

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conectarse a los servidores remotos del DevOps agente
<a name="accessing-devops-agent-connect-to-devops-agent-remote-servers"></a>

AWS DevOps El agente proporciona servidores remotos dedicados para los protocolos Model Context Protocol (MCP) y Agent-to-Agent (A2A). Utilice estos servidores para conectar sus integraciones de IDE, CLI o agentes personalizados a un Agent Space.

## Protocolos admitidos
<a name="supported-protocols"></a>
+ **MCP (Model Context Protocol)**: conecta clientes IDE y CLI como Kiro, Claude Code, Cursor y otras MCP-compatible herramientas.
+ **A2A (Agent-to-Agent) v1.0**: Connect agentes autónomos para la comunicación entre agentes.

## Puntos de conexión
<a name="endpoints"></a>

Los servidores remotos están disponibles en una URL regional:

```
https://connect.aidevops.{region}.api.aws
```


| Protocolo | Ruta | Método | 
| --- | --- | --- | 
| MCP | /mcp | POST | 
| A2A | /a2a/\* | POST | 
| Tarjeta de agente A2A | /.well-known/agent-card.json | GET | 

Para ver la lista de regiones disponibles, consulte[Regiones admitidas](about-aws-devops-agent-supported-regions.md).

## Autenticación
<a name="authentication"></a>

Hay dos métodos de autenticación disponibles para los puntos finales MCP y A2A:
+ **Token de acceso (portador)**: un único token destinado a un espacio de agente. La configuración más sencilla para uso individual.
+ **AWS SigV4**: autenticación basada en AWS credenciales. Admite varios espacios de agentes y se integra con el gobierno de identidad existente AWS . Lo gestiona automáticamente [mcp-proxy-for-aws](https://github.com/aws/mcp-proxy-for-aws), un proxy local que firma las solicitudes con sus credenciales. AWS 

## Crea un token de acceso
<a name="create-an-access-token"></a>

### Requisitos previos
<a name="prerequisites"></a>
+ La función de fichas de acceso debe estar habilitada en su espacio de agente.
+ Debe tener permisos de IAM para administrar los tokens de acceso (`aidevops:CreateAccessToken`,`aidevops:RevokeAccessToken`,`aidevops:RotateAccessToken`). Puede consultar la lista completa e [DevOps Permisos de IAM para agentes](aws-devops-agent-security-devops-agent-iam-permissions.md).

### Habilite los tokens de acceso
<a name="enable-access-tokens"></a>

1. Inicie sesión en la consola AWS de administración y abra la consola del AWS DevOps agente.

1. Elija su espacio de agente.

1. Elija la pestaña **Configuración**.

1. En la sección **Tokens de acceso**, selecciona **Activar**.

1. Confirme la acción.

### Crea un token
<a name="create-a-token"></a>

1. Abre la aplicación web DevOps Agent para tu espacio de agente y, a continuación, en el menú de navegación, selecciona **Configuración** y, a continuación, selecciona **Access Tokens**.

1. Elija **Generar token**.

1. Ingrese un nombre para el token.

1. Elige un ámbito:
   + `read`— Consulta las investigaciones, las recomendaciones, los chats y los recursos de Agent Space.
   + `operate`— Acceso completo. Incluye todo`read`, además de enviar mensajes, crear chats y gestionar las tareas pendientes y las recomendaciones.

1. Elige un tipo de cliente:
   + `human`— Para uso de IDE y CLI (Kiro, Claude Code, Cursor y otras herramientas interactivas).
   + `agent`— Para integraciones A2A autónomas y agentes programáticos.

1. Establezca una caducidad (de 1 a 60 días).

1. Copia el valor del token y guárdalo en un lugar seguro, como [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html). No puedes volver a recuperarlo.

Tras crear un token, la aplicación web muestra un ejemplo de configuración que puede copiar directamente en su cliente.

## Conéctate con Kiro
<a name="connect-with-kiro"></a>

Para los usuarios [de Kiro](https://kiro.dev/), hay disponible un poder de **AWS DevOps agente** dedicado en el IDE o en el mercado de [Kiro Powers.](https://kiro.dev/powers/#aws-devops-agent)

**Paso 1: Instale la alimentación**

Instale la potencia **aws-devops-agent** del mercado de Powers.

