Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connect ai server remoti di DevOps Agent
AWS DevOps Agent fornisce server remoti dedicati per i protocolli Model Context Protocol (MCP) e Agent-to-Agent (A2A). Usa questi server per connettere le tue integrazioni IDE, CLI o agenti personalizzati a un Agent Space.
Protocolli supportati
MCP (Model Context Protocol): collega client IDE e CLI come Kiro, Claude Code, Cursor e altri strumenti. MCP-compatible
A2A (Agent-to-Agent) v1.0 — Connetti agenti autonomi per la comunicazione tra agenti.
Endpoints
I server remoti sono disponibili presso un URL regionale:
https://connect.aidevops.{region}.api.aws
| Protocollo | Path | Metodo |
|---|---|---|
| MCP | /mcp |
POST |
| A2A | /a2a/* |
POST |
| carta agente A2A | /.well-known/agent-card.json |
GET |
Per l'elenco delle regioni disponibili, vedere. Regioni supportate
Autenticazione
Sono disponibili due metodi di autenticazione per gli endpoint MCP e A2A:
Token di accesso (Bearer): un singolo token assegnato a un Agent Space. Configurazione più semplice per uso individuale.
AWS SIGv4: autenticazione basata su AWS credenziali. Supporta più Agent Spaces e si integra con la governance delle identità esistente. AWS Gestito automaticamente da mcp-proxy-for-aws, un proxy locale
che firma le richieste utilizzando le tue credenziali. AWS
Crea un token di accesso
Prerequisiti
La funzionalità dei token di accesso deve essere abilitata sul tuo Agent Space.
È necessario disporre delle autorizzazioni IAM per gestire i token di accesso (
aidevops:CreateAccessToken,,aidevops:RevokeAccessToken).aidevops:RotateAccessTokenPer l'elenco completo, consulta DevOps Autorizzazioni Agent IAM.
Abilita i token di accesso
Accedi alla console di AWS gestione e apri la console dell' AWS DevOps agente.
Scegli il tuo Agent Space.
Scegli la scheda Configurazione.
Nella sezione Token di accesso, scegli Abilita.
Conferma l'operazione.
Crea un token
Apri l'app web DevOps Agent per Agent Space, quindi dal menu di navigazione, scegli Impostazioni, quindi scegli Access Tokens.
Scegli Generate token (Genera token).
Inserisci un nome per il token.
Scegli un ambito:
read— Visualizza indagini, consigli, chat e risorse di Agent Space.operate— Accesso completo. Include tutto ciò che è inclusoread, oltre a inviare messaggi, creare chat e gestire attività e consigli arretrati.
Scegli un tipo di cliente:
human— Per l'utilizzo di IDE e CLI (Kiro, Claude Code, Cursor e altri strumenti interattivi).agent— Per integrazioni A2A autonome e agenti programmatici.
Imposta una scadenza (da 1 a 60 giorni).
Copia il valore del token e conservalo in un luogo sicuro e protetto, ad esempio AWS Secrets Manager. Non è possibile recuperarlo di nuovo.
Dopo aver creato un token, l'app Web visualizza un esempio di configurazione che puoi copiare direttamente nel tuo client.
Connect con Kiro
Per gli utenti di Kiro
Fase 1: Installare l'alimentazione
Installa aws-devops-agent power dal marketplace di Powers.
Fase 2: Impostare le variabili di ambiente
Imposta le seguenti variabili di ambiente per configurare la connessione:
DEVOPS_AGENT_TOKEN=<your-access-token> DEVOPS_AGENT_REGION=<your-agent-space-region>
Fase 3: Approvare le variabili in Kiro
Vai su Impostazioni > MCP Approved Env Vars e approva e. DEVOPS_AGENT_TOKEN DEVOPS_AGENT_REGION Kiro non passa le variabili di ambiente ai server MCP finché non vengono approvate.
Fase 4: Riavviare Kiro
Riavvia Kiro per applicare le modifiche.
Kiro Power include aws-mcp una soluzione di riserva, che fornisce l'accesso diretto alle AWS API quando l'endpoint del server remoto non è disponibile.
Connect con Claude Code
Per gli utenti di Claude Code
Installa il plugin aws-agents-for-devsecops.
/aws-agents-for-devsecops:setup-devops-agentEsegui il comando per configurare la tua connessione.
