Usar o servidor MCP remoto do catálogo de conhecimento

Este documento mostra como usar o servidor remoto do Protocolo de Contexto de Modelo (MCP) do Knowledge Catalog para se conectar a aplicativos de IA, incluindo a CLI do Gemini, o ChatGPT, o Claude e aplicativos personalizados que você está desenvolvendo. O servidor MCP remoto do Catálogo de Conhecimento permite que você interaja com ele. É possível descobrir seus recursos de dados, pesquisar metadados e recuperar detalhes de entradas. .

O servidor MCP remoto da API Dataplex é ativado quando você ativa a API Dataplex.

Servidores MCP remotos e do Google Google Cloud

Os servidores MCP remotos do Google e do Google Cloud têm os seguintes recursos e benefícios:

Descoberta simplificada e centralizada.
Endpoints HTTP globais ou regionais gerenciados.
Autorização detalhada.
Segurança opcional de comandos e respostas com a proteção do Model Armor.
Registro de auditoria centralizado.

Para informações sobre outros servidores MCP e controles de segurança e governança disponíveis para servidores MCP do Google Cloud, consulte Visão geral dos servidores MCP do Google Cloud.

Antes de começar

Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Dataplex API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Dataplex API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Funções exigidas

Para receber as permissões necessárias a fim de usar o servidor MCP do Knowledge Catalog, peça que o administrador conceda a você os seguintes papéis do IAM no projeto em que você quer usar o servidor MCP do Knowledge Catalog:

Fazer chamadas de ferramentas do MCP: Usuário da ferramenta MCP (roles/mcp.toolUser)
Acesso total aos recursos do Knowledge Catalog, incluindo entradas, grupos de entradas e glossários: Administrador do catálogo do Dataplex (roles/dataplex.catalogAdmin)
Para acessar recursos de produtos de dados: consulte papéis necessários para usar produtos de dados

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar o servidor MCP do Knowledge Catalog. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para usar o servidor MCP do Knowledge Catalog:

serviceusage.mcppolicy.get
serviceusage.mcppolicy.update
Faça chamadas de ferramentas do MCP: mcp.tools.call

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Autenticação e autorização

O servidor MCP remoto do Knowledge Catalog usa o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores MCP.

Recomendamos que você crie uma identidade separada para agentes que usam ferramentas do MCP para que o acesso aos recursos possa ser controlado e monitorado. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.

Escopos do OAuth do MCP do Catálogo de Conhecimento

O OAuth 2.0 usa escopos e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.

O Knowledge Catalog tem os seguintes escopos OAuth da ferramenta MCP:

URI de escopo para a CLI gcloud	Descrição
`https://www.googleapis.com/auth/dataplex.read-only`	Permite o acesso apenas para leitura de dados.
`https://www.googleapis.com/auth/dataplex.read-write`	Permite acesso para ler e modificar dados.

Outros escopos podem ser necessários nos recursos acessados durante uma chamada de ferramenta. Para conferir uma lista dos escopos necessários para o Knowledge Catalog, consulte a API Dataplex.

Configurar um cliente MCP para usar o servidor MCP do Knowledge Catalog

Aplicativos e agentes de IA, como a CLI do Claude ou do Gemini, podem instanciar um cliente MCP que se conecta a um único servidor MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores MCP. Para se conectar a um servidor MCP remoto, o cliente MCP precisa saber o URL dele.

No seu aplicativo de IA, procure uma maneira de se conectar a um servidor MCP remoto. Você precisa inserir detalhes sobre o servidor, como nome e URL.

Para o servidor MCP do catálogo de conhecimento, insira o seguinte conforme necessário:

Nome do servidor: servidor MCP do catálogo de conhecimento
URL do servidor ou Endpoint: https://dataplex.googleapis.com/mcp
Transporte: HTTP
Detalhes da autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID do cliente e a chave secreta do OAuth ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.
Escopo do OAuth: o escopo do OAuth 2.0 que você quer usar ao se conectar ao servidor MCP do Knowledge Catalog.

Para orientações específicas do host sobre como configurar e se conectar ao servidor MCP, consulte o seguinte:

Para orientações mais gerais, consulte os seguintes recursos:

Ferramentas disponíveis

Para conferir detalhes das ferramentas do MCP disponíveis e as descrições delas para o servidor MCP do Catálogo de dados, consulte a referência do MCP do Catálogo de dados.

Ferramentas de lista

Use o inspetor do MCP para listar ferramentas ou envie uma solicitação HTTP tools/list diretamente ao servidor remoto do Knowledge Catalog do MCP. O método tools/list não requer autenticação.

POST /mcp HTTP/1.1
Host: dataplex.googleapis.com
Content-Type: application/json

{
  "method": "tools/list",
  "jsonrpc": "2.0",
  "id": 1
}

Exemplos de casos de uso

Confira a seguir um exemplo de caso de uso para o servidor MCP do catálogo de dados:

Localize entradas do Knowledge Catalog que correspondam aos seus critérios de pesquisa em um projeto ou organização especificados.

