View a markdown version of this page

Connessione dei server MCP - AWS DevOps Agente
RequisitiConsiderazioni relative alla sicurezzaRegistrazione di un server MCP (a livello di account)Configurazione degli strumenti MCP in un Agent SpaceGestione delle connessioni al server MCPCreazione di un ruolo IAM per l'autenticazione SigV4Argomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione dei server MCP

I server Model Context Protocol (MCP) estendono le capacità di indagine di AWS DevOps Agent fornendo l'accesso ai dati provenienti da strumenti di osservabilità esterni, sistemi di monitoraggio personalizzati e fonti di dati operative. Questa guida spiega come connettere un server MCP ad Agent. AWS DevOps

Requisiti

Prima di connettere un server MCP, assicuratevi che il server soddisfi questi requisiti:

  • Protocollo di trasporto HTTP Streamable: sono supportati solo i server MCP che implementano il protocollo di trasporto HTTP Streamable.

  • Supporto per l'autenticazione: il server MCP deve supportare uno dei seguenti metodi di autenticazione: OAuth 2.0 (Client Credentials o 3LO), autenticazione basata su chiave API/token o Signature Version 4 (SIGv4). AWS

Considerazioni relative alla sicurezza

Quando connetti i server MCP ad Agent, considera questi aspetti di sicurezza: AWS DevOps

Si noti che la lunghezza massima dell'utensile MCP è 64.

  • Rischi di iniezione rapida: i server MCP personalizzati possono comportare un ulteriore rischio di attacchi di iniezione rapida. Per ulteriori informazioni, vedere Prompt injection protection: AWS DevOps Agent Security.

  • Strumenti e accesso di sola lettura: consente solo gli strumenti MCP di sola lettura e garantisce che alle credenziali di autenticazione sia consentito solo l'accesso in sola lettura.

AWS DevOps Sicurezza degli agentiPer ulteriori informazioni sulla pronta iniezione e sul modello di responsabilità condivisa, vedere.

Nota

Se il server MCP si trova su una rete privata, vedere Connessione a strumenti ospitati privatamente

Registrazione di un server MCP (a livello di account)

I server MCP sono registrati a livello di AWS account e condivisi tra tutti gli Agent Spaces di quell'account. I singoli Agent Spaces possono quindi scegliere gli strumenti specifici di cui hanno bisogno da ciascun server MCP.

Fase 1: Dettagli del server MCP

  1. Accedere alla console di AWS gestione

  2. Vai alla console dell' AWS DevOps agente

  3. Vai alla pagina Capability Provider (accessibile dalla barra di navigazione laterale)

  4. Trova MCP Server nella sezione Provider disponibili e fai clic su Registra

  5. Nella pagina dei dettagli del server MCP, inserite le seguenti informazioni:

    • Nome: immettete un nome descrittivo per il server MCP

    • URL dell'endpoint: immettete l'URL HTTPS completo dell'endpoint del server MCP

    • Descrizione (opzionale): aggiungi una descrizione per aiutare a identificare lo scopo del server

    • Abilita la registrazione dinamica del client: selezionare questa casella di controllo se si desidera consentire all' AWS DevOps agente di registrarsi automaticamente sul server di autorizzazione del server MCP

    • Connetti all'endpoint utilizzando una connessione privata: seleziona questa casella di controllo se desideri che AWS DevOps l'agente effettui richieste al tuo server MCP in privato. È possibile selezionare una connessione privata esistente o crearne una nuova. Se si utilizza l' OAuth autenticazione, la connessione privata si applica sia all'endpoint del server MCP che all'endpoint di scambio di token. Assicurati che la connessione privata sia configurata con un indirizzo host in grado di indirizzare il traffico verso entrambi gli endpoint. Per ulteriori informazioni, consulta Connessione a strumenti ospitati privatamente.

  6. Fai clic su Avanti

Nota

L'URL dell'endpoint del server MCP verrà visualizzato nei AWS CloudTrail log del tuo account.

