View a markdown version of this page

Connexion à des outils hébergés en privé - AWS DevOps Agent
Vue d'ensemble des connexions privéesCréation d'une connexion privéeUtiliser une connexion privée avec un fournisseur de fonctionnalitésVérifier une connexion privéeSupprimer une connexion privéeConfiguration avancée à l'aide des ressources VPC Lattice existantesRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion à des outils hébergés en privé

Vue d'ensemble des connexions privées

AWS DevOps L'agent peut être étendu à l'aide d'outils MCP (Model Context Protocol) personnalisés et d'autres intégrations qui permettent à l'agent d'accéder à des systèmes internes tels que des registres de packages privés, des plateformes d'observabilité auto-hébergées, de la documentation APIs interne et des instances de contrôle de source (voir :). Configuration des fonctionnalités de AWS DevOps l'agent Ces services s'exécutent souvent au sein d'un Amazon Virtual Private Cloud (Amazon VPC) avec un accès Internet public restreint ou inexistant, ce qui signifie que AWS DevOps l'agent ne peut pas les atteindre par défaut.

Les connexions privées pour AWS DevOps Agent vous permettent de connecter en toute sécurité votre espace agent aux services exécutés dans votre VPC sans les exposer à l'Internet public. Les connexions privées fonctionnent avec toute intégration qui doit atteindre un point de terminaison privé, y compris les serveurs MCP, les instances Grafana ou Splunk auto-hébergées et les systèmes de contrôle de source tels que GitHub Enterprise Server et Self-Managed. GitLab

Note

Si vos outils hébergés en privé envoient des demandes sortantes à l' AWS DevOps agent depuis votre VPC, ce trafic peut également être sécurisé à l'aide d'un point de terminaison VPC afin qu'il reste sur le réseau. AWS Par exemple, cela peut être utilisé avec des outils qui déclenchent l' DevOps agent via des événements webhook (voir :Invocation de DevOps l'agent via Webhook). Pour de plus amples informations, veuillez consulter Points de terminaison d'un VPC AWS PrivateLink.

Comment fonctionnent les connexions privées

Une connexion privée crée un chemin réseau sécurisé entre AWS DevOps l'agent et une ressource cible dans votre VPC. En arrière-plan, l' AWS DevOps agent utilise Amazon VPC Lattice pour établir ce chemin de connectivité privé sécurisé. VPC Lattice est un service de mise en réseau d'applications qui vous permet de connecter, de sécuriser et de surveiller les communications entre les applications VPCs, les comptes et les types de calcul, sans gérer l'infrastructure réseau sous-jacente.

Lorsque vous créez une connexion privée, les événements suivants se produisent :

  • Vous fournissez le VPC, les sous-réseaux et (éventuellement) les groupes de sécurité dotés d'une connectivité réseau avec votre service cible.

  • AWS DevOps L'agent crée une passerelle de ressources gérée par des services et provisionne ses interfaces réseau élastiques (ENIs) dans les sous-réseaux que vous avez spécifiés.

  • L'agent utilise la passerelle de ressources pour acheminer le trafic vers l'adresse IP ou le nom DNS de votre service cible via le chemin du réseau privé.

La passerelle de ressources est entièrement gérée par AWS DevOps l'Agent et apparaît sous forme de ressource en lecture seule dans votre compte (nomméeaidevops-{your-private-connection-name}). Vous n'avez pas besoin de le configurer ou de le maintenir. Les seules ressources créées dans votre VPC se trouvent ENIs dans les sous-réseaux que vous spécifiez. Ils ENIs servent de point d'entrée au trafic privé et sont entièrement gérés par le service. Ils n'acceptent pas les connexions entrantes en provenance d'Internet, et vous conservez le contrôle total de leur trafic par le biais de vos propres groupes de sécurité.

Sécurité

Les connexions privées sont conçues avec plusieurs niveaux de sécurité :

  • Aucune exposition à Internet public : tout le trafic entre AWS DevOps l'agent et votre service cible reste sur le AWS réseau. Votre service n'a jamais besoin d'une adresse IP publique ou d'une passerelle Internet.

