**Aidez à améliorer cette page**
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencer à utiliser le serveur Amazon EKS MCP
Ce guide explique les étapes de configuration et d'utilisation du serveur EKS MCP avec vos assistants de code AI. Vous apprendrez à configurer votre environnement, à vous connecter au serveur et à commencer à gérer vos clusters EKS par le biais d'interactions en langage naturel.
**Note**
Le serveur Amazon EKS MCP est en version préliminaire pour Amazon EKS et est sujet à modification.
## Conditions préalables
Avant de commencer, assurez-vous d’avoir effectué les tâches suivantes :
+ [Créez un AWS compte avec accès à Amazon EKS](https://aws.amazon.com/resources/create-account/)
+ [Installation et configuration de la AWS CLI avec des informations d'identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ [Installez Python 3.10\+](https://www.python.org/downloads/release/python-3100/)
+ [Installer `uv`](https://docs.astral.sh/uv/getting-started/installation/)
## Configuration
### 1. Vérifiez les conditions préalables
```
# Check that your Python version is 3.10 or higher
python3 --version
# Check uv installation
uv --version
# Verify CLI configuration
aws configure list
```
### 2. Configuration des autorisations IAM
Pour vous connecter au serveur EKS MCP, votre [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) doit être associé aux politiques suivantes : **`eks-mcp:InvokeMcp`**(autorisations requises pour l'initialisation et la récupération d'informations sur les outils disponibles), **`eks-mcp:CallReadOnlyTool`**(autorisations requises pour l'utilisation des outils en lecture seule) et **`eks-mcp:CallPrivilegedTool`**(autorisations requises pour l'utilisation des outils d'accès complet (écriture)). Ces `eks-mcp` autorisations sont incluses dans les politiques AWS gérées en lecture seule et en accès complet fournies ci-dessous.
+ Ouvrez la [console IAM](https://console.aws.amazon.com/iam/).
+ Dans le volet de navigation de gauche, choisissez **Utilisateurs**, **Groupes d'utilisateurs** ou **Rôles** en fonction de l'identité à laquelle vous souhaitez associer la politique, puis du nom de l'utilisateur, du groupe ou du rôle spécifique.
+ Sélectionnez l’onglet **Autorisations**.
+ Choisissez **Joindre des politiques** (ou **Ajouter des autorisations** si c'est la première fois).
+ Dans la liste des politiques, recherchez et sélectionnez la stratégie gérée que vous souhaitez associer :
+ **Read-only opérations** : AmazonEKSMCPReadOnlyAccess
+ Choisissez **Joindre des politiques** (ou **Suivant**, puis **Ajouter des autorisations** pour confirmer).
Cela joint la politique et les autorisations prennent effet immédiatement. Vous pouvez associer plusieurs politiques à la même identité, chacune pouvant contenir différentes autorisations. Pour en savoir plus sur ces politiques, consultez les [politiques AWS gérées pour Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/security-iam-awsmanpol.html).
### 3. Choisissez un assistant IA
Choisissez l'un des assistants MCP-compatible IA suivants ou n'importe quel MCP-compatible outil :
+ [Installation de la CLI Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html)
+ [Installez Kiro](https://kiro.dev/docs/getting-started/installation/)
+ [Installer Cursor](https://cursor.com/download)
+ [Installez l'extension de code Cline VS](https://marketplace.visualstudio.com/items?itemName=saoudrizwan.claude-dev)
## Étape 1 : configurer votre assistant AI
Choisissez l'une des options suivantes pour configurer votre assistant de code AI. L'exécution de cette étape configure votre assistant de code AI pour qu'il utilise le proxy MCP pour AWS, qui est requis pour un accès sécurisé et authentifié au serveur MCP Amazon EKS. Cela implique d'ajouter ou de modifier le fichier de configuration MCP (par exemple, `~/.aws/amazonq/mcp.json` pour Amazon Q Developer CLI). Le proxy agit comme un pont côté client, gérant l'authentification AWS SigV4 à l'aide de vos informations d' AWS identification locales et permettant la découverte dynamique d'outils pour interagir avec les serveurs MCP principaux tels que le serveur AWS MCP EKS. Pour en savoir plus, consultez le [https://github.com/aws/mcp-proxy-for-aws](https://github.com/aws/mcp-proxy-for-aws).
