Esta página foi traduzida pela API Cloud Translation.

Use o servidor MCP remoto do BigQuery

Este documento descreve como usar o servidor do Protocolo de contexto do modelo (MCP) remoto do BigQuery para estabelecer ligação ao BigQuery a partir de aplicações de IA, como a CLI Gemini, o modo de agente no Gemini Code Assist, o Claude Code ou em aplicações de IA que está a desenvolver.

O protocolo Model Context Protocol (MCP) padroniza a forma como os modelos de linguagem (conteúdo extenso) (MDLs/CE) e as aplicações ou agentes de IA se ligam a origens de dados externas. Os servidores da MCP permitem-lhe usar as respetivas ferramentas, recursos e comandos para realizar ações e receber dados atualizados do respetivo serviço de back-end.

Normalmente, os servidores MCP locais são executados na sua máquina local e usam as streams de entrada e saída padrão (stdio) para a comunicação entre serviços no mesmo dispositivo. Os servidores MCP remotos são executados na infraestrutura do serviço e oferecem um ponto final HTTPS às aplicações de IA para comunicação entre o cliente MCP de IA e o servidor MCP. Para mais informações sobre a arquitetura do MCP, consulte o artigo Arquitetura do MCP.

O Google e os Google Cloud servidores MCP remotos têm as seguintes funcionalidades e vantagens:

Descoberta simplificada e centralizada
Pontos finais de HTTPS globais ou regionais geridos
Autorização detalhada
Comando e resposta opcionais de segurança com a proteção Model Armor
Registo de auditoria centralizado

Para obter informações sobre outros servidores MCP e informações sobre os controlos de segurança e governança disponíveis para os servidores MCP do Google Cloud, consulte a vista geral dos servidores MCP do Google Cloud.

Pode usar o servidor MCP local do BigQuery pelos seguintes motivos:

Tem de criar uma ferramenta personalizada através de uma consulta SQL parametrizada.
Não tem autorizações para ativar ou usar o servidor MCP remoto no seu projeto.

Para mais informações sobre como usar o nosso servidor MCP local, consulte o artigo Ligue os MDIs ao BigQuery com o MCP. As secções seguintes aplicam-se apenas ao servidor MCP remoto do BigQuery.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Se estiver a usar um projeto existente para este guia, verifique se tem as autorizações necessárias para concluir este guia. Se criou um novo projeto, já tem as autorizações necessárias.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Se estiver a usar um projeto existente para este guia, verifique se tem as autorizações necessárias para concluir este guia. Se criou um novo projeto, já tem as autorizações necessárias.

Enable the BigQuery API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

Para novos projetos, a API BigQuery é ativada automaticamente.
Opcional: Ative a faturação para o projeto. Se não quiser ativar a faturação nem fornecer um cartão de crédito, os passos neste documento continuam a funcionar. O BigQuery oferece-lhe um sandbox para realizar os passos. Para mais informações, consulte o artigo Ative o sandbox do BigQuery.
Nota: se o seu projeto tiver uma conta de faturação e quiser usar o sandbox do BigQuery, então desative a faturação para o seu projeto.

Funções necessárias

Para receber as autorizações de que precisa para ativar o servidor MCP do BigQuery, peça ao seu administrador que lhe conceda as seguintes funções de IAM no projeto onde quer ativar o servidor MCP do BigQuery:

Ative as APIs e os servidores MCP no projeto: Administrador de utilização de serviços (roles/serviceusage.serviceUsageAdmin)
Faça chamadas para a ferramenta MCP: Utilizador da ferramenta MCP (roles/mcp.toolUser)
Executar tarefas do BigQuery: Utilizador de tarefas do BigQuery (roles/bigquery.jobUser)
Consultar dados do BigQuery: Visualizador de dados do BigQuery (roles/bigquery.dataViewer)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para ativar o servidor MCP do BigQuery. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

As seguintes autorizações são necessárias para ativar o servidor MCP do BigQuery:

Ative os servidores MCP num projeto:
- serviceusage.mcppolicy.get
- serviceusage.mcppolicy.update
Faça chamadas para a ferramenta MCP: mcp.tools.call
Executar tarefas do BigQuery: bigquery.jobs.create
Consultar dados do BigQuery: bigquery.tables.getData

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Ative ou desative o servidor MCP do BigQuery

Pode ativar ou desativar o servidor MCP do BigQuery num projeto com o comando gcloud beta services mcp enable. Para mais informações, consulte as secções seguintes.

