Questo documento mostra come utilizzare il server Model Context Protocol (MCP) remoto di Knowledge Catalog per connetterti alle applicazioni AI, tra cui Gemini CLI, ChatGPT, Claude e le applicazioni personalizzate che stai sviluppando. Il server MCP remoto di Knowledge Catalog ti consente di interagire con Knowledge Catalog (in precedenza Dataplex Universal Catalog) per scoprire i tuoi asset di dati, cercare metadati e recuperare i dettagli delle voci. Il server MCP remoto dell'API Dataplex viene abilitato quando abiliti l'API Dataplex.
Server MCP Google e Google Cloud remoti
I server MCP Google e Google Cloud remoti hanno le seguenti funzionalità e vantaggi:- Individuazione semplificata e centralizzata
- Endpoint HTTP globali o regionali gestiti
- Autorizzazione granulare
- Sicurezza di prompt e risposte facoltativa con la protezione Model Armor
- Logging di audit centralizzato
Per informazioni su altri server MCP e sui controlli di sicurezza e governance disponibili per i server MCP di Google Cloud, consulta la panoramica dei server MCP di Google Cloud.
Prima di iniziare
- Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Dataplex API.
Roles required to enable APIs
To enable APIs, you need the
serviceusage.services.enablepermission. If you created the project, then you likely already have this permission through the Owner role (roles/owner). Otherwise, you can get this permission through the Service Usage Admin role (roles/serviceusage.serviceUsageAdmin). Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Dataplex API.
Roles required to enable APIs
To enable APIs, you need the
serviceusage.services.enablepermission. If you created the project, then you likely already have this permission through the Owner role (roles/owner). Otherwise, you can get this permission through the Service Usage Admin role (roles/serviceusage.serviceUsageAdmin). Learn how to grant roles.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per utilizzare il server MCP di Knowledge Catalog, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto in cui vuoi utilizzare il server MCP di Knowledge Catalog:
-
Esegui chiamate agli strumenti MCP:
MCP Tool User (
roles/mcp.toolUser) -
Accesso completo alle risorse di Knowledge Catalog, incluse voci, gruppi di voci e glossari:
Dataplex Catalog Admin (
roles/dataplex.catalogAdmin) - Per l'accesso alle risorse dei prodotti dati: consulta i ruoli richiesti per l'utilizzo dei prodotti dati
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare il server MCP di Knowledge Catalog. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per utilizzare il server MCP di Knowledge Catalog sono necessarie le seguenti autorizzazioni:
-
serviceusage.mcppolicy.get -
serviceusage.mcppolicy.update -
Esegui chiamate agli strumenti MCP:
mcp.tools.call
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Autenticazione e autorizzazione
Il server MCP remoto dell'API Dataplex utilizza il protocollo OAuth 2.0 con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione. Tutte le Google Cloud identità sono supportate per l'autenticazione ai server MCP.Ti consigliamo di creare un'identità separata per gli agenti che utilizzano gli strumenti MCP in modo che l'accesso alle risorse possa essere controllato e monitorato. Per saperne di più sull' autenticazione, consulta Autenticarsi ai server MCP.
Di quali ambiti OAuth MCP ho bisogno per Knowledge Catalog?
OAuth 2.0 utilizza ambiti e credenziali per determinare se un'entità autenticata è autorizzata a eseguire un'azione specifica su una risorsa. Per saperne di più sugli ambiti OAuth 2.0 in Google, consulta Utilizzare OAuth 2.0 per accedere alle API di Google.
Knowledge Catalog ha i seguenti ambiti OAuth degli strumenti MCP:
| URI dell'ambito per gcloud CLI | Descrizione |
|---|---|
https://www.googleapis.com/auth/dataplex.readonly |
Consente solo l'accesso in lettura ai dati. |
https://www.googleapis.com/auth/dataplex.read-write |
Consente l'accesso in lettura e modifica ai dati. |
Potrebbero essere necessari ambiti aggiuntivi per le risorse a cui si accede durante una chiamata allo strumento. Per visualizzare un elenco degli ambiti richiesti per Knowledge Catalog, consulta API Dataplex.
