

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Connect zu DevOps Agent-Remote-Servern herstellen
<a name="accessing-devops-agent-connect-to-devops-agent-remote-servers"></a>

AWS DevOps Der Agent stellt dedizierte Remoteserver für die Protokolle Model Context Protocol (MCP) und Agent-to-Agent (A2A) bereit. Verwenden Sie diese Server, um Ihre IDE-, CLI- oder benutzerdefinierten Agentenintegrationen mit einem Agent Space zu verbinden.

## Unterstützte Protokolle
<a name="supported-protocols"></a>
+ **MCP (Model Context Protocol)** — Connect IDE- und CLI-Clients wie Kiro, Claude Code, Cursor und andere MCP-compatible Tools.
+ **A2A (Agent-to-Agent) v1.0** — Connect autonome Agenten für die Kommunikation zwischen Agenten.

## Endpunkte
<a name="endpoints"></a>

Remoteserver sind unter einer regionalen URL verfügbar:

```
https://connect.aidevops.{region}.api.aws
```


| Protocol (Protokoll) | Pfad | Methode | 
| --- | --- | --- | 
| MCP | /mcp | POST | 
| A2A | /a2a/\* | POST | 
| A2A-Agentenkarte | /.well-known/agent-card.json | GET | 

Eine Liste der verfügbaren Regionen finden Sie unter[Unterstützte Regionen](about-aws-devops-agent-supported-regions.md).

## Authentifizierung
<a name="authentication"></a>

Zwei Authentifizierungsmethoden sind sowohl für MCP- als auch für A2A-Endpunkte verfügbar:
+ **Zugriffstoken (Träger)** — Ein einzelnes Token, das auf einen Agent Space beschränkt ist. Einfachste Einrichtung für den individuellen Gebrauch.
+ **AWS SigV4 — Authentifizierung** auf Basis von AWS Anmeldeinformationen. Unterstützt mehrere Agent Spaces und lässt sich in die bestehende AWS Identity Governance integrieren. Wird automatisch von [mcp-proxy-for-aws](https://github.com/aws/mcp-proxy-for-aws) verarbeitet, einem lokalen Proxy, der Anfragen mit Ihren Anmeldeinformationen signiert. AWS 

## Erstellen Sie ein Zugriffstoken
<a name="create-an-access-token"></a>

### Voraussetzungen
<a name="prerequisites"></a>
+ Die Funktion für Zugriffstoken muss in Ihrem Agent Space aktiviert sein.
+ Sie benötigen IAM-Berechtigungen, um Zugriffstoken (`aidevops:CreateAccessToken`,`aidevops:RevokeAccessToken`,`aidevops:RotateAccessToken`) zu verwalten. Eine vollständige Liste finden Sie unter [DevOps IAM-Berechtigungen für Agenten](aws-devops-agent-security-devops-agent-iam-permissions.md).

### Zugriffstoken aktivieren
<a name="enable-access-tokens"></a>

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS DevOps Agent-Konsole.

1. Wählen Sie Ihren Agent Space aus.

1. Wählen Sie die Registerkarte **Konfiguration** aus.

1. Wählen Sie im Abschnitt **Zugriffstoken** die Option **Aktivieren** aus.

1. Bestätigen Sie die Aktion.

### Erstellen Sie ein Token
<a name="create-a-token"></a>

1. Öffnen Sie die DevOps Agent-Web-App für Ihren Agent Space, wählen Sie dann im Navigationsmenü **Einstellungen** und dann **Zugriffstoken** aus.

1. Wählen Sie **Generate token (Token erstellen)** aus.

1. Geben Sie einen Namen für das Token ein.

1. Wählen Sie einen Bereich:
   + `read`— Sehen Sie sich Untersuchungen, Empfehlungen, Chats und Agent Space-Ressourcen an.
   + `operate`— Voller Zugriff. Beinhaltet alles, was drin ist`read`, sowie das Senden von Nachrichten, das Erstellen von Chats und das Verwalten von Backlog-Aufgaben und Empfehlungen.

1. Wählen Sie einen Kundentyp:
   + `human`— Für IDE- und CLI-Nutzung (Kiro, Claude Code, Cursor und andere interaktive Tools).
   + `agent`— Für autonome A2A-Integrationen und programmatische Agenten.

