**Ayude a mejorar esta página**
Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.
# Introducción al servidor MCP de Amazon EKS
En esta guía, se explican los pasos necesarios para configurar y utilizar el servidor MCP de EKS con los asistentes de código de IA. Obtendrá información sobre cómo configurar el entorno, conectarse al servidor y comenzar a administrar los clústeres de EKS mediante interacciones en lenguaje natural.
**nota**
El servidor MCP de Amazon EKS se encuentra en versión preliminar para Amazon EKS y está sujeto a cambios.
## Requisitos previos
Antes de comenzar, asegúrese de haber realizado las siguientes tareas:
+ [Creación de una cuenta de AWS con acceso a Amazon EKS](https://aws.amazon.com/resources/create-account/)
+ [Instalación y configuración de la AWS CLI con credenciales](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ [Instalación de Python 3.10\$1](https://www.python.org/downloads/release/python-3100/)
+ [Instalar `uv`](https://docs.astral.sh/uv/getting-started/installation/)
## Configuración
### 1. Verificación de los requisitos previos de
```
# Check that your Python version is 3.10 or higher
python3 --version
# Check uv installation
uv --version
# Verify CLI configuration
aws configure list
```
### 2. Configuración de permisos de IAM
Para conectarse al servidor MCP de EKS, el [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) debe tener adjuntas las siguientes políticas: **`eks-mcp:InvokeMcp`** (permisos necesarios para la inicialización y recuperación de información sobre las herramientas disponibles), **`eks-mcp:CallReadOnlyTool`** (permisos necesarios para el uso de herramientas de solo lectura) y **`eks-mcp:CallPrivilegedTool`** (permisos necesarios para el uso de herramientas de acceso completo [escritura]). Estos permisos de `eks-mcp` se incluyen en las políticas administradas de AWS de solo lectura y acceso completo que se indican a continuación.
+ Abra la [consola de IAM](https://console.aws.amazon.com/iam/).
+ En el panel de navegación izquierdo, elija **Usuarios**, **Grupos de usuarios** o **Roles** en función de la identidad a la que desee adjuntar la política y, a continuación, del nombre del usuario, grupo o rol específico.
+ Elija la pestaña **Permisos**.
+ Elija **Adjuntar políticas** (o **Agregar permisos** si es la primera vez).
+ En la lista de políticas, busque y seleccione la política administrada que desee adjuntar:
+ **Operaciones de solo lectura**: AmazonEKSMCPReadOnlyAccess
+ Elija **Adjuntar políticas** (o **Siguiente**, seguido de **Agregar permisos** para confirmar).
De este modo, se adjunta la política y los permisos entran en vigor inmediatamente. Puede adjuntar varias políticas a la misma identidad y cada política puede incluir varios permisos. Para obtener más información sobre estas políticas, consulte [Políticas administradas de AWS para Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/security-iam-awsmanpol.html).
### 3. Elección de un asistente de IA
Elija uno de los siguientes asistentes de IA compatibles con MCP o cualquier herramienta compatible con MCP:
+ [Instalación de la CLI de Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html)
+ [Instalación de Kiro](https://kiro.dev/docs/getting-started/installation/)
+ [Instalación de Cursor](https://cursor.com/download)
+ [Instalación de la extensión de Cline de VS Code](https://marketplace.visualstudio.com/items?itemName=saoudrizwan.claude-dev)
## Paso 1: configuración del asistente de IA
Elija una de las siguientes opciones para configurar el asistente de código de IA. Al completar este paso, se configura el asistente de código de IA para que utilice el proxy MCP para AWS, que es necesario para acceder de forma segura y autenticada al servidor MCP de Amazon EKS. Esto implica agregar o editar el archivo de configuración del MCP (por ejemplo, `~/.aws/amazonq/mcp.json` para la CLI de Amazon Q Developer). El proxy actúa como un puente del cliente, gestiona la autenticación de AWS SigV4 con sus credenciales de AWS locales y permite la detección dinámica de herramientas para interactuar con los servidores MCP AWS de backend, como el servidor MCP de EKS. Para obtener más información, consulte el [https://github.com/aws/mcp-proxy-for-aws](https://github.com/aws/mcp-proxy-for-aws).