  • Passerelle de ressources contrôlée par le service : la passerelle de ressources gérée par le service est en lecture seule dans votre compte. Il ne peut être utilisé que par AWS DevOps l'agent, et aucun autre service ou principal ne peut acheminer le trafic via celui-ci. Vous pouvez le vérifier dans les AWS CloudTrailjournaux, qui enregistrent tous les appels d'API VPC Lattice.

  • Vos groupes de sécurité, vos règles — Vous contrôlez le trafic entrant et sortant vers les groupes ENIs de sécurité que vous possédez et gérez. Si vous ne spécifiez aucun groupe de sécurité, AWS DevOps l'agent crée un groupe de sécurité par défaut limité aux ports que vous définissez.

  • Rôles liés à un service avec le moins de privilèges : AWS DevOps l'agent utilise un rôle lié à un service pour créer uniquement les ressources VPC Lattice et Amazon EC2 nécessaires. Ce rôle est limité aux ressources étiquetées avec AWSAIDevOpsManaged et ne peut accéder à aucune autre ressource de votre compte.

Note

Si votre organisation dispose de politiques de contrôle des services (SCPs) qui limitent les actions de l'API VPC Lattice, la passerelle de ressources gérée par les services est créée via un rôle lié à un service. Assurez-vous d' SCPs autoriser les actions nécessaires pour le rôle lié au service.

Architecture

Le schéma suivant montre le chemin réseau pour une connexion privée.

Dans cette architecture :

  • AWS DevOps L'agent lance une demande auprès de votre service cible.

  • Amazon VPC Lattice achemine la demande via la passerelle de ressources gérée par les services de votre VPC. Pour les configurations avancées utilisant vos propres ressources VPC Lattice, voir Configuration avancée à l'aide des ressources VPC Lattice existantes.

  • Un ENI de votre VPC reçoit le trafic et le transmet à l'adresse IP ou au nom DNS de votre service cible.

  • Vos groupes de sécurité déterminent le trafic autorisé via le ENIs.

  • Du point de vue de votre service cible, la demande provient d'adresses IP privées situées ENIs au sein de votre VPC.

Création d'une connexion privée

Vous pouvez créer une connexion privée à l'aide de la console AWS de gestion ou de la AWS CLI.

Note

Les zones de disponibilité suivantes ne sont pas prises en charge par VPC Lattice :use1-az3,,usw1-az2,apne1-az3,, apne2-az2euc1-az2,euw1-az4. cac1-az3 ilc1-az2

Conditions préalables

Avant de créer une connexion privée, vérifiez que vous disposez des éléments suivants :

  • Un espace agent actif : vous avez besoin d'un espace agent existant dans votre compte. Si vous n'en avez pas, veuillez consulter Commencer à utiliser AWS DevOps Agent.

  • Un service cible accessible de manière privée : votre serveur MCP, votre plateforme d'observabilité ou tout autre service doit être accessible via une adresse IP privée ou un nom DNS connu depuis le VPC sur lequel la passerelle de ressources est déployée. Le service peut s'exécuter dans le même VPC, un VPC pair ou sur site, à condition qu'il soit routable à partir des sous-réseaux de la passerelle de ressources. Le service doit desservir le trafic HTTPS avec une version TLS minimale de 1.2 sur un port que vous spécifiez lors de la création de la connexion.

  • Sous-réseaux de votre VPC : identifiez 1 à 20 sous-réseaux dans lesquels ENIs ils seront créés. Nous vous recommandons de sélectionner des sous-réseaux dans plusieurs zones de disponibilité pour une haute disponibilité. Ces sous-réseaux doivent disposer d'une connectivité réseau avec votre service cible. Un sous-réseau par zone de disponibilité peut être utilisé par VPC Lattice.

  • (Facultatif) Groupes de sécurité — Si vous souhaitez contrôler le trafic à l'aide de règles spécifiques, préparez jusqu'à cinq groupes IDs de sécurité à associer au ENIs. Si vous omettez les groupes de sécurité, AWS DevOps l'agent crée un groupe de sécurité par défaut.

