Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

データリネージリモート MCP サーバーを使用する

このドキュメントでは、データリネージリモート Model Context Protocol（MCP）サーバーを使用して、Gemini CLI、ChatGPT、Claude、開発中のカスタムアプリケーションなどの AI アプリケーションに接続する方法について説明します。データリネージリモート MCP サーバーを使用すると、データリネージを操作してデータリネージグラフのクエリ、アップストリームのデータプロビナンスの検出、ダウンストリームの影響の分析を行うことができます。 Data Lineage API リモート MCP サーバーは、Data Lineage API を有効にすると有効になります。

Model Context Protocol （MCP）により、大規模言語モデル（LLM）と AI アプリケーション（エージェント）が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンドサービスから更新されたデータを取得できます。

ローカル MCP サーバーとリモート MCP サーバーの違いは何ですか？

ローカル MCP サーバー: 通常はローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム（stdio）を使用します。
リモート MCP サーバー: サービスのインフラストラクチャで実行され、AI アプリケーションに HTTP エンドポイントを提供して、AI MCP クライアントと MCP サーバー間の通信を行います。MCP アーキテクチャの詳細については、 MCP アーキテクチャをご覧ください。

Google と Google Cloud リモート MCP サーバー

Google と Google Cloud リモート MCP サーバーには、次の機能とメリットがあります。

簡素化された一元的な検出
マネージドグローバルまたはリージョン HTTP エンドポイント
きめ細かい認可
Model Armor 保護によるプロンプトとレスポンスのセキュリティ（オプション）
一元的な監査ロギング

他の MCP サーバーと、Google Cloud サーバーで使用可能なセキュリティとガバナンスの制御については、Google Cloud MCP サーバーの概要をご覧ください。

始める前に

アカウントにログインします。 Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Data Lineage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Data Lineage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

必要なロール

データリネージ MCP サーバーの使用に必要な権限を取得するには、データリネージ MCP サーバーを使用するプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

MCP ツール呼び出しを行う: MCP ツールユーザー (roles/mcp.toolUser)
データリネージ情報を表示する: データリネージ閲覧者 (roles/datalineage.viewer)

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールにはデータリネージ MCP サーバーの使用に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

データリネージ MCP サーバーを使用するには、次の権限が必要です。

MCP ツール呼び出しを行う: mcp.tools.call
リンクを検索してデータリネージをクエリする: datalineage.locations.searchLinks

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

認証と認可

Data Lineage API リモート MCP サーバーは、認証と認可に Identity and Access Management（IAM）と OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。

リソースへのアクセスを制御してモニタリングできるように、MCP ツールを使用するエージェント用に個別の ID を作成することをおすすめします。認証の詳細については、MCP サーバーに対して認証するをご覧ください。

データリネージ MCP の OAuth スコープ

OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。Google の OAuth 2.0 スコープの詳細については、 OAuth 2.0 を使用して Google API にアクセスするをご覧ください。

データリネージには、次の MCP ツール OAuth スコープがあります。

gcloud CLI のスコープの URI	説明
`https://www.googleapis.com/auth/datalineage.readonly`	データの読み取りのみを許可します。
`https://www.googleapis.com/auth/datalineage.read-write`	データの読み取りと変更を許可します。

ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。データリネージに必要なスコープの一覧を表示するには、 Data Lineage APIをご覧ください。

データリネージ MCP サーバーを使用するように MCP クライアントを構成する

Claude や Gemini CLI などの AI アプリケーションとエージェントは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。AI アプリケーションには、異なる MCP サーバーに接続する複数のクライアントを設定できます。リモート MCP サーバーに接続するには、MCP クライアントがリモート MCP サーバーの URL を認識している必要があります。

AI アプリケーションで、リモート MCP サーバーに接続する方法を探します。サーバーの名前や URL などの詳細を入力するよう求められます。

データリネージ MCP サーバーの場合は、必要に応じて次の情報を入力します。

サーバー名: データリネージ MCP サーバー
サーバー URL または エンドポイント:
- グローバルエンドポイント: https://datalineage.googleapis.com/mcp
- リージョンエンドポイント: https://REGION-datalineage.googleapis.com/mcp。REGION は、サポートされているリージョンのいずれかに置き換えます。
トランスポート: HTTP
認証の詳細: 認証方法に応じて、認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。 Google Cloud 認証の詳細については、MCP サーバーに対して認証するをご覧ください。
OAuth スコープ: データリネージ MCP サーバーに接続するときに使用するOAuth 2.0 スコープ。

MCP サーバーの設定と接続に関するホスト固有のガイダンスについては、以下をご覧ください。

一般的なガイダンスについては、次のリソースをご覧ください。

使用可能なツール

データリネージ MCP サーバーで使用可能な MCP ツールの詳細とその説明については、データリネージ MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、 tools/list HTTP リクエストをデータリネージリモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: datalineage.googleapis.com
Content-Type: application/json

{
  "method": "tools/list",
  "jsonrpc": "2.0",
  "id": 1
}

サンプルユースケース

データリネージ MCP サーバーのユースケースの例を次に示します。

特定のデータアセットにフィードするすべてのアップストリームデータソースと変換プロセスを検出して、データの出所と正確性を検証する。
破損、停止、遅延したデータパイプラインがダウンストリームのデータコンシューマーに与える影響を分析する。

サンプルプロンプト

「プロジェクト my-analytics-project には、monthly_reports というテーブルを含むデータセット sales_data があります。このテーブルにデータをフィードするすべてのデータアセットと変換プロセスを教えてください。」
「hr_dataset.salary テーブルに書き込む BigQuery ジョブがあります。このジョブは 12 時間実行されていません。この問題により、どのダウンストリームアセットのデータが古くなるか教えてください。」
「sales_data データセットと my-analytics-project プロジェクトの monthly_reports テーブルを確認して、アップストリームデータソースを持つすべての列を見つけ、これらの列にフィードするすべてのプロセスを教えてください。」
「テーブル finance.employment_costs に接続されているリネージリンクを検索して、アップストリームの依存関係を把握してください。」

セキュリティと安全に関するオプションの構成

MCP ツールで実行できるアクションが多岐にわたるため、MCP によって新たなセキュリティリスクと考慮事項が加わります。これらのリスクを最小限に抑えて管理するために、 Google Cloud は、組織またはプロジェクトでの MCP ツールの使用を制御するデフォルト設定とカスタマイズ可能なポリシーを提供します。 Google Cloud

MCP のセキュリティとガバナンスの詳細については、 AI のセキュリティと安全性をご覧ください。

IAM 拒否ポリシーを使用して MCP の使用を制御する

Identity and Access Management（IAM）拒否ポリシーを使用すると、リモート MCP サーバーを保護できます。 Google Cloud 不要な MCP ツールのアクセスをブロックするように、これらのポリシーを構成します。

たとえば、次の条件に基づいてアクセスを拒否または許可できます。

プリンシパル
読み取り専用などのツールプロパティ
アプリケーションの OAuth クライアント ID

詳細については、Identity and Access Management による MCP の使用の制御をご覧ください。

次のステップ

データリネージ MCP リファレンスドキュメントを読む。
Google Cloud MCP サーバーの詳細を確認する。