Ative o servidor MCP do BigQuery num projeto

Se estiver a usar projetos diferentes para as suas credenciais de cliente, como chaves de contas de serviço, ID de cliente OAuth ou chaves da API, e para alojar os seus recursos, tem de ativar o serviço BigQuery e o servidor MCP remoto do BigQuery em ambos os projetos.

Para ativar o servidor MCP do BigQuery no seu Google Cloud projeto, execute o seguinte comando:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Substitua o seguinte:

PROJECT_ID: o Google Cloud ID do projeto
SERVICE: bigquery.googleapis.com (o nome do serviço global do BigQuery)

O servidor MCP remoto do BigQuery está ativado para utilização no seu projetoGoogle Cloud . Se o serviço BigQuery não estiver ativado para o seu projeto, é-lhe pedido que ative o serviço antes de ativar o servidor MCP remoto do BigQuery. Google Cloud

Como prática recomendada de segurança, recomendamos que ative os servidores MCP apenas para os serviços necessários para o funcionamento da sua aplicação de IA.

Desative o servidor MCP do BigQuery num projeto

Para desativar o servidor MCP do BigQuery no seu Google Cloud projeto, execute o seguinte comando:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

O servidor MCP do BigQuery está desativado para utilização no seu projetoGoogle Cloud .

Autenticação e autorização

Os servidores MCP do BigQuery usam o protocolo OAuth 2.0 com a gestão de identidades e acessos (IAM) para autenticação e autorização. Todas as Google Cloud identidades são suportadas para autenticação em servidores MCP.

O servidor MCP remoto do BigQuery não aceita chaves de API.

Âmbitos do OAuth do BigQuery MCP

O OAuth 2.0 usa âmbitos e credenciais para determinar se um principal autenticado tem autorização para realizar uma ação específica num recurso. Para mais informações sobre os âmbitos do OAuth 2.0 na Google, leia o artigo Utilizar o OAuth 2.0 para aceder às APIs Google.

O BigQuery tem os seguintes âmbitos do OAuth da ferramenta MCP:

URI de âmbito para a CLI gcloud	Descrição
`https://www.googleapis.com/auth/bigquery`	Ver e gerir os seus dados no BigQuery e ver o endereço de email da sua Conta Google.

Podem ser necessários âmbitos adicionais nos recursos acedidos durante uma chamada de ferramenta. Para ver uma lista dos âmbitos necessários para o BigQuery, consulte os âmbitos do OAuth 2.0 para a API BigQuery v2.

Configure um cliente MCP para usar o servidor MCP do BigQuery

Os programas anfitriões, como o Claude ou a Gemini CLI, podem instanciar clientes MCP que se ligam a um único servidor MCP. Um programa anfitrião pode ter vários clientes que se ligam a diferentes servidores MCP. Para estabelecer ligação a um servidor MCP remoto, o cliente MCP tem de saber, no mínimo, o URL do servidor MCP remoto.

No seu anfitrião, procure uma forma de se ligar a um servidor MCP remoto. É-lhe pedido que introduza detalhes sobre o servidor, como o nome e o URL.

Para o servidor MCP do BigQuery, introduza o seguinte conforme necessário:

Nome do servidor: servidor MCP do BigQuery
URL do servidor ou ponto final: bigquery.googleapis.com/mcp
Transporte: HTTP
Detalhes de autenticação: as suas Google Cloud credenciais, o seu ID de cliente e segredo do cliente OAuth, ou uma identidade e credenciais do agente

Os detalhes de autenticação que escolher dependem da forma como quer fazer a autenticação. Para mais informações, consulte o artigo Autentique-se nos servidores do MCP.

