InfoGrab Docs

Amazon Bedrock AgentCore Gateway를 Teleport에 연결

요약

Teleport can provide secure access to MCP servers via Teleport Application Service. In this guide, you will: Amazon Bedrock AgentCore Gateway는 Teleport를 인바운드 자격 증명 공급자로 신뢰하도록 구성됩니다.

Teleport can provide secure access to MCP servers via Teleport Application Service.

In this guide, you will:

  1. Configure your Amazon Bedrock AgentCore Gateway service for access by the MCP server.
  2. Run the Amazon Bedrock AgentCore Gateway MCP Server.
  3. Enroll the MCP server into your Teleport cluster and connect to it.

작동 방식#

Amazon Bedrock AgentCore Gateway는 Teleport를 인바운드 자격 증명 공급자로 신뢰하도록 구성됩니다. Teleport는 클라이언트 요청을 인증하고 AgentCore Gateway로 프록시하며, Gateway는 요청을 대상 MCP 서버로 전달합니다.

사전 요구사항#

  • A running Teleport (v18.7.0 or higher) cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The `tsh` client.

    Installing \`tsh\` client

    1. Determine the version of your Teleport cluster. The `tsh` client must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install `tsh` client:

  • Amazon Bedrock AgentCore Gateway를 구성할 수 있는 권한
  • Teleport 애플리케이션 서비스를 실행하는 에이전트. 아직 설정하지 않았다면 시작하기 가이드를 따르세요.
  • MCP 서버에 접근할 수 있는 충분한 권한을 가진 Teleport 사용자(예: mcp-user 역할).

1/2단계. Amazon Bedrock AgentCore Gateway 구성#

Amazon Bedrock AgentCore 게이트웨이의 인바운드 인증 구성을 변경하려면 AWS 관리 콘솔에서 게이트웨이로 이동합니다. 인바운드 ID 섹션에서 편집 버튼을 클릭합니다.

인바운드 인증 유형으로 JSON Web Tokens (JWT) 사용을 선택하고 JWT 스키마 구성으로 기존 ID 공급자 구성 사용을 선택합니다. 게이트웨이 생성 후 수정할 수 없는 경우 새 게이트웨이를 생성해야 할 수 있습니다.

다음을 Discovery URL로 사용합니다:

https:///.well-known/openid-configuration

을 Teleport 클러스터 이름으로 교체합니다.

JWT 인증 구성의 **허용된 대상(Allowed audiences)**에 다음을 사용합니다:

mcp+

을 게이트웨이가 생성된 후 사용 가능한 게이트웨이 리소스 URL로 교체합니다. 이 값은 Teleport 애플리케이션을 생성하는 데 사용할 애플리케이션 URI이기도 합니다.

JWT 인증 구성허용된 클라이언트(Allowed clients) 등 다른 모든 설정은 선택하지 않아야 합니다.

게이트웨이 인바운드 ID

2/2단계. Teleport를 통한 연결#

Teleport 애플리케이션 서비스 구성에서 MCP 애플리케이션을 정의하거나 tctl 또는 Terraform을 사용하여 동적 등록으로 Teleport에 MCP 애플리케이션을 등록할 수 있습니다:

app_service:
  enabled: "yes"
  apps:
  - name: "bedrock-mcp"
    uri: "mcp+https://your-mcp-gateway.bedrock-agentcore.us-east-1.amazonaws.com/mcp"/>"
    labels:
      env: dev
      service: "bedrock"
    rewrite:
      headers:
      - "Authorization: Bearer {{internal.id_token}}"

애플리케이션 서비스를 재시작합니다.

app-bedrock-mcp.yaml이라는 app 리소스 정의 파일을 생성합니다:

# app-bedrock-mcp.yaml
kind: app
version: v3
metadata:
  name: "bedrock-mcp"
  labels:
    env: dev
    service: "bedrock"
spec:
  uri: "mcp+https://your-mcp-gateway.bedrock-agentcore.us-east-1.amazonaws.com/mcp"/>"
  rewrite:
    headers:
    - name: "Authorization"
      value: "Bearer {{internal.id_token}}"

다음으로 app 리소스를 생성합니다:

$ tctl create -f app-bedrock-app.yaml

terraform에서 teleport_app 리소스를 생성합니다:

resource "teleport_app" "bedrock" {
  version = "v3"
  metadata = {
    name = "bedrock-mcp"
    labels = {
      "teleport.dev/origin" = "dynamic"
      "env"                 = "dev"
      "service"             = "bedrock"
    }
  }

  spec = {
    uri = "mcp+"
    rewrite = {
      headers = [{
        name  = "Authorization"
        value = "Bearer {{internal.id_token}}"
      }]
    }
  }
}

구성을 적용합니다:

$ terraform apply

To grant access to the MCP server and all its tools, assign the preset mcp-user role to your Teleport user.

Optionally, you can limit which MCP tools the user can access by adjusting the mcp.tools list in their role. For example:

kind: role
version: v8
metadata:
  name: bedrock-mcp-readonly
spec:
  allow:
    app_labels:
      'service': 'bedrock'
    mcp:
      # 게이트웨이 대상에서 노출하는 MCP 도구를 기반으로 이 목록을 조정합니다.
      tools:
      - ^(get|query|list|search|find)_.*$

Now wait until the application appears in tsh mcp ls, then configure your MCP clients to access the MCP server, for example:

$ tsh mcp config bedrock-mcp --client-config claude

After configuring your MCP client, you will find Amazon Bedrock AgentCore Gateway-related tools from teleport-mcp-bedrock-mcp. You can now use these tools to interactive with Amazon Bedrock AgentCore Gateway via Teleport in your MCP clients:

다음 단계#

Amazon Bedrock AgentCore Gateway를 Teleport에 연결

원문 보기
요약

Teleport can provide secure access to MCP servers via Teleport Application Service. In this guide, you will: Amazon Bedrock AgentCore Gateway는 Teleport를 인바운드 자격 증명 공급자로 신뢰하도록 구성됩니다.