Fase 2: Flusso di autorizzazione

Seleziona il metodo di autenticazione per il tuo server MCP:

OAuth Credenziali client: se il server MCP utilizza il flusso OAuth Client Credentials:

  1. Seleziona Credenziali client OAuth

  2. Fai clic su Avanti

OAuth 3LO (Three-Legged OAuth): se il server MCP utilizza OAuth 3LO per l'autenticazione:

  1. Seleziona 3LO OAuth

  2. Fai clic su Avanti

Chiave API: se il server MCP utilizza l'autenticazione tramite chiave API:

  1. Seleziona la chiave API

  2. Fai clic su Avanti

AWS SigV4 — Se il server MCP utilizza l'autenticazione AWS Signature Version 4:

  1. AWS Seleziona SigV4

  2. Fai clic su Avanti

Fase 3: Configurazione dell'autorizzazione

Configura parametri di autorizzazione aggiuntivi in base al metodo di autenticazione selezionato:

Per le credenziali OAuth del client:

  1. ID cliente: immettere l'ID client del OAuth client

  2. Segreto del cliente: immettere il segreto del OAuth client

  3. URL di scambio: immettere l'URL dell'endpoint di scambio di OAuth token

  4. Parametri di Exchange: OAuth immettete i parametri di scambio di token per l'autenticazione con il servizio

  5. Aggiungi ambito: aggiunge OAuth ambiti per l'autenticazione

  6. Fai clic su Avanti

Per OAuth 3LO:

  1. ID client: immettere l'ID client del OAuth client

  2. Segreto del cliente: inserisci il segreto del OAuth cliente, se richiesto dal OAuth cliente

  3. URL di Exchange: inserisci l'URL dell'endpoint di scambio di OAuth token

  4. URL di autorizzazione: inserisci l'URL dell'endpoint di OAuth autorizzazione

  5. Code Challenge Support: seleziona questa casella di controllo se il tuo OAuth client supporta Code Challenge

  6. Aggiungi ambito: aggiungi OAuth ambiti per l'autenticazione

  7. Fai clic su Avanti

Per API Key:

  1. Inserisci il nome di una chiave API

  2. Inserisci il nome dell'intestazione che conterrà la chiave API nella richiesta

  3. Inserisci il valore della tua chiave API

  4. Fai clic su Avanti

Per AWS SigV4:

AWS L'autenticazione SIGv4 consente all' AWS DevOps agente di connettersi ai server MCP che utilizzano la versione 4 di Signature per AWS la firma delle richieste. Ciò è utile per i server MCP ospitati su Amazon API Gateway o altri AWS servizi che supportano l'autenticazione SigV4.

  1. Configura il ruolo IAM: scegli una delle seguenti opzioni:

    • Usa un ruolo esistente: seleziona un ruolo IAM esistente dal menu a discesa. Il ruolo deve avere una politica di fiducia che consenta al responsabile del servizio AWS DevOps Agent di assumerlo (vedi Creazione di un ruolo IAM per l'autenticazione SigV4).

    • Crea un nuovo ruolo manualmente: segui le step-by-step istruzioni visualizzate nella console per creare un nuovo ruolo IAM con la policy di fiducia corretta.

  2. AWS Regione: inserisci la AWS regione per la firma SIGv4 (ad esempio,us-east-1). Per utilizzare la firma multiregionale SigV4A, inserisci. *

  3. Nome servizio: immettere il nome del AWS servizio per la firma SIGv4 (ad esempio, execute-api per API Gateway).

  4. Intestazioni personalizzate (facoltative): aggiungi fino a 10 coppie di intestazioni chiave-valore personalizzate da includere in ogni richiesta firmata.