Les connexions privées sont des ressources au niveau du compte. Après avoir créé une connexion privée, vous pouvez la réutiliser dans plusieurs intégrations et espaces d'agent qui doivent atteindre le même hôte.

Création d'une connexion privée à l'aide de la console

  1. Ouvrez la console de AWS DevOps l'agent.

  2. Dans le volet de navigation, choisissez Capability providers, puis Private connections.

  3. Choisissez Créer une nouvelle connexion.

  4. Dans Nom, entrez un nom descriptif pour la connexion, tel quemy-mcp-tool-connection.

  5. Pour le VPC, sélectionnez le VPC sur lequel la passerelle ENIs de ressources sera déployée.

  6. Pour les sous-réseaux, sélectionnez un ou plusieurs sous-réseaux (jusqu'à 20). Nous vous recommandons de choisir des sous-réseaux dans au moins deux zones de disponibilité.

  7. Pour le type d'adresse IP, sélectionnez le type d'adresse IP de votre service cible (IPv4,IPv6, ouDualStack).

  8. (Facultatif) Pour Nombre d' IPv4 adresses, si vous avez sélectionné IPv4 Dualstack pour le type d'adresse IP, vous pouvez saisir le nombre d' IPv4 adresses par ENI pour votre passerelle de ressources. La valeur par défaut est de 16 IPv4 adresses par ENI.

  9. (Facultatif) Pour les groupes de sécurité, sélectionnez les groupes de sécurité existants (jusqu'à 5) afin de limiter le trafic autorisé à atteindre votre service cible. Si vous n'en sélectionnez aucun, un groupe de sécurité par défaut est créé.

  10. (Facultatif) Pour les plages de ports, spécifiez les ports TCP que votre application cible écoute (par exemple, 443 ou8080-8090). Vous pouvez spécifier jusqu'à 11 plages de ports.

  11. Pour Adresse de l'hôte, entrez l'adresse IP ou le nom DNS de votre service cible (par exemple, mcp.internal.example.com ou10.0.1.50). Le service doit être accessible depuis le VPC sélectionné. Si vous choisissez un nom DNS, il doit pouvoir être résolu à partir du VPC sélectionné.

  12. (Facultatif) Pour la clé publique du certificat, si l'adresse d'hôte que vous avez spécifiée utilise des certificats TLS émis par une autorité de certification privée, entrez la clé publique codée PEM du certificat. Cela permet à AWS DevOps l'agent de faire confiance à la connexion TLS à votre service cible.

  13. Choisissez Créer une connexion.

L'état de la connexion passe à Créer en cours. Ce processus peut prendre jusqu'à 10 minutes. Lorsque le statut passe à Actif, le chemin réseau est prêt.

Si le statut passe à l'état « échec de la création », vérifiez les points suivants :

  • Les sous-réseaux que vous avez spécifiés ont des adresses IP disponibles.

  • Votre compte n'a pas atteint les quotas de service VPC Lattice.

  • Aucune politique IAM restrictive n'empêche le rôle lié au service de créer des ressources.

Note

Ces étapes peuvent également être effectuées en sélectionnant un fournisseur de capacités Create a new private connection lors de l'enregistrement. Pour plus d'informations, voir Utiliser une connexion privée avec un fournisseur de fonctionnalités.

Création d'une connexion privée à l'aide de la AWS CLI

Exécutez la commande suivante pour créer une connexion privée. Remplacez les valeurs de l'espace réservé par les vôtres.

aws devops-agent create-private-connection \
    --name my-mcp-tool-connection \
    --mode '{
        "serviceManaged": {
            "hostAddress": "mcp.internal.example.com",
            "vpcId": "vpc-0123456789abcdef0",
            "subnetIds": [
                "subnet-0123456789abcdef0",
                "subnet-0123456789abcdef1"
            ],
            "securityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "portRanges": ["443"]
        }
    }'

La réponse inclut le nom de la connexion et le statut suivant CREATE_IN_PROGRESS :

{
    "name": "my-mcp-tool-connection",
    "status": "CREATE_IN_PROGRESS",
    "resourceGatewayId": "rgw-0123456789abcdef0",
    "hostAddress": "mcp.internal.example.com",
    "vpcId": "vpc-0123456789abcdef0"
}

Pour vérifier l'état de la connexion, utilisez la describe-private-connection commande suivante :

aws devops-agent describe-private-connection \
    --name my-mcp-tool-connection

Lorsque le statut est définiACTIVE, votre connexion privée est prête à être utilisée.