1. Legen Sie ein Ablaufdatum fest (1 bis 60 Tage).

1. Kopieren Sie den Token-Wert und speichern Sie ihn an einem sicheren Ort, z. B. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html). Sie können ihn nicht erneut abrufen.

Nach der Erstellung eines Tokens zeigt die Web-App ein Konfigurationsbeispiel an, das Sie direkt in Ihren Client kopieren können.

## Connect dich mit Kiro
<a name="connect-with-kiro"></a>

[Für [Kiro-Benutzer steht in der IDE oder im Kiro](https://kiro.dev/) Powers Marketplace eine spezielle **AWS DevOps Agent-Leistung** zur Verfügung.](https://kiro.dev/powers/#aws-devops-agent)

**Schritt 1: Installieren Sie die Stromversorgung**

Installieren Sie die **AWS-Devops-Agent-Stromversorgung vom Powers-Marketplace**.

**Schritt 2: Umgebungsvariablen festlegen**

Stellen Sie die folgenden Umgebungsvariablen ein, um die Verbindung zu konfigurieren:

```
DEVOPS_AGENT_TOKEN=<your-access-token>
DEVOPS_AGENT_REGION=<your-agent-space-region>
```

**Schritt 3: Genehmigen Sie die Variablen in Kiro**

Gehen Sie zu **Einstellungen** > **MCP Approved Env Vars** und genehmigen Sie und. `DEVOPS_AGENT_TOKEN` `DEVOPS_AGENT_REGION` Kiro gibt Umgebungsvariablen erst dann an MCP-Server weiter, wenn sie genehmigt wurden.

**Schritt 4: Starten Sie Kiro neu**

Starte Kiro neu, um die Änderungen zu übernehmen.

Die Leistung von Kiro dient `aws-mcp` als Fallback und bietet direkten AWS API-Zugriff, wenn der Remote-Serverendpunkt nicht verfügbar ist.

## Connect dich mit Claude Code
<a name="connect-with-claude-code"></a>

Für [Claude Code-Benutzer](https://code.claude.com/docs/en/overview) ist AWS DevOps Agent über das Claude-Plugin **aws-agents-for-devsecops** verfügbar, das sowohl AWS DevOps Agent- als auch Security Agent-Funktionen in Claude integriert. AWS [https://claude.com/plugins/aws-agents-for-devsecops](https://claude.com/plugins/aws-agents-for-devsecops)

1. Installieren Sie das **aws-agents-for-devsecops-Plugin**.

1. Führen Sie den Befehl aus, um Ihre Verbindung zu konfigurieren. `/aws-agents-for-devsecops:setup-devops-agent`

## Connect zu anderen MCP-Clients her
<a name="connect-with-other-mcp-clients"></a>

Konfigurieren Sie den Server für jeden MCP-compatible Client mit:
+ **URL** — `https://connect.aidevops.{region}.api.aws/mcp`
+ **Autorisierungsheader** — `Bearer <your-token>`
+ **Timeout** — mindestens 120 Sekunden (erste Antworten können 5—30 Sekunden dauern; laufende Chat-Sitzungen können länger dauern)

Diese Konfiguration funktioniert auch mit Kiro und Claude Code, falls Sie es vorziehen, die Verbindung manuell zu konfigurieren, anstatt die dedizierte Stromversorgung oder das Plug-In zu verwenden.

Beispiel für eine MCP-Konfiguration:

```
{
  "mcpServers": {
    "aws-devops-agent": {
      "url": "https://connect.aidevops.{region}.api.aws/mcp",
      "headers": {
        "Authorization": "Bearer <your-access-token>"
      }
    }
  }
}
```

`{region}`Ersetzen Sie es durch die Region Ihres Agentenbereichs (z. B.`us-east-1`) und `<your-access-token>` durch den Token-Wert.

