Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Database Migration Service リモート MCP サーバーを使用する

このドキュメントでは、Database Migration Service リモート Model Context Protocol（MCP）サーバーを使用して、Gemini CLI、ChatGPT、Claude などの AI アプリケーションや、開発中のカスタムアプリケーションに接続する方法について説明します。 Database Migration Service リモート MCP サーバーを使用すると、AI アプリケーションから移行ジョブを管理できます。Database Migration Service リモート MCP サーバーを使用して、移行ジョブの開始、停止、再開、削除を行うことができます。 Database Migration Service API を有効にすると、Database Migration Service リモート MCP サーバーが有効になります。

Model Context Protocol （MCP）により、大規模言語モデル（LLM）と AI アプリケーション（エージェント）が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンドサービスから更新されたデータを取得できます。

ローカル MCP サーバーとリモート MCP サーバーの違いは何ですか？

ローカル MCP サーバー: 通常はローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム（stdio）を使用します。
リモート MCP サーバー: サービスのインフラストラクチャで実行され、AI MCP クライアントと MCP サーバー間の通信を行うために、AI アプリケーションに HTTP エンドポイントを提供します。MCP アーキテクチャの詳細については、 MCP アーキテクチャをご覧ください。

始める前に

アカウントにログインします。 Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Database Migration Service API を有効にします。

必要なロール

Database Migration Service リモート MCP サーバーを使用するために必要な権限を取得するには、 Google Cloud プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

MCP ツール呼び出しを行う: MCP ツールユーザー (roles/mcp.toolUser)
Database Migration Service リソース: Database Migration Service 管理者 (roles/datamigration.admin)

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには Database Migration Service リモート MCP サーバーを使用するために必要な権限が含まれています。必要とされる正確な権限については、必要な権限セクションを開いてご確認ください。

必要な権限

Database Migration Service リモート MCP サーバーを使用するには、次の権限が必要です。

MCP ツール呼び出しを行う: mcp.tools.call
Database Migration Service リソース:
- datamigration.migrationjobs.create
- datamigration.migrationjobs.delete
- datamigration.migrationjobs.get
- datamigration.migrationjobs.list
- datamigration.migrationjobs.resume
- datamigration.migrationjobs.start
- datamigration.migrationjobs.stop
- datamigration.operations.get

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

認証と認可

Database Migration Service リモート MCP サーバーは、認証と認可に Identity and Access Management（IAM）と OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。

リソースへのアクセスを制御してモニタリングできるように、MCP ツールを使用するエージェント用に個別の ID を作成することをおすすめします。 Database Migration Service は、MCP サーバーへの認証に API キーを受け入れません。認証の詳細については、 MCP サーバーに対して認証するをご覧ください。

Database Migration Service MCP OAuth スコープ

OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。 Google の OAuth 2.0 スコープの詳細については、 OAuth 2.0 を使用して Google API にアクセスするをご覧ください。

Database Migration Service には、次の MCP ツール OAuth スコープがあります。

gcloud CLI のスコープの URI	説明
`https://www.googleapis.com/auth/cloud-platform`	Database Migration Service を含むすべての Google Cloud リソースへのアクセスを許可します。
`https://www.googleapis.com/auth/cloud-datamigration`	Database Migration Service でのデータの表示と管理を許可します。

ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。Database Migration Service に必要なスコープの一覧を表示するには、 Database Migration Service APIをご覧ください。

Database Migration Service MCP サーバーを使用するように MCP クライアントを構成する

Claude や Gemini CLI などの AI アプリケーションやエージェントは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。AI アプリケーションには、さまざまな MCP サーバーに接続する複数のクライアントを設定できます。リモート MCP サーバーに接続するには、MCP クライアントがリモート MCP サーバーの URL を認識している必要があります。

AI アプリケーションで、リモート MCP サーバーに接続する方法を探します。サーバーの詳細（名前や URL など）を入力するよう求められます。

Database Migration Service MCP サーバーの場合は、必要に応じて次の情報を入力します。

サーバー名: Database Migration Service MCP サーバー
サーバー URL または エンドポイント: datamigration.googleapis.com/mcp
トランスポート: HTTP
認証の詳細: 認証方法に応じて、認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。 Google Cloud 認証の詳細については、 MCP サーバーに対して認証するをご覧ください。
OAuth スコープ: Database Migration Service MCP サーバーに接続するときに使用する OAuth 2.0 スコープ。

MCP サーバーの設定と接続に関するホスト固有のガイダンスについては、以下をご覧ください。

一般的なガイダンスについては、次のリソースをご覧ください。

使用可能なツール

Database Migration Service MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、 Database Migration Service MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、 tools/list HTTP リクエストを Database Migration Service リモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: datamigration.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

サンプルユースケース

Database Migration Service MCP サーバーのユースケースの例を次に示します。

プロジェクト内の移行ジョブの一覧表示、取得、開始、削除を行います。
同タイプの移行中に Database Migration Service が接続する移行元データベースの静的 IP アドレスを一覧表示します。
get_operation ツールを使用して、移行ジョブの開始や削除などのオペレーションのステータスをポーリングします。