Configurare un client MCP per utilizzare il server MCP di Knowledge Catalog
Le applicazioni e gli agenti AI, come Claude o Antigravity, possono creare un'istanza di un client MCP che si connette a un singolo server MCP. Un'applicazione AI può avere più client che si connettono a server MCP diversi. Se la tua applicazione non è elencata nelle indicazioni specifiche per il client, puoi utilizzare le seguenti informazioni per connetterti dalla maggior parte delle applicazioni.
Nell'applicazione AI, cerca un modo per aggiungere o connetterti a un server MCP remoto. Per il server MCP di Knowledge Catalog, inserisci quanto segue, se necessario:
- Nome server: server MCP di Knowledge Catalog
- URL server o endpoint:
https://dataplex.googleapis.com/mcp - Trasporto: HTTP
- Dettagli di autenticazione: a seconda della modalità di autenticazione, puoi inserire le tue Google Cloud credenziali, l'ID client OAuth e il client secret oppure un'identità e le credenziali dell'agente. Per saperne di più sull' autenticazione, consulta Autenticarsi ai server MCP.
- Ambito OAuth: l'ambito OAuth 2.0 che vuoi utilizzare quando ti connetti al server MCP di Knowledge Catalog.
Per indicazioni specifiche per l'applicazione sulla configurazione e la connessione al server MCP, consulta Indicazioni specifiche per il client.
Per indicazioni più generali, consulta le seguenti risorse:
Quali strumenti MCP fornisce Knowledge Catalog?
Per visualizzare i dettagli degli strumenti MCP disponibili e le relative descrizioni per il server MCP di Knowledge Catalog, consulta il riferimento MCP di Knowledge Catalog.
Elencare gli strumenti MCP disponibili
Utilizza l'ispettore MCP per elencare gli strumenti o invia una
tools/list richiesta HTTP direttamente al server MCP remoto di Knowledge Catalog. Il metodo tools/list non richiede l'autenticazione.
POST /mcp HTTP/1.1
Host: dataplex.googleapis.com
Content-Type: application/json
{
"method": "tools/list",
"jsonrpc": "2.0",
"id": 1
}
Caso d'uso di esempio
Un caso d'uso di esempio per il server MCP di Knowledge Catalog è individuare le voci di Knowledge Catalog che corrispondono ai criteri di ricerca all'interno di un progetto o di un'organizzazione specifici.
Prompt di esempio
- "Trova tutti i set di dati relativi a
customer churn and retentionnella tua organizzazione per analizzare il comportamento dei clienti" - "Cerca tutte le tabelle BigQuery relative a
marketing campaignsall'interno del progettomarketing-analytics-prod" - "Elenca tutti i prodotti dati in
test-projectche hanno il set di datitest_dpcome risorsa" - "Come posso accedere a
test_dp datasetutilizzando i prodotti dati" - "Crea un prodotto dati in
test-projectinus-central1. Assegna il nometest-data-producte utilizzacloudysanfrancisco@gmail.comcome indirizzo email del proprietario" - "Aggiungi il gruppo di accesso Analyst all'asset di dati
test-data-assetintest-dpe concedi il ruolo di amministratore BigQuery" - "Recupera lo schema dell'asset di dati
test-assetnel prodotto datitest-dp"
Configurazioni di sicurezza e protezione facoltative
MCP introduce nuovi rischi e considerazioni sulla sicurezza a causa della vasta gamma di azioni che puoi eseguire con gli strumenti MCP. Per ridurre al minimo e gestire questi rischi, Google Cloud offre impostazioni predefinite e policy personalizzabili per controllare l'utilizzo degli strumenti MCP nella tua Google Cloud organizzazione o nel tuo progetto.
Per saperne di più sulla sicurezza e la governance di MCP, consulta Sicurezza e protezione dell'AI.
Utilizzare Model Armor
Model Armor è un Google Cloud servizio progettato per migliorare la sicurezza e la sicurezza delle applicazioni AI. Funziona analizzando in modo proattivo i prompt e le risposte degli LLM, proteggendo da vari rischi e supportando le pratiche di AI responsabile. Che tu stia eseguendo il deployment dell'AI nel tuo ambiente cloud o su provider di servizi cloud esterni, Model Armor può aiutarti a prevenire input dannosi, verificare la sicurezza dei contenuti, proteggere i dati sensibili, mantenere la conformità e applicare le policy di sicurezza dell'AI in modo coerente nel tuo panorama AI diversificato.
