**Ajudar a melhorar esta página**
Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.
# Conceitos básicos do servidor MCP do Amazon EKS
Este guia apresenta as etapas de configuração e de uso do servidor MCP do EKS com assistentes de código de IA. Você aprenderá a configurar o ambiente, estabelecer conexão com o servidor MCP e começar a gerenciar os clusters de EKS por meio de interações em linguagem natural.
**nota**
O servidor MCP do Amazon EKS está em versão de pré-visualização para o Amazon EKS e está sujeito a alterações.
## Pré-requisitos
Antes de começar, certifique-se de ter realizado as seguintes tarefas:
+ [Criar uma conta da AWS com acesso ao Amazon EKS](https://aws.amazon.com/resources/create-account/)
+ [Instalar e configurar a AWS CLI com credenciais](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ [Instalar o Python na versão 3.10 ou em versões posteriores](https://www.python.org/downloads/release/python-3100/)
+ [Instalar o `uv`](https://docs.astral.sh/uv/getting-started/installation/)
## Configuração
### 1. Verifique os pré-requisitos do
```
# Check that your Python version is 3.10 or higher
python3 --version
# Check uv installation
uv --version
# Verify CLI configuration
aws configure list
```
### 2. Configuração de permissões do IAM
Para se conectar ao servidor MCP do EKS, o [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) deve ter as seguintes políticas anexadas: **`eks-mcp:InvokeMcp`** (permissões necessárias para inicialização e recuperação de informações sobre as ferramentas disponíveis), **`eks-mcp:CallReadOnlyTool`** (permissões necessárias para o uso de ferramentas destinadas somente à leitura) e **`eks-mcp:CallPrivilegedTool`** (permissões necessárias para o uso de ferramentas de acesso total [gravação]). As permissões `eks-mcp` mencionadas fazem parte das políticas gerenciadas pela AWS de acesso destinadas somente à leitura e de acesso total disponibilizadas abaixo.
+ Abra o [console do IAM](https://console.aws.amazon.com/iam/).
+ No painel de navegação à esquerda, escolha **Usuários**, **Grupos de usuários** ou **Perfis**, dependendo da identidade à qual você deseja anexar a política e, em seguida, o nome do usuário, grupo ou perfil específico.
+ Escolha a aba **Permissões**.
+ Escolha **Anexar políticas** (ou **Adicionar permissões**, se for a primeira vez).
+ Na lista de políticas, pesquise e selecione a política gerenciada que você deseja anexar:
+ **Operações destinadas somente à leitura**: AmazonEKSMCPReadOnlyAccess
+ Escolha **Anexar políticas** (ou **Próximo** e, em seguida, **Adicionar permissões** para confirmar).
Ao fazer isso, a política é anexada e as permissões entram em vigor imediatamente. É possível anexar várias políticas à mesma identidade, e cada uma pode conter diversas permissões. Para saber mais sobre essas políticas, consulte [Políticas gerenciadas pela AWS para o Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/security-iam-awsmanpol.html).
### 3. Escolha de um assistente de IA
Escolha um dos seguintes assistentes de IA compatíveis com o MCP ou qualquer ferramenta compatível com o MCP:
+ [Instalar a CLI do Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html)
+ [Instalar o Kiro](https://kiro.dev/docs/getting-started/installation/)
+ [Instalar o Cursor](https://cursor.com/download)
+ [Instalar a extensão Cline do VS Code](https://marketplace.visualstudio.com/items?itemName=saoudrizwan.claude-dev)
## Etapa 1: configuração do assistente de IA
Escolha uma das opções apresentadas a seguir para configurar o assistente de código de IA. A conclusão desta etapa configura o assistente de código de IA para usar o Proxy do MCP para AWS, que é necessário para o acesso seguro e autenticado ao servidor MCP do Amazon EKS. Isso envolve adicionar ou editar o arquivo de configuração do MCP (por exemplo, `~/.aws/amazonq/mcp.json` para a CLI do Amazon Q Developer). O proxy atua como uma ponte no lado do cliente, gerenciando a autenticação SigV4 da AWS com as credenciais locais da AWS e viabilizando a descoberta dinâmica de ferramentas para interagir com servidores MCP de backend da AWS, como o servidor MCP do EKS. Para saber mais, consulte o [https://github.com/aws/mcp-proxy-for-aws](https://github.com/aws/mcp-proxy-for-aws).