**Paso 2: Defina las variables de entorno**

Establezca las siguientes variables de entorno para configurar la conexión:

```
DEVOPS_AGENT_TOKEN=<your-access-token>
DEVOPS_AGENT_REGION=<your-agent-space-region>
```

**Paso 3: Aprobar las variables en Kiro**

Vaya a **Configuración** > Variables **ambientales aprobadas por MCP y apruebe y.** `DEVOPS_AGENT_TOKEN` `DEVOPS_AGENT_REGION` Kiro no transfiere variables de entorno a los servidores MCP hasta que se aprueban.

**Paso 4: Reiniciar Kiro**

Reinicia Kiro para aplicar los cambios.

La potencia de Kiro se incluye `aws-mcp` como alternativa, que proporciona acceso directo a la AWS API cuando el punto final del servidor remoto no está disponible.

## Conéctese con Claude Code
<a name="connect-with-claude-code"></a>

Para los usuarios de [Claude Code](https://code.claude.com/docs/en/overview), AWS DevOps Agent está disponible en el complemento Claude **aws-agents-for-devsecops**, que incorpora las funciones de agente y agente de seguridad a Claude. AWS DevOps AWS [https://claude.com/plugins/aws-agents-for-devsecops](https://claude.com/plugins/aws-agents-for-devsecops)

1. Instale el complemento **aws-agents-for-devsecops**.

1. Ejecute el comando para configurar la conexión. `/aws-agents-for-devsecops:setup-devops-agent`

## Conéctese con otros clientes de MCP
<a name="connect-with-other-mcp-clients"></a>

Para cualquier MCP-compatible cliente, configure el servidor con:
+ **URL** — `https://connect.aidevops.{region}.api.aws/mcp`
+ **Encabezado de autorización** — `Bearer <your-token>`
+ **Tiempo de espera**: 120 segundos como mínimo (las respuestas iniciales pueden tardar entre 5 y 30 segundos; las sesiones de chat en curso pueden tardar más)

Esta configuración también funciona con Kiro y Claude Code si prefieres configurar la conexión manualmente en lugar de utilizar la alimentación o el complemento dedicados.

Ejemplo de configuración de MCP:

```
{
  "mcpServers": {
    "aws-devops-agent": {
      "url": "https://connect.aidevops.{region}.api.aws/mcp",
      "headers": {
        "Authorization": "Bearer <your-access-token>"
      }
    }
  }
}
```

`{region}`Sustitúyala por la región de tu espacio de agente (por ejemplo`us-east-1`) y `<your-access-token>` por el valor del token.

## Usa la autenticación SigV4
<a name="use-sigv4-authentication"></a>

La autenticación SigV4 usa tus AWS credenciales en lugar de un token de acceso. El plugin Kiro power y Claude Code incluyen soporte integrado para SigV4`mcp-proxy-for-aws`, que permite firmar las solicitudes con tus credenciales locales. AWS 

### Cuando se usa SigV4
<a name="when-sigv4-is-used"></a>
+ Como **alternativa** cuando el token de acceso no está configurado o falla (caducado, no válido).
+ Como autenticación **principal** cuando tienes varios espacios de agente y necesitas redirigirlos `agent_space_id` por cada llamada a la herramienta.
+ Como **opción del usuario**, en Claude Code, ejecute la habilidad de configuración para cambiar del token del portador a la autenticación SigV4.

### Requisitos previos
<a name="prerequisites"></a>
+ AWS credenciales disponibles en el entorno (mediante el inicio de sesión único, las variables de entorno o el archivo de credenciales).
+ Sus credenciales deben tener permiso para AWS DevOps invocar las acciones del agente. Para conocer los permisos necesarios, consulte [DevOps Permisos de IAM para agentes](aws-devops-agent-security-devops-agent-iam-permissions.md).
+ `uvx`instalado (se ejecuta el proxy`uvx mcp-proxy-for-aws@latest`).

### Configuración de ejemplo
<a name="example-configuration"></a>

Para configurar un cliente MCP para que utilice SiGv4 en lugar de un token de acceso, ejecute el servidor. `mcp-proxy-for-aws` `{region}`Sustitúyala por la región de tu espacio de agente (por ejemplo,`us-east-1`):

```
{
  "mcpServers": {
    "aws-devops-agent": {
      "command": "uvx",
      "timeout": 120000,
      "args": [
        "mcp-proxy-for-aws@latest",
        "https://connect.aidevops.{region}.api.aws/mcp",
        "--service", "aidevops",
        "--region", "{region}"
      ]
    }
  }
}
```

El proxy firma cada solicitud con tus AWS credenciales locales, por lo que no es necesario ningún token de acceso.