### Option A : Amazon Q Developer CLI
La CLI Q Developer fournit l'expérience la plus intégrée possible avec le serveur EKS MCP.
#### 1. Localiser le fichier de configuration MCP
+ **macOS/Linux**: `~/.aws/q/mcp.json`
+ **Windows** : `%USERPROFILE%\.aws\q\mcp.json`
#### 2. Ajouter une configuration de serveur MCP
Créez le fichier de configuration s'il n'existe pas. Assurez-vous de remplacer l'espace réservé à la région (`{region}`) par la région de votre choix.
**Pour Mac/Linux :**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Pour Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Remarque de sécurité** : `--read-only` peut être utilisé pour autoriser uniquement les opérations d'outil en lecture seule.
#### 3. Vérifier la configuration
Redémarrez Q Developer CLI, puis vérifiez les outils disponibles :
```
q /tools
```
### Option B : Kiro IDE
Kiro est un espace de travail AI-first de codage doté d'un support [MCP](https://kiro.dev/docs/mcp/) intégré.
#### 1. Ouvrez les paramètres Kiro
+ Ouvrez Kiro
+ Accédez à **Kiro** → **Paramètres** et recherchez « MCP Config »
+ Ou appuyez sur `Cmd+Shift+P,` (Mac) ou `Ctrl+Shift+P,` (Windows/Linux) et recherchez « MCP Config »
#### 2. Ajouter une configuration de serveur MCP
+ Cliquez sur « Open Workspace MCP Config » ou « Open User MCP Config » pour modifier directement le fichier de configuration MCP.
Assurez-vous de remplacer l'espace réservé à la région (`{region}`) par la région de votre choix.
**Pour Mac/Linux :**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Pour Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Remarque de sécurité** : `--read-only` peut être utilisé pour autoriser uniquement les opérations d'outil en lecture seule.
### Option C : IDE du curseur
Cursor fournit un support MCP intégré avec une interface de configuration graphique.
#### 1. Ouvrir les paramètres du curseur
+ Ouvrir le curseur
+ Accédez à **Paramètres → Paramètres** **du curseur** → **Outils et MCP**
+ Ou appuyez sur `Cmd+Shift+P` (Mac)/`Ctrl+Shift+P`(Windows) et recherchez « MCP »
#### 2. Ajouter une configuration de serveur MCP
+ Cliquez sur « Nouveau serveur MCP »
Créez le fichier de configuration s'il n'existe pas. Assurez-vous de remplacer l'espace réservé à la région (`{region}`) par la région de votre choix.
**Pour Mac/Linux :**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Pour Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Remarque de sécurité** : `--read-only` peut être utilisé pour autoriser uniquement les opérations d'outil en lecture seule.
#### 3. Redémarrer le curseur
Fermez puis rouvrez le curseur pour que les modifications prennent effet.
#### 4. Vérifier dans le chat Cursor
Ouvrez le panneau de discussion et essayez :
```
What EKS MCP tools are available?
```
Vous devriez voir la liste des outils de gestion EKS disponibles.
### Option D : Cline (extension de code VS)
Cline est une extension VS Code populaire qui apporte l'assistance de l'IA directement dans votre éditeur.
#### 1. Ouvrez les paramètres de Cline
+ Ouvrez Cline
+ Appuyez sur `Cmd+Shift+P` (Mac)/`Ctrl+Shift+P`(Windows) et recherchez « MCP »
#### 2. Ajouter une configuration de serveur MCP
+ Cliquez sur « Ajouter un serveur »
+ Cliquez sur « Ouvrir la configuration utilisateur »
Créez le fichier de configuration s'il n'existe pas. Assurez-vous de remplacer l'espace réservé à la région (`{region}`) par la région de votre choix.
**Pour Mac/Linux :**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Pour Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Remarque de sécurité** : `--read-only` peut être utilisé pour autoriser uniquement les opérations d'outil en lecture seule.