Utiliser une connexion privée avec un fournisseur de fonctionnalités

Pour utiliser une connexion privée, vous pouvez créer un lien vers celle-ci lors de l'enregistrement d'un fournisseur de fonctionnalités. Les fonctionnalités prises en charge qui peuvent être utilisées avec des connexions privées sont les suivantes : GitHub GitLabMCP Server,, etGrafana. Vous pouvez effectuer cette étape à l'aide de la console AWS de gestion ou de la AWS CLI.

Note

Lors de l'enregistrement d'un fournisseur de fonctionnalités, AWS DevOps l'agent vérifie que le point de terminaison est accessible et répond. Assurez-vous que votre service cible fonctionne et accepte les connexions avant de terminer l'enregistrement.

Utiliser une connexion privée avec un fournisseur de fonctionnalités à l'aide de la console

Dans la console de l' AWS DevOps agent, les connexions privées peuvent être liées à une fonctionnalité lors de l'enregistrement en sélectionnant l'option « Se connecter au point de terminaison à l'aide d'une connexion privée ».

  1. Ouvrez la console de l' AWS DevOps agent et accédez à votre espace agent.

  2. Dans la section Fournisseurs de capacités, choisissez Registration.

  3. Sélectionnez Enregistrer pour le type de fonctionnalité que vous souhaitez utiliser avec la connexion privée.

  4. Dans la vue des détails de l'enregistrement, entrez l'URL du point de terminaison auquel vous souhaitez vous connecter à l'aide de la connexion privée (par exemple,https://mcp.internal.example.com).

  5. Sélectionnez Se connecter au point de terminaison à l'aide d'une connexion privée.

  6. Sélectionnez une connexion privée existante qui correspond à l'URL du point de terminaison auquel vous souhaitez vous connecter, ou sélectionnez Créer une nouvelle connexion privée pour en créer une.

  7. Terminez le processus d'enregistrement pour le fournisseur de capacités.

Note

Lorsque vous sélectionnez une connexion privée pour un fournisseur de fonctionnalités qui utilise l' OAuth authentification (informations d'identification du client ou 3LO), la connexion privée s'applique à la fois au point de terminaison du fournisseur de fonctionnalités et au point de terminaison d'échange de jetons. Assurez-vous que la connexion privée est configurée avec une adresse hôte capable d'acheminer le trafic vers les deux points de terminaison.

Utiliser une connexion privée avec un fournisseur de capacités à l'aide de la AWS CLI

Vous pouvez enregistrer des fonctionnalités avec une connexion privée en incluant l'private-connection-nameargument. Vous trouverez ci-dessous un exemple d'enregistrement d'un serveur MCP avec une autorisation par clé d'API à l'aide de la connexion my-mcp-tool-connection privée. Remplacez les valeurs de l'espace réservé par les vôtres.

aws devops-agent register-service \
    --service mcpserver \
    --private-connection-name my-mcp-tool-connection \
    --service-details '{
        "mcpserver": {
            "name": "my-mcp-tool",
            "endpoint": "https://mcp.internal.example.com",
            "authorizationConfig": {
                "apiKey": {
                    "apiKeyName": "api-key",
                    "apiKeyValue": "secret-value",
                    "apiKeyHeader": "x-api-key"
                }
            }
        }
    }' \
    --region us-east-1

Vérifier une connexion privée

Une fois que la connexion privée a atteint l'état Active et a été utilisée par un fournisseur de fonctionnalités, vérifiez que AWS DevOps l'agent peut atteindre votre service cible :

  1. Ouvrez la console de l' AWS DevOps agent et accédez à votre espace agent.

  2. Démarrez une nouvelle session de chat.

  3. Appelez une commande qui utilise l'intégration soutenue par votre connexion privée. Par exemple, si votre outil MCP donne accès à une base de connaissances interne, posez à l'agent une question qui nécessite cette base de connaissances.

