Alibaba Cloud OpenAPI MCP Server を使用すると、モデルコンテキストプロトコル (MCP) を介して、自然言語で Alibaba Cloud API を呼び出し、クラウドリソースを管理できます。
使用方法の選択
エディションの選択
次の 2 つのエディションを利用できます。
|
比較項目 |
コアエディション |
カスタムエディション |
|
オンボーディング速度 |
高速:コンソールにログオン後、エンドポイントを直接取得できます。 |
中程度:サービスを作成し、API を選択します。 |
|
API カバレッジ |
すべての Alibaba Cloud OpenAPI に対応します。 |
選択した API のみに対応します。 |
|
API マッチング方法 |
LLM がセマンティック検索を通じて API をマッチングし、呼び出します。曖昧なプロンプトは意図しない API にマッチする可能性があります。 |
選択した API がツールとして直接公開され、LLM は検索なしで呼び出すことができます。 |
|
チューニング機能 |
サポートされていません |
サポート: API の説明とパラメータを変更できます。 |
|
サービス数 |
アカウントごとに 1 つです。 |
異なるシナリオに基づいて複数のサービスを作成できます。 |
|
ユースケース |
クイックスタート、探索的な操作、クロスプロダクト統合。 |
固定されたビジネスプロセス、明確な API 要件、チューニングが必要なシナリオ。 |
-
クイックスタートや複数のクラウド製品にまたがる操作には、コアエディションを使用してください。
-
必要な API がすでに特定されており、LLM にセマンティックマッチングなしで直接呼び出させたい場合は、カスタムエディションを使用してください。
認証方法の選択
MCP Server は次の 2 つの認証方法をサポートしています。
-
OAuth 認証 (インタラクティブ認証) :ログオン時に自動的にブラウザにリダイレクトされます。トークンの有効期限が切れた後、再度ログオンする必要があります。
-
静的認証情報による認証:一度の事前チェックの後、静的認証情報を使用して接続します。ブラウザは不要です。
|
比較項目 |
OAuth 認証 (インタラクティブ認証) |
AK 静的認証情報認証 |
|
ユースケース |
ブラウザインタラクションを伴うデスクトップクライアント、日常的な開発、探索的な操作。 |
グラフィカルユーザーインターフェース (GUI) を持たないサーバー、CI/CD パイプライン、無人 AI エージェントの統合。 |
|
認可方法 |
ユーザーのログオンと認可時のブラウザリダイレクト。 |
環境変数を通じて AccessKey (AK) を渡します。ブラウザリダイレクトは不要です。 |
|
権限アイデンティティ |
認可をトリガーしたユーザーのアイデンティティ。 |
AK に対応する RAM ユーザーのアイデンティティ。 |
|
セキュリティ |
トークンの有効期間が短く、セキュリティがより高くなります。 |
長期的な静的認証情報はセキュリティ上のリスクがあるため、注意が必要です。 |
前提条件
選択した認証方法に基づいて、次の準備を完了してください:
OAuth 認証
ブラウザ操作を伴うデスクトップクライアントに適しています。短期トークンにより、より高いセキュリティを確保できます。
-
Alibaba Cloud アカウントを保有していること。RAM ユーザーを使用する場合は、必要な権限を付与してください。RAM ユーザーに MCP Server を操作するための権限を付与する。
-
管理者アカウントを使用して、RAM コンソール - OAuth Applications - Third-party Applications ページに移動し、公式の OpenAPI MCP Server アプリケーションをインストールして割り当ててください。そうしない場合、OAuth 認可は失敗します。サードパーティアプリケーションをインストールして認可する。
静的認証情報認証
CI/CD パイプライン、CLI 環境、およびブラウザにアクセスできない AI Agent に適しています。環境変数を介して AccessKey (AK) 認証情報を渡すことができます。Alibaba Cloud CLI にログインしている場合、プロキシは既存の認証情報を自動的に再利用します。
-
Python (3.13 以降) と
uvをインストール済みであること。 -
Alibaba Cloud アカウントを登録し、AK を作成済みであること。AK に対応する RAM ユーザーまたは RAM ロールに、
AliyunOpenAPIMCPServerStaticCredentialAccessシステムポリシーが付与されていること。RAM コンソール に移動して、このポリシーを RAM ユーザーに付与できます。 -