  5. Fai clic su Avanti

Fase 4: Rivedi e invia

  1. Rivedi tutti i dettagli di configurazione del server MCP

  2. Fate clic su Invia per completare la registrazione

  3. AWS DevOps L'agente convaliderà la connessione al server MCP

  4. Una volta completata la convalida, il server MCP verrà registrato a livello di account

Configurazione degli strumenti MCP in un Agent Space

Dopo aver registrato un server MCP a livello di account, è possibile configurare quali strumenti di quel server sono disponibili per specifici Agent Spaces:

  1. Nella console dell' AWS DevOps agente, seleziona il tuo Agent Space

  2. Vai alla scheda Funzionalità

  3. Nella sezione Server MCP, fai clic su Aggiungi

  4. Seleziona il server MCP registrato che desideri connettere a questo Agent Space

  5. Configura quali strumenti di questo server MCP devono essere disponibili per Agent Space:

    • Consenti tutti gli strumenti: rende disponibili tutti gli strumenti del server MCP

    • Seleziona strumenti specifici: consente di scegliere quali strumenti consentire nell'elenco

  6. Fate clic su Aggiungi per connettere il server MCP a Agent Space

AWS DevOps L'agente sarà ora in grado di utilizzare gli strumenti consentiti dal server MCP durante le indagini in questo Agent Space.

Gestione delle connessioni al server MCP

Aggiornamento delle credenziali di autenticazione: se è necessario aggiornare le credenziali di autenticazione, sarà necessario registrare nuovamente il server MCP. Passate alla pagina Capability Provider nella console dell' AWS DevOps agente, individuate il server MCP, rimuovete eventuali associazioni attive e fate clic su Annulla registrazione. Successivamente, registrate il server MCP con le nuove credenziali di autenticazione e ricreate le associazioni necessarie con Agent Space.

Visualizzazione dei server MCP connessi: per vedere tutti i server MCP collegati a Agent Space, seleziona Agent Space, vai alla scheda Funzionalità e controlla la sezione Server MCP. Puoi anche aggiornare gli strumenti selezionati qui.

Rimozione delle connessioni al server MCP: per disconnettere un server MCP da un Agent Space, selezionate il server nella sezione Server MCP e fate clic su Rimuovi. Per eliminare completamente una registrazione del server MCP, rimuovila prima da tutti gli Agent Spaces, quindi elimina la registrazione a livello di account.

Creazione di un ruolo IAM per l'autenticazione SigV4

Quando utilizza l'autenticazione AWS SigV4, l' AWS DevOps agente assume un ruolo IAM nell'account per firmare le richieste al server MCP. Questo ruolo deve avere una politica di fiducia che consenta all' AWS DevOps agente service principal (aidevops.amazonaws.com) di assumerlo, con una confusa protezione sostitutiva.

Policy di attendibilità

Crea un ruolo IAM con la seguente politica di fiducia. Sostituiscilo REGION con la tua AWS regione (ad esempious-east-1) e ACCOUNT_ID con l'ID AWS del tuo account.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:REGION:ACCOUNT_ID:service/*"
        }
      }
    }
  ]
}

La politica di fiducia include le seguenti condizioni per prevenire il confuso problema del vice:

  • aws:SourceAccount— Limita l'assunzione del ruolo alle richieste provenienti dal tuo account. AWS

  • aws:SourceArn— Limita l'assunzione del ruolo alle richieste provenienti dalle risorse del servizio AWS DevOps Agent presenti nell'account.

Policy delle autorizzazioni

Allega al ruolo una politica di autorizzazioni che conceda le autorizzazioni minime necessarie per richiamare il server MCP. Ad esempio, se il tuo server MCP è ospitato su Amazon API Gateway, il ruolo deve avere l'execute-api:Invokeautorizzazione sulla risorsa API Gateway.

Firma multiregionale (SigV4a)

Se il server MCP è distribuito in più AWS regioni, è possibile utilizzare Sigv4a (Signature Version 4a) per la firma multiregionale. Per abilitare ciò, inserisci * come Regione durante la configurazione dell' AWS autorizzazione SigV4. SigV4a utilizza la firma asimmetrica, che consente a una singola richiesta firmata di essere valida in più regioni.

  • AWS DevOps Sicurezza in Agent

  • Configurazione di uno spazio per agenti

  • Protezione da iniezione rapida