本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
模型內容通訊協定 (MCP) 整合
模型內容通訊協定 (MCP) 是一種開放標準,定義 AI 應用程式如何與外部工具和資料來源通訊。MCP 使用用戶端伺服器架構。AI 應用程式充當連線至 MCP 伺服器的用戶端。每個 MCP 伺服器都會公開一組工具。這些工具是 AI 應用程式可以叫用來執行任務的結構化操作,例如查詢資料庫、呼叫 APIs 或與第三方服務互動。
透過 Amazon Quick 中的 MCP 整合,您可以連線至遠端 MCP 伺服器,以便您的 AI 助理可以使用這些伺服器提供的工具。例如,您可以連線至 MCP 伺服器,該伺服器可讓您存取 專案管理系統。此連線可讓助理在對話過程中建立票證、查詢問題或更新狀態。由於 MCP 是開放標準,因此您可以連線到任何相容的伺服器,而無需為每個工具建置自訂整合。
您可以連線至可透過公有網際網路連線的 MCP 伺服器。您也可以使用 Amazon Quick VPC 連線,連線至可從您 AWS 帳戶中的虛擬私有雲端 (VPC) 連線的私有 MCP 伺服器。MCP 伺服器可以位於 VPC 中、可透過對等或傳輸閘道連線的另一個 VPC 中,或透過 AWS Direct Connect 或 VPN 連線的內部部署。如需在 Amazon Quick 中建立 VPC 連線的資訊,請參閱 在 Amazon Quick Sight 中設定 VPC 連線。
重要
當您透過 VPC 連線連線至私有 MCP 伺服器時,MCP 伺服器所使用的 OAuth 端點必須透過公有網際網路連線。這同時適用於使用者身分驗證 (授權和字符端點) 和服務身分驗證 (字符端點)。不支援私有 OAuth 供應商。也支援不需要身分驗證的 MCP 伺服器。
支援的功能
MCP 整合會將 MCP 伺服器工具註冊為 Amazon Quick 中的動作。
- 動作連接器
-
MCP 伺服器公開註冊的每個工具都是 AI 助理可以在對話期間叫用的動作。整合使用 Code Exchange 的驗證金鑰 (PKCE) 搭配 S256 挑戰方法和資源指標 (RFC 8707) 來將存取權杖繫結至特定 MCP 伺服器,以保護這些連線。
開始之前
在您設定 MCP 整合之前,請確定您有下列項目:
-
具有適當存取權的 MCP 伺服器端點。
-
如有需要,MCP 伺服器的身分驗證憑證。如需詳細資訊,請參閱準備 MCP 伺服器設定和身分驗證。
-
Amazon Quick Enterprise 訂閱。
-
如果您要連線至私有 MCP 伺服器,則為具有 MCP 伺服器網路存取權的作用中 Amazon Quick VPC 連線。如需詳細資訊,請參閱在 Amazon Quick Sight 中設定 VPC 連線。
注意
MCP 整合僅支援遠端伺服器。HTTP 串流優於伺服器傳送事件 (SSE)。不支援本機 stdio 連線。
準備 MCP 伺服器設定和身分驗證
當您連線到 MCP 伺服器時,Amazon Quick 會使用 OAuth 2.0 受保護的資源中繼資料 (RFC 9728) 自動探索授權伺服器資訊。用戶端會將初始未經驗證的請求傳送至 MCP 伺服器。如果伺服器回應的狀態為 401,其中包含具有 resource_metadata URL 的WWW-Authenticate標頭,則 Amazon Quick 會使用該 URL 來擷取中繼資料文件。如果標頭不存在,則 Amazon Quick 會回到伺服器根目錄的已知 URI。
如果授權伺服器支援動態用戶端註冊 (DCR),則 Amazon Quick 會使用registration_endpoint從授權伺服器中繼資料中探索的 自動註冊本身。不需要手動登入資料組態。Amazon Quick 同時支援機密和公有用戶端流程。無論您選擇何種身分驗證方法,都適用 DCR。
如果授權伺服器不支援 DCR,則必須手動提供登入資料。選擇符合您 MCP 伺服器需求的身分驗證方法。
- 使用者身分驗證 (OAuth)
-
從 MCP 伺服器組態收集下列資訊:
用戶端 ID – OAuth 用戶端 ID。
用戶端秘密 – OAuth 用戶端秘密。
權杖 URL – OAuth 權杖端點。
授權 URL – OAuth 授權端點。
重新導向 URL – OAuth 重新導向 URI。
- 服務身分驗證 Service-to-Service)
-
從 MCP 伺服器組態收集下列資訊:
用戶端 ID – 服務用戶端 ID。
用戶端秘密 – 服務用戶端秘密。
權杖 URL – 服務權杖端點。
- 無身分驗證
-
如果 MCP 伺服器不需要身分驗證,則不需要登入資料。針對允許未驗證存取的 MCP 伺服器,選取此選項。