### Opción A: CLI de Amazon Q Developer
La CLI de Q Developer proporciona la experiencia más integrada con el servidor MCP de EKS.
#### 1. Búsqueda del archivo de configuración de MCP
+ **macOS/Linux**: `~/.aws/q/mcp.json`
+ **Windows**: `%USERPROFILE%\.aws\q\mcp.json`
#### 2. Adición de la configuración del servidor MCP
Cree el archivo de configuración si no existe. Asegúrese de sustituir el marcador de posición de región (`{region}`) por la región deseada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Nota de seguridad**: Se puede utilizar `--read-only` para permitir únicamente operaciones de herramientas de solo lectura.
#### 3. Verificación de la configuración
Reinicie la CLI de Q Developer y, a continuación, compruebe las herramientas disponibles:
```
q /tools
```
### Opción B: IDE de Kiro
Kiro es un espacio de trabajo de codificación centrado en la IA y con [soporte del MCP](https://kiro.dev/docs/mcp/) integrado.
#### 1. Apertura de la configuración de Kiro
+ Abra Kiro.
+ Vaya a **Kiro** → **Settings** y busque “MCP Config”.
+ O pulse `Cmd+Shift+P,` (Mac) o `Ctrl+Shift+P,` (Windows y Linux) y busque “MCP Config”.
#### 2. Adición de la configuración del servidor MCP
+ Haga clic en “Open Workspace MCP Config” o en “Open User MCP Config” para editar el archivo de configuración de MCP directamente.
Asegúrese de sustituir el marcador de posición de región (`{region}`) por la región deseada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Nota de seguridad**: Se puede utilizar `--read-only` para permitir únicamente operaciones de herramientas de solo lectura.
### Opción C: IDE de Cursor
Cursor proporciona soporte de MCP integrado con una interfaz de configuración gráfica.
#### 1. Apertura de la configuración de Cursor
+ Abra Cursor.
+ Vaya a **Settings** → **Cursor Settings** → **Tools & MCP**
+ O pulse `Cmd+Shift+P` (Mac) o `Ctrl+Shift+P` (Windows) y busque “MCP”.
#### 2. Adición de la configuración del servidor MCP
+ Haga clic en “New MCP Server”.
Cree el archivo de configuración si no existe. Asegúrese de sustituir el marcador de posición de región (`{region}`) por la región deseada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Nota de seguridad**: Se puede utilizar `--read-only` para permitir únicamente operaciones de herramientas de solo lectura.
#### 3. Reinicio de Cursor
Cierre y vuelva a abrir Cursor para que los cambios surtan efecto.
#### 4. Comprobación en el chat de Cursor
Abra el panel de chat e intente lo siguiente:
```
What EKS MCP tools are available?
```
Debería aparecer una lista completa de las herramientas de administración de EKS disponibles.
### Opción D: Cline (extensión de VS Code)
Cline es una popular extensión de VS Code que lleva la asistencia de la IA directamente a su editor.
#### 1. Apertura de la configuración de Cline
+ Abra Cline.
+ Pulse `Cmd+Shift+P` (Mac) o `Ctrl+Shift+P` (Windows) y busque “MCP”.
#### 2. Adición de la configuración del servidor MCP
+ Haga clic en “Add Server”.
+ Haga clic en “Open User Configuration”.
Cree el archivo de configuración si no existe. Asegúrese de sustituir el marcador de posición de región (`{region}`) por la región deseada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Nota de seguridad**: Se puede utilizar `--read-only` para permitir únicamente operaciones de herramientas de solo lectura.
#### 2. Recarga de VS Code
Pulse `Cmd+Shift+P` o `Ctrl+Shift+P` y seleccione “Developer: Reload Window”.