#### 3. Recharger le code VS
Appuyez sur`Cmd+Shift+P`/`Ctrl+Shift+P`et sélectionnez « Développeur : recharger la fenêtre »
#### 4. Vérifier la configuration
Ouvrez Cline et demandez :
```
List the available MCP tools for EKS
```
## Étape 2 : (Facultatif) Créez une politique « d'écriture »
Vous pouvez éventuellement créer une [politique IAM gérée par le client](https://docs.aws.amazon.com/privateca/latest/userguide/auth-CustManagedPolicies.html) qui fournit un accès complet au serveur Amazon EKS MCP. Cette politique accorde des autorisations pour utiliser tous les outils du serveur EKS MCP, y compris les outils privilégiés qui peuvent impliquer des opérations d'écriture et les outils en lecture seule. **Notez que les autorisations à haut risque (toutes les autorisations associées à la fonction Delete\* ou à une ressource IAM illimitée) sont incluses dans cette politique, car elles sont requises pour les ressources setup/teardown du cluster dans l'outil manage\_eks\_stacks.**
```
aws iam create-policy \
--policy-name EKSMcpWriteManagementPolicy \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"eks:DescribeCluster\", \"eks:ListClusters\", \"eks:DescribeNodegroup\", \"eks:ListNodegroups\", \"eks:DescribeAddon\", \"eks:ListAddons\", \"eks:DescribeAccessEntry\", \"eks:ListAccessEntries\", \"eks:DescribeInsight\", \"eks:ListInsights\", \"eks:AccessKubernetesApi\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"eks:CreateCluster\", \"eks:DeleteCluster\", \"eks:CreateAccessEntry\", \"eks:TagResource\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:GetRole\", \"iam:ListRolePolicies\", \"iam:ListAttachedRolePolicies\", \"iam:GetRolePolicy\", \"iam:GetPolicy\", \"iam:GetPolicyVersion\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:TagRole\", \"iam:CreateRole\", \"iam:AttachRolePolicy\", \"iam:PutRolePolicy\", \"iam:DetachRolePolicy\", \"iam:DeleteRole\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:PassRole\"], \"Resource\": \"*\", \"Condition\": {\"StringEquals\": {\"iam:PassedToService\": [\"eks.amazonaws.com\", \"ec2.amazonaws.com\"]}}}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:CreateVpc\", \"ec2:CreateSubnet\", \"ec2:CreateRouteTable\", \"ec2:CreateRoute\", \"ec2:CreateInternetGateway\", \"ec2:CreateNatGateway\", \"ec2:CreateSecurityGroup\", \"ec2:AttachInternetGateway\", \"ec2:AssociateRouteTable\", \"ec2:ModifyVpcAttribute\", \"ec2:ModifySubnetAttribute\", \"ec2:AllocateAddress\", \"ec2:CreateTags\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:DeleteVpc\", \"ec2:DeleteSubnet\", \"ec2:DisassociateRouteTable\", \"ec2:DeleteRouteTable\", \"ec2:DeleteRoute\", \"ec2:DetachInternetGateway\", \"ec2:DeleteInternetGateway\", \"ec2:DeleteNatGateway\", \"ec2:ReleaseAddress\", \"ec2:DeleteSecurityGroup\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:DescribeVpcs\", \"ec2:DescribeSubnets\", \"ec2:DescribeRouteTables\", \"ec2:DescribeInternetGateways\", \"ec2:DescribeNatGateways\", \"ec2:DescribeAddresses\", \"ec2:DescribeSecurityGroups\", \"ec2:DescribeAvailabilityZones\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"cloudformation:CreateStack\", \"cloudformation:UpdateStack\", \"cloudformation:DeleteStack\", \"cloudformation:DescribeStacks\", \"cloudformation:TagResource\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"sts:GetCallerIdentity\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"logs:StartQuery\", \"logs:GetQueryResults\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"cloudwatch:GetMetricData\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"eks-mcp:*\"], \"Resource\": \"*\"}]}"
```
## Étape 3 : vérifier votre configuration
### Tester la connexion
Posez une simple question à votre assistant IA pour vérifier la connexion :
```
List all EKS clusters in my {aws} account
```
Vous devriez voir la liste de vos clusters EKS.
## Étape 4 : Exécutez vos premières tâches
### Exemple 1 : Explorez vos clusters
```
Show me all EKS clusters and their status
What insights does EKS have about my production-cluster?