設定 MCP 整合
在您準備 MCP 伺服器組態和身分驗證憑證之後,請建立 MCP 整合。
-
在 Amazon Quick 主控台中,選擇連接器。
-
選擇為您的團隊建立索引標籤。
-
尋找並選擇模型內容通訊協定 (MCP)。
-
在建立整合頁面上,輸入整合詳細資訊:
-
名稱 – MCP 整合的描述性名稱。
-
描述 (選用) – 整合的目的。
-
MCP 伺服器端點 – MCP 伺服器的 URL。
-
連線類型 – 選擇 Amazon Quick 如何連線至 MCP 伺服器:
-
公有網路 – 針對可透過公有網際網路連線的 MCP 伺服器使用此選項。
-
名為 VPC 的連線 – 針對私有 MCP 伺服器使用此選項。下拉式清單會列出在您的 Amazon Quick 帳戶上設定的 VPC 連線。選擇具有 MCP 伺服器網路存取權的連線。如果您在清單中看不到 VPC 連線,請確認已完全佈建且處於作用中狀態。如需詳細資訊,請參閱在 Amazon Quick Sight 中設定 VPC 連線。
-
-
-
選擇下一步。
-
選取身分驗證方法 (使用者、服務或無身分驗證)。
-
輸入適當的組態詳細資訊。
-
選擇建立並繼續。
-
檢閱整合詳細資訊。
-
選擇下一步。
-
視需要與其他使用者共用整合。
建立 MCP 整合之後,Amazon Quick 會探索可用的工具並將其註冊為動作。
檢閱整合
設定身分驗證之後,請檢閱 MCP 整合功能:
-
系統會連線至 MCP 伺服器並探索可用的功能。
-
檢閱 MCP 伺服器提供的可用動作和任務清單。
-
確認整合組態和功能。
功能探索
在 中所述的連線程序中準備 MCP 伺服器設定和身分驗證,Amazon Quick 也會探索並註冊 MCP 伺服器提供的工具。探索完成後,每個工具都會列為您可以檢閱和開啟的動作。
管理 MCP 整合
若要編輯、共用或刪除整合,請參閱 管理現有的整合。
疑難排解
當您在 Amazon Quick 中建立或使用 MCP 整合時,請使用下列指引來診斷和解決常見問題。
連接器建立問題
-
連接器通過探索,但在發佈時失敗
Creation failed– 此錯誤通常表示 MCP 伺服器tools/list回應中的一或多個工具定義包含無效的inputSchema。在發佈階段,Amazon QuickinputSchema會根據 JSON 結構描述草稿 7 或更新版本驗證每個工具的 。最常見的原因是已棄用的草稿 3 語法,其中
required是屬性定義內的布林值 (例如"required": true)。在 JSON 結構描述草稿 7 和更新版本中,required必須是結構描述根目錄的屬性名稱陣列,作為 的同級。properties更新您的工具定義,以使用正確的格式並重新部署 MCP 伺服器。重新部署後,請刪除故障的連接器,並建立新的連接器,以重新觸發探索和發佈。
下列範例顯示不正確的草稿 3 語法:
{ "type": "object", "properties": { "logNumber": { "type": "string", "description": "The permit log number", "required": true } } }下列範例顯示正確的 Draft 7 語法:
{ "type": "object", "properties": { "logNumber": { "type": "string", "description": "The permit log number" } }, "required": ["logNumber"] }有些 MCP 架構程式庫和程式碼產生器預設會發出 Draft 3 語法。請檢查您的架構文件,以取得選取 JSON 結構描述輸出版本的 選項。您也可以在部署之前,使用任何 JSON 結構描述草稿 7 驗證程式來驗證結構描述。如需
inputSchema需求的詳細資訊,請參閱模型內容通訊協定規格中的工具。 您可能也會注意到連接器建立會在失敗前停止兩到五分鐘。經過的時間反映發佈階段的內部重試,而不是網路逾時。修正方式相同:檢查您的工具
inputSchema定義是否符合 JSON 結構描述草稿 7 規範。
VPC 連線問題
-
VPC 連線未列在連線類型下拉式清單中,或 MCP 建立在您選取後會立即失敗 – 佈建完成之前,VPC 連線可能會出現在下拉式清單中。等到 VPC 連線在 Amazon Quick admin 頁面上顯示為可用,再針對它建立 MCP 整合。如需詳細資訊,請參閱在 Amazon Quick Sight 中設定 VPC 連線。
-