#### 3. Verificación de la configuración
Abra Cline y pregunte lo siguiente:
```
List the available MCP tools for EKS
```
## Paso 2 (opcional): creación de una política de “escritura”
Si lo desea, puede crear una [política de IAM administrada por el cliente](https://docs.aws.amazon.com/privateca/latest/userguide/auth-CustManagedPolicies.html) que proporcione acceso completo al servidor MCP de Amazon EKS. Esta política otorga permisos para usar todas las herramientas del servidor MCP de EKS, lo que incluye tanto las herramientas con privilegios que pueden implicar operaciones de escritura como las herramientas de solo lectura. Tenga en cuenta que, en esta política, se incluyen los permisos de alto riesgo (todos aquellos que contengan Delete\$1 o un recurso de IAM sin restricciones), ya que son necesarios para configurar o desmontar los recursos del clúster en la herramienta **manage\$1eks\$1stacks**.
```
aws iam create-policy \
--policy-name EKSMcpWriteManagementPolicy \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"eks:DescribeCluster\", \"eks:ListClusters\", \"eks:DescribeNodegroup\", \"eks:ListNodegroups\", \"eks:DescribeAddon\", \"eks:ListAddons\", \"eks:DescribeAccessEntry\", \"eks:ListAccessEntries\", \"eks:DescribeInsight\", \"eks:ListInsights\", \"eks:AccessKubernetesApi\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"eks:CreateCluster\", \"eks:DeleteCluster\", \"eks:CreateAccessEntry\", \"eks:TagResource\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:GetRole\", \"iam:ListRolePolicies\", \"iam:ListAttachedRolePolicies\", \"iam:GetRolePolicy\", \"iam:GetPolicy\", \"iam:GetPolicyVersion\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:TagRole\", \"iam:CreateRole\", \"iam:AttachRolePolicy\", \"iam:PutRolePolicy\", \"iam:DetachRolePolicy\", \"iam:DeleteRole\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:PassRole\"], \"Resource\": \"*\", \"Condition\": {\"StringEquals\": {\"iam:PassedToService\": [\"eks.amazonaws.com\", \"ec2.amazonaws.com\"]}}}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:CreateVpc\", \"ec2:CreateSubnet\", \"ec2:CreateRouteTable\", \"ec2:CreateRoute\", \"ec2:CreateInternetGateway\", \"ec2:CreateNatGateway\", \"ec2:CreateSecurityGroup\", \"ec2:AttachInternetGateway\", \"ec2:AssociateRouteTable\", \"ec2:ModifyVpcAttribute\", \"ec2:ModifySubnetAttribute\", \"ec2:AllocateAddress\", \"ec2:CreateTags\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:DeleteVpc\", \"ec2:DeleteSubnet\", \"ec2:DisassociateRouteTable\", \"ec2:DeleteRouteTable\", \"ec2:DeleteRoute\", \"ec2:DetachInternetGateway\", \"ec2:DeleteInternetGateway\", \"ec2:DeleteNatGateway\", \"ec2:ReleaseAddress\", \"ec2:DeleteSecurityGroup\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:DescribeVpcs\", \"ec2:DescribeSubnets\", \"ec2:DescribeRouteTables\", \"ec2:DescribeInternetGateways\", \"ec2:DescribeNatGateways\", \"ec2:DescribeAddresses\", \"ec2:DescribeSecurityGroups\", \"ec2:DescribeAvailabilityZones\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"cloudformation:CreateStack\", \"cloudformation:UpdateStack\", \"cloudformation:DeleteStack\", \"cloudformation:DescribeStacks\", \"cloudformation:TagResource\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"sts:GetCallerIdentity\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"logs:StartQuery\", \"logs:GetQueryResults\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"cloudwatch:GetMetricData\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"eks-mcp:*\"], \"Resource\": \"*\"}]}"
```
## Paso 3: comprobación de la configuración
### Prueba de conexión
Haga una pregunta sencilla a su asistente de IA para verificar la conexión:
```
List all EKS clusters in my {aws} account
```
Debería aparecer una lista de los clústeres de EKS.
