BigQuery Migration Service MCP サーバーを使用する方法を学ぶ
このドキュメントでは、BigQuery リモート Model Context Protocol(MCP)サーバーを使用して、Gemini CLI、ChatGPT、Claude、開発中のカスタム アプリケーションなどの AI アプリケーションに接続する方法について説明します。 BigQuery Migration Service Model Context Protocol(MCP)サーバーを使用して、SQL クエリを GoogleSQL 構文に変換する、SQL 入力クエリから DDL ステートメントを生成する、SQL 変換の説明を取得するなどのタスクを実行できます。
BigQuery API を有効にすると、BigQuery リモート MCP サーバーが有効になります。Model Context Protocol (MCP)により、大規模言語モデル(LLM)と AI アプリケーション(エージェント)が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンド サービスから更新されたデータを取得できます。
ローカル MCP サーバーは通常、ローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム(stdio)を使用します。MCP サーバーはサービスのインフラストラクチャで実行され、AI アプリケーションに HTTPS エンドポイントを提供して、AI MCP クライアントと MCP サーバー間の通信を行います。MCP アーキテクチャの詳細については、
MCP アーキテクチャをご覧ください。
Google と Google Cloud MCP サーバーには、次の機能と メリットがあります。
- 簡素化された一元的な検出
- マネージド グローバルまたはリージョン HTTPS エンドポイント
- きめ細かい認可
- Model Armor 保護によるプロンプトとレスポンスのセキュリティ(オプション)
- 一元的な監査ロギング
他の MCP サーバーと、Google Cloud MCP サーバーで使用可能なセキュリティと ガバナンスの制御については、 Google Cloud MCP サーバーの概要をご覧ください。
始める前に
- アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
BigQuery Migration Service API を有効にします。
API を有効にするために必要なロール
API を有効にするには、
serviceusage.services.enable権限を含む Service Usage Admin IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。
必要なロール
BigQuery Migration Service MCP サーバーを有効にするために必要な権限を取得するには、BigQuery Migration Service MCP サーバーを有効にするプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
-
MCP ツール呼び出しを行う:
MCP ツールユーザー (
roles/mcp.toolUser) -
BigQuery Migration Service を使用する:
Migration Workflow Editor (
roles/bigquerymigration.editor)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには BigQuery Migration Service MCP サーバーを有効にするために必要な権限が含まれています。必要とされる正確な権限については、必要な権限セクションを開いてご確認ください。
必要な権限
BigQuery Migration Service MCP サーバーを有効にするには、次の権限が必要です。
-
MCP ツール呼び出しを行う:
mcp.tools.call -
BigQuery Migration Service を使用する:
-
bigquerymigration.workflows.create -
bigquerymigration.workflows.get -
bigquerymigration.workflows.list -
bigquerymigration.workflows.delete -
bigquerymigration.subtasks.get -
bigquerymigration.subtasks.list
-
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
タスクによっては、追加の BigQuery Migration Service 権限が必要になる場合があります。BigQuery Migration Service のロールと 権限については、BigQuery Migration Service のロールと権限をご覧ください。
認証と認可
BigQuery Migration Service MCP サーバーは、認証と認可に Identity and Access Management(IAM)と OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。
BigQuery Migration Service MCP サーバーは API キーを受け入れません。
BigQuery Migration Service MCP の OAuth スコープ
OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。Google の OAuth 2.0 スコープの詳細については、 OAuth 2.0 を使用して Google API にアクセスするをご覧ください。
BigQuery Migration Service には、次の MCP ツール OAuth スコープがあります。
| gcloud CLI のスコープの URI | 説明 |
|---|---|
https://www.googleapis.com/auth/bigquerymigration |
BigQuery Migration Service でワークフローを表示して管理し、 Google アカウントのメールアドレスを確認します。 |
https://www.googleapis.com/auth/devstorage.read_only |
このスコープは、Cloud Storage からデータを読み取るクエリ変換に必要です。 |
ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。
BigQuery Migration Service MCP サーバーを使用するように MCP クライアントを構成する
Claude や Gemini CLI などのホスト プログラムは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。ホスト プログラムには、さまざまな MCP サーバーに接続する複数のクライアントを設定できます。MCP サーバーに接続するには、MCP クライアントが少なくとも MCP サーバーの URL を認識している必要があります。