## Verwenden Sie die SigV4-Authentifizierung
<a name="use-sigv4-authentication"></a>

Die SigV4-Authentifizierung verwendet Ihre AWS Anmeldeinformationen anstelle eines Zugriffstokens. Das Kiro Power- und das Claude Code-Plugin verfügen über eine integrierte SigV4-Unterstützung`mcp-proxy-for-aws`, die Anfragen mit Ihren lokalen Anmeldeinformationen signiert. AWS 

### Wenn SigV4 verwendet wird
<a name="when-sigv4-is-used"></a>
+ Als **Fallback**, wenn das Zugriffstoken nicht konfiguriert ist oder fehlschlägt (abgelaufen, ungültig).
+ Als **primäre** Authentifizierung, wenn Sie über mehrere Agent Spaces verfügen und die Weiterleitung `agent_space_id` pro Tool-Aufruf durchführen müssen.
+ Als **Benutzeroption**: Führen Sie in Claude Code den Setup-Skill aus, um vom Bearer-Token zur SigV4-Authentifizierung zu wechseln.

### Voraussetzungen
<a name="prerequisites"></a>
+ AWS in der Umgebung verfügbare Anmeldeinformationen (über SSO, Umgebungsvariablen oder Anmeldeinformationsdatei).
+ Ihre Anmeldeinformationen müssen berechtigt sein, AWS DevOps Agentenaktionen aufzurufen. Die erforderlichen Berechtigungen finden Sie unter [DevOps IAM-Berechtigungen für Agenten](aws-devops-agent-security-devops-agent-iam-permissions.md).
+ `uvx`installiert (der Proxy läuft durch`uvx mcp-proxy-for-aws@latest`).

### Beispielkonfiguration
<a name="example-configuration"></a>

Um einen MCP-Client so zu konfigurieren, dass er SigV4 anstelle eines Zugriffstokens verwendet, führen Sie den Server durch. `mcp-proxy-for-aws` `{region}`Ersetzen Sie durch die Region Ihres Agent Space (z. B.`us-east-1`):

```
{
  "mcpServers": {
    "aws-devops-agent": {
      "command": "uvx",
      "timeout": 120000,
      "args": [
        "mcp-proxy-for-aws@latest",
        "https://connect.aidevops.{region}.api.aws/mcp",
        "--service", "aidevops",
        "--region", "{region}"
      ]
    }
  }
}
```

Der Proxy signiert jede Anfrage mit Ihren lokalen AWS Anmeldeinformationen, sodass kein Zugriffstoken erforderlich ist.

### Multi-Agent-Space Routing
<a name="multi-agent-space-routing"></a>

Geben Sie im SigV4-Modus `agent_space_id` bei jedem Tool-Aufruf an, welcher Agent Space verwendet werden soll. Dies ermöglicht die Weiterleitung über mehrere Agent Spaces von einem einzigen Client aus.

## A2A-Integration
<a name="a2a-integration"></a>

Der A2A-Endpunkt implementiert die [A2A v1.0-Spezifikation mithilfe der HTTP\+JSON-Bindung](https://a2a-protocol.org/latest/specification/).

### Erkennung der Agentenkarte
<a name="agent-card-discovery"></a>

Rufen Sie die Agentenkarte ab unter:

```
GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json
```

### Unterstützte Vorgänge
<a name="supported-operations"></a>
+ `SendMessage`— Senden Sie eine Nachricht und erhalten Sie eine Antwort.
+ `SendStreamingMessage`— Streamen Sie Antworten, sobald sie generiert werden.
+ `GetTask`— Überprüfen Sie den Status einer asynchronen Aufgabe.
+ `ListTasks`— Listet Aufgaben für einen Agent Space auf.
+ `CancelTask`— Brecht eine laufende Aufgabe ab.
+ `SubscribeToTask`— Abonnieren Sie Task-Updates über vom Server gesendete Ereignisse.

### Fähigkeiten
<a name="skills"></a>
+ **untersuchen** — Umfassende asynchrone Analyse betrieblicher Probleme (5—8 Minuten).
+ **Chat** — Sofortige Antworten auf betriebliche Fragen.