## Paso 4: ejecución de las primeras tareas
### Ejemplo 1: exploración de los clústeres
```
Show me all EKS clusters and their status
What insights does EKS have about my production-cluster?
Show me the VPC configuration for my staging cluster
```
### Ejemplo 2: comprobación de los recursos de Kubernetes
```
Get the details of all the kubernetes resources deployed in my EKS cluster
Show me pods that are not in Running state or pods with any restarts
Get the logs from the aws-node daemonset in the last 30 minutes
```
### Ejemplo 3: solución de problemas
```
Why is my nginx-ingress-controller pod failing to start?
Search the EKS troubleshooting guide for pod networking issues
Show me events related to the failed deployment in the staging namespace
```
### Ejemplo 4: creación de recursos (si el modo de “escritura” está activado)
```
Create a new EKS cluster named demo-cluster with VPC and Auto Mode
Deploy my containerized app from ECR to the production namespace with 3 replicas
Generate a Kubernetes deployment YAML for my Node.js app running on port 3000
```
## Configuraciones comunes
### Escenario 1: varios perfiles de AWS
Si trabaja con varias cuentas de AWS, cree configuraciones de servidor MCP independientes.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp-prod": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2"
]
},
"eks-mcp-dev": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp-prod": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2"
]
},
"eks-mcp-dev": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
### Escenario 2: solo lectura para producción
Cree una configuración de solo lectura para los entornos de producción.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp-prod-readonly": {
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2",
"--read-only"
],
"autoApprove": [
"list_k8s_resources",
"get_pod_logs",
"get_k8s_events"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp-prod-readonly": {
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2",
"--read-only"
],
"autoApprove": [
"list_k8s_resources",
"get_pod_logs",
"get_k8s_events"
]
}
}
}
```
### Escenario 3: desarrollo con acceso completo
Para entornos de desarrollo con acceso de escritura completo.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp-dev-full": {
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp-dev-full": {
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
## Consideraciones
### Seguridad
No divulgue secretos ni información confidencial a través de los mecanismos de entrada permitidos:
+ No incluya secretos ni credenciales en los archivos YAML aplicados con apply\$1yaml.
+ No transfiera información confidencial directamente al modelo en las petición.
+ No incluya secretos en las plantillas de CloudFormation ni en los manifiestos de aplicaciones.
+ Evite usar herramientas de MCP para crear secretos de Kubernetes, ya que esto requeriría proporcionar los datos secretos al modelo.
+ Evite registrar información confidencial en los registros de las aplicaciones dentro de pods de Kubernetes.
Seguridad del contenido de YAML:
+ Utilice archivos YAML solo de orígenes fiables.
+ El servidor depende de la validación de la API de Kubernetes para el contenido de YAML y no lleva a cabo su propia validación.
+ Audite los archivos YAML antes de aplicarlos al clúster.
En lugar de transferir los secretos a través del MCP, haga lo siguiente:
+ Utilice [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) o el [Almacén de parámetros](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) para almacenar información confidencial.
+ Configure el RBAC de Kubernetes adecuado para las cuentas de servicio.
+ Utilice roles de IAM para cuentas de servicio (IRSA) para acceder al servicio de AWS desde los pods.
Redacción de información confidencial:
+ El servidor MCP de Amazon EKS oculta automáticamente patrones comunes de tokens de seguridad, certificados y otra información confidencial en las respuestas de las herramientas.
+ Los valores ocultos se sustituyen por `HIDDEN_FOR_SECURITY_REASONS` para evitar exponer datos accidentalmente al modelo.
+ Esta redacción se aplica a todas las respuestas de las herramientas, incluidos los registros, las descripciones de recursos y los datos de configuración.
## Tema siguiente
Para conocer las opciones de configuración, consulte [Referencia de configuración del servidor MCP de Amazon EKS](eks-mcp-tool-configurations.md). Para conocer la lista completa de herramientas, consulte [Referencia de herramientas del servidor MCP de Amazon EKS](eks-mcp-tools.md).