本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 连接 MCP 服务器
模型上下文协议 (MCP) 服务器通过提供对来自外部可观测性工具、自定义监控系统和操作数据源的数据的访问权限来扩展 AWS DevOps 代理的调查能力。本指南介绍如何将 MCP 服务器连接到 AWS DevOps 代理。
## 要求
在连接 MCP 服务器之前,请确保您的服务器满足以下要求:
+ **可流式传输的 HTTP 传输协议** — 仅支持实现可流式传输 HTTP 传输协议的 MCP 服务器。
+ **身份验证支持**-您的 MCP 服务器必须支持 OAuth 2.0 身份验证流程或基于 API 密钥/令牌的身份验证。
## 安全注意事项
将 MCP 服务器连接到 AWS DevOps Agent 时,请考虑以下安全方面:
+ **工具许可名单 —** 您应该只将代理空间所需的特定工具列入许可名单,而不是公开 MCP 服务器上的所有工具。有关如何允许每个代理空间列[出工具,请参阅在代理空间中配置 MCP](#configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers) 工具。
请注意,任何 MCP 刀具的最大刀具长度均为 64。
+ **提示注入风险** — 自定义 MCP 服务器可能会带来额外的提示注入攻击风险。有关更多信息,请参见[提示注入保护: AWS DevOps 客户端安全](aws-devops-agent-security.md)。
+ **只读工具和访问权限-** 仅允许将只读 MCP 工具列入许可名单,并确保仅允许身份验证凭据进行只读访问。
有关即时注入和责任共担模型的更多信息,请参阅[AWS DevOps 代理安全](aws-devops-agent-security.md)。
**注意**
如果您的 MCP 服务器位于专用网络上,请参阅 [连接到私人托管的工具](configuring-capabilities-for-aws-devops-agent-connecting-to-privately-hosted-tools.md)
## 注册 MCP 服务器(账户级)
MCP 服务器在 AWS 账户级别注册,并在该账户中的所有代理空间之间共享。然后,各个代理空间可以从每台 MCP 服务器中选择他们需要的特定工具。
### 步骤 1:MCP 服务器详细信息
1. 登录 AWS 管理控制台
1. 导航到 AWS DevOps 代理控制台
1. 转到**能力提供者**页面(可从侧面导航栏访问)
1. **在 “**可用**提供商” 部分中找到 **MCP 服务器**,然后单击 “注册”**
1. 在 **MCP 服务器详细信息**页面上,输入以下信息:
+ **名称**-输入 MCP 服务器的描述性名称
+ **端点网址**-输入 MCP 服务器端点的完整 HTTPS 网址
+ **描述**(可选)-添加描述以帮助确定服务器的用途
+ **启用动态客户端注册**-如果要允许 AWS DevOps 代理自动向 MCP 服务器的授权服务器注册,请选中此复选框
1. 单击**下一步**
**注意**
**MCP 服务器端点 URL 将显示在您账户的 AWS CloudTrail 日志中。
### 步骤 2:授权流程
为您的 MCP 服务器选择身份验证方法:
**OAuth 客户端凭证**-如果您的 MCP 服务器使用 OAuth 客户端凭据流:
1. 选择**OAuth 客户凭证**
1. 单击**下一步**
**OAuth 3LO(三腿 OAuth)**— 如果您的 MCP 服务器使用 OAuth 3LO 进行身份验证:
1. 选择 **OAuth 3** LO
1. 单击**下一步**
**API 密钥** — 如果您的 MCP 服务器使用 API 密钥身份验证:
1. 选择 **API 密钥**
1. 单击**下一步**
### 步骤 3:授权配置
根据所选的身份验证方法配置其他授权参数:
**对于 OAuth 客户凭证:**
1. **客户端 ID**-输入客户端的 OAuth 客户端 ID
1. **客户机密钥**-输入 OAuth 客户端的客户机密钥
1. **交易所 URL** — 输入令 OAuth 牌交换端点 URL
1. **交换参数**-输入用于通过服务进行身份验证的 OAuth 令牌交换参数
1. **添加作用域**-为身份验证添加 OAuth 范围
1. 单击**下一步**
**对于 OAuth 3LO:**
1. **客户端 ID**-输入客户端的 OAuth 客户端 ID
1. **客户密钥**-如果您的客户需要,请输入 OAuth 客户端的 OAuth 客户机密钥
1. **交易所 URL** — 输入令 OAuth 牌交换端点 URL
1. **授权 URL**-输入 OAuth 授权端点 URL
1. **Code Chall** enge Support-如果您的 OAuth 客户支持代码挑战,请选中此复选框
1. **添加作用域**-为身份验证添加 OAuth 范围
1. 单击**下一步**
**对于 API 密钥:**
1. 输入 API 密钥名称
1. 输入请求中将包含 API 密钥的标头的名称
1. 输入你的 API 密钥值
1. 单击**下一步**
### 第 4 步:查看并提交
1. 查看所有 MCP 服务器配置详细信息
1. 单击 “**提交**” 完成注册
1. AWS DevOps 代理将验证与您的 MCP 服务器的连接
1. 成功验证后,您的 MCP 服务器将在账户级别注册
## 在代理空间中配置 MCP 工具
在帐户级别注册 MCP 服务器后,您可以配置该服务器中的哪些工具可供特定的代理空间使用:
1. 在 AWS DevOps 代理控制台中,选择您的代理空间
1. 前往 “**功能**” 选项卡
1. **在 “**MCP 服务器**” 部分中,单击 “添加”**
1. 选择要连接到此代理空间的已注册 MCP 服务器
1. 配置此 MCP 服务器上的哪些工具应可供代理空间使用:
+ **允许所有工具**-使 MCP 服务器中的所有工具都可用
+ **选择特定工具**-允许您选择要列入许可名单的工具
1. 单击 “**添加**” 将 MCP 服务器连接到您的代理空间
AWS DevOps 现在,在代理空间进行调查期间,代理将能够使用您的 MCP 服务器上的许可名单工具。
## 管理 MCP 服务器连接
**更新身份验证凭证**-如果需要更新您的身份验证凭据,则需要重新注册您的 MCP 服务器。导航到 AWS DevOps 代理控制台中的 “**功能提供者**” 页面,找到您的 MCP 服务器,移除所有活动关联,然后单击 “**取消**注册”。接下来,使用新的身份验证凭据**注册**您的 MCP 服务器,并与您的代理空间重新创建所有必要的关联。
**查看连接的 MCP 服务器**-要查看连接到您的代理空间的所有 MCP 服务器,请选择您的代理空间,转到 “**功能**” 选项卡,然后查看 “**MCP** 服务器” 部分。您也可以在此处更新所选工具。
**删除 MCP 服务器连接** **-要断开 MCP 服务器与代理空间的连接,请在 “**MCP 服务器” 部分中选择该服务器**,然后单击 “删除”。**要完全删除 MCP 服务器注册,请先将其从所有代理空间中删除,然后删除账户级别的注册。
## 相关主题
+ AWS DevOps 代理中的安全
+ 设置代理空间
+ 即时注射保护