Para ver orientações específicas do anfitrião, consulte o seguinte:

Para orientações mais gerais, consulte o artigo Estabeleça ligação a servidores MCP remotos.

Ferramentas disponíveis

As ferramentas do MCP que são só de leitura têm o atributo MCP mcp.tool.isReadOnly definido como true. Pode querer permitir apenas ferramentas de leitura em determinados ambientes através da sua política da organização.

Para ver detalhes das ferramentas MCP disponíveis e as respetivas descrições para o servidor MCP do BigQuery, consulte a referência do MCP do BigQuery.

Ferramentas de listas

Use o inspetor do MCP para listar ferramentas ou enviar um pedido HTTP diretamente para o servidor MCP remoto do BigQuery.tools/list O método tools/list não requer autenticação.

POST /mcp HTTP/1.1
Host: bigquery.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemplos de utilização

Seguem-se exemplos de utilizações do servidor MCP do BigQuery:

Crie fluxos de trabalho que usam estatísticas dos dados do BigQuery para acionar determinadas ações, como criar problemas e compor emails.
Use as capacidades avançadas do BigQuery, como a previsão, para obter estatísticas de ordem superior.
Crie uma experiência de conversa para os seus utilizadores com instruções do agente personalizadas.

Exemplos de comandos

Pode usar os seguintes exemplos de comandos para obter informações sobre os recursos do BigQuery, obter estatísticas e analisar os dados do BigQuery:

Apresente os conjuntos de dados no projeto PROJECT_ID.
Encontra todas as consultas que executei no projeto PROJECT_ID usando o servidor MCP na região REGION. Use a etiqueta goog-mcp-server:true para identificar as tarefas de consulta executadas através do servidor do MCP.
Encontre as principais encomendas por volume de DATASET_ID no projeto PROJECT_ID. Identificar as tabelas adequadas, encontrar o esquema correto e mostrar os resultados.
Crie uma previsão na tabela PROJECT_ID.DATASET_ID.TABLE_ID para anos futuros. Use COLUMN_NAME como coluna de dados e COLUMN_NAME como coluna de data/hora. Mostrar as 10 principais previsões.

Nas instruções, substitua o seguinte:

PROJECT_ID: o Google Cloud ID do projeto
REGION: o nome da região
DATASET_ID: o nome do conjunto de dados
TABLE_ID: o nome da tabela
COLUMN_NAME: o nome da coluna

Configurações de segurança opcionais

O MCP introduz novos riscos e considerações de segurança devido à grande variedade de ações que pode realizar com as ferramentas do MCP. Para minimizar e gerir estes riscos, o MCPGoogle Cloud oferece predefinições e políticas personalizáveis para controlar a utilização de ferramentas do MCP na sua organização ou projeto Google Cloud.

Para mais informações sobre a segurança e a governação da MCP, consulte o artigo Segurança e proteção da IA.

Model Armor

O Model Armor é um Google Cloud serviço concebido para melhorar a segurança das suas aplicações de IA. Funciona através da análise proativa de comandos e respostas de GMLs, protegendo contra vários riscos e apoiando práticas de IA responsáveis. Quer implemente a IA no seu ambiente de nuvem ou em fornecedores de nuvem externos, o Model Armor pode ajudar a evitar a introdução maliciosa, validar a segurança do conteúdo, proteger dados confidenciais, manter a conformidade e aplicar as suas políticas de segurança e proteção da IA de forma consistente no seu panorama de IA diversificado.

O Model Armor só está disponível em localizações regionais específicas. Se o Model Armor estiver ativado para um projeto e uma chamada para esse projeto for feita a partir de uma região não suportada, o Model Armor faz uma chamada entre regiões. Para mais informações, consulte o artigo Localizações de Model Armor.