Connect con altri client MCP
Per qualsiasi MCP-compatible client, configura il server con:
URL —
https://connect.aidevops.{region}.api.aws/mcpIntestazione di autorizzazione —
Bearer <your-token>Timeout: minimo 120 secondi (le risposte iniziali possono richiedere 5-30 secondi; le sessioni di chat in corso potrebbero richiedere più tempo)
Questa configurazione funziona anche con Kiro e Claude Code se preferisci configurare la connessione manualmente invece di utilizzare l'alimentazione o il plug-in dedicati.
Esempio di configurazione MCP:
{ "mcpServers": { "aws-devops-agent": { "url": "https://connect.aidevops.{region}.api.aws/mcp", "headers": { "Authorization": "Bearer <your-access-token>" } } } }
Sostituisci {region} con la regione di Agent Space (ad esempious-east-1) e <your-access-token> con il valore del token.
Usa l'autenticazione SigV4
L'autenticazione SigV4 utilizza AWS le tue credenziali anziché un token di accesso. I plugin Kiro power e Claude Code includono il supporto SigV4 integratomcp-proxy-for-aws, che firma le richieste utilizzando le credenziali locali. AWS
Quando si usa SigV4
Come fallback quando il token di accesso non è configurato o fallisce (scaduto, non valido).
Come autenticazione principale quando si dispone di più Agent Spaces ed è necessario eseguire il routing per ogni chiamata allo strumento.
agent_space_idA scelta dell'utente, in Claude Code, esegui l'abilità di configurazione per passare dal token Bearer all'autenticazione SigV4.
Prerequisiti
AWS credenziali disponibili nell'ambiente (tramite SSO, variabili di ambiente o file di credenziali).
Le tue credenziali devono essere autorizzate a richiamare le azioni dell'agente. AWS DevOps Per le autorizzazioni richieste, consulta DevOps Autorizzazioni Agent IAM.
uvxinstallato (il proxy funziona).uvx mcp-proxy-for-aws@latest
Configurazione di esempio
Per configurare un client MCP in modo che utilizzi SigV4 anziché un token di accesso, esegui il server tramite. mcp-proxy-for-aws Sostituisci {region} con la regione di Agent Space (ad esempio,): us-east-1
{ "mcpServers": { "aws-devops-agent": { "command": "uvx", "timeout": 120000, "args": [ "mcp-proxy-for-aws@latest", "https://connect.aidevops.{region}.api.aws/mcp", "--service", "aidevops", "--region", "{region}" ] } } }
Il proxy firma ogni richiesta con le tue AWS credenziali locali, quindi non è richiesto alcun token di accesso.
Multi-Agent-Space routing
In modalità SigV4, agent_space_id trasmetti ogni chiamata allo strumento per specificare quale Agent Space utilizzare. In questo modo è possibile il routing su più Agent Spaces da un singolo client.
Integrazione A2A
L'endpoint A2A implementa la specifica A2A v1.0 utilizzando l'associazione HTTP+JSON
Agent Card Discovery
Recupera la carta dell'agente all'indirizzo:
GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json
Operazioni supportate
SendMessage— Invia un messaggio e ricevi una risposta.SendStreamingMessage— Trasmetti in streaming le risposte man mano che vengono generate.GetTask— Controlla lo stato di un'attività asincrona.ListTasks— Elenca le attività per un Agent Space.CancelTask— Annullare un'attività in esecuzione.SubscribeToTask— Iscriviti agli aggiornamenti delle attività tramite eventi inviati dal server.
Competenze
investigare: analisi asincrona approfondita dei problemi operativi (5—8 minuti).
chat: risposte istantanee a domande operative.
Considerazioni relative alla sicurezza
Scoping dei token
Usa il privilegio minimo: scegli
readle integrazioni di sola lettura,operatesolo quando il client deve inviare messaggi o gestire attività.Ruota periodicamente i token. I token scadono dopo la durata configurata (massimo 60 giorni).
Memorizza i token in variabili di ambiente o gestori segreti. Non codificate i token nel codice sorgente.
Non eseguire automaticamente le risposte degli agenti senza una revisione umana.
Elenco di indirizzi IP consentiti
Quando si crea un token di accesso, è possibile specificare facoltativamente una lista di indirizzi IP consentiti. Una volta configurato, il token può essere utilizzato solo dagli indirizzi IP o dagli intervalli CIDR specificati. Le richieste provenienti da altri IP vengono rifiutate con un errore di accesso negato.
Rotazione e revoca dei token
Rotazione: ruota un token per generare un nuovo valore del token preservando il nome, gli ambiti e l'elenco di indirizzi IP consentiti del token. Il vecchio token viene immediatamente invalidato. Aggiorna la configurazione del client con il nuovo valore del token.
Revoca: se un token è compromesso, revocalo immediatamente. I token revocati non possono essere utilizzati e non possono essere ripristinati.
