Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utiliser le serveur MCP distant Knowledge Catalog

Ce document explique comment utiliser le serveur MCP (Model Context Protocol) distant Knowledge Catalog pour vous connecter à des applications d'IA, y compris Gemini CLI, ChatGPT, Claude et les applications personnalisées que vous développez. Le serveur MCP distant Knowledge Catalog vous permet d'interagir avec Knowledge Catalog (anciennement Dataplex Universal Catalog) pour découvrir vos actifs de données, rechercher des métadonnées et récupérer les détails des entrées. Le serveur MCP distant de l'API Dataplex est activé lorsque vous activez l'API Dataplex.

Serveurs MCP Google et Google Cloud distants

Les serveurs MCP Google et Google Cloud distants présentent les fonctionnalités et avantages suivants :

Découverte simplifiée et centralisée
Points de terminaison HTTP mondiaux ou régionaux gérés
Autorisations précises
Sécurité facultative des prompts et des réponses avec la protection Model Armor
Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez la présentation des serveurs MCP Google Cloud.

Avant de commencer

Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Dataplex API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Dataplex API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP Knowledge Catalog, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur MCP Knowledge Catalog :

Effectuer des appels d'outils MCP: utilisateur de l'outil MCP (roles/mcp.toolUser)
Accès complet aux ressources Knowledge Catalog, y compris les entrées, les groupes d'entrées et les glossaires: administrateur Dataplex Catalog (roles/dataplex.catalogAdmin)
Pour accéder aux ressources de produits de données : consultez les rôles requis pour utiliser les produits de données

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP Knowledge Catalog. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser le serveur MCP Knowledge Catalog :

serviceusage.mcppolicy.get
serviceusage.mcppolicy.update
Effectuer des appels d'outils MCP : mcp.tools.call

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Authentification et autorisation

Le serveur MCP distant de l'API Dataplex utilise le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes Google Cloud les identités sont compatibles avec l'authentification auprès des serveurs MCP.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent des outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez la section S'authentifier auprès des serveurs MCP.

Champs d'application OAuth du serveur MCP Knowledge Catalog

OAuth 2.0 utilise des champs d'application et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 dans Google, consultez la page Utiliser OAuth 2.0 pour accéder aux API Google.

Knowledge Catalog dispose des champs d'application OAuth suivants pour les outils MCP :

URI du champ d'application pour la gcloud CLI	Description
`https://www.googleapis.com/auth/dataplex.readonly`	Octroie un accès ne permettant que de lire les données.
`https://www.googleapis.com/auth/dataplex.read-write`	Octroie un accès permettant de lire et de modifier les données.

Des champs d'application supplémentaires peuvent être requis sur les ressources auxquelles vous accédez lors d'un appel d'outil. Pour afficher la liste des champs d'application requis pour Knowledge Catalog, consultez la section API Dataplex.

Configurer un client MCP pour utiliser le serveur MCP Knowledge Catalog

Les applications et agents d'IA, tels que Claude ou Gemini CLI, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître l'URL du serveur MCP distant.

Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, telles que son nom et son URL.

Pour le serveur MCP Knowledge Catalog, saisissez les informations suivantes, si nécessaire :

Nom du serveur : serveur MCP Knowledge Catalog
URL du serveur ou Point de terminaison : https://dataplex.googleapis.com/mcp
Transport: HTTP
Informations d'authentification : selon la méthode d'authentification souhaitée, vous pouvez saisir vos Google Cloud identifiants, votre ID client OAuth et votre code secret, ou une identité et des identifiants d'agent. Pour en savoir plus sur l'authentification, consultez la section S'authentifier auprès des serveurs MCP.
Champ d'application OAuth : le champ d'application OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP Knowledge Catalog.

Pour obtenir des conseils spécifiques à l'hôte sur la configuration et la connexion au serveur MCP, consultez les ressources suivantes :

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Knowledge Catalog, consultez la documentation de référence du serveur MCP Knowledge Catalog.

Répertorier les outils

Utilisez l'inspecteur MCP pour répertorier les outils ou envoyez directement une requête HTTP tools/list au serveur MCP distant Knowledge Catalog. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: dataplex.googleapis.com
Content-Type: application/json

{
  "method": "tools/list",
  "jsonrpc": "2.0",
  "id": 1
}

Exemple d'utilisation

Un exemple d'utilisation du serveur MCP Knowledge Catalog consiste à localiser les entrées Knowledge Catalog qui correspondent à vos critères de recherche dans un projet ou une organisation spécifiés.