ホストで、MCP サーバーに接続する方法を探します。サーバー名や URL などのサーバーの詳細情報を入力するよう求められます。
BigQuery Migration Service MCP サーバーの場合は、必要に応じて次の情報を入力します。
- サーバー名: BigQuery Migration Service MCP サーバー
- サーバー URL または エンドポイント: bigquerymigration.googleapis.com/mcp
- トランスポート: HTTP
認証の詳細: 認証情報、 OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報 Google Cloud
選択する認証の詳細は、認証方法によって異なります。詳細については、MCP サーバーに対して認証するをご覧ください。
ホスト固有のガイダンスについては、以下をご覧ください。
一般的なガイダンスについては、リモート MCP サーバーに接続するをご覧ください。
使用可能なツール
BigQuery Migration Service MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、BigQuery Migration Service MCP リファレンスをご覧ください。
ツールの一覧表示
MCP インスペクタを使用してツールを一覧表示するか、
tools/list HTTP リクエストを BigQuery Migration Service MCP
サーバーに直接送信します。tools/list メソッド: 認証を必要としません。
POST /mcp HTTP/1.1
Host: bigquerymigration.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list",
}
サンプルのユースケース
BigQuery Migration Service MCP サーバーのユースケースの例を次に示します。
- IDE で MCP クライアントを使用して、クエリファイルを GoogleSQL 構文に変換します。
- IDE を使用せずに MCP クライアントを使用して、指定したクエリを GoogleSQL 構文に変換します。
- 翻訳の品質を評価します。
- SQL 変換の説明を取得します。
- 指定したクエリの DDL ステートメントを生成します。
サンプル プロンプト
次のサンプル プロンプトを使用して、BigQuery Migration Service リソースを作成して管理できます。
この
FILENAMEのDIALECTクエリを変換します。PROJECT_IDとLOCATIONを使用します。出力と変換ログを別々のディレクトリに保存します。このプロンプトを使用すると、MCP クライアントは
translate_queryツールを呼び出して、指定したファイルのクエリを変換します。MCP クライアントは、get_translationツールを定期的に呼び出して結果を取得します。変換が完了すると、クライアントは出力を出力ディレクトリに、ログをログディレクトリに書き込みます。このクエリを
DIALECT:QUERYから変換します。PROJECT_IDとLOCATIONを使用します。このプロンプトを使用すると、MCP クライアントは
translate_queryツールを呼び出して、指定したクエリを変換し、変換結果を表示します。翻訳の品質を評価します。
このプロンプトを使用すると、MCP クライアントは変換ログを読み取って調べ、変換の問題の概要と推奨される次のステップを表示します。
翻訳を説明します。
このプロンプトを使用すると、MCP クライアントは
explain_translationツールを呼び出して、変換の説明を取得します。変換ログにRelationNotFoundまたはAttributeNotFoundエラーが含まれている場合、MCP クライアントはメタデータパッケージを作成することを推奨する必要があります。メタデータを生成できない場合は、DDL ステートメントをリクエストするプロンプトを送信できます。レスポンスの例は次のようになります。
The translated code converts Teradata-specific features into their BigQuery equivalents. Here's a breakdown of the key changes: * `MACRO` to `PROCEDURE`: The `YourMacroName` macro was converted into a BigQuery stored procedure because BigQuery doesn't support macros. * `SELECT INTO` to `SET`: * For setting multiple `OUT` parameters in `YourStoredProcedureName`, the `SELECT ... INTO` is changed to `SET (...) = (SELECT STRUCT(...))`. * For single variable assignment in `YourOtherProcedureName`, `SELECT ... INTO` is replaced by `SET variable = (SELECT ...)` which is the standard in BigQuery. * Atomic Operations to `MERGE: The BEGIN REQUEST ... END REQUEST` blocks in the `ProcedureA`, `ProcedureB`, and `ProcedureC` procedures, which perform atomic "update or insert" operations, are translated into standard SQL `MERGE` statements. This is the correct and modern way to handle this logic in BigQuery.この入力クエリの DDL を生成します。
MCP クライアントは
generate_ddl_suggestionツールを呼び出して、提案ジョブを開始します。クライアントは、fetch_ddl_suggestionツールを呼び出して提案結果を取得します。提案が利用可能になると、MCP クライアントはそれを表示します。DDL ステートメントが正しい場合は、生成された DDL ステートメントをクエリの先頭に追加して変換の品質を向上させるプロンプトを送信できます。
生成された DDL ステートメントを入力クエリの先頭に追加して、再変換します。
このプロンプトを使用すると、MCP クライアントは DDL ステートメントを元の入力クエリの先頭に追加し、