### Opção A: CLI do Amazon Q Developer
A CLI do Q Developer oferece a experiência mais integrada com o servidor MCP do EKS.
#### 1. Localize o arquivo de configuração do MCP
+ **macOS/Linux**: `~/.aws/q/mcp.json`
+ **Windows**: `%USERPROFILE%\.aws\q\mcp.json`
#### 2. Adicione a configuração do servidor MCP
Crie o arquivo de configuração, se ele ainda não existir. Certifique-se de substituir o marcador de região (`{region}`) pela região desejada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Aviso de segurança**: `--read-only` para restringir o uso somente a ferramentas de leitura.
#### 3. Verifique a configuração
Reinicie a CLI do Amazon Q Developer e verifique as ferramentas disponíveis:
```
q /tools
```
### Opção B: IDE do Kiro
O Kiro é um espaço de trabalho de codificação focado em IA com [suporte nativo ao MCP](https://kiro.dev/docs/mcp/).
#### 1. Abra as configurações do Kiro
+ Abra o Kiro
+ Acesse **Kiro** → **Settings** e pesquise por “MCP Config”
+ Como alternativa, use o atalho `Cmd+Shift+P,` (Mac) ou `Ctrl+Shift+P,` (Windows/Linux) e pesquise por “MCP Config”
#### 2. Adicione a configuração do servidor MCP
+ Clique em “Open Workspace MCP Config” ou “Open User MCP Config” para realizar a edição direta do arquivo de configuração.
Certifique-se de substituir o marcador de região (`{region}`) pela região desejada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Aviso de segurança**: `--read-only` para restringir o uso somente a ferramentas de leitura.
### Opção C: IDE do Cursor
O Cursor oferece suporte nativo ao MCP com uma interface gráfica de configuração.
#### 1. Abra as configurações do Cursor
+ Abra o Cursor
+ Acesse **Settings** → **Cursor Settings** → **Tools & MCP**
+ Como alternativa, use o atalho `Cmd+Shift+P` (Mac) ou `Ctrl+Shift+P` (Windows) e pesquise por “MCP”
#### 2. Adicione a configuração do servidor MCP
+ Clique em “New MCP Server”
Crie o arquivo de configuração, se ele ainda não existir. Certifique-se de substituir o marcador de região (`{region}`) pela região desejada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Aviso de segurança**: `--read-only` para restringir o uso somente a ferramentas de leitura.
#### 3. Reinicie o Cursor
Encerre e abra novamente o Cursor para que as alterações entrem em vigor.
#### 4. Verifique o chat do Cursor
Acesse o painel de chat e teste o seguinte comando:
```
What EKS MCP tools are available?
```
O assistente deve exibir a lista de ferramentas de gerenciamento do EKS disponíveis.
### Opção D: Cline (extensão do VS Code)
O Cline é uma extensão muito utilizada no VS Code para integrar assistência de IA ao seu editor.
#### 1. Abra as configurações do Cline
+ Abra o Cline
+ Use o atalho `Cmd+Shift+P` (Mac) ou `Ctrl+Shift+P` (Windows) e pesquise por “MCP”
#### 2. Adicione a configuração do servidor MCP
+ Selecione “Add Server”
+ Escolha “Open User Configuration”
Crie o arquivo de configuração, se ele ainda não existir. Certifique-se de substituir o marcador de região (`{region}`) pela região desejada.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"default",
"--region",
"{region}"
]