Exemples de requêtes

"Rechercher tous les ensembles de données liés à customer churn and retention (perte et fidélisation des clients) dans votre organisation pour analyser le comportement des clients"
"Rechercher toutes les tables BigQuery liées aux marketing campaigns (campagnes marketing) dans le projet marketing-analytics-prod"
"Répertorier tous les produits de données dans test-project dont l'ensemble de données test_dp est une ressource"
"Comment puis-je accéder à test_dp dataset à l'aide de produits de données ?"
"Créer un produit de données dans test-project dans us-central1. Le nommer test-data-product et utiliser cloudysanfrancisco@gmail.com comme adresse e-mail du propriétaire.
"Ajouter le groupe d'accès Analyst à l'actif de données test-data-asset dans test-dp et accorder le rôle Administrateur BigQuery"
"Obtenir le schéma de l'actif de données test-asset dans le produit de données test-dp"

Configurations de sécurité facultatives

MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques, Google Cloud propose des paramètres par défaut et des règles personnalisables pour contrôler l'utilisation des outils MCP dans votre Google Cloud organisation ou projet.

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez la section Sécurité de l'IA.

Utiliser Model Armor

Model Armor est un Google Cloud service conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les prompts et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de cloud externes, Model Armor peut vous aider à éviter les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à assurer la conformité et à appliquer vos règles de sécurité de l'IA de manière cohérente dans votre environnement d'IA diversifié.

Lorsque Model Armor est activé avec la journalisation, il enregistre l'intégralité de la charge utile. Cela peut exposer des informations sensibles dans vos journaux.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Console

Activez l'API Model Armor.
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.
Activer l'API
Sélectionnez le projet dans lequel vous souhaitez activer Model Armor.

gcloud

Avant de commencer, suivez ces étapes à l'aide de la Google Cloud CLI avec l'API Model Armor :

Dans la Google Cloud console, activez Cloud Shell.

Activer Cloud Shell

En bas de la fenêtre de la console, une session Cloud Shell démarre et affiche une invite de ligne de commande. Google Cloud Cloud Shell est un environnement de shell dans lequel la Google Cloud CLI est déjà installée, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.
Exécutez la commande suivante pour définir le point de terminaison de l'API pour le service Model Armor.
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
Remplacez LOCATION par la région dans laquelle vous souhaitez utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger vos appels et réponses d'outils MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre de plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez la section Configurer les paramètres de plancher Model Armor settings.

Consultez l'exemple de commande suivant :

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Remplacez PROJECT_ID par l'ID de votre Google Cloud projet.

Notez les paramètres suivants :

INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les prompts et les réponses qui correspondent aux filtres.
ENABLED : paramètre qui active un filtre ou une application.
MEDIUM_AND_ABOVE : niveau de confiance pour les paramètres de filtre IA responsable - Dangereux. Vous pouvez modifier ce paramètre, mais des valeurs inférieures peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez la section Niveaux de confiance de Model Armor.

Désactiver l'analyse du trafic MCP avec Model Armor

Pour empêcher Model Armor d'analyser automatiquement le trafic vers et depuis les serveurs MCP Google en fonction des paramètres de plancher du projet, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l' Google Cloud ID du projet. Model Armor n'applique pas automatiquement les règles définies dans les paramètres de plancher de ce projet au trafic des serveurs MCP Google.

Les paramètres de plancher et la configuration générale de Model Armor peuvent avoir un impact qui va au-delà de MCP. Étant donné que Model Armor s'intègre à des services tels que Vertex AI, toute modification apportée aux paramètres de plancher peut affecter l'analyse du trafic et les comportements de sécurité dans tous les services intégrés, et pas seulement dans MCP.

Contrôler l'utilisation de MCP avec des stratégies de refus IAM

Les stratégies de refus IAM (Identity and Access Management) vous aident à sécuriser Google Cloud les serveurs MCP distants. Configurez ces stratégies pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des éléments suivants :

Le compte principal
Les propriétés de l'outil, telles que la lecture seule
L'ID client OAuth de l'application

Pour en savoir plus, consultez la section Contrôler l'utilisation de MCP avec Identity and Access Management.