初回使用前に、事前チェック (アプリケーション認可) コマンドを実行して、アカウントでアプリケーション認可が完了しているかどうかを確認してください。完了していない場合、このコマンドを実行するとブラウザが開き、認可手順が表示されます。事前チェックは Alibaba Cloud アカウントに対して有効で、ブラウザを使用できる任意のデバイスで実行できます。MCP を使用するマシンと同一である必要はありません:
uvx alibabacloud.mcp-proxy@latest --server-url <MCP connection address> pre-check --site-type INTL
MCP サービスエンドポイントの取得
クライアント設定は両方のエディションで同じです。エンドポイントソースのみが異なります。
コアエディション
ログオン後、システムはすべての Alibaba Cloud OpenAPI をカバーするコアエディション用のエンドポイントを割り当てます。
-
Alibaba Cloud OpenAPI MCP Service コンソールにログオンします。
-
左側のナビゲーションペインで、[コア] タブをクリックします。ページに
Streamable HTTP EndpointとSSE Endpointが表示されます。
-
OAuth または詳細設定を変更するには、対応する [Modify] ボタンをクリックします。
-
[マルチアカウント MCP]: 複数のアカウントで MCP サーバーを管理します。マルチアカウントシナリオで OpenAPI MCP サーバーを使用する。
-
[パブリックネットワーク設定]:ローカル開発、リージョン間のコラボレーション、または外部システムとの統合のために、パブリックネットワークアクセスを有効にします。
-
[カスタム VPC ホワイトリスト]: 厳格なネットワークセキュリティ要件が求められるシナリオに適しています。
-
カスタムエディション
MCP サービスを作成し、必要な API を選択します。選択した各 API は、LLM がセマンティック検索なしで呼び出すことができる MCP ツールとして公開されます。
-
Alibaba Cloud OpenAPI MCP Service コンソールにログオンします。
-
左側のナビゲーションペインで、[カスタム] > [作成] をクリックして MCP 設定ページに移動します。
次の情報を入力します。
-
[名前]: 3~16 文字で、小文字、数字、アンダースコア (_)、ハイフン (-) を使用できます。例:
mcp-demo。 -
[ドキュメント言語]:ツール内の API の説明の言語を選択します。
-
[OAuth 設定]:
-
[Alibaba Cloud 公式 OAuth]:Lingma、Cherry Studio、Cursor などのローカルクライアント向けです。
-
[カスタム OAuth]: 自己デプロイされた Dify、AgentScope、Claude Web/Mobile などの自己構築プラットフォームやサードパーティサービスに適しています。
-
-
[マルチアカウント MCP]:複数のアカウントにわたって MCP サーバーを管理します。マルチアカウントシナリオで OpenAPI MCP サーバーを使用する。
-
[クラウド製品と API リスト]: MCP サービス用の API Tools を設定します。
-
[Terraform ツール]: Terraform HCL コードを使用して MCP ツールを定義します。リソースの作成のみに対応しています。OpenAPI MCP サーバーで Terraform ツールを使用する。
-
[システムツール]: 選択時に MCP サービスに自動的に統合される、公式のプリセットツールです。
-
[MCP 指示]: LLM に対してこの MCP の使用方法を指示するために使用されます。クライアントは、MCP 標準プロトコルの Instructions フィールドに対応している必要があります。
-
[備考]:MCP サービスの説明を追加します。
-
-
[Create] をクリックし、リスクに関する警告を確認します。サービスの作成後、ページに
ストリーマブル HTTP エンドポイントとSSE エンドポイントが表示されます。
MCP サーバーあたり 30 個以下の API を選択してください。それ以上必要な場合は、複数のサーバーを作成してください。
VPC 環境で MCP を使用する場合は、ページに表示される VPC エンドポイントを優先的に使用してください。
クライアントの設定
サービスエンドポイントを取得した後、クライアントで接続を設定します。この設定は Core edition と Custom edition の両方に適用されます。Alibaba Cloud OpenAPI MCP Service コンソールは、Cherry Studio、Lingma/Cursor/Windsurf/VSCode、Claude Code、Codex などの一般的なクライアント向けの設定テンプレートを提供します。MCP は幅広い互換性があります。プロトコルをサポートする他のクライアントやプログラムも、必要に応じて設定できます。