## Sicherheitsüberlegungen
<a name="security-considerations"></a>

### Gültigkeitsbereich von Tokens
<a name="token-scoping"></a>
+ Verwenden Sie die geringste Zugriffsberechtigung: Wählen Sie `read` Integrationen mit Lesezugriff, `operate` nur wenn der Client Nachrichten senden oder Aufgaben verwalten muss.
+ Wechseln Sie die Tokens regelmäßig. Token laufen nach der konfigurierten Dauer (maximal 60 Tage) ab.
+ Speichern Sie Token in Umgebungsvariablen oder Secrets-Managern. Kodieren Sie Token nicht fest im Quellcode.
+ Führen Sie Agentenantworten nicht automatisch ohne menschliche Überprüfung aus.

### IP-Zulassungsliste
<a name="ip-allowlist"></a>

Beim Erstellen eines Zugriffstokens können Sie optional eine IP-Zulassungsliste angeben. Wenn das Token konfiguriert ist, kann es nur von den angegebenen IP-Adressen oder CIDR-Bereichen aus verwendet werden. Anfragen von anderen IPs werden mit der Fehlermeldung „Zugriff verweigert“ abgelehnt.

### Rotation und Widerruf von Tokens
<a name="token-rotation-and-revocation"></a>
+ **Rotation — Rotation** eines Tokens, um einen neuen Token-Wert zu generieren, wobei der Name, die Bereiche und die IP-Zulassungsliste des Tokens beibehalten werden. Das alte Token wird sofort ungültig. Aktualisieren Sie Ihre Client-Konfiguration mit dem neuen Token-Wert.
+ **Widerruf** — Wenn ein Token kompromittiert wurde, widerrufen Sie es sofort. Widerrufene Token können nicht verwendet und nicht wiederhergestellt werden.

#### Auf ein kompromittiertes Token reagieren
<a name="responding-to-a-compromised-token"></a>

Wenn Sie vermuten, dass ein Token kompromittiert wurde, gehen Sie wie folgt vor:

1. **Allen Token-Zugriff blockieren** — Öffnen Sie in der AWS DevOps Agent-Konsole Ihren Agent-Bereich, wählen Sie die Registerkarte **Konfiguration** und dann im Abschnitt Zugriffstoken die **Option Deaktivieren** aus. Dadurch wird sofort der gesamte tokenbasierte Zugriff auf den Agent Space blockiert.

1. **Kompromittierte Token widerrufen** **— Gehen Sie in der Web-App zu **Einstellungen** > **Zugriffstoken, wählen Sie das kompromittierte Token** aus und wählen Sie Widerrufen aus.** Sie können Token auch dann widerrufen, wenn Zugriffstoken deaktiviert sind.

1. **Re-enable Zugriffstoken** — Nachdem Sie die kompromittierten Token widerrufen haben, aktivieren Sie die Zugriffstoken auf der Registerkarte **Konfiguration** erneut, falls Sie weiterhin tokenbasierten Zugriff benötigen.

#### Programmgesteuertes Widerrufen von Token
<a name="revoking-tokens-programmatically"></a>

Sie können Token auch programmgesteuert widerrufen mit. `awscurl` Die folgenden Befehle verwenden die SigV4-Authentifizierung. Ersetzen Sie die Region (`us-east-1`) durch die Region, in der Ihr Agent Space erstellt wurde.

**Hinweis:** Schritt 1 verwendet die AWS CLI. In den Schritten 2 und 3 wird [awscurl](https://github.com/okigan/awscurl) verwendet, ein Befehlszeilentool, das HTTP-Anfragen mit Sigv4 signiert, da Zugriffstoken-Operationen noch keine speziellen CLI-Befehle haben. AWS 

**Schritt 1: Geben Sie Ihre Agent Spaces an**

```
aws aidevops list-agent-spaces --region us-east-1
```

**Schritt 2: Zugriffstoken für einen Agent Space auflisten**

```
awscurl --service aidevops --region us-east-1 \
  -H "Accept: application/json" \
  "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"
```

**Schritt 3: Widerrufen Sie ein Token**

```
awscurl --service aidevops --region us-east-1 -X POST \
  -H "Accept: application/json" \
  "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"
```

Ersetzen Sie `{agentSpaceId}` und `{accessTokenId}` durch die Werte aus den vorherigen Antworten.

