Découvrez comment utiliser le serveur MCP du service de migration BigQuery

Ce document vous explique comment utiliser le serveur MCP (Model Context Protocol) distant BigQuery pour vous connecter à des applications d'IA, y compris l'CLI de ligne de commande Gemini, ChatGPT, Claude et les applications personnalisées que vous développez. Vous pouvez utiliser le serveur MCP (Model Context Protocol) du service de migration BigQuery pour effectuer des tâches telles que la traduction de requêtes SQL en syntaxe GoogleSQL, la génération d'instructions LDD à partir de requêtes SQL saisies et l'obtention d'explications sur les traductions SQL.

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Les serveurs MCP locaux s'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil. Les serveurs MCP s'exécutent sur l'infrastructure du service et proposent un point de terminaison HTTPS aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Les serveurs Google et Google Cloud MCP présentent les fonctionnalités et avantages suivants :

• Découverte simplifiée et centralisée
• Points de terminaison HTTPS mondiaux ou régionaux gérés
• Autorisations précises
• Sécurité facultative des requêtes et des réponses avec la protection Model Armor
• Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez la présentation des serveurs MCP Google Cloud.

Avant de commencer

Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

1. Activez l'API BigQuery Migration Service.

   Rôles requis pour activer les API

   Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

   Activer l'API

Rôles requis

Pour obtenir les autorisations nécessaires pour activer le serveur MCP du service de migration BigQuery, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez activer le serveur MCP du service de migration BigQuery :

• Effectuer des appels d'outils MCP : Utilisateur de l'outil MCP (roles/mcp.toolUser)
• Utiliser le service de migration BigQuery : Éditeur de workflow de migration (roles/bigquerymigration.editor)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour activer le serveur MCP du service de migration BigQuery. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Des autorisations supplémentaires du service de migration BigQuery peuvent être requises selon la tâche. Pour en savoir plus sur les rôles et les autorisations du service de migration BigQuery, consultez Rôles et autorisations du service de migration BigQuery.

Authentification et autorisation

Les serveurs MCP du service de migration BigQuery utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP du service de migration BigQuery n'accepte pas les clés API.

Champs d'application OAuth du service de migration BigQuery MCP

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

Le service de migration BigQuery dispose des niveaux d'accès OAuth suivants pour l'outil MCP :

Les ressources auxquelles vous accédez lors d'un appel d'outil peuvent nécessiter des champs d'application supplémentaires.

Configurer un client MCP pour utiliser le serveur MCP du service de migration BigQuery

Les programmes hôtes, tels que Claude ou Gemini CLI, peuvent instancier des clients MCP qui se connectent à un seul serveur MCP. Un programme hôte peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP, le client MCP doit connaître au moins l'URL du serveur MCP.

Dans votre hôte, recherchez un moyen de vous connecter à un serveur MCP. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP du service de migration BigQuery, saisissez les informations suivantes, si nécessaire :

• Nom du serveur : serveur MCP du service de migration BigQuery
• URL du serveur ou Point de terminaison : bigquerymigration.googleapis.com/mcp
• Transport : HTTP

• Informations d'authentification : vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent

  Les informations d'authentification que vous choisissez dépendent de la manière dont vous souhaitez vous authentifier. Pour en savoir plus, consultez S'authentifier auprès des serveurs MCP.

Pour obtenir des conseils spécifiques à un hébergeur, consultez les articles suivants :

• Configurer un serveur MCP Gemini CLI
• Assistance Claude : Premiers pas avec les connecteurs personnalisés à l'aide de MCP à distance

Pour obtenir des conseils plus généraux, consultez Se connecter à des serveurs MCP distants.

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP du service de migration BigQuery, consultez la documentation de référence sur le MCP du service de migration BigQuery.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP du service de migration BigQuery. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: bigquerymigration.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemples de cas d'utilisation

Voici quelques exemples de cas d'utilisation du serveur MCP du service de migration BigQuery :

• À l'aide d'un client MCP avec un IDE, traduisez un fichier de requête en syntaxe GoogleSQL.
• Traduisez une requête spécifiée en syntaxe GoogleSQL à l'aide d'un client MCP sans IDE.
• Évalue la qualité de la traduction.
• Obtenez des explications sur les traductions SQL.
• Générez une instruction LDD pour une requête spécifiée.

Exemples de requêtes

Vous pouvez utiliser les exemples de requêtes suivants pour créer et gérer des ressources du service de migration BigQuery :

• Traduisez la requête DIALECT dans FILENAME. Utilisez PROJECT_ID et LOCATION. Conservez les journaux de sortie et de traduction dans des répertoires distincts.

  Lorsque vous utilisez cette invite, le client MCP appelle l'outil translate_query pour traduire la requête dans le fichier spécifié. Le client MCP appelle régulièrement l'outil get_translation pour obtenir les résultats. Une fois la traduction terminée, le client écrit le résultat dans le répertoire de sortie et les journaux dans le répertoire des journaux.

• Traduis cette requête depuis DIALECT : QUERY. Utilisez PROJECT_ID et LOCATION.