次の 2 つの認証方法がサポートされています。
-
OAuth 認証 (インタラクティブ認証):ブラウザーリダイレクトにより自動的に認可します。
-
静的認証情報認証:環境変数により AK を渡すか、Alibaba Cloud CLI の認証情報を使用します。
AK は長期的な静的認証情報です。漏洩した場合、継続的に悪用される可能性があります。次のセキュリティプラクティスに従ってください (AccessKey の作成)。
-
ルートアカウントの AK を使用しないでください。RAM ユーザーの AK を使用し、必要最小限の権限のみを付与してください。
-
mcp.jsonなどのバージョン管理されたファイルに AK をハードコードしないでください。環境変数またはキー管理サービスを使用して注入してください。 -
認証情報の漏洩リスクを軽減するため、AK を定期的にローテーションしてください。
OAuth 認証 (デフォルト)
OAuth はデフォルトの方法です。クライアントはユーザー認可のためにローカルブラウザーを開きます。デスクトップクライアントや日常的な開発に適しています。
Alibaba Cloud OpenAPI MCP Service コンソールにログインします。 Core または Custom エディションの MCP サービスエンドポイントページに移動します。 [ワンクリック設定]をクリックします。 [OAuth 認証 (デフォルト)]を選択します。 次に、クライアントのタブを選択し、設定テンプレートに従います。 設定中にブラウザにユーザー承認ページが表示された場合は、[承認]をクリックします。
Cherry Studio
前提条件:Cherry Studio をインストール済みである必要があります。
次のいずれかの方法で設定を完了します:
-
ワンクリック設定: コンソールの設定テンプレートページで、[Cherry Studio のワンクリック設定] をクリックし、プロンプトに従います。
-
手動設定:Cherry Studio で [Settings] > [MCP Server] に移動します。[Add] > [Quick Create] を選択します。名前を入力し、Type を [Streamable HTTP] に設定し、URL に
Streamable HTTP Endpointアドレスを入力します。または、[Import from JSON] を選択し、ページから設定 JSON を貼り付けます。
保存後、ブラウザーは自動的に Alibaba Cloud OAuth 認可ページにリダイレクトされます。認可を完了すると、MCP サービスが起動します。
Lingma/Cursor/Windsurf/VSCode
前提条件:Node.js と npm をインストール済みである必要があります。
次のいずれかの方法で設定を完了します:
-
ワンクリック設定 (Cursor のみ): コンソールの設定テンプレートページで、[Cursor のワンクリック設定] をクリックし、画面の指示に従います。
-
手動設定:コンソールページから設定 JSON をクライアントの MCP 設定ファイルに貼り付けます。
各クライアントの設定方法:
-
Lingma:Lingma プラグインを開きます。紹介ページで [MCP Tool] をクリックします。ポップアップウィンドウで右上隅の [+] をクリックし、手動追加を選択します。カスタム名を入力し、Type に
STDIOを設定し、Command にnpxを設定し、Parameters にmcp-remote-alibaba-cloud <Streamable HTTP Endpoint>を設定します。 -
Cursor:[File] > [Preferences] > [Cursor Settings] > [Tools & Integrations] に移動します。[Add Custom MCP] をクリックします。JSON を
mcp.jsonファイルに貼り付けて保存します。設定ファイルは通常~/.cursor/mcp.jsonまたはプロジェクトのルートディレクトリの.cursor/mcp.jsonにあります。 -
Windsurf:JSON を
~/.windsurf/mcp.jsonまたはプロジェクトのルートディレクトリの.windsurf/mcp.jsonに貼り付けます。 -
VSCode:設定で MCP を検索し、画面の指示に従って設定を追加します。
設定を保存した後、初回使用時にブラウザーで OAuth 認可を完了する必要があります。ブラウザーが自動的に開かない場合は、アプリケーションを再起動してください。
Claude Code
前提条件:Claude Code をインストール済みである必要があります。
ターミナルで次のコマンドを実行して MCP サーバーを追加します。<Streamable HTTP Endpoint> をコンソールで取得した実際のアドレスに置き換えてください。