  4. Vérifiez que l'agent renvoie les résultats du service privé.

Si la connexion échoue, vérifiez les points suivants :

  • Limites du réseau VPC : vérifiez que vous n'avez atteint aucune passerelle de ressources ni aucune autre limite de quota du réseau VPC

  • Règles relatives aux groupes de sécurité : vérifiez que les groupes de sécurité attachés au ENIs réseau autorisent le trafic sortant sur le port sur lequel votre service écoute. Vérifiez également que le groupe de sécurité de votre service autorise le trafic entrant sur le port cible. Le trafic arrive du plan de données VPC Lattice dans la plage de IPs votre VPC CIDR. Vous pouvez utiliser le référencement du groupe de sécurité (en autorisant le groupe de sécurité ENI comme source) ou autoriser le trafic entrant depuis le CIDR VPC.

  • Connectivité des sous-réseaux : vérifiez que les sous-réseaux que vous avez sélectionnés peuvent acheminer le trafic vers votre service. Si le service s'exécute dans un sous-réseau différent, vérifiez que les tables de routage autorisent le trafic entre elles.

  • Disponibilité du service — Vérifiez que votre service fonctionne et accepte les connexions sur le port prévu.

  • Zone de disponibilité non prise en charge : vérifiez que vos sous-réseaux se trouvent dans des zones de disponibilité prises en charge. Exécutez aws ec2 describe-subnets --subnet-ids <your-subnet-ids> --query 'Subnets[*].[SubnetId,AvailabilityZoneId]' et vérifiez par rapport aux zones de disponibilité non prises en charge répertoriées ci-dessus.

Supprimer une connexion privée

Vous pouvez supprimer les connexions privées non utilisées à l'aide de la console AWS de gestion ou de la AWS CLI.

Supprimer une connexion privée à l'aide de la console

  1. Ouvrez la console de AWS DevOps l'agent.

  2. Dans le volet de navigation, choisissez Capability providers, puis Private connections.

  3. Sélectionnez le menu Actions pour la connexion privée que vous souhaitez supprimer, puis sélectionnez Supprimer.

La connexion privée sera affichée avec le statut « Suppression de la connexion » pendant que l' AWS DevOps agent supprime la passerelle de ressources gérées et ENIs de votre VPC. Une fois la suppression terminée, la connexion n'apparaît plus dans votre liste de connexions privées.

Supprimer une connexion privée à l'aide de la AWS CLI

aws devops-agent delete-private-connection \
    --name my-mcp-tool-connection

La réponse renvoie un statut deDELETE_IN_PROGRESS. AWS DevOps L'agent supprime la passerelle de ressources gérées et la supprime ENIs de votre VPC. Une fois la suppression terminée, la connexion n'apparaît plus dans votre liste de connexions privées.

Configuration avancée à l'aide des ressources VPC Lattice existantes

Si votre organisation utilise déjà Amazon VPC Lattice et gère ses propres configurations de ressources, vous pouvez créer une connexion privée en mode autogéré. Au lieu de demander à AWS DevOps l'agent de créer une passerelle de ressources pour vous, vous fournissez le nom de ressource Amazon (ARN) d'une configuration de ressources existante qui pointe vers votre service cible.

Cette approche est utile lorsque vous :

  • Vous souhaitez avoir un contrôle total sur la passerelle de ressources et le cycle de vie de configuration des ressources.

  • Nécessité de partager les configurations de ressources entre plusieurs AWS comptes ou services.

  • Exigez des journaux d'accès VPC Lattice pour une surveillance détaillée du trafic.

  • Exécutez une architecture hub-and-spoke réseau.

Pour créer une connexion privée autogérée avec la AWS CLI :

aws devops-agent create-private-connection \
    --name my-advanced-connection \
    --mode '{
        "selfManaged": {
            "resourceConfigurationId": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0123456789abcdef0"
        }
    }'

Pour plus de détails sur la configuration des passerelles de ressources VPC Lattice et des configurations de ressources, consultez le guide de l'utilisateur Amazon VPC Lattice.