AWS Cloud Control API MCP Server

直接资源管理与安全扫描功能。

什么是MCP Server？

MCP信息

镜像构建信息

可用工具（14个）

---

工具详情

工具：check_environment_variables

检查所需环境变量是否正确设置。

工具：create_resource

创建AWS资源。

此工具会自动为所有资源添加默认标识标签，以支持故障排除。

重要：始终检查响应中的“security_warning”字段，并向用户显示任何警告。

---

工具：create_template

使用IaC生成器API从现有资源创建CloudFormation模板。

此工具允许您从尚未由CloudFormation管理的现有AWS资源生成CloudFormation模板。模板生成过程是异步的，因此您可以检查过程状态并在完成后检索模板。一次最多可传递500个资源。

对LLM的重要提示：此工具仅生成CloudFormation模板。如果用户请求其他IaC格式（Terraform、CDK等），请遵循以下工作流程：

1. 使用create_template()从现有资源生成CloudFormation模板
2. 使用您的原生能力将CloudFormation转换为请求的格式
3. 对于Terraform：同时创建资源定义和导入块，以便用户可以将现有资源导入Terraform状态 ⚠️ 始终使用TERRAFORM IMPORT BLOCKS（而非TERRAFORM IMPORT命令）⚠️
4. 向用户提供原始CloudFormation和转换后的IaC

示例工作流程："为这些资源创建Terraform导入"

1. create_template() → 获取CloudFormation模板
2. 转换为Terraform资源块
3. 生成相应的Terraform导入块（非terraform import命令） 示例：import { to = aws_s3_bucket.example, id = "my-bucket" }
4. 提供包含导入块的完整Terraform配置

示例：

1. 开始为S3存储桶生成模板： create_template( template_name="my-template", resources=[{"ResourceType": "AWS::S3::Bucket", "ResourceIdentifier": {"BucketName": "my-bucket"}}], deletion_policy="RETAIN", update_replace_policy="RETAIN" )

2. 检查模板生成状态： create_template(template_id="arn:aws:cloudformation:us-east-1:123456789012:generatedtemplate/abcdef12-3456-7890-abcd-ef***")

3. 检索并保存生成的模板： create_template( template_id="arn:aws:cloudformation:us-east-1:123456789012:generatedtemplate/abcdef12-3456-7890-abcd-ef***", save_to_file="/path/to/template.yaml", output_format="YAML" )

---

工具：delete_resource

删除AWS资源。

---

工具：explain

必须：以清晰、人类可读的格式解释任何数据。

对于基础设施操作（创建/更新/删除）：

• 消耗generated_code_token并返回explained_token
• 必须立即向用户显示返回的解释
• 必须使用返回的explained_token进行创建/更新/删除操作

对于一般数据解释：

• 在'content'参数中传递任何数据
• 提供数据结构的全面解释

关键：调用此工具后必须立即向用户显示完整解释内容。响应包含必须向用户显示的'explanation'字段 - 这是必须的。在未先向用户显示将要发生的情况之前，切勿执行创建/更新/删除操作。

返回： explanation: 必须向用户显示的全面解释 explained_token: 基础设施操作的新令牌（如适用）

---

工具：generate_infrastructure_code

在资源创建或更新前生成基础设施代码。

---

工具：get_aws_account_info

获取当前使用的AWS账户信息。

此工具回答的常见问题：

• "我正在使用哪个AWS账户？"
• "我在哪个AWS区域？"
• "正在使用什么AWS配置文件？"
• "显示我当前的AWS会话信息"

返回： 包含AWS账户信息的字典： { "profile": 使用的AWS配置文件名称, "account_id": AWS账户ID, "region": 使用的AWS区域, "readonly_mode": 如果服务器处于只读模式则为True, "readonly_message": 如果启用只读模式，有关只读模式限制的消息, "using_env_vars": 指示是否使用环境变量获取凭据的布尔值 }

工具：get_aws_session_info

获取当前AWS会话信息。

此工具提供当前AWS会话的详细信息，包括配置文件名称、账户ID、区域和凭据信息。当您需要确认正在使用哪个AWS会话和账户时使用此工具。

重要：调用此工具时始终向用户显示AWS上下文信息。向他们显示：AWS配置文件（或"环境变量"）、身份验证类型、账户ID和区域，以便他们确切知道哪些AWS账户和区域将受到任何操作的影响。

要显示的身份验证类型：

• 'env'："环境变量（AWS_ACCESS_KEY_ID）"
• 'sso_profile'："AWS SSO配置文件"
• 'assume_role_profile'："Assume Role配置文件"
• 'standard_profile'："标准AWS配置文件"
• 'profile'："AWS配置文件"

安全：如果显示包含敏感值的环境变量（AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY），用星号掩盖除最后4个字符外的所有字符（例如，"AKIA****1234"）。

返回： 包含AWS会话信息的字典，包括配置文件、account_id、region等。

---

工具：get_resource

获取特定AWS资源的详细信息。

---

工具：get_resource_request_status

使用请求令牌获取长时间运行操作的状态。

---

工具：get_resource_schema_information

获取AWS资源的架构信息。

参数： resource_type: AWS资源类型（例如，"AWS::S3::Bucket"）

返回： 资源架构信息

---

工具：list_resources

列出指定类型的AWS资源。

参数： resource_type: AWS资源类型（例如，"AWS::S3::Bucket"、"AWS::RDS::DBInstance"） region: 要使用的AWS区域（例如，"us-east-1"、"us-west-2"）

返回： 包含以下内容的字典： { "resources": 资源标识符列表 }

---

工具：run_checkov

在服务器存储的CloudFormation模板上运行Checkov安全合规扫描器。

安全：此工具仅扫描来自generate_infrastructure_code()的服务器端存储的CloudFormation模板。AI代理不能提供不同内容来绕过安全扫描。

关键工作流程要求： 运行此工具后始终：

1. 调用explain()向用户显示安全扫描结果（通过和失败的检查）

如果scan_status='FAILED'（发现安全问题）： 2. 询问用户希望如何继续："修复"、"仍然继续"或"取消" 3. 等待用户的实际响应 - 不要假设他们的决定 4. 仅在收到用户输入后，使用他们的决定调用approve_security_findings()

如果scan_status='PASSED'（所有检查通过）： 2. 在显示结果后可以直接继续到create_resource()

工作流程要求：

1. 始终提供安全发现的简明摘要（通过/失败的检查）
2. 仅在用户特别要求时显示详细输出
3. 如果发现严重安全问题：阻止资源创建，解释风险，提供解决步骤，多次警告并请求确认
4. 如果发现非严重安全问题：询问用户如何继续（修复问题、仍然继续或取消）

---

工具：update_resource

更新AWS资源。

重要：始终检查响应中的“security_warning”字段，并向用户显示任何警告。