claude mcp add openapi-mcp-core -- npx mcp-remote-alibaba-cloud "<Streamable HTTP Endpoint>"次のコマンドを実行して、追加された MCP を照会します。
claude mcp list設定または使用中に、ブラウザにユーザー承認ページが表示された場合は、[承認] をクリックします。
コーデックス
前提条件:Codex CLI をインストール済みである必要があります。
ターミナルで次のコマンドを実行して MCP サーバーを追加します。<Streamable HTTP Endpoint> をコンソールで取得した実際のアドレスに置き換えてください。
codex mcp add openapi-mcp-core -- npx mcp-remote-alibaba-cloud "<Streamable HTTP Endpoint>"次のコマンドを実行して、追加された MCP を照会します。
codex mcp list設定または使用中に、ブラウザにユーザー承認ページが表示された場合は、[承認] をクリックします。
静的認証情報認証
静的認証情報認証は、ブラウザーリダイレクトなしでローカルプロキシ alibabacloud.mcp-proxy を使用します。自動化パイプライン、CLI のみの環境、無人 AI エージェント統合に適しています。
Alibaba Cloud OpenAPI MCP Service コンソールにログオンします。Core または Custom エディションの MCP サービスエンドポイントページに移動します。[ワンクリック設定] をクリックします。[静的資格情報認証] を選択します。次に、お使いのクライアントのタブを選択し、設定テンプレートに従います。
Alibaba Cloud CLI (aliyun configure) にすでにログオンしている場合、プロキシは自動的に CLI の認証情報を読み取ります。設定で env 環境変数を設定する必要はありません。
Cherry Studio
前提条件:
-
Cherry Studio、Python (3.13 以降)、uv をインストール済みである必要があります。
-
AccessKey に
AliyunOpenAPIMCPServerStaticCredentialAccessシステム権限が必要です。 -
初回使用前に、コンソールから事前チェックコマンドを実行して、アカウントの認可状態を確認する必要があります。このコマンドは、ブラウザーを備えた任意のデバイスで実行でき、プロキシを実行しているマシンと同じである必要はありません。
次のいずれかの方法で設定を完了します:
Cherry Studio で、[Settings] > [MCP Server] > [Add] > [Import from JSON] に移動して設定を貼り付けます。Access Key ID/Secret を実際のキーに置き換えてください。Alibaba Cloud CLI を設定済みの場合は、env フィールドを削除してローカルの認証情報を再利用できます。
設定後、Cherry Studio を再起動し、テストリクエスト (リージョン内の ECS インスタンスのリストの照会など) を送信して、API が正しく呼び出されることを確認します。これにより、静的認証情報認証が成功したと判断できます。
Lingma/Cursor/Windsurf/VSCode
前提条件:
-
Lingma/Cursor/Windsurf/VSCode、Python (3.13 以降)、uv をインストール済みである必要があります。
-
AccessKey に
AliyunOpenAPIMCPServerStaticCredentialAccessシステム権限が必要です。 -
初回使用前に、コンソールから事前チェックコマンドを実行して、アカウントの認可状態を確認する必要があります。このコマンドは、ブラウザーを備えた任意のデバイスで実行でき、プロキシを実行しているマシンと同じである必要はありません。
各クライアントの設定方法:
-
Lingma:プラグインの MCP ツールページで手動で追加します。Type に
STDIOを設定し、Command にuvxを設定し、Parameters にalibabacloud.mcp-proxy@latest --server-url <Streamable HTTP Endpoint> --site-type INTLを設定します。環境変数にALIBABA_CLOUD_ACCESS_KEY_IDとALIBABA_CLOUD_ACCESS_KEY_SECRETを追加します。 -
Cursor:JSON を
~/.cursor/mcp.jsonまたはプロジェクトのルートディレクトリの.cursor/mcp.jsonに貼り付けます。AK ID と Secret を置き換えてください。 -
Windsurf:JSON を
~/.windsurf/mcp.jsonまたはプロジェクトのルートディレクトリの.windsurf/mcp.jsonに貼り付けます。AK ID と Secret を置き換えてください。 -