Teleport can provide secure access to MCP servers via Teleport Application Service.

In this guide, you will:

  1. Configure your Amazon Bedrock AgentCore Gateway service for access by the MCP server.
  2. Run the Amazon Bedrock AgentCore Gateway MCP Server.
  3. Enroll the MCP server into your Teleport cluster and connect to it.

작동 방식#

Amazon Bedrock AgentCore Gateway는 Teleport를 인바운드 자격 증명 공급자로 신뢰하도록 구성됩니다. Teleport는 클라이언트 요청을 인증하고 AgentCore Gateway로 프록시하며, Gateway는 요청을 대상 MCP 서버로 전달합니다.

사전 요구사항#

  • A running Teleport (v18.7.0 or higher) cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The `tsh` client.

    Installing \`tsh\` client

    1. Determine the version of your Teleport cluster. The `tsh` client must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install `tsh` client:

  • Amazon Bedrock AgentCore Gateway를 구성할 수 있는 권한
  • Teleport 애플리케이션 서비스를 실행하는 에이전트. 아직 설정하지 않았다면 시작하기 가이드를 따르세요.
  • MCP 서버에 접근할 수 있는 충분한 권한을 가진 Teleport 사용자(예: mcp-user 역할).

1/2단계. Amazon Bedrock AgentCore Gateway 구성#

Amazon Bedrock AgentCore 게이트웨이의 인바운드 인증 구성을 변경하려면 AWS 관리 콘솔에서 게이트웨이로 이동합니다. 인바운드 ID 섹션에서 편집 버튼을 클릭합니다.

인바운드 인증 유형으로 JSON Web Tokens (JWT) 사용을 선택하고 JWT 스키마 구성으로 기존 ID 공급자 구성 사용을 선택합니다. 게이트웨이 생성 후 수정할 수 없는 경우 새 게이트웨이를 생성해야 할 수 있습니다.

다음을 Discovery URL로 사용합니다:

https:///.well-known/openid-configuration

을 Teleport 클러스터 이름으로 교체합니다.

JWT 인증 구성의 **허용된 대상(Allowed audiences)**에 다음을 사용합니다:

mcp+

을 게이트웨이가 생성된 후 사용 가능한 게이트웨이 리소스 URL로 교체합니다. 이 값은 Teleport 애플리케이션을 생성하는 데 사용할 애플리케이션 URI이기도 합니다.

JWT 인증 구성허용된 클라이언트(Allowed clients) 등 다른 모든 설정은 선택하지 않아야 합니다.

게이트웨이 인바운드 ID

2/2단계. Teleport를 통한 연결#

Teleport 애플리케이션 서비스 구성에서 MCP 애플리케이션을 정의하거나 tctl 또는 Terraform을 사용하여 동적 등록으로 Teleport에 MCP 애플리케이션을 등록할 수 있습니다:

app_service:
  enabled: "yes"
  apps:
  - name: "bedrock-mcp"
    uri: "mcp+https://your-mcp-gateway.bedrock-agentcore.us-east-1.amazonaws.com/mcp"/>"
    labels:
      env: dev
      service: "bedrock"
    rewrite:
      headers:
      - "Authorization: Bearer {{internal.id_token}}"

애플리케이션 서비스를 재시작합니다.

app-bedrock-mcp.yaml이라는 app 리소스 정의 파일을 생성합니다:

# app-bedrock-mcp.yaml
kind: app
version: v3
metadata:
  name: "bedrock-mcp"
  labels:
    env: dev
    service: "bedrock"
spec:
  uri: "mcp+https://your-mcp-gateway.bedrock-agentcore.us-east-1.amazonaws.com/mcp"/>"
  rewrite:
    headers:
    - name: "Authorization"
      value: "Bearer {{internal.id_token}}"

다음으로 app 리소스를 생성합니다:

$ tctl create -f app-bedrock-app.yaml

terraform에서 teleport_app 리소스를 생성합니다:

resource "teleport_app" "bedrock" {
  version = "v3"
  metadata = {
    name = "bedrock-mcp"
    labels = {
      "teleport.dev/origin" = "dynamic"
      "env"                 = "dev"
      "service"             = "bedrock"
    }
  }

  spec = {
    uri = "mcp+"
    rewrite = {
      headers = [{
        name  = "Authorization"
        value = "Bearer {{internal.id_token}}"
      }]
    }
  }
}

구성을 적용합니다:

$ terraform apply

To grant access to the MCP server and all its tools, assign the preset mcp-user role to your Teleport user.

Optionally, you can limit which MCP tools the user can access by adjusting the mcp.tools list in their role. For example:

kind: role
version: v8
metadata:
  name: bedrock-mcp-readonly
spec:
  allow:
    app_labels:
      'service': 'bedrock'
    mcp:
      # 게이트웨이 대상에서 노출하는 MCP 도구를 기반으로 이 목록을 조정합니다.
      tools:
      - ^(get|query|list|search|find)_.*$

Now wait until the application appears in tsh mcp ls, then configure your MCP clients to access the MCP server, for example:

$ tsh mcp config bedrock-mcp --client-config claude

After configuring your MCP client, you will find Amazon Bedrock AgentCore Gateway-related tools from teleport-mcp-bedrock-mcp. You can now use these tools to interactive with Amazon Bedrock AgentCore Gateway via Teleport in your MCP clients:

다음 단계#