Quando Model Armor è abilitato con il logging abilitato, Model Armor registra l'intero payload. Questo potrebbe esporre informazioni sensibili nei log.
Abilitare Model Armor
Prima di poter utilizzare Model Armor, devi abilitare le API Model Armor.
Console
Abilita l'API Model Armor.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre dell'autorizzazione
serviceusage.services.enable. Se hai creato il progetto, probabilmente hai già questa autorizzazione tramite il ruolo Proprietario (roles/owner). In caso contrario, puoi ottenere questa autorizzazione tramite il ruolo Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin). Scopri come concedere i ruoli.Seleziona il progetto in cui vuoi attivare Model Armor.
gcloud
Prima di iniziare, segui questi passaggi utilizzando Google Cloud CLI con l'API Model Armor:
Nella Google Cloud console, attiva Cloud Shell.
Nella parte inferiore della Google Cloud console, viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già inclusa e installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.
-
Esegui il comando seguente per impostare l'endpoint API per il servizio Model Armor.
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
Sostituisci
LOCATIONcon la regione in cui vuoi utilizzare Model Armor.
Configurare la protezione per i server MCP Google e Google Cloud remoti
Per proteggere le chiamate e le risposte degli strumenti MCP, puoi utilizzare le impostazioni di base di Model Armor. Un'impostazione di base definisce i filtri di sicurezza minimi che si applicano al progetto. Questa configurazione applica un insieme coerente di filtri a tutte le chiamate e le risposte degli strumenti MCP all'interno del progetto.
Configura un'impostazione di base di Model Armor con la sanificazione MCP abilitata. Per saperne di più, consulta Configurare le impostazioni di base di Model Armor.
Vedi il seguente comando di esempio:
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'
Sostituisci PROJECT_ID con l'ID progetto Google Cloud .
Tieni presente le seguenti impostazioni:
INSPECT_AND_BLOCK: il tipo di applicazione che ispeziona i contenuti per il server MCP di Google e blocca i prompt e le risposte che corrispondono ai filtri.ENABLED: l'impostazione che abilita un filtro o un'applicazione.MEDIUM_AND_ABOVE: il livello di attendibilità per le impostazioni del filtro AI responsabile - Pericoloso. Puoi modificare questa impostazione, anche se valori inferiori potrebbero comportare un maggior numero di falsi positivi. Per saperne di più, consulta Livelli di attendibilità di Model Armor.
Disabilitare la scansione del traffico MCP con Model Armor
Per impedire a Model Armor di eseguire automaticamente la scansione del traffico da e verso i server MCP di Google in base alle impostazioni di base del progetto, esegui il comando seguente:
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--remove-integrated-services=GOOGLE_MCP_SERVER
Sostituisci PROJECT_ID con l' Google Cloud ID
progetto. Model Armor non applica automaticamente le regole definite nelle impostazioni di base di questo progetto al traffico del server MCP di Google.
Le impostazioni di base e la configurazione generale di Model Armor possono influire su più di un solo MCP. Poiché Model Armor si integra con servizi come Vertex AI, qualsiasi modifica apportata alle impostazioni di base può influire sulla scansione del traffico e sui comportamenti di sicurezza in tutti i servizi integrati, non solo in MCP.
Controllare l'utilizzo di MCP con i criteri di rifiuto IAM
I criteri di rifiuto di Identity and Access Management (IAM) ti aiutano a proteggere i server MCP remoti. Google Cloud Configura questi criteri per bloccare l'accesso indesiderato agli strumenti MCP.
Ad esempio, puoi negare o consentire l'accesso in base a:
- L'entità
- Proprietà degli strumenti come di sola lettura
- L'ID client OAuth dell'applicazione
Per saperne di più, consulta Controllare l'utilizzo di MCP con Identity and Access Management.
Passaggi successivi
- Esamina la differenza tra i server MCP locali e remoti
- Leggi il riferimento agli strumenti MCP di Knowledge Catalog.
- Scopri di più sui server MCP di Google Cloud.