VSCode:設定で MCP を検索し、画面の指示に従って設定を追加します。
Alibaba Cloud CLI を設定済みの場合は、環境変数の設定を削除してローカルの認証情報を再利用できます。
設定後、保存してクライアントを再起動します。テストリクエストを送信して、API が正しく呼び出されることを確認します。これにより、静的認証情報認証が成功したと判断できます。
Claude Code
前提条件:
-
Claude Code、Python (3.13 以降)、uv をインストール済みである必要があります。
-
AccessKey に
AliyunOpenAPIMCPServerStaticCredentialAccessシステム権限が必要です。 -
初回使用前に、コンソールから事前チェックコマンドを実行して、アカウントの認可状態を確認する必要があります。このコマンドは、ブラウザーを備えた任意のデバイスで実行でき、プロキシを実行しているマシンと同じである必要はありません。
次のいずれかの方法で設定を完了します:
ターミナルで次のコマンドを実行して MCP サーバーを追加します。<Access Key ID>、<Access Key Secret>、<Streamable HTTP Endpoint> を実際の値に置き換えてください。
Alibaba Cloud CLI を設定済みの場合は、環境変数の設定を削除してローカルの認証情報を再利用できます。
claude mcp add openapi-mcp-core --env ALIBABA_CLOUD_ACCESS_KEY_ID=<Access Key ID> --env ALIBABA_CLOUD_ACCESS_KEY_SECRET=<Access Key Secret> -- uvx alibabacloud.mcp-proxy@latest --server-url "<Streamable HTTP Endpoint>" --site-type INTL次のコマンドを実行して、追加された MCP を照会します。
claude mcp listCodex
前提条件:
-
Codex、Python (3.13 以降)、uv をインストール済みである必要があります。
-
AccessKey に
AliyunOpenAPIMCPServerStaticCredentialAccessシステム権限が必要です。 -
初回使用前に、コンソールから事前チェックコマンドを実行して、アカウントの認可状態を確認する必要があります。このコマンドは、ブラウザーを備えた任意のデバイスで実行でき、プロキシを実行しているマシンと同じである必要はありません。
次のいずれかの方法で設定を完了します:
ターミナルで次のコマンドを実行して MCP サーバーを追加します。<Access Key ID>、<Access Key Secret>、<Streamable HTTP Endpoint> を実際の値に置き換えてください。
Alibaba Cloud CLI を設定済みの場合は、環境変数の設定を削除してローカルの認証情報を再利用できます。
codex mcp add openapi-mcp-core --env ALIBABA_CLOUD_ACCESS_KEY_ID=<Access Key ID> --env ALIBABA_CLOUD_ACCESS_KEY_SECRET=<Access Key Secret> -- uvx alibabacloud.mcp-proxy@latest --server-url "<Streamable HTTP Endpoint>" --site-type INTL次のコマンドを実行して、追加された MCP を照会します。
codex mcp listMCP の使用
設定後、クライアントで自然言語を使用してクラウドリソースを操作します。MCP を統合するその他の方法
-
Core Edition:自然言語で要件を記述します。LLM が一致する API を検索し、パラメーター定義を取得して、呼び出しを自動的に実行します。たとえば、"Help me query ECS instances in the Hangzhou region" と入力すると、
DescribeInstancesAPI がトリガーされます。 -
Custom Edition:設定済みの API はツールとして直接公開されるため、検索が不要になり、呼び出しパスが短縮されます。複数の API に類似の機能がある場合でも、LLM が意図した API を呼び出せるようになります。
Cherry Studio
-
テキスト入力ボックスのメニューから MCP サーバーを選択します。
-
MCP 機能をテストします。たとえば、特定のリージョンにある ECS インスタンスのリストをクエリするには、次のように入力します:
Please help me query the list of ECS instances with regionId cn-chengdu and set x_mcp_region_id.