Risposta a un token compromesso
Se sospetti che un token sia stato compromesso, segui questi passaggi:
Blocca l'accesso a tutti i token: nella console dell' AWS DevOps agente, apri Agent Space, scegli la scheda Configurazione e scegli Disabilita nella sezione Token di accesso. Ciò blocca immediatamente tutti gli accessi basati su token all'Agent Space.
Revoca i token compromessi: nell'app Web, vai su Impostazioni > Token di accesso, scegli il token compromesso e scegli Revoca. Puoi revocare i token anche se i token di accesso sono disabilitati.
Re-enable token di accesso: dopo aver revocato i token compromessi, riattiva i token di accesso dalla scheda Configurazione se hai ancora bisogno di un accesso basato su token.
Revoca dei token a livello di codice
Puoi anche revocare i token a livello di codice utilizzando. awscurl I seguenti comandi utilizzano l'autenticazione SigV4. Sostituisci la regione (us-east-1) con la regione in cui viene creato lo spazio dell'agente.
Fase 1: Elenca i tuoi Agent Spaces
aws aidevops list-agent-spaces --region us-east-1
Fase 2: Elenca i token di accesso per un Agent Space
awscurl --service aidevops --region us-east-1 \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"
Fase 3: Revoca un token
awscurl --service aidevops --region us-east-1 -X POST \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"
Sostituisci {agentSpaceId} e {accessTokenId} con i valori delle risposte precedenti.
Tracciabilità
Quando viene utilizzato un token di accesso, AWS DevOps l'agente assume un ruolo per conto dell'utente per eseguire le azioni. Questa AssumeRole chiamata viene registrata AWS CloudTrail con tag di sessione che identificano il token e il chiamante:
AgentSpaceId— Identificatore dello spazio dell'agente.UserId— Identità del creatore del token.AccessTokenId— Identificatore univoco del token.TokenName— Nome del token di accesso utilizzato.ClientType— Il protocollo utilizzato (MCP, A2A).SourceIp— Indirizzo IP del client.UserAgent— User-Agent Stringa del client (se disponibile).
Le chiamate dirette agli endpoint MCP e A2A non vengono registrate per nessuno dei due metodi di autenticazione. CloudTrail A ogni chiamata è registrata una chiamata AWS API downstream corrispondente, con un nome di sessione di ruolo identificabile nel CloudTrail formato. token_{spaceId}_{timestamp}_{tokenName}
Limitazione delle policy relative agli endpoint VPC
Gli endpoint del server remoto non supportano le policy degli endpoint VPC. Le chiamate che utilizzano i token di accesso o l'autenticazione SigV4 non possono essere limitate dalle policy degli endpoint VPC.
Disabilitazione dei token di accesso
La funzionalità dei token di accesso è disattivata per impostazione predefinita. Per disabilitarla dopo averla abilitata:
Apri la scheda Configurazione del tuo Agent Space.
Nella sezione Token di accesso, scegli Disabilita.
La disabilitazione blocca immediatamente tutti gli accessi basati su token. I token esistenti non vengono eliminati ma non possono essere utilizzati finché la funzionalità non viene riattivata.
Per impedire agli utenti della tua organizzazione di abilitare i token di accesso, crea una Service Control Policy (SCP) che neghi le azioni dell'API del token di accesso e l'UpdateAgentSpaceazione (che controlla l'interruttore dei token di accesso):
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessTokenOperations", "Effect": "Deny", "Action": [ "aidevops:UpdateAgentSpace", "aidevops:CreateAccessToken", "aidevops:GetAccessToken", "aidevops:ListAccessTokens", "aidevops:RotateAccessToken", "aidevops:RevokeAccessToken" ], "Resource": "*" } ] }
Risoluzione dei problemi
| Caratteristiche | Causa | Risoluzione |
|---|---|---|
| HTTP 401 non autorizzato | Il token non è valido o è scaduto. | Crea un nuovo token o ruota il token esistente nell'app web. |
| «A2A-Version Intestazione HTTP 400 richiesta» | Intestazione della versione del protocollo mancante. È supportato solo A2A v1.0. | Aggiungi un'A2A-Version: 1.0intestazione alle richieste A2A. |
| Timeout della richiesta | Le risposte iniziali richiedono 5-30 secondi. Le indagini richiedono 5-8 minuti. | Imposta il timeout del client su almeno 120 secondi. |
| Connessione rifiutata | URL o regione dell'endpoint errati. | Verifica il formato dell'URL: https://connect.aidevops.{region}.api.aws |