View a markdown version of this page

Connect ai server remoti di DevOps Agent - AWS DevOps Agente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect ai server remoti di DevOps Agent

AWS DevOps Agent fornisce server remoti dedicati per i protocolli Model Context Protocol (MCP) e Agent-to-Agent (A2A). Usa questi server per connettere le tue integrazioni IDE, CLI o agenti personalizzati a un Agent Space.

Protocolli supportati

  • MCP (Model Context Protocol): collega client IDE e CLI come Kiro, Claude Code, Cursor e altri strumenti. MCP-compatible

  • A2A (Agent-to-Agent) v1.0 — Connetti agenti autonomi per la comunicazione tra agenti.

Endpoints

I server remoti sono disponibili presso un URL regionale:

https://connect.aidevops.{region}.api.aws
Protocollo Path Metodo
MCP /mcp POST
A2A /a2a/* POST
carta agente A2A /.well-known/agent-card.json GET

Per l'elenco delle regioni disponibili, vedere. Regioni supportate

Autenticazione

Sono disponibili due metodi di autenticazione per gli endpoint MCP e A2A:

  • Token di accesso (Bearer): un singolo token assegnato a un Agent Space. Configurazione più semplice per uso individuale.

  • AWS SIGv4: autenticazione basata su AWS credenziali. Supporta più Agent Spaces e si integra con la governance delle identità esistente. AWS Gestito automaticamente da mcp-proxy-for-aws, un proxy locale che firma le richieste utilizzando le tue credenziali. AWS

Crea un token di accesso

Prerequisiti

  • La funzionalità dei token di accesso deve essere abilitata sul tuo Agent Space.

  • È necessario disporre delle autorizzazioni IAM per gestire i token di accesso (aidevops:CreateAccessToken,,aidevops:RevokeAccessToken). aidevops:RotateAccessToken Per l'elenco completo, consulta DevOps Autorizzazioni Agent IAM.

Abilita i token di accesso

  1. Accedi alla console di AWS gestione e apri la console dell' AWS DevOps agente.

  2. Scegli il tuo Agent Space.

  3. Scegli la scheda Configurazione.

  4. Nella sezione Token di accesso, scegli Abilita.

  5. Conferma l'operazione.

Crea un token

  1. Apri l'app web DevOps Agent per Agent Space, quindi dal menu di navigazione, scegli Impostazioni, quindi scegli Access Tokens.

  2. Scegli Generate token (Genera token).

  3. Inserisci un nome per il token.

  4. Scegli un ambito:

    • read— Visualizza indagini, consigli, chat e risorse di Agent Space.

    • operate— Accesso completo. Include tutto ciò che è inclusoread, oltre a inviare messaggi, creare chat e gestire attività e consigli arretrati.

  5. Scegli un tipo di cliente:

    • human— Per l'utilizzo di IDE e CLI (Kiro, Claude Code, Cursor e altri strumenti interattivi).

    • agent— Per integrazioni A2A autonome e agenti programmatici.

  6. Imposta una scadenza (da 1 a 60 giorni).

  7. Copia il valore del token e conservalo in un luogo sicuro e protetto, ad esempio AWS Secrets Manager. Non è possibile recuperarlo di nuovo.

Dopo aver creato un token, l'app Web visualizza un esempio di configurazione che puoi copiare direttamente nel tuo client.

Connect con Kiro

Per gli utenti di Kiro, è disponibile un AWS DevOps Agent Power dedicato dall'IDE o dal marketplace di Kiro Powers.

Fase 1: Installare l'alimentazione

Installa aws-devops-agent power dal marketplace di Powers.

Fase 2: Impostare le variabili di ambiente

Imposta le seguenti variabili di ambiente per configurare la connessione:

DEVOPS_AGENT_TOKEN=<your-access-token> DEVOPS_AGENT_REGION=<your-agent-space-region>

Fase 3: Approvare le variabili in Kiro

Vai su Impostazioni > MCP Approved Env Vars e approva e. DEVOPS_AGENT_TOKEN DEVOPS_AGENT_REGION Kiro non passa le variabili di ambiente ai server MCP finché non vengono approvate.

Fase 4: Riavviare Kiro

Riavvia Kiro per applicare le modifiche.

Kiro Power include aws-mcp una soluzione di riserva, che fornisce l'accesso diretto alle AWS API quando l'endpoint del server remoto non è disponibile.

Connect con Claude Code

Per gli utenti di Claude Code, AWS DevOps Agent è disponibile tramite il plugin Claude aws-agents-for-devsecops, che porta in Claude sia le funzionalità di Agent che quelle di Security Agent. AWS DevOps AWS Installalo dai plugin di Claude o dal repository dei sorgenti.

  1. Installa il plugin aws-agents-for-devsecops.

  2. /aws-agents-for-devsecops:setup-devops-agentEsegui il comando per configurare la tua connessione.

