Utiliser le serveur MCP distant de traçabilité des données

Ce document vous explique comment utiliser le serveur MCP (Model Context Protocol) distant sur la traçabilité des données pour vous connecter à des applications d'IA, y compris Gemini CLI, ChatGPT, Claude et les applications personnalisées que vous développez. Le serveur MCP distant de traçabilité des données vous permet d'interagir avec la traçabilité des données pour interroger les graphiques de traçabilité des données, découvrir la provenance des données en amont et analyser l'impact en aval. Le serveur MCP distant de l'API Data Lineage est activé lorsque vous activez l'API Data Lineage.

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et invites pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Quelle est la différence entre les serveurs MCP locaux et distants ?

Serveurs MCP locaux
S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.
Serveurs MCP à distance
 : s'exécute sur l'infrastructure du service et propose un point de terminaison HTTP aux applications d'IA pour la communication entre le client AI MCP et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Google et les serveurs MCP distants Google Cloud

Les serveurs MCP distants et Google présentent les fonctionnalités et avantages suivants : Google Cloud

  • Découverte simplifiée et centralisée
  • Points de terminaison HTTP mondiaux ou régionaux gérés
  • Autorisations précises
  • Sécurité facultative des requêtes et des réponses avec la protection Model Armor
  • Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP, ainsi que sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Data Lineage API.

    Roles required to enable APIs

    To enable APIs, you need the serviceusage.services.enable permission. If you created the project, then you likely already have this permission through the Owner role (roles/owner). Otherwise, you can get this permission through the Service Usage Admin role (roles/serviceusage.serviceUsageAdmin). Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Data Lineage API.

    Roles required to enable APIs

    To enable APIs, you need the serviceusage.services.enable permission. If you created the project, then you likely already have this permission through the Owner role (roles/owner). Otherwise, you can get this permission through the Service Usage Admin role (roles/serviceusage.serviceUsageAdmin). Learn how to grant roles.

    Enable the API

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP de traçabilité des données, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur MCP de traçabilité des données :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP de traçabilité des données. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Vous devez disposer des autorisations suivantes pour utiliser le serveur MCP de traçabilité des données :

  • Effectuer des appels d'outils MCP : mcp.tools.call
  • Interroger la traçabilité des données dans la recherche de liens : datalineage.locations.searchLinks

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Authentification et autorisation

Le serveur MCP distant de l'API Data Lineage utilise le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

De quels champs d'application OAuth MCP ai-je besoin pour la traçabilité des données ?

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

La traçabilité des données dispose des niveaux d'accès OAuth suivants pour l'outil MCP :

URI du champ d'application pour gcloud CLI Description
https://www.googleapis.com/auth/datalineage.readonly Octroie un accès ne permettant que de lire les données.
https://www.googleapis.com/auth/datalineage.read-write Octroie un accès permettant de lire et de modifier les données.

Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles vous accédez lors d'un appel d'outil. Pour afficher la liste des habilitations requises pour la traçabilité des données, consultez API Data Lineage.

Configurer un client MCP pour utiliser le serveur MCP de traçabilité des données

Les applications et agents d'IA, tels que Claude ou Antigravity, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut comporter plusieurs clients qui se connectent à différents serveurs MCP. Si votre application n'est pas listée dans les conseils spécifiques aux clients, vous pouvez utiliser les informations suivantes pour vous connecter depuis la plupart des applications.

Dans votre application d'IA, recherchez un moyen d'ajouter ou de vous connecter à un serveur MCP distant. Pour le serveur MCP de traçabilité des données, saisissez les informations suivantes si nécessaire :

  • Nom du serveur : serveur MCP de traçabilité des données
  • URL du serveur ou point de terminaison :
    • Point de terminaison mondial : https://datalineage.googleapis.com/mcp
    • Points de terminaison régionaux : https://REGION-datalineage.googleapis.com/mcp. Remplacez REGION par l'une des régions compatibles.
  • Transport : HTTP
  • Informations d'authentification : selon la méthode d'authentification choisie, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
  • Champ d'application OAuth : champ d'application OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP de traçabilité des données.

Pour obtenir des conseils spécifiques à une application sur la configuration et la connexion au serveur MCP, consultez Conseils spécifiques aux clients.

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Quels outils MCP la traçabilité des données fournit-elle ?

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP de traçabilité des données, consultez la référence MCP de traçabilité des données.

Lister les outils MCP disponibles

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant de traçabilité des données. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: datalineage.googleapis.com
Content-Type: application/json

{
  "method": "tools/list",
  "jsonrpc": "2.0",
  "id": 1
}

Exemples de cas d'utilisation

Voici quelques exemples de cas d'utilisation du serveur MCP de traçabilité des données :

  • Découvrir toutes les sources de données en amont et les processus de transformation qui alimentent un asset de données spécifique pour vérifier l'origine et l'exactitude des données.
  • Analyser l'impact des pipelines de données défaillants, bloqués ou retardés sur les consommateurs de données en aval.

Exemples de requêtes

  • "Dans mon projet my-analytics-project, j'ai un ensemble de données sales_data avec une table nommée monthly_reports. Indique-moi tous les composants de données et les processus de transformation qui alimentent cette table."
  • "J'ai une tâche BigQuery qui écrit dans la table hr_dataset.salary. Je vois que le job n'a pas pu s'exécuter depuis 12 heures. Pouvez-vous m'indiquer quels assets en aval auront des données obsolètes à cause de ce problème ?"
  • "Parcours le tableau monthly_reports dans l'ensemble de données sales_data et le projet my-analytics-project pour trouver toutes les colonnes qui ont des sources de données en amont, et donne-moi tous les processus qui alimentent ces colonnes."
  • "Recherche les liens de lignée associés à la table finance.employment_costs pour comprendre ses dépendances en amont."

Configurations de sécurité et de protection facultatives

MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou projet Google Cloud.

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Contrôler l'utilisation de MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance Google Cloud . Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

  • Le compte principal
  • Propriétés de l'outil, comme la lecture seule
  • ID client OAuth de l'application

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.

Étapes suivantes