プロンプトの例

「プロジェクト PROJECT_ID とロケーション LOCATION で実行中のすべての移行ジョブを一覧表示します。」
「プロジェクト PROJECT_ID とロケーション LOCATION でエラーが発生したすべての移行ジョブを一覧表示します。」
「LOCATION の移行ジョブ MIGRATION_JOB_ID のステータスは何ですか？」
「LOCATION の移行ジョブ MIGRATION_JOB_ID を停止します。」
「LOCATION で停止したすべての移行ジョブ MIGRATION_JOB_ID を再開します。」

プロンプトでは、次のように置き換えます。

PROJECT_ID はプロジェクト Google Cloud ID に置き換えます。
LOCATION は移行ジョブのロケーションに置き換えます。
MIGRATION_JOB_ID は Database Migration Service の移行ジョブ ID に置き換えます。

セキュリティと安全に関するオプションの構成

MCP ツールで実行できるアクションが多岐にわたるため、MCP によって新たなセキュリティリスクと考慮事項が加わります。これらのリスクを最小限に抑えて管理するために、 Google Cloud は、組織またはプロジェクトでの MCP ツールの使用を制御するデフォルトの設定とカスタマイズ可能なポリシーを提供します。 Google Cloud

MCP のセキュリティとガバナンスの詳細については、 AI のセキュリティと安全性をご覧ください。

Model Armor を使用する

Model Armor は、AI アプリケーションのセキュリティと安全性を強化するために設計された Google Cloud サービスです。LLM のプロンプトとレスポンスを事前にスクリーニングすることで、さまざまなリスクから保護し、責任ある AI への取り組みをサポートします。クラウド環境や外部クラウドプロバイダに AI をデプロイする場合でも、Model Armor を使用すると、悪意のある入力からの防御、コンテンツの安全性の検証、センシティブデータの保護、コンプライアンスの維持、多様な AI 環境全体で AI の安全性とセキュリティポリシーの一貫した適用が可能になります。

ロギングを有効にして Model Armorを有効にすると、Model Armor はペイロード全体をログに記録します。これにより、機密情報がログに公開される可能性があります。

Model Armor を有効にする

Model Armor を使用するには、Model Armor API を有効にする必要があります。

コンソール

Model Armor API を有効にする。
API を有効にするために必要なロール
API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。詳しくは、ロールを付与する方法をご覧ください。
API の有効化
Model Armor を有効にするプロジェクトを選択します。

gcloud

始める前に、Google Cloud CLI で Model Armor API を使用して、次の処理を行います。

コンソールで Cloud Shell をアクティブにします。 Google Cloud

Cloud Shell をアクティブにする

コンソールの下部にある Google Cloud Cloud Shell セッションが開始し、コマンドラインプロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
次のコマンドを実行して、Model Armor サービスの API エンドポイントを設定します。
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
LOCATION は、Model Armor を使用するリージョンに置き換えます。

Google と Google Cloud リモート MCP サーバーの保護を構成する

MCP ツールの呼び出しとレスポンスを保護するには、Model Armor のフロア設定を使用します。フロア設定では、プロジェクト全体に適用される最小限のセキュリティフィルタを定義します。この構成では、プロジェクト内のすべての MCP ツール呼び出しとレスポンスに一貫したフィルタセットが適用されます。

MCP サニタイズを有効にして、Model Armor のフロア設定を行います。詳細については、Model Armor のフロア設定を構成するをご覧ください。

次のコマンド例をご覧ください。

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

PROJECT_ID は、実際の Google Cloud プロジェクト ID に置き換えます。

次の設定に注意してください。

INSPECT_AND_BLOCK: Google MCP サーバーのコンテンツを検査し、フィルタに一致するプロンプトとレスポンスをブロックする適用タイプ。
ENABLED: フィルタまたは適用を有効にする設定。
MEDIUM_AND_ABOVE: 責任ある AI - 危険フィルタ設定の信頼レベル。この設定は変更できますが、値を小さくすると誤検出が増える可能性があります。詳細については、Model Armor の信頼レベルをご覧ください。

Model Armor による MCP トラフィックのスキャンを無効にする

プロジェクトのフロア設定に基づいて、Google MCP サーバーとの間のトラフィックを Model Armor が自動的にスキャンしないようにするには、次のコマンドを実行します。

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID は、 Google Cloud プロジェクト ID に置き換えます。Model Armor は、このプロジェクトのフロア設定で定義されたルールを Google MCP サーバーのトラフィックに自動的に適用しません。

Model Armor のフロア設定と一般的な構成は、MCP 以外にも影響を与える可能性があります。Model Armor は Vertex AI などのサービスと統合されているため、フロア設定を変更すると、MCP だけでなく、統合されたすべてのサービスでトラフィックのスキャンと安全性の動作に影響する可能性があります。

IAM 拒否ポリシーを使用して MCP の使用を制御する

Identity and Access Management（IAM）拒否ポリシーは、リモート MCP サーバーの保護に役立ちます。 Google Cloud 不要な MCP ツールのアクセスをブロックするように、これらのポリシーを構成します。

たとえば、次の条件に基づいてアクセスを拒否または許可できます。

プリンシパル
読み取り専用などのツールプロパティ
アプリケーションの OAuth クライアント ID

詳細については、Identity and Access Management による MCP の使用の制御をご覧ください。

次のステップ

Database Migration Service MCP リファレンスドキュメントを読む
Google Cloud MCP サーバーの詳細を確認する