### Rückverfolgbarkeit
<a name="traceability"></a>

Wenn ein Zugriffstoken verwendet wird, übernimmt der AWS DevOps Agent in Ihrem Namen eine Rolle bei der Ausführung von Aktionen. Dieser `AssumeRole` Anruf wird AWS CloudTrail mit Sitzungs-Tags angemeldet, die das Token und den Anrufer identifizieren:
+ `AgentSpaceId`— ID des Agent Space.
+ `UserId`— Identität des Token-Erstellers.
+ `AccessTokenId`— Eindeutige Kennung des Tokens.
+ `TokenName`— Name des verwendeten Zugriffstokens.
+ `ClientType`— Das verwendete Protokoll (MCP, A2A).
+ `SourceIp`— IP-Adresse des Clients.
+ `UserAgent`— User-Agent Client-Zeichenfolge (falls verfügbar).

Direkte MCP- und A2A-Endpunktaufrufen sind CloudTrail für keine der beiden Authentifizierungsmethoden angemeldet. Für jeden Aufruf ist ein entsprechender AWS Downstream-API-Aufruf mit einem identifizierbaren Rollensitzungsnamen im CloudTrail Format angemeldet. `token_{spaceId}_{timestamp}_{tokenName}`

### Einschränkung der VPC-Endpunktrichtlinie
<a name="vpc-endpoint-policy-limitation"></a>

Die Remoteserverendpunkte unterstützen keine VPC-Endpunktrichtlinien. Aufrufe, die entweder Zugriffstoken oder SigV4-Authentifizierung verwenden, können nicht durch VPC-Endpunktrichtlinien eingeschränkt werden.

### Zugriffstoken deaktivieren
<a name="disabling-access-tokens"></a>

Die Funktion für Zugriffstoken ist standardmäßig deaktiviert. Um sie nach der Aktivierung zu deaktivieren:

1. Öffnen Sie die Registerkarte **Konfiguration** in Ihrem Agent Space.

1. Wählen Sie im Abschnitt **Zugriffstoken** die Option **Deaktivieren** aus.

Durch die sofortige Deaktivierung wird der gesamte tokenbasierte Zugriff blockiert. Bestehende Token werden nicht gelöscht, können aber erst verwendet werden, wenn die Funktion wieder aktiviert wird.

Um zu verhindern, dass Benutzer in Ihrer Organisation Zugriffstoken aktivieren, erstellen Sie eine Service Control Policy (SCP), die die API-Aktionen für Zugriffstoken und die `UpdateAgentSpace` Aktion (die das Umschalten der Zugriffstoken steuert) verweigert:

**Hinweis:** Durch das Ablehnen werden `aidevops:UpdateAgentSpace` auch andere Agent Space-Updates (Name, Beschreibung, Gebietsschema) verhindert. Wenn dies zu weit gefasst ist, lassen Sie es aus dem SCP weg. Die verbleibenden Verweigerungen verhindern immer noch die Erstellung und Verwendung von Token, selbst wenn jemand die Funktion aktiviert.

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "DenyAccessTokenOperations",
      "Effect": "Deny",
      "Action": [
        "aidevops:UpdateAgentSpace",
        "aidevops:CreateAccessToken",
        "aidevops:GetAccessToken",
        "aidevops:ListAccessTokens",
        "aidevops:RotateAccessToken",
        "aidevops:RevokeAccessToken"
      ],
      "Resource": "*"
    }
  ]
}
```

## Fehlerbehebung
<a name="troubleshooting"></a>


| Symptom | Ursache | Auflösung | 
| --- | --- | --- | 
| HTTP 401 Nicht autorisiert | Das Token ist ungültig oder abgelaufen. | Erstellen Sie ein neues Token oder rotieren Sie das vorhandene Token in der Web-App. | 
| HTTP 400 „A2A-Version Header erforderlich“ | Fehlender Header der Protokollversion. Nur A2A v1.0 wird unterstützt. | A2A-Version: 1.0Header zu A2A-Anfragen hinzufügen. | 
| Anforderungstimeout | Erste Antworten dauern 5—30 Sekunden. Untersuchungen dauern 5—8 Minuten. | Stellen Sie das Client-Timeout auf mindestens 120 Sekunden ein. | 
| Verbindung verweigert | Falsche Endpunkt-URL oder Region. | Überprüfen Sie das URL-Format: https://connect.aidevops.{region}.api.aws | 