説明API の選択またはパラメーター設定が正しくない場合は、プロンプトの最適化を試してください。Custom Edition の場合は、MCP チューニングを使用して問題を解決することもできます。
Cursor
-
モデルと API キーを選択します。Cursor には、LLM プロバイダーに関する要件があります (「Supported providers」をご参照ください)。モデルと API キーを選択する際は、Cursor のドキュメントを参照してください。この例ではデフォルト値を使用します。
-
Cursor のダイアログボックスで、[Add Context] をクリックし、MCP サーバーを選択します。
-
ダイアログボックスに自然言語のクエリを入力して MCP 機能をテストします。たとえば、"Please help me query the number of ECS instances in the Chengdu region, and only show the instance count." と入力し、Enter キーを押して送信します。プロンプトに従い、[ツールを実行] をクリックして続行します。
-
MCP の実行結果を確認します。API の選択またはパラメーター設定が正しくない場合は、プロンプトの最適化を試してください。Custom Edition の場合は、MCP チューニングを使用して問題を解決することもできます。
Lingma
-
Lingma で [AI エージェント] を選択し、プロンプトを入力します。たとえば、「Please help me query the list of ECS instances in the Chengdu region and set x_mcp_region_id.」のように入力します。
-
Lingma のプロンプトに従って MCP ツールを実行します。
-
結果を確認します。API の選択またはパラメーター設定が正しくない場合は、プロンプトの最適化を試してください。Custom Edition の場合は、MCP チューニングを使用して問題を解決することもできます。
Cline
-
Cline のダイアログボックスに自然言語のクエリを入力して MCP 機能をテストします。たとえば、"Please help me query the number of ECS instances in the Chengdu region." と入力します。
Cline は、設定済みの MCP サーバーから
DescribeInstancesツールを自動的に選択し、入力内容からRegionIdパラメーター値を抽出します。 -
MCP の実行結果を確認します。API の選択またはパラメーター設定が正しくない場合は、プロンプトの最適化を試してください。Custom Edition の場合は、MCP チューニングを使用して問題を解決することもできます。
MCP チューニング (Custom Edition のみ)
Core Edition は、組み込みツールを通じて API の検索と呼び出しを自動的に処理するため、チューニングはサポートされていません。
LLM が誤った API を選択したり、不正なパラメーターを渡したりする場合は、サーバーサイドで API 概要、API リクエストの説明、またはリクエストパラメーターの説明を変更することで、精度を向上させることができます。
例 1:cn-hangzhou 以外のリージョンにおけるリソース操作時のエラーまたは不正確なデータ
MCP は x_mcp_region_id を使用して Endpoint を切り替えます。LLM が入力から x_mcp_region_id を渡す必要があることを理解できない場合、デフォルトで cn-hangzhou リージョン内のリソースを操作します。
この問題は、次の 2 つの方法のいずれかで解決できます。
-
クエリで
x_mcp_region_idを設定するよう LLM に明示的に指示します。regionId が cn-qingdao の ECS インスタンスのリストをクエリして、x_mcp_region_id を設定してください。 -
MCP サーバーで API 概要または RegionId リクエストパラメーターの説明を調整します。
例えば、API 概要に「ユーザーが指定したリージョンを x_mcp_region_id に渡す」を追加するか、RegionId の説明に「RegionId パラメーターが存在する場合は、x_mcp_region_id も渡す必要があります」を追加します。
手順:
-
Custom API MCP SERVER ページに移動します。対象の MCP サービスの「操作」列で、[編集] をクリックします。
-
チューニングする API を選択し、その [アクション] 列の[編集]をクリックします。