Ative o Model Armor

Para ativar o Model Armor, conclua os seguintes passos:

Ative o Model Armor no seu Google Cloud projeto.
```
gcloud services enable modelarmor.googleapis.com \
    --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do seu Google Cloud projeto.

Configure as definições mínimas recomendadas para o Model Armor.

gcloud model-armor floorsettings update \
    --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
    --mcp-sanitization=ENABLED \
    --malicious-uri-filter-settings-enforcement=ENABLED \
    --pi-and-jailbreak-filter-settings-enforcement=ENABLED \
    --pi-and-jailbreak-filter-settings-confidence-level=MEDIUM_AND_ABOVE

Substitua PROJECT_ID pelo ID do seu Google Cloud projeto.

O Model Armor está configurado para analisar a existência de URLs maliciosos e tentativas de injeção de comandos e jailbreak.

Para mais informações sobre os filtros do Model Armor configuráveis, consulte o artigo Filtros do Model Armor.

Adicione o Model Armor como fornecedor de segurança de conteúdo para serviços MCP.
```
gcloud beta services mcp content-security add modelarmor.googleapis.com \
    --project=PROJECT_ID
```
Substitua PROJECT_ID pelo Google Cloud ID do projeto.
Confirme que o tráfego do MCP é enviado para o Model Armor.
```
gcloud beta services mcp content-security get \
    --project=PROJECT_ID
```
Substitua PROJECT_ID pelo Google Cloud ID do projeto.

Registo do Model Armor

Para informações sobre a auditoria do Model Armor e os registos da plataforma, consulte o artigo Registo de auditoria do Model Armor.

Desative o Model Armor num projeto

Para desativar o Model Armor num projeto Google Cloud , execute o seguinte comando:

gcloud beta services mcp content-security remove modelarmor.googleapis.com \
    --project=PROJECT_ID

Substitua PROJECT_ID pelo Google Cloud ID do projeto.

O tráfego de MCP em Google Cloud não é analisado pelo Model Armor para o projeto especificado.

Desative a análise do tráfego MCP com o Model Armor

Se ainda quiser usar o Model Armor num projeto, mas quiser parar de analisar o tráfego de MCP com o Model Armor, execute o seguinte comando:

gcloud model-armor floorsettings update \
    --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
    --mcp-sanitization=DISABLED

Substitua PROJECT_ID pelo Google Cloud ID do projeto.

O modelo de armadura não analisa o tráfego de MCP em Google Cloud.

Controlo do MCP ao nível da organização

Pode criar políticas de organização personalizadas para controlar a utilização de servidores MCP na sua organização através da restrição gcp.managed.allowedMCPService. Google Cloud Para mais informações e exemplos de utilização, consulte o artigo Controlo de acesso com a IAM.

Quotas e limites

O servidor MCP remoto do BigQuery não tem as suas próprias quotas. Não existe um limite para o número de chamadas que podem ser feitas para o servidor do MCP.

Continua sujeito às quotas aplicadas pelas APIs chamadas pelas ferramentas de servidor do MCP. Os seguintes métodos da API são chamados pelas ferramentas do servidor MCP:

Ferramenta	Método da API	Quotas
`list_dataset_ids`	`datasets.list`	Quotas e limites do conjunto de dados
`list_table_ids`	`tables.list`	Quotas e limites de tabelas
`get_dataset_info`	`datasets.get`	Quotas e limites do conjunto de dados
`get_table_info`	`tables.get`	Quotas e limites de tabelas
`execute_sql`	`jobs.Query`	Quotas e limites de tarefas de consulta

Para mais informações sobre as quotas do BigQuery, consulte o artigo Quotas e limites.

O que se segue?

Leia a documentação de referência do MCP do BigQuery.
Saiba mais acerca dos servidores MCP do Google Cloud.
Consulte os produtos suportados do MCP.