bloquea la solicitud. Cree dos registros de aplicaciones independientes: una aplicación cliente para Amazon Quick y una aplicación de recursos para el servidor MCP. Este problema no afecta a la autenticación del servicio (flujo de credenciales del cliente), donde funciona el registro de una sola aplicación.

Si encuentra un problema que no se haya descrito en las secciones anteriores, póngase en contacto con el equipo de AWS soporte a través de la consola Amazon Quick o del Centro de AWS soporte.

Limitaciones

Cuando utilice las integraciones de MCP en Amazon Quick, tenga en cuenta las siguientes limitaciones:

  • Las operaciones de MCP tienen un tiempo de espera fijo de 60 segundos. Las operaciones que superan este límite fallan automáticamente y se produce un error HTTP 424.

  • En el caso de los servidores MCP a los que se accede a través de una conexión de VPC, se debe poder acceder a los puntos finales de OAuth utilizados por el servidor MCP a través de la Internet pública. Esto se aplica tanto a la autenticación de usuarios como a la autenticación de servicios. No se admiten los proveedores de OAuth privados.

  • Los encabezados HTTP personalizados no se admiten en las operaciones de MCP. Solo se transmiten los encabezados del sistema estándar.

  • Las listas de herramientas permanecen estáticas después del registro inicial. Para detectar los cambios en las herramientas del servidor, debe eliminar la integración y volver a crearla.

  • Es posible que se produzca un error en la creación del conector si el URI de devolución de llamada de Amazon Quick no figura en la lista de permitidos de proveedores externos.

  • Los problemas de conectividad del servidor provocan un fallo inmediato sin necesidad de volver a intentarlo.

  • Step-up no se admite la autorización. Si un servidor MCP requiere ámbitos adicionales después de la autorización inicial (HTTP 403 coninsufficient_scope), debe volver a autorizar toda la conexión. Las actualizaciones incrementales de permisos no están disponibles.

  • El manejo del alcance tiene las siguientes limitaciones:

    • Amazon Quick no extrae el scope parámetro del WWW-Authenticate desafío 401 inicial del servidor. En su lugar, Amazon Quick determina los ámbitos a partir del documento de metadatos de recursos protegidos.

    • Cuando los metadatos no especifican los ámbitos admitidos, Amazon Quick aplica los ámbitos predeterminados en lugar de omitirlos. Este comportamiento puede provocar errores de autenticación en los servidores que no reconocen los ámbitos predeterminados.

  • Solo se admite el registro dinámico de clientes (DCR) para el registro automático de clientes. No se admiten los documentos de metadatos de ID de cliente.

  • Well-known La detección de URI utiliza únicamente la ruta raíz del servidor. Path-specific no se admiten las ubicaciones de metadatos (detección de inserciones de rutas). Esta limitación puede impedir que se descubran servidores que solo sirvan metadatos en URI de rutas específicas.