}
}
}
```
**Aviso de segurança**: `--read-only` para restringir o uso somente a ferramentas de leitura.
#### 2. Recarregue o VS Code
Use o atalho `Cmd+Shift+P` ou `Ctrl+Shift+P` e selecione “Developer: Reload Window”
#### 3. Verificar a configuração
Abra o Cline e pergunte:
```
List the available MCP tools for EKS
```
## Etapa 2: (Opcional) criação de uma política de “gravação”
Se desejar, você pode criar uma [política do IAM gerenciada pelo cliente](https://docs.aws.amazon.com/privateca/latest/userguide/auth-CustManagedPolicies.html) para liberar acesso total ao servidor MCP do Amazon EKS. Esta política concede permissões para usar todas as ferramentas no servidor MCP do EKS, incluindo tanto ferramentas privilegiadas, que podem envolver operações de gravação, quanto ferramentas destinadas somente à leitura. **Lembre-se de que permissões de alto risco, como ações Delete\$1 ou o acesso irrestrito a recursos do IAM, fazem parte desta política, visto que são indispensáveis para a criação ou exclusão de recursos de cluster usando a ferramenta manage\$1eks\$1stacks.**
```
aws iam create-policy \
--policy-name EKSMcpWriteManagementPolicy \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"eks:DescribeCluster\", \"eks:ListClusters\", \"eks:DescribeNodegroup\", \"eks:ListNodegroups\", \"eks:DescribeAddon\", \"eks:ListAddons\", \"eks:DescribeAccessEntry\", \"eks:ListAccessEntries\", \"eks:DescribeInsight\", \"eks:ListInsights\", \"eks:AccessKubernetesApi\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"eks:CreateCluster\", \"eks:DeleteCluster\", \"eks:CreateAccessEntry\", \"eks:TagResource\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:GetRole\", \"iam:ListRolePolicies\", \"iam:ListAttachedRolePolicies\", \"iam:GetRolePolicy\", \"iam:GetPolicy\", \"iam:GetPolicyVersion\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:TagRole\", \"iam:CreateRole\", \"iam:AttachRolePolicy\", \"iam:PutRolePolicy\", \"iam:DetachRolePolicy\", \"iam:DeleteRole\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"iam:PassRole\"], \"Resource\": \"*\", \"Condition\": {\"StringEquals\": {\"iam:PassedToService\": [\"eks.amazonaws.com\", \"ec2.amazonaws.com\"]}}}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:CreateVpc\", \"ec2:CreateSubnet\", \"ec2:CreateRouteTable\", \"ec2:CreateRoute\", \"ec2:CreateInternetGateway\", \"ec2:CreateNatGateway\", \"ec2:CreateSecurityGroup\", \"ec2:AttachInternetGateway\", \"ec2:AssociateRouteTable\", \"ec2:ModifyVpcAttribute\", \"ec2:ModifySubnetAttribute\", \"ec2:AllocateAddress\", \"ec2:CreateTags\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:DeleteVpc\", \"ec2:DeleteSubnet\", \"ec2:DisassociateRouteTable\", \"ec2:DeleteRouteTable\", \"ec2:DeleteRoute\", \"ec2:DetachInternetGateway\", \"ec2:DeleteInternetGateway\", \"ec2:DeleteNatGateway\", \"ec2:ReleaseAddress\", \"ec2:DeleteSecurityGroup\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"ec2:DescribeVpcs\", \"ec2:DescribeSubnets\", \"ec2:DescribeRouteTables\", \"ec2:DescribeInternetGateways\", \"ec2:DescribeNatGateways\", \"ec2:DescribeAddresses\", \"ec2:DescribeSecurityGroups\", \"ec2:DescribeAvailabilityZones\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"cloudformation:CreateStack\", \"cloudformation:UpdateStack\", \"cloudformation:DeleteStack\", \"cloudformation:DescribeStacks\", \"cloudformation:TagResource\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"sts:GetCallerIdentity\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"logs:StartQuery\", \"logs:GetQueryResults\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"cloudwatch:GetMetricData\"], \"Resource\": \"*\"}, {\"Effect\": \"Allow\", \"Action\": [\"eks-mcp:*\"], \"Resource\": \"*\"}]}"
```
## Etapa 3: verificação da configuração
### Testar conexão
Faça uma pergunta simples ao seu assistente de IA para verificar a conexão:
```
List all EKS clusters in my {aws} account
```
O assistente deve exibir a lista dos clusters de EKS.
## Etapa 4: execução das primeiras tarefas
### Exemplo 1: conhecer seus clusters
```
Show me all EKS clusters and their status
What insights does EKS have about my production-cluster?
