Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Important
Tato funkce je v beta verzi. Správci účtu mohou spravovat přístup k této funkci na stránce Previews v konzoli účtu. Viz Manage Azure Databricks preview.
V tomto kurzu řídíte přístup agenta kódování k GitHub pomocí katalogu Unity a služby AI Gateway. Předpokládejme, že váš tým používá agenta pro psaní kódu, například Claude Code nebo Cursor, se serverem MCP od GitHubu, a chcete, aby vývojáři mohli prostřednictvím agenta číst repozitáře a otevírat pull requesty, ale nikdy neprováděli force push ani mazání, přičemž každé volání nástroje bude auditováno.
Použijete předem vytvořenou system.ai.github službu MCP, která Azure Databricks poskytuje, takže nebudete hostovat ani registrovat server MCP nebo vytvářet připojení katalogu Unity. Připojíte předdefinované zásady služby pro blokování operací zápisu, udělíte týmu přístup, připojíte agenta kódování a potvrdíte, že se protokoluje každé volání nástroje.
Předpoklady
- Pracovní prostor s podporou Unity Catalog. Viz Začínáme s katalogem Unity.
- Brána Unity AI ve verzi Preview a služby MCP poskytované společností Databricks ve verzi Preview jsou pro váš účet povolené. Viz Manage Azure Databricks preview.
- Následující oprávnění k integrované službě
system.ai.github:-
MANAGE, pro připojení zásad služby. -
EXECUTE, k vyvolání služby a k udělení přístupu ostatním.
-
- Rozhraní příkazového řádku Azure Databricks se ověřilo ve vašem pracovním prostoru.
Krok 1: Blokování destruktivních operací pomocí předdefinovaných zásad
Služba system.ai.github MCP zpřístupňuje nástroje GitHubu pro čtení a ve výchozím nastavení nepovoluje nástroje pro zápis. Chcete-li, aby byla tato záruka explicitně definovaná a spravovaná, připojte integrovanou zásadu system.ai.github_policy pomocí možnosti disallow_writes. Předdefinované zásady jsou spravované platformou: místo psaní vlastní funkce odkazujete na obslužnou rutinu.
databricks api patch \
"/api/2.1/unity-catalog/mcp-services/system.ai.github?update_mask=config.service_policies" \
--json '{
"config": {
"service_policies": [
{
"name": "block_github_writes",
"policy_type": "POLICY_TYPE_BUILTIN",
"handler": "system.ai.github_policy",
"options": { "disallow_writes": "true" }
}
]
}
}'
S připojenou zásadou se tools/call pro jakýkoli nástroj pro zápis (nástroj, který není označen jako jen pro čtení) odmítne, zatímco nástroje pro čtení a pull requesty nadále fungují. Další informace o integrovaných službách a zásadách viz Služby MCP poskytované Databricks a Zásady služeb pro zabezpečitelné položky AI.
Krok 2: Sdílení služby MCP s týmem
Ve výchozím nastavení můžou službu vyvolat pouze objekty EXECUTE zabezpečení. Udělení přístupu vývojářskému týmu z uživatelského rozhraní:
- V bráně AI přejděte na kartu MCPs a vyberte službu MCP, která se má sdílet, například
system.ai.github. - Přejděte na kartu Oprávnění .
- Klikněte na Povolit.
- Zadejte principal, kterému chcete povolit volat službu MCP, například
dev_team, vyberte oprávnění EXECUTE a klikněte na tlačítko Potvrdit.
Note
Aby mohl správce metastore v system.ai udělit přístup ke službě MCP, musí si nejprve sám udělit oprávnění MANAGE ke schématu system.ai.
Krok 3: Připojte svého kódovacího agenta
Nasměrujte svého programovacího agenta na koncový bod MCP brány AI pro integrovanou službu:
https://<workspace-url>/ai-gateway/mcp-services/system.ai.github
Každý vývojář se ověřuje v Azure Databricks a musí mít EXECUTE ve službě MCP. Postup nastavení specifický pro jednotlivé agenty pro Claude Code, Cursor a další nástroje najdete v části Připojení MCP k asistentům AI a agentům pro psaní kódu. Příklady volání, včetně sady OPENAI Agents SDK, najdete v tématu Vyvolání služby MCP.
Krok 4: Potvrzení, že se aktivita řídí a protokoluje
Ověřte, že zásady správného řízení fungují z obou stran:
Vynucení zásad: Z agenta je nástroj pro čtení nebo žádost o přijetí změn úspěšný, zatímco nástroj pro zápis je odmítnut s chybou zásad.
Protokolování použití: Zadejte dotaz na tabulku systému využití a ověřte, že se zaznamenávají volání:
SELECT service_name, mcp_metadata.tool_name AS tool_name, status_code, COUNT(*) AS calls FROM system.ai_gateway.usage WHERE service_type = 'MCP_SERVICE' AND service_name = 'system.ai.github' GROUP BY service_name, mcp_metadata.tool_name, status_code ORDER BY calls DESC;
Další informace o monitorování najdete v tématu Monitorování využití.