-
API 概要、API リクエストの説明、またはリクエストパラメーターの説明を変更します。
-
変更を保存した後、クライアントで MCP サービスを切断して再接続すると、変更が有効になります。
-
例 2:API からの一部の任意のパラメーターの削除
一部の任意のパラメーターは、特定のシナリオでは不要です。MCP サーバーからそれらを削除することで、エラーとトークン消費を削減できます。
MCP アクセス制御
AI エージェントが OpenAPI MCP Server と統合された後、エージェント自体にはクラウド リソースにアクセスする権限がありません。ユーザーアイデンティティのプロキシとして動作するには、ユーザーが開始する認可フローをトリガーする必要があります。例えば、クライアントは OAuth フローを開始できます。ユーザーが認可を付与すると、エージェントは一時的なアクセス権限を取得します。すべての操作にはユーザー認可が必要です。エージェントが実行できるタスクは、ユーザー自身の権限によって制限されます。これにより、最小権限の原則が実装されます。さらに、監査ログには、実際に操作を実行したユーザーのアイデンティティが記録されます。
ユースケース: CherryStudio、Lingma、Qwen Code、Cursor、Claude Code、Dify、AgentScope、LangGraph などのクライアントサイドエージェント、またはユーザーアイデンティティをプロキシする必要があるシナリオ。
MCP のその他の統合方法
-
カスタム OAuth アプリケーションを設定して、Dify で OpenAPI MCP サーバーと統合します。Dify で OpenAPI MCP サーバーを統合する。
-
カスタムエージェントでは、OAuth 認可フローを完了し、公式の MCP SDK を使用してエージェントフレームワークと統合します。エージェントで OpenAPI MCP サーバーを統合する。
よくある質問
ツール内のすべての API を MCP クライアントから呼び出すことができますか?
必ずしもそうではありません。呼び出しが成功するかどうかは、OAuth 認可を開始した RAM ユーザー、または AccessKey に対応する RAM ユーザーの権限に依存します。RAM ユーザーが特定の API に対する権限を持っていない場合、LLM もその API を呼び出すことができません。
RAM ユーザーに必要な API 権限を付与してください。 RAM ユーザー権限の管理をご参照ください。
LLM が誤ってリソース削除 API を呼び出さないように、RAM ユーザーに削除権限を付与しないでください。
RAM ユーザーで MCP サーバーを作成する際の権限拒否エラー
解決策:
-
RAM ユーザーに
AliyunOpenAPIMCPServerFullAccessシステムポリシーを付与します。 RAM ユーザー権限の管理をご参照ください。 -
RAM ユーザーにカスタムポリシーを付与します。
-
管理者アカウントを使用して、RAM コンソールでカスタムポリシーを作成します。 カスタムポリシーの作成をご参照ください。
ポリシーの内容:
-
このカスタムポリシーを対象の RAM ユーザーに付与します。 RAM ユーザー権限の管理をご参照ください。
-
MCP サーバーの接続エンドポイントが公開された場合、他のユーザーが使用できますか?
いいえ。OAuth 認証では、ユーザーのログオンを必要とする認可フローがトリガーされます。システムは、認可するユーザーのルートアカウントが MCP サーバーのルートアカウントと一致することを確認します。静的クレデンシャル認証は、RAM ユーザーの権限に制限されるため、不正アクセスを防ぎます。
静的クレデンシャル認証と OAuth 認証のどちらを選択すればよいですか?
環境に基づいて選択してください。
-
OAuth 認証:ブラウザーインタラクションを伴うデスクトップクライアント。短期トークンにより、より高いセキュリティを提供します。日常的な開発や探索的な操作に推奨します。
-
AccessKey 静的クレデンシャル認証:自動化パイプライン、CLI のみのサーバー、無人 AI エージェント統合。権限は AccessKey の RAM アイデンティティに紐付けられます。認証情報のセキュリティはお客様の責任となります。
AccessKey シークレットが誤って漏洩した場合はどうすればよいですか?
-
RAM コンソールで直ちに AccessKey を無効化または削除してください。
-
新しい AccessKey を作成し、クライアント設定を更新してください。
-
漏洩期間中の ActionTrail 監査ログを確認し、異常な呼び出しがなかったかどうかを確認してください。