MCP 建立失敗,因為無法解析 MCP 伺服器主機名稱 – Amazon Quick 不會使用預設 VPC DNS 解析程式進行 MCP 整合。您必須使用 Route 53 Resolver 可解析 MCP 伺服器主機名稱的傳入端點 IP 地址,在 VPC 連線上填入 DNS 解析程式端點欄位。此要求同時適用於私有主機名稱,以及您想要從 VPC 解析為私有地址的公有主機名稱,例如由 AWS PrivateLink 或 Route 53 私有託管區域的端點。如果沒有這些解析程式端點,則無法解析 MCP 伺服器主機名稱,且整合建立失敗。如需詳細資訊,請參閱在 Amazon Quick Sight 中設定 VPC 連線。
-
MCP 伺服器無法從 VPC 連線連線連線 – 從 Amazon Quick 到 MCP 伺服器的流量來自您在 VPC 連線設定期間選取的子網路。確認路由表、網路 ACLs 和安全群組允許這些子網路和 MCP 伺服器端點之間的流量。如需一般 VPC 網路指引,請參閱 在 Amazon Quick Sight 中設定 VPC 連線。
-
當您使用私有 MCP 伺服器時,身分驗證失敗 – 當您透過 VPC 連線連線至私有 MCP 伺服器時,MCP 伺服器使用的 OAuth 端點仍必須透過公有網際網路存取。這同時適用於使用者身分驗證 (授權和字符端點) 和服務身分驗證 (字符端點)。不支援私有 OAuth 供應商。確認 MCP 伺服器在其受保護的資源中繼資料中傳回的 OAuth URLs 透過公有網際網路解析。
Microsoft Entra ID 問題
如果您的 MCP 伺服器使用 Microsoft Entra ID 做為授權伺服器,則下列錯誤在連接器設定期間很常見。這些問題適用於您透過 VPC 連線觸及的公有網路連線和私有 MCP 伺服器。
-
AADSTS9010010– v2.0 端點會拒絕資源參數 – Amazon Quick 會根據 MCP 規格 (RFC 8707) 的要求,在 OAuth 請求上傳送resource參數。Entra ID v2.0 端點會拒絕同時包含resource參數和scope值的請求。若要解決此錯誤,請將您的應用程式註冊設定為使用 Entra ID v1.0 OAuth 端點2,並在應用程式資訊清單中accessTokenAcceptedVersion將 設定為 。 -
AADSTS90009– 應用程式自行請求權杖 – 當您使用使用者身分驗證 (授權碼流程) 且 OAuth 用戶端和 MCP 資源解析為相同的 Entra ID 應用程式時,Entra ID 會封鎖請求。建立兩個不同的應用程式註冊:一個用戶端應用程式用於 Amazon Quick,另一個資源應用程式用於 MCP 伺服器。此問題不會影響單一應用程式註冊運作的服務身分驗證 (用戶端登入資料流程)。
如果您遇到上述章節未涵蓋的問題,請透過 Amazon Quick 主控台或 AWS Support Center 聯絡 AWS Support。
限制
當您在 Amazon Quick 中使用 MCP 整合時,請注意下列限制:
-
MCP 操作具有固定的 60 秒逾時。超過此限制的操作會自動失敗,並出現 HTTP 424 錯誤。
-
對於您透過 VPC 連線到達的 MCP 伺服器,MCP 伺服器使用的 OAuth 端點必須透過公有網際網路連線。這同時適用於使用者身分驗證和服務身分驗證。不支援私有 OAuth 供應商。
-
MCP 操作不支援自訂 HTTP 標頭。只會傳輸標準系統標頭。
-
工具清單在初始註冊後會保持靜態。若要取得伺服器端工具變更,您必須刪除整合並重新建立。
-
如果第三方供應商不允許列出 Amazon Quick 回呼 URI,連接器建立可能會失敗。
-
伺服器連線問題會導致立即失敗,而無需重試。
-
不支援升級授權。如果 MCP 伺服器在初始授權後需要額外的範圍 (HTTP 403 搭配
insufficient_scope),則必須重新授權整個連線。增量許可升級不可用。 -
範圍處理有下列限制:
-
Amazon Quick 不會從伺服器的初始 401
WWW-Authenticate挑戰中擷取scope參數。Amazon Quick 會改為從受保護的資源中繼資料文件中決定範圍。 -
當中繼資料未指定支援的範圍時,Amazon Quick 會套用預設範圍,而不是省略它們。此行為可能會導致無法辨識預設範圍的伺服器發生身分驗證失敗。
-
-
只有動態用戶端註冊 (DCR) 支援自動用戶端註冊。不支援用戶端 ID 中繼資料文件。
-
眾所周知的 URI 探索只會使用伺服器根路徑。不支援路徑特定的中繼資料位置 (路徑插入探索)。此限制可能會阻止發現僅在路徑特定的 URIs 提供中繼資料的伺服器。