  Lorsque vous utilisez cette invite, le client MCP appelle l'outil translate_query pour traduire la requête spécifiée et affiche les résultats de la traduction.

• Évaluez la qualité de la traduction.

  Lorsque vous utilisez cette requête, le client MCP lit et examine les journaux de traduction, puis affiche un récapitulatif des problèmes de traduction avec les prochaines étapes suggérées.

• Expliquez la traduction.

  Lorsque vous utilisez cette invite, le client MCP appelle l'outil explain_translation pour obtenir une explication de la traduction. Si les journaux de traduction contiennent des erreurs RelationNotFound ou AttributeNotFound, le client MCP doit vous suggérer de créer un package de métadonnées. Si vous ne parvenez pas à générer les métadonnées, vous pouvez envoyer une requête demandant l'instruction LDD.

  Voici un exemple de réponse :

  The translated code converts Teradata-specific features into their
  BigQuery equivalents. Here's a breakdown of the key changes:
  * `MACRO` to `PROCEDURE`: The `YourMacroName` macro was converted
  into a BigQuery stored procedure because
  BigQuery doesn't support macros.
  * `SELECT INTO` to `SET`:
    * For setting multiple `OUT` parameters in `YourStoredProcedureName`, the
      `SELECT ... INTO` is changed to `SET (...) = (SELECT STRUCT(...))`.
    * For single variable assignment in `YourOtherProcedureName`,
      `SELECT ... INTO` is replaced by `SET variable = (SELECT ...)` which is
      the standard in BigQuery.
  * Atomic Operations to `MERGE: The BEGIN REQUEST ... END REQUEST` blocks in
    the `ProcedureA`, `ProcedureB`, and `ProcedureC` procedures,
    which perform atomic "update or insert" operations, are translated into
    standard SQL `MERGE` statements. This is the correct and modern way to
    handle this logic in BigQuery.
  

• Génère le LDD pour cette requête d'entrée.

  Le client MCP appelle l'outil generate_ddl_suggestion pour démarrer une tâche de suggestion. Le client obtient les résultats de suggestion en appelant l'outil fetch_ddl_suggestion. Lorsque la suggestion est disponible, le client MCP l'affiche.

  Si les instructions LDD sont correctes, vous pouvez envoyer une requête pour ajouter les instructions LDD générées à la requête afin d'améliorer la qualité de la traduction.

• Ajoutez les instructions LDD générées au début de la requête d'entrée, puis retraduisez-la.

  Lorsque vous utilisez cette requête, le client MCP ajoute les instructions LDD à la requête d'entrée d'origine et appelle l'outil translate_query. Le client appelle l'outil get_translation pour obtenir la traduction. La nouvelle traduction de la requête et les journaux sont conservés lorsqu'ils sont disponibles.

  Si les instructions LDD générées sont correctes, toutes les erreurs RelationNotFound ou AttributeNotFound devraient être résolues, ce qui améliore la qualité de la traduction.

Dans les requêtes, remplacez les éléments suivants :

• DIALECT : dialecte de la requête SQL que vous traduisez.
• QUERY : requête que vous traduisez.
• FILENAME : fichier contenant la requête que vous traduisez.
• PROJECT_NUMBER : Numéro de votre projet Google Cloud .
• LOCATION : emplacement du traducteur SQL.

Configurations de sécurité et de protection facultatives

Le MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou votre projet Google Cloud.

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Utiliser Model Armor

Model Armor est un serviceGoogle Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de services cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à assurer la conformité et à appliquer vos règles de sécurité et de protection de l'IA de manière cohérente dans votre environnement d'IA diversifié.

Model Armor n'est disponible que dans certaines régions. Si Model Armor est activé pour un projet et qu'un appel à ce projet provient d'une région non prise en charge, Model Armor n'est pas appelé et le contenu n'est pas analysé par Model Armor. Pour en savoir plus, consultez Emplacements de Model Armor.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger les appels et les réponses de vos outils MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.

Consultez l'exemple de commande suivant :

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Notez les paramètres suivants :

• INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.
• ENABLED : paramètre qui active un filtre ou une application forcée.
• MEDIUM_AND_ABOVE : niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Niveaux de confiance de Model Armor.

Désactiver l'analyse du trafic MCP avec Model Armor

Si vous souhaitez arrêter d'analyser le trafic Google MCP avec Model Armor, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Model Armor n'analysera pas le trafic MCP dans le projet.

Contrôler l'utilisation du MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

• Le principal
• Propriétés de l'outil, comme la lecture seule
• ID client OAuth de l'application

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.

Quotas et limites

Le serveur MCP du service de migration BigQuery ne dispose pas de ses propres quotas. Vous pouvez effectuer un nombre illimité d'appels au serveur MCP.

Vous êtes toujours soumis aux quotas appliqués par les API appelées par les outils du serveur MCP. Pour en savoir plus, consultez la section API BigQuery Migration Service sur la page "Quotas et limites".

Étapes suivantes

• Consultez la documentation de référence sur le service de migration BigQuery MCP.
• En savoir plus sur les serveurs MCP Google Cloud
• Consultez les produits compatibles avec MCP.