Connect con altri client MCP

Per qualsiasi MCP-compatible client, configura il server con:

  • URLhttps://connect.aidevops.{region}.api.aws/mcp

  • Intestazione di autorizzazioneBearer <your-token>

  • Timeout: minimo 120 secondi (le risposte iniziali possono richiedere 5-30 secondi; le sessioni di chat in corso potrebbero richiedere più tempo)

Questa configurazione funziona anche con Kiro e Claude Code se preferisci configurare la connessione manualmente invece di utilizzare l'alimentazione o il plug-in dedicati.

Esempio di configurazione MCP:

{ "mcpServers": { "aws-devops-agent": { "url": "https://connect.aidevops.{region}.api.aws/mcp", "headers": { "Authorization": "Bearer <your-access-token>" } } } }

Sostituisci {region} con la regione di Agent Space (ad esempious-east-1) e <your-access-token> con il valore del token.

Usa l'autenticazione SigV4

L'autenticazione SigV4 utilizza AWS le tue credenziali anziché un token di accesso. I plugin Kiro power e Claude Code includono il supporto SigV4 integratomcp-proxy-for-aws, che firma le richieste utilizzando le credenziali locali. AWS

Quando si usa SigV4

  • Come fallback quando il token di accesso non è configurato o fallisce (scaduto, non valido).

  • Come autenticazione principale quando si dispone di più Agent Spaces ed è necessario eseguire il routing per ogni chiamata allo strumento. agent_space_id

  • A scelta dell'utente, in Claude Code, esegui l'abilità di configurazione per passare dal token Bearer all'autenticazione SigV4.

Prerequisiti

  • AWS credenziali disponibili nell'ambiente (tramite SSO, variabili di ambiente o file di credenziali).

  • Le tue credenziali devono essere autorizzate a richiamare le azioni dell'agente. AWS DevOps Per le autorizzazioni richieste, consulta DevOps Autorizzazioni Agent IAM.

  • uvxinstallato (il proxy funziona). uvx mcp-proxy-for-aws@latest

Configurazione di esempio

Per configurare un client MCP in modo che utilizzi SigV4 anziché un token di accesso, esegui il server tramite. mcp-proxy-for-aws Sostituisci {region} con la regione di Agent Space (ad esempio,): us-east-1

{ "mcpServers": { "aws-devops-agent": { "command": "uvx", "timeout": 120000, "args": [ "mcp-proxy-for-aws@latest", "https://connect.aidevops.{region}.api.aws/mcp", "--service", "aidevops", "--region", "{region}" ] } } }

Il proxy firma ogni richiesta con le tue AWS credenziali locali, quindi non è richiesto alcun token di accesso.

Multi-Agent-Space routing

In modalità SigV4, agent_space_id trasmetti ogni chiamata allo strumento per specificare quale Agent Space utilizzare. In questo modo è possibile il routing su più Agent Spaces da un singolo client.

Integrazione A2A

L'endpoint A2A implementa la specifica A2A v1.0 utilizzando l'associazione HTTP+JSON.

Agent Card Discovery

Recupera la carta dell'agente all'indirizzo:

GET https://connect.aidevops.{region}.api.aws/.well-known/agent-card.json

Operazioni supportate

  • SendMessage— Invia un messaggio e ricevi una risposta.

  • SendStreamingMessage— Trasmetti in streaming le risposte man mano che vengono generate.

  • GetTask— Controlla lo stato di un'attività asincrona.

  • ListTasks— Elenca le attività per un Agent Space.

  • CancelTask— Annullare un'attività in esecuzione.

  • SubscribeToTask— Iscriviti agli aggiornamenti delle attività tramite eventi inviati dal server.

Competenze

  • investigare: analisi asincrona approfondita dei problemi operativi (5—8 minuti).

  • chat: risposte istantanee a domande operative.

Considerazioni relative alla sicurezza

Scoping dei token

  • Usa il privilegio minimo: scegli read le integrazioni di sola lettura, operate solo quando il client deve inviare messaggi o gestire attività.

  • Ruota periodicamente i token. I token scadono dopo la durata configurata (massimo 60 giorni).

  • Memorizza i token in variabili di ambiente o gestori segreti. Non codificate i token nel codice sorgente.

  • Non eseguire automaticamente le risposte degli agenti senza una revisione umana.

Elenco di indirizzi IP consentiti

Quando si crea un token di accesso, è possibile specificare facoltativamente una lista di indirizzi IP consentiti. Una volta configurato, il token può essere utilizzato solo dagli indirizzi IP o dagli intervalli CIDR specificati. Le richieste provenienti da altri IP vengono rifiutate con un errore di accesso negato.

Rotazione e revoca dei token

  • Rotazione: ruota un token per generare un nuovo valore del token preservando il nome, gli ambiti e l'elenco di indirizzi IP consentiti del token. Il vecchio token viene immediatamente invalidato. Aggiorna la configurazione del client con il nuovo valore del token.