Comandos de amostra

"Encontre todos os conjuntos de dados relacionados a customer churn and retention na sua organização para analisar o comportamento do cliente."
"Pesquise todas as tabelas do BigQuery relacionadas a marketing campaigns no projeto marketing-analytics-prod."
"Liste todos os produtos de dados em test-project que têm o conjunto de dados test_dp como recurso"
"Como posso acessar o test_dp dataset usando produtos de dados"
"Crie um produto de dados em test-project em us-central1. Nomeie-o como test-data-product e use cloudysanfrancisco@gmail.com como e-mail do proprietário.
Adicionar o grupo de acesso de analistas ao recurso de dados test-data-asset em test-dp e conceder o papel de administrador do BigQuery
"Me mostre o esquema do recurso de dados test-asset no produto de dados test-dp"

Configurações opcionais de segurança

O MCP apresenta novos riscos e considerações de segurança devido à grande variedade de ações que podem ser realizadas com as ferramentas do MCP. Para minimizar e gerenciar esses riscos, o Google Cloud oferece políticas padrão e personalizáveis para controlar o uso das ferramentas do MCP na sua organização ou projeto do Google Cloud .

Para mais informações sobre segurança e governança do MCP, consulte Segurança e proteção de IA.

Usar o Model Armor

O Model Armor é um Google Cloud serviço projetado para aumentar a segurança dos seus aplicativos de IA. Ele funciona examinando de forma proativa comandos e respostas de LLMs, protegendo contra vários riscos e apoiando práticas de IA responsável. Se você implanta a IA no seu ambiente de nuvem ou em provedores de nuvem externos, o Model Armor pode ajudar a evitar entradas maliciosas, verificar a segurança do conteúdo, proteger dados sensíveis, manter a conformidade e aplicar suas políticas de segurança e proteção de IA de maneira consistente em todo o seu cenário diversificado de IA.

O Model Armor está disponível apenas em locais regionais específicos. Se o Model Armor estiver ativado para um projeto e uma chamada para esse projeto vier de uma região sem suporte, o Model Armor fará uma chamada entre regiões. Para mais informações, consulte Locais do Model Armor.

Ativar o Model Armor

É necessário ativar as APIs do Model Armor antes de usar o Model Armor.

Console

Ativar a API Model Armor.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.
Ativar a API
Selecione o projeto em que você quer ativar o Model Armor.

gcloud

Antes de começar, siga estas etapas usando a Google Cloud CLI com a API Model Armor:

No console do Google Cloud , ative o Cloud Shell.

Ativar o Cloud Shell

Na parte de baixo do console Google Cloud , uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.
Execute o comando a seguir para definir o endpoint de API do serviço Model Armor.
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
Substitua LOCATION pela região em que você quer usar o Model Armor.

Configurar a proteção para servidores MCP remotos e do Google Google Cloud

Para proteger as chamadas e respostas da ferramenta MCP, use as configurações mínimas do Model Armor. Uma configuração mínima define os filtros de segurança mínimos que se aplicam a todo o projeto. Essa configuração aplica um conjunto consistente de filtros a todas as chamadas e respostas da ferramenta MCP no projeto.

Configurar um valor mínimo do Model Armor com a limpeza da MCP ativada. Para mais informações, consulte Configurar configurações mínimas do Model Armor.

Confira o exemplo de comando a seguir:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Substitua PROJECT_ID pelo ID do projeto Google Cloud .

Observe as seguintes configurações:

INSPECT_AND_BLOCK: o tipo de aplicação que inspeciona o conteúdo do servidor MCP do Google e bloqueia solicitações e respostas que correspondem aos filtros.
ENABLED: a configuração que ativa um filtro ou uma aplicação.
MEDIUM_AND_ABOVE: o nível de confiança das configurações do filtro de IA responsável - perigoso. É possível modificar essa configuração, mas valores mais baixos podem resultar em mais falsos positivos. Para mais informações, consulte Níveis de confiança do Model Armor.

Desativar a verificação do tráfego do MCP com o Model Armor

Se você quiser interromper a verificação do tráfego do Google MCP com o Model Armor, execute o seguinte comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Substitua PROJECT_ID pelo Google Cloud ID do projeto.

O Model Armor não vai verificar o tráfego do MCP no projeto.

Controlar o uso do MCP com políticas de negação do IAM

As políticas de negação do Identity and Access Management (IAM) ajudam a proteger Google Cloud servidores MCP remotos. Configure essas políticas para bloquear o acesso indesejado às ferramentas do MCP.

Por exemplo, é possível negar ou permitir o acesso com base em:

O diretor
Propriedades da ferramenta, como somente leitura
O ID do cliente OAuth do aplicativo

Para mais informações, consulte Controlar o uso do MCP com o Identity and Access Management.

A seguir

Leia a documentação de referência da MCP do Knowledge Catalog.
Saiba mais sobre os servidores MCP do Google Cloud.