translate_queryツールを呼び出します。クライアントはget_translationツールを呼び出して変換を取得します。新しいクエリ変換とログは、利用可能になると保存されます。生成された DDL ステートメントが正しい場合、
RelationNotFoundエラーまたはAttributeNotFoundエラーは解決され、変換の品質が向上します。
プロンプトでは、次のように置き換えます。
DIALECT: 変換する SQL クエリの言語。QUERY: 変換するクエリ。FILENAME: 変換するクエリを含むファイル。PROJECT_NUMBER: あなたの Google Cloud プロジェクトの番号。LOCATION: SQL トランスレータのロケーション。
セキュリティと安全に関するオプションの構成
MCP ツールで実行できるアクションが多岐にわたるため、MCP によって新たなセキュリティ リスクと考慮事項が加わります。これらのリスクを最小限に抑えて管理するために、Google Cloud は、 Google Cloud組織またはプロジェクトでの MCP ツールの使用を制御するデフォルトのポリシーとカスタマイズ可能なポリシーを提供します。
MCP のセキュリティとガバナンスの詳細については、 AI のセキュリティと安全性をご覧ください。
Model Armor を使用する
Model Armor は、AI アプリケーションのセキュリティと 安全性を強化するために設計された Google Cloud サービスです。LLM のプロンプトとレスポンスを事前にスクリーニングすることで、さまざまなリスクから保護し、責任ある AI への取り組みをサポートします。クラウド環境や外部クラウド プロバイダに AI をデプロイする場合でも、Model Armor を使用すると、悪意のある入力からの防御、コンテンツの安全性の検証、センシティブ データの保護、コンプライアンスの維持、多様な AI 環境全体で AI の安全性とセキュリティ ポリシーの一貫した適用が可能になります。
Model Armor は、特定のリージョンのロケーションでのみ使用できます。プロジェクトで Model Armor が有効化されており、サポート対象外のリージョンからそのプロジェクトへの呼び出しが行われた場合、Model Armor は呼び出されず、コンテンツはスキャンされません。 詳細については、Model Armor のロケーションをご覧ください。
Model Armor を有効にする
Model Armor を使用するには、Model Armor API を有効にする必要があります。
コンソール
Model Armor API を有効にする。
API を有効にするために必要なロール
API を有効にするには、
serviceusage.services.enable権限を含む Service Usage Admin IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。Model Armor を有効にするプロジェクトを選択します。
gcloud
始める前に、Google Cloud CLI で Model Armor API を使用して、次の処理を行います。
コンソールで Cloud Shell をアクティブにします。 Google Cloud
コンソールの下部にある Google Cloud Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
-
次のコマンドを実行して、Model Armor サービスの API エンドポイントを設定します。
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
LOCATIONは、Model Armor を使用するリージョンに置き換えます。
Google と Google Cloud リモート MCP サーバーの保護を構成する
MCP ツール呼び出しとレスポンスを保護するには、Model Armor のフロア設定を使用します。フロア設定では、プロジェクト全体に適用される最小限のセキュリティ フィルタを定義します。この構成では、プロジェクト内のすべての MCP ツール呼び出しとレスポンスに一貫したフィルタセットが適用されます。
MCP サニタイズを有効にして、Model Armor のフロア設定を行います。詳細については、Model Armor のフロア 設定を構成するをご覧ください。
次のコマンド例をご覧ください。
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'
PROJECT_ID は、実際の Google Cloud プロジェクト ID に置き換えます。
次の設定に注意してください。
INSPECT_AND_BLOCK: Google MCP サーバーのコンテンツを検査し、フィルタに一致するプロンプトとレスポンスをブロックする適用タイプ。ENABLED: フィルタまたは 適用を有効にする設定。MEDIUM_AND_ABOVE: 責任ある AI - 危険フィルタ設定の信頼度。この設定は変更できますが、 値を小さくすると誤検出が増える可能性があります。詳細については、Model Armor の信頼度をご覧ください。
Model Armor による MCP トラフィックのスキャンを無効にする
Model Armor による Google MCP トラフィックのスキャンを停止する場合は、次のコマンドを実行します。
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--remove-integrated-services=GOOGLE_MCP_SERVER
PROJECT_ID は、 Google Cloud プロジェクト
ID に置き換えます。
Model Armor は、プロジェクト内の MCP トラフィックをスキャンしません。
IAM 拒否ポリシーを使用して MCP の使用を制御する
Identity and Access Management(IAM)拒否ポリシーは、リモート MCP サーバーの 保護 Google Cloud に役立ちます。不要な MCP ツールアクセスをブロックするように、これらのポリシーを構成します。
たとえば、次の条件に基づいてアクセスを拒否または許可できます。
- プリンシパル
- 読み取り専用などのツール プロパティ
- アプリケーションの OAuth クライアント ID
詳細については、Identity and Access Management による MCP の使用の制御をご覧ください。
割り当てと上限
BigQuery Migration Service MCP サーバーには独自の割り当てがありません。MCP サーバーに対して行える呼び出しの数に制限はありません。
MCP サーバーツールによって呼び出される API で適用される割り当ては引き続き適用されます。詳細については、割り当てと上限ページのBigQuery Migration Service API をご覧ください。
次のステップ
- BigQuery Migration Service MCP リファレンス ドキュメントを読む。
- Google Cloud MCP サーバーの詳細を確認する。
- MCP のサポート対象プロダクトを確認する。