### Multi-Agent-Space enrutamiento
<a name="multi-agent-space-routing"></a>

En el modo SiGv4, `agent_space_id` transfiera cada llamada a la herramienta para especificar qué espacio de agente utilizar. Esto permite enrutar varios Agent Spaces desde un único cliente.

## Integración A2A
<a name="a2a-integration"></a>

El punto final A2A implementa la [especificación A2A v1.0 mediante](https://a2a-protocol.org/latest/specification/) el enlace HTTP\+JSON.

### Detección de tarjetas de agente
<a name="agent-card-discovery"></a>

Recupere la tarjeta de agente en:

```
GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json
```

### Operaciones admitidas
<a name="supported-operations"></a>
+ `SendMessage`— Envía un mensaje y recibe una respuesta.
+ `SendStreamingMessage`— Transmita las respuestas a medida que se generan.
+ `GetTask`— Comprobar el estado de una tarea asíncrona.
+ `ListTasks`— Listar las tareas de un espacio de agentes.
+ `CancelTask`— Cancelar una tarea en ejecución.
+ `SubscribeToTask`— Suscríbase a las actualizaciones de tareas mediante eventos enviados por el servidor.

### Habilidades
<a name="skills"></a>
+ **investigar**: análisis profundo y asincrónico de los problemas operativos (de 5 a 8 minutos).
+ **chat: respuestas** instantáneas a preguntas operativas.

## Consideraciones de seguridad
<a name="security-considerations"></a>

### Alcance de los tokens
<a name="token-scoping"></a>
+ Utilice los privilegios mínimos: `read` opte por integraciones de solo lectura, `operate` solo cuando el cliente necesite enviar mensajes o gestionar tareas.
+ Rota las fichas periódicamente. Los tokens caducan después de la duración configurada (máximo 60 días).
+ Guarde los tokens en variables de entorno o en administradores de secretos. No codifique los tokens en el código fuente.
+ No ejecute automáticamente las respuestas de los agentes sin una revisión humana.

### Lista de direcciones IP permitidas
<a name="ip-allowlist"></a>

Al crear un token de acceso, si lo desea, puede especificar una lista de direcciones IP permitidas. Cuando está configurado, el token solo se puede usar desde las direcciones IP o los rangos de CIDR especificados. Las solicitudes de otras IP se rechazan con un error de acceso denegado.

### Rotación y revocación de los tokens
<a name="token-rotation-and-revocation"></a>
+ **Rotación**: rota un token para generar un nuevo valor de token y, al mismo tiempo, conservar el nombre, los ámbitos y la lista de IP permitidas del token. El token anterior se invalida inmediatamente. Actualice la configuración de su cliente con el nuevo valor del token.
+ **Revocación**: si un token está en peligro, revoquelo inmediatamente. Los tokens revocados no se pueden usar ni restaurar.

#### Responder a un token comprometido
<a name="responding-to-a-compromised-token"></a>

Si sospechas que un token se ha visto comprometido, sigue estos pasos:

1. **Bloquee el acceso a todos los tokens**: en la AWS DevOps consola del agente, abra su espacio de agente, seleccione la pestaña **Configuración** y elija **Inhabilitar** en la sección Acceso a los tokens. Esto bloquea inmediatamente todos los accesos basados en fichas al espacio de agentes.

1. **Revocar los tokens comprometidos****: en la aplicación web, ve a **Configuración** > **Acceder a los tokens**, elige el token comprometido y elige Revocar.** Puedes revocar las fichas incluso cuando las fichas de acceso estén desactivadas.

1. **Re-enable fichas de acceso**: tras revocar las fichas comprometidas, vuelve a activar las fichas de acceso desde la pestaña **Configuración** si aún necesitas un acceso basado en fichas.

#### Revocar los tokens mediante programación
<a name="revoking-tokens-programmatically"></a>

También puede revocar los tokens mediante programación utilizando. `awscurl` Los siguientes comandos utilizan la autenticación SigV4. Sustituya la región (`us-east-1`) por la región en la que se creó su espacio de agente.

