使用資料沿襲遠端 MCP 伺服器

本文說明如何使用資料歷程遠端 Model Context Protocol (MCP) 伺服器,連結 Gemini CLI、ChatGPT、Claude 等 AI 應用程式,以及您正在開發的自訂應用程式。資料歷程遠端 MCP 伺服器可讓您與資料歷程互動,查詢資料歷程圖表、探索上游資料來源,以及分析下游影響。啟用 Data Lineage API 時,系統會啟用 Data Lineage API 遠端 MCP 伺服器。

Model Context Protocol (MCP) 可將大型語言模型 (LLM) 和 AI 應用程式/代理程式與外部資料來源的連線方式標準化。MCP 伺服器可讓您使用工具、資源和提示,從後端服務採取行動及取得更新資料。

本機和遠端 MCP 伺服器有何不同?

本機 MCP 伺服器
通常在本機執行,並使用標準輸入和輸出串流 (stdio) 在同一部裝置上的服務之間通訊。
遠端 MCP 伺服器
在服務的基礎架構上執行,並為 AI 應用程式提供 HTTP 端點,供 AI MCP 用戶端與 MCP 伺服器之間的通訊。如要進一步瞭解 MCP 架構,請參閱 MCP 架構

Google 和 Google Cloud 遠端 MCP 伺服器

Google 和 Google Cloud 遠端 MCP 伺服器具有下列功能和優點:

  • 簡化集中式探索作業
  • 代管全域或區域 HTTP 端點
  • 精細授權
  • (選用) 使用 Model Armor 保護提示詞和回覆
  • 集中式稽核記錄

如要瞭解其他 MCP 伺服器,以及 Google Cloud MCP 伺服器適用的安全性與控管措施,請參閱 Google Cloud MCP 伺服器總覽

事前準備

  1. 登入 Google Cloud 帳戶。如果您是 Google Cloud新手,歡迎 建立帳戶,親自評估產品在實際工作環境中的成效。新客戶還能獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Data Lineage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Data Lineage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

必要的角色

如要取得使用資料歷程 MCP 伺服器所需的權限,請要求管理員在您要使用資料歷程 MCP 伺服器的專案中,授予下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

這些預先定義的角色具備使用資料歷程 MCP 伺服器所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:

所需權限

如要使用資料歷程 MCP 伺服器,必須具備下列權限:

  • 發出 MCP 工具呼叫: mcp.tools.call
  • 在搜尋連結時查詢資料歷程: datalineage.locations.searchLinks

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

驗證及授權

Data Lineage API 遠端 MCP 伺服器會使用 OAuth 2.0 通訊協定,搭配 Identity and Access Management (IAM) 進行驗證及授權。驗證 MCP 伺服器時,系統支援所有Google Cloud 身分

建議您為使用 MCP 工具的代理商建立個別身分,以便控管及監控資源存取權。如要進一步瞭解驗證,請參閱「向 MCP 伺服器進行驗證」。

資料歷程 MCP OAuth 範圍

OAuth 2.0 會使用範圍和憑證,判斷經過驗證的主體是否有權對資源執行特定動作。如要進一步瞭解 Google 的 OAuth 2.0 範圍,請參閱「使用 OAuth 2.0 存取 Google API」。

資料沿襲具有下列 MCP 工具 OAuth 範圍:

gcloud CLI 的範圍 URI 說明
https://www.googleapis.com/auth/datalineage.readonly 僅允許讀取資料的權限。
https://www.googleapis.com/auth/datalineage.read-write 有權讀取及修改資料。

在工具呼叫期間存取的資源可能需要其他範圍。如要查看資料歷程所需的範圍清單,請參閱 Data Lineage API

設定 MCP 用戶端,以使用資料沿襲 MCP 伺服器

AI 應用程式和代理 (例如 Claude 或 Gemini CLI) 可以例項化 MCP 用戶端,連線至單一 MCP 伺服器。AI 應用程式可有多個連線至不同 MCP 伺服器的用戶端。如要連線至遠端 MCP 伺服器,MCP 用戶端必須知道遠端 MCP 伺服器的網址。

在 AI 應用程式中,尋找連線至遠端 MCP 伺服器的方法。系統會提示你輸入伺服器的詳細資料,例如名稱和網址。

如果是資料沿襲 MCP 伺服器,請視需要輸入下列內容:

  • 伺服器名稱:資料沿襲 MCP 伺服器
  • 伺服器網址端點
    • 全球端點:https://datalineage.googleapis.com/mcp
    • 區域端點:https://REGION-datalineage.googleapis.com/mcp。將 REGION 替換為支援的區域
  • 傳輸:HTTP
  • 驗證詳細資料:視驗證方式而定,您可以輸入 Google Cloud 憑證、OAuth 用戶端 ID 和密鑰,或是代理程式身分和憑證。如要進一步瞭解驗證,請參閱「向 MCP 伺服器進行驗證」。
  • OAuth 範圍:連線至資料沿襲 MCP 伺服器時要使用的 OAuth 2.0 範圍

如需設定及連線至 MCP 伺服器的特定主機指引,請參閱下列內容:

如需更多一般指引,請參閱下列資源:

可用的工具

如要查看資料沿襲 MCP 伺服器的可用 MCP 工具詳細資料和說明,請參閱資料沿襲 MCP 參考資料

列出工具

使用 MCP 檢查器列出工具,或直接將 tools/list HTTP 要求傳送至資料沿襲遠端 MCP 伺服器。tools/list 方法不需要驗證。

POST /mcp HTTP/1.1
Host: datalineage.googleapis.com
Content-Type: application/json

{
  "method": "tools/list",
  "jsonrpc": "2.0",
  "id": 1
}

應用實例

資料沿襲 MCP 伺服器的用途範例如下:

  • 找出所有上游資料來源和轉換程序,這些來源和程序會提供特定資料資產,以驗證資料來源和準確度。
  • 分析資料管道中斷、停滯或延遲對下游資料使用者的影響。

提示範例

  • 「在我的專案 my-analytics-project 中,我有一個名為 sales_data 的資料集,其中包含名為 monthly_reports 的資料表。請告訴我所有會將資料饋送至這個資料表的資料資產和轉換程序。」
  • 「我有一個 BigQuery 工作,會將資料寫入 hr_dataset.salary 資料表。我發現這項工作已無法執行 12 小時。請告訴我哪些下游資產會因這個問題而出現過時資料。
  • 「請查看 sales_data 資料集和 my-analytics-project 專案中的 monthly_reports 資料表,找出所有有上游資料來源的資料欄,並提供這些資料欄的所有饋送程序。」
  • 「搜尋與表格 finance.employment_costs 相關的沿襲連結,瞭解上游依附元件。」

選用的安全防護設定

由於 MCP 工具可執行各種動作,因此會帶來新的安全風險和考量。為盡量降低及管理這些風險,Google Cloud 提供預設設定和可自訂的政策,控管機構或專案中 MCP 工具的使用情形。 Google Cloud

如要進一步瞭解 MCP 安全性和控管措施,請參閱這篇文章

使用 IAM 拒絕政策控管 MCP 使用情形

身分與存取權管理 (IAM) 拒絕政策可協助您保護 Google Cloud 遠端 MCP 伺服器。設定這些政策,即可封鎖不必要的 MCP 工具存取權。

舉例來說,您可以根據下列條件拒絕或允許存取:

  • 主體
  • 工具屬性 (例如唯讀)
  • 應用程式的 OAuth 用戶端 ID

詳情請參閱「使用 Identity and Access Management 控制 MCP 使用情形」。

後續步驟