Show me the VPC configuration for my staging cluster
```
### Exemplo 2: verificar os recursos do Kubernetes
```
Get the details of all the kubernetes resources deployed in my EKS cluster
Show me pods that are not in Running state or pods with any restarts
Get the logs from the aws-node daemonset in the last 30 minutes
```
### Exemplo 3: solucionar problemas
```
Why is my nginx-ingress-controller pod failing to start?
Search the EKS troubleshooting guide for pod networking issues
Show me events related to the failed deployment in the staging namespace
```
### Exemplo 4: criar recursos (se o modo “gravação” estiver habilitado)
```
Create a new EKS cluster named demo-cluster with VPC and Auto Mode
Deploy my containerized app from ECR to the production namespace with 3 replicas
Generate a Kubernetes deployment YAML for my Node.js app running on port 3000
```
## Configurações comuns
### Cenário 1: vários perfis da AWS
Se você trabalha com várias contas da AWS, crie configurações do servidor MCP separadas.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp-prod": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2"
]
},
"eks-mcp-dev": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp-prod": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2"
]
},
"eks-mcp-dev": {
"disabled": false,
"type": "stdio",
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
### Cenário 2: somente leitura para ambientes de produção
Crie uma configuração destinada somente à leitura para ambientes de produção.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp-prod-readonly": {
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2",
"--read-only"
],
"autoApprove": [
"list_k8s_resources",
"get_pod_logs",
"get_k8s_events"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp-prod-readonly": {
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"production",
"--region",
"us-west-2",
"--read-only"
],
"autoApprove": [
"list_k8s_resources",
"get_pod_logs",
"get_k8s_events"
]
}
}
}
```
### Cenário 3: desenvolvimento com acesso total
Para ambientes de desenvolvimento com acesso total à gravação.
**Para Mac/Linux:**
```
{
"mcpServers": {
"eks-mcp-dev-full": {
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
**Para Windows:**
```
{
"mcpServers": {
"eks-mcp-dev-full": {
"command": "uvx",
"args": [
"--from",
"mcp-proxy-for-aws@latest",
"mcp-proxy-for-aws.exe",
"https://eks-mcp.{region}.api.aws/mcp",
"--service",
"eks-mcp",
"--profile",
"development",
"--region",
"us-east-1"
]
}
}
}
```
## Considerações
### Segurança
Não transmita segredos ou informações confidenciais por meio de mecanismos de entrada permitidos:
+ Não inclua segredos ou credenciais em arquivos YAML que são aplicados com apply\$1yaml.
+ Não forneça informações confidenciais diretamente nos prompts enviados ao modelo.
+ Não inclua segredos em modelos do CloudFormation ou em manifestos de aplicações.
+ Evite o uso de ferramentas do servidor MCP para a criação de Kubernetes Secrets, uma vez que isso demandaria o envio de dados sigilosos ao modelo.
+ Evite o registro de dados sensíveis nos logs das aplicações que são executadas em pods do Kubernetes.
Segurança do conteúdo em YAML:
+ Use somente arquivos YAML originados de fontes seguras.
+ O servidor MCP utiliza a validação nativa da API do Kubernetes para processar o conteúdo YAML, sem contar com um mecanismo de validação próprio.
+ Audite os arquivos YAML antes de aplicá-los ao cluster.
Alternativas ao envio de segredos pelo MCP:
+ Use o [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) ou o [Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) para armazenar informações sensíveis.
+ Configure o RBAC do Kubernetes adequadamente para as contas de serviço.
+ Adote perfis do IAM para contas de serviço (IRSA, na sigla em inglês) para permitir que os pods acessem serviços da AWS com segurança.
Edição de dados sensíveis
+ O servidor MCP do EKS edita automaticamente padrões comuns para tokens de segurança, certificados e outras informações confidenciais nas respostas da ferramenta.
+ Os valores editados são substituídos por `HIDDEN_FOR_SECURITY_REASONS` para evitar a exposição acidental dos dados ao modelo.
+ Essa edição se aplica a todas as respostas da ferramenta, incluindo registros, descrições de recursos e dados de configuração.
## A seguir
Para obter opções de configuração, consulte [Referência de configuração de servidor MCP do Amazon EKS](eks-mcp-tool-configurations.md). Para obter uma lista mais de ferramentas, consulte [Referência de ferramentas de servidor MCP do Amazon EKS](eks-mcp-tools.md).