**Nota:** El paso 1 usa la AWS CLI. En los pasos 2 y 3 se usa [awscurl](https://github.com/okigan/awscurl), una herramienta de línea de comandos que firma las solicitudes HTTP con SigV4, ya que las operaciones del token de acceso aún no tienen comandos de CLI dedicados. AWS 

**Paso 1: Enumere sus espacios de agente**

```
aws aidevops list-agent-spaces --region us-east-1
```

**Paso 2: Enumere los tokens de acceso a un espacio de agente**

```
awscurl --service aidevops --region us-east-1 \
  -H "Accept: application/json" \
  "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"
```

**Paso 3: Revocar un token**

```
awscurl --service aidevops --region us-east-1 -X POST \
  -H "Accept: application/json" \
  "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"
```

Sustituya `{agentSpaceId}` y `{accessTokenId}` por los valores de las respuestas anteriores.

### Trazabilidad
<a name="traceability"></a>

Cuando se utiliza un token de acceso, el AWS DevOps agente asume una función en su nombre para realizar acciones. Esta `AssumeRole` llamada se registra AWS CloudTrail con etiquetas de sesión que identifican al token y a la persona que llama:
+ `AgentSpaceId`— Identificador del espacio de agentes.
+ `UserId`— Identidad del creador del token.
+ `AccessTokenId`— Identificador único del token.
+ `TokenName`— Nombre del token de acceso utilizado.
+ `ClientType`— El protocolo utilizado (MCP, A2A).
+ `SourceIp`— Dirección IP del cliente.
+ `UserAgent`— User-Agent Cadena de cliente (cuando esté disponible).

Las invocaciones directas de los terminales MCP y A2A no se registran CloudTrail para ninguno de los dos métodos de autenticación. Cada invocación tiene iniciada una llamada a la AWS API descendente correspondiente CloudTrail, con un nombre de sesión de rol identificable en el formato. `token_{spaceId}_{timestamp}_{tokenName}`

### Limitación de la política de puntos finales de VPC
<a name="vpc-endpoint-policy-limitation"></a>

Los puntos finales del servidor remoto no admiten las políticas de puntos finales de VPC. Las políticas de punto final de la VPC no pueden restringir las llamadas que utilizan tokens de acceso o autenticación SigV4.

### Inhabilitar los tokens de acceso
<a name="disabling-access-tokens"></a>

La función de fichas de acceso está desactivada de forma predeterminada. Para deshabilitarla después de habilitarla:

1. Abra la pestaña de **configuración** de su espacio de agente.

1. En la sección **Tokens de acceso**, seleccione **Desactivar**.

La desactivación bloquea inmediatamente todos los accesos basados en tokens. Los tokens existentes no se eliminan, pero no se pueden usar hasta que se vuelva a activar la función.

Para evitar que los usuarios de su organización habiliten los tokens de acceso, cree una política de control de servicios (SCP) que deniegue las acciones de la API del token de acceso y la `UpdateAgentSpace` acción (que controla la activación de los tokens de acceso):

**Nota: Si** se deniega, `aidevops:UpdateAgentSpace` también se evitan otras actualizaciones de Agent Space (nombre, descripción y configuración regional). Si esto es demasiado amplio, omítelo en el SCP; las denegaciones restantes siguen impidiendo la creación y el uso de los tokens, incluso si alguien habilita la función.

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "DenyAccessTokenOperations",
      "Effect": "Deny",
      "Action": [
        "aidevops:UpdateAgentSpace",
        "aidevops:CreateAccessToken",
        "aidevops:GetAccessToken",
        "aidevops:ListAccessTokens",
        "aidevops:RotateAccessToken",
        "aidevops:RevokeAccessToken"
      ],
      "Resource": "*"
    }
  ]
}
```

## Resolución de problemas
<a name="troubleshooting"></a>


| Síntoma | Causa | Resolución | 
| --- | --- | --- | 
| HTTP 401: No autorizado | El token no es válido o ha caducado. | Cree un nuevo token o rote el token existente en la aplicación web. | 
| HTTP 400: «Se requiere A2A-Version encabezado» | Falta el encabezado de la versión del protocolo. Solo se admite la versión 1.0 de A2A. | Agregue un A2A-Version: 1.0 encabezado a las solicitudes A2A. | 
| Tiempo de espera de la solicitud | Las respuestas iniciales tardan entre 5 y 30 segundos. Las investigaciones tardan entre 5 y 8 minutos. | Establezca el tiempo de espera del cliente en al menos 120 segundos. | 
| Conexión rechazada | URL o región de punto final incorrectas. | Compruebe el formato de la URL: https://connect.aidevops.{region}.api.aws | 