  • Revoca: se un token è compromesso, revocalo immediatamente. I token revocati non possono essere utilizzati e non possono essere ripristinati.

Risposta a un token compromesso

Se sospetti che un token sia stato compromesso, segui questi passaggi:

  1. Blocca l'accesso a tutti i token: nella console dell' AWS DevOps agente, apri Agent Space, scegli la scheda Configurazione e scegli Disabilita nella sezione Token di accesso. Ciò blocca immediatamente tutti gli accessi basati su token all'Agent Space.

  2. Revoca i token compromessi: nell'app Web, vai su Impostazioni > Token di accesso, scegli il token compromesso e scegli Revoca. Puoi revocare i token anche se i token di accesso sono disabilitati.

  3. Re-enable token di accesso: dopo aver revocato i token compromessi, riattiva i token di accesso dalla scheda Configurazione se hai ancora bisogno di un accesso basato su token.

Revoca dei token a livello di codice

Puoi anche revocare i token a livello di codice utilizzando. awscurl I seguenti comandi utilizzano l'autenticazione SigV4. Sostituisci la regione (us-east-1) con la regione in cui viene creato lo spazio dell'agente.

Fase 1: Elenca i tuoi Agent Spaces

aws aidevops list-agent-spaces --region us-east-1

Fase 2: Elenca i token di accesso per un Agent Space

awscurl --service aidevops --region us-east-1 \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens"

Fase 3: Revoca un token

awscurl --service aidevops --region us-east-1 -X POST \ -H "Accept: application/json" \ "https://cp.aidevops.us-east-1.api.aws/v1/agentspaces/{agentSpaceId}/access-tokens/{accessTokenId}/revoke"

Sostituisci {agentSpaceId} e {accessTokenId} con i valori delle risposte precedenti.

Tracciabilità

Quando viene utilizzato un token di accesso, AWS DevOps l'agente assume un ruolo per conto dell'utente per eseguire le azioni. Questa AssumeRole chiamata viene registrata AWS CloudTrail con tag di sessione che identificano il token e il chiamante:

  • AgentSpaceId— Identificatore dello spazio dell'agente.

  • UserId— Identità del creatore del token.

  • AccessTokenId— Identificatore univoco del token.

  • TokenName— Nome del token di accesso utilizzato.

  • ClientType— Il protocollo utilizzato (MCP, A2A).

  • SourceIp— Indirizzo IP del client.

  • UserAgent— User-Agent Stringa del client (se disponibile).

Le chiamate dirette agli endpoint MCP e A2A non vengono registrate per nessuno dei due metodi di autenticazione. CloudTrail A ogni chiamata è registrata una chiamata AWS API downstream corrispondente, con un nome di sessione di ruolo identificabile nel CloudTrail formato. token_{spaceId}_{timestamp}_{tokenName}

Limitazione delle policy relative agli endpoint VPC

Gli endpoint del server remoto non supportano le policy degli endpoint VPC. Le chiamate che utilizzano i token di accesso o l'autenticazione SigV4 non possono essere limitate dalle policy degli endpoint VPC.

Disabilitazione dei token di accesso

La funzionalità dei token di accesso è disattivata per impostazione predefinita. Per disabilitarla dopo averla abilitata:

  1. Apri la scheda Configurazione del tuo Agent Space.

  2. Nella sezione Token di accesso, scegli Disabilita.

La disabilitazione blocca immediatamente tutti gli accessi basati su token. I token esistenti non vengono eliminati ma non possono essere utilizzati finché la funzionalità non viene riattivata.

Per impedire agli utenti della tua organizzazione di abilitare i token di accesso, crea una Service Control Policy (SCP) che neghi le azioni dell'API del token di accesso e l'UpdateAgentSpaceazione (che controlla l'interruttore dei token di accesso):

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessTokenOperations", "Effect": "Deny", "Action": [ "aidevops:UpdateAgentSpace", "aidevops:CreateAccessToken", "aidevops:GetAccessToken", "aidevops:ListAccessTokens", "aidevops:RotateAccessToken", "aidevops:RevokeAccessToken" ], "Resource": "*" } ] }

Risoluzione dei problemi

Caratteristiche Causa Risoluzione
HTTP 401 non autorizzato Il token non è valido o è scaduto. Crea un nuovo token o ruota il token esistente nell'app web.
«A2A-Version Intestazione HTTP 400 richiesta» Intestazione della versione del protocollo mancante. È supportato solo A2A v1.0. Aggiungi un'A2A-Version: 1.0intestazione alle richieste A2A.
Timeout della richiesta Le risposte iniziali richiedono 5-30 secondi. Le indagini richiedono 5-8 minuti. Imposta il timeout del client su almeno 120 secondi.
Connessione rifiutata URL o regione dell'endpoint errati. Verifica il formato dell'URL: https://connect.aidevops.{region}.api.aws