Show me the VPC configuration for my staging cluster
```
### Exemple 2 : vérifier les ressources Kubernetes
```
Get the details of all the kubernetes resources deployed in my EKS cluster
Show me pods that are not in Running state or pods with any restarts
Get the logs from the aws-node daemonset in the last 30 minutes
```
### Exemple 3 : résolution des problèmes
```
Why is my nginx-ingress-controller pod failing to start?
Search the EKS troubleshooting guide for pod networking issues
Show me events related to the failed deployment in the staging namespace
```
### Exemple 4 : Création de ressources (si le mode « écriture » est activé)
```
Create a new EKS cluster named demo-cluster with VPC and Auto Mode
Deploy my containerized app from ECR to the production namespace with 3 replicas
Generate a Kubernetes deployment YAML for my Node.js app running on port 3000
```
## Configurations courantes
### Scénario 1 : AWS profils multiples
Si vous travaillez avec plusieurs AWS comptes, créez des configurations de serveur MCP distinctes.
**Pour Mac/Linux :**
```
{
"mcpServers": {
"eks-mcp-prod": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2"
]
},
"eks-mcp-dev": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
**Pour Windows:**
```
{
"mcpServers": {
"eks-mcp-prod": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2"
]
},
"eks-mcp-dev": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
### Scénario 2 : Read-only pour la production
Créez une configuration en lecture seule pour les environnements de production.
**Pour Mac/Linux :**
```
{
"mcpServers": {
"eks-mcp-prod-readonly": {
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2",
"--read-only"
],
"autoApprove": [
"list_k8s_resources",
"get_pod_logs",
"get_k8s_events"
]
}
}
}
```
**Pour Windows:**
```
{
"mcpServers": {
"eks-mcp-prod-readonly": {
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2",
"--read-only"
],
"autoApprove": [
"list_k8s_resources",
"get_pod_logs",
"get_k8s_events"
]
}
}
}
```
### Scénario 3 : Développement avec accès complet
Pour les environnements de développement dotés d'un accès complet en écriture.
**Pour Mac/Linux :**
```
{
"mcpServers": {
"eks-mcp-dev-full": {
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
**Pour Windows:**
```
{
"mcpServers": {
"eks-mcp-dev-full": {
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
## Considérations
### Sécurité
Ne transmettez pas de secrets ou d'informations sensibles par le biais de mécanismes de saisie autorisés :
+ N'incluez pas de secrets ou d'informations d'identification dans les fichiers YAML appliqués avec apply\_yaml.
+ Ne transmettez pas d'informations sensibles directement dans l'invite au modèle.
+ N'incluez pas de secrets dans les CloudFormation modèles ou les manifestes d'applications.
+ Évitez d'utiliser les outils MCP pour créer des secrets Kubernetes, car cela nécessiterait de fournir les données secrètes au modèle.
+ Évitez de consigner des informations sensibles dans les journaux d'applications des pods Kubernetes.
Sécurité du contenu YAML :
+ N'utilisez que des fichiers YAML provenant de sources fiables.
+ Le serveur s'appuie sur la validation de l'API Kubernetes pour le contenu YAML et n'effectue pas sa propre validation.
+ Auditez les fichiers YAML avant de les appliquer à votre cluster.
Au lieu de transmettre des secrets via MCP :
+ Utilisez [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) ou [Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) pour stocker des informations sensibles.
+ Configurez le RBAC Kubernetes approprié pour les comptes de service.
+ Utilisez les rôles IAM pour les comptes de service (IRSA) pour accéder aux AWS services depuis les pods.
Rédaction de données sensibles :
+ Le serveur EKS MCP expédie automatiquement les modèles courants pour les jetons de sécurité, les certificats et autres informations sensibles dans les réponses des outils.
+ Les valeurs expurgées sont remplacées par `HIDDEN_FOR_SECURITY_REASONS` pour éviter d'exposer accidentellement les données au modèle.
+ Cette rédaction s'applique à toutes les réponses des outils, y compris les journaux, les descriptions des ressources et les données de configuration.
## Prochaine étape
Pour les options de configuration, voir[Référence de configuration du serveur Amazon EKS MCP](eks-mcp-tool-configurations.md). Pour une liste complète des outils, voir[Référence des outils du serveur Amazon EKS MCP](eks-mcp-tools.md).