Datastream リモート MCP サーバーを使用する

このドキュメントでは、Datastream リモート Model Context Protocol（MCP）サーバーを使用して、Gemini CLI、ChatGPT、Claude、開発中のカスタム アプリケーションなどの AI アプリケーションに接続する方法について説明します。 Datastream リモート MCP サーバーを使用すると、AI アプリケーションからストリーム、接続プロファイル、ストリーム オブジェクトなどの Datastream リソースを管理およびモニタリングできます。 .

Model Context Protocol （MCP）により、大規模言語モデル（LLM）と AI アプリケーション（エージェント）が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンド サービスから更新されたデータを取得できます。

ローカル MCP サーバーとリモート MCP サーバーの違いは何ですか？

ローカル MCP サーバー

通常はローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム（stdio）を使用します。

リモート MCP サーバー

サービスのインフラストラクチャで実行され、AI アプリケーションに HTTP エンドポイントを提供して、AI MCP クライアントと MCP サーバー間の通信を行います。MCP アーキテクチャの詳細については、 MCP アーキテクチャをご覧ください。

Google と Google Cloud リモート MCP サーバー

• 簡素化された一元的な検出。
• マネージド グローバルまたはリージョン HTTP エンドポイント。
• きめ細かい認可。
• Model Armor 保護によるプロンプトとレスポンスのセキュリティ（オプション）。
• 一元的な監査ロギング。

他の MCP サーバーと、Google Cloud サーバーで使用可能なセキュリティ とガバナンスの制御については、Google Cloud MCP サーバーの概要をご覧ください。

始める前に

アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、 Google Cloud実際のシナリオでプロダクトがどのように動作するかを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

1. Datastream API を有効にします。

必要なロール

Datastream リモート MCP サーバーを使用するために必要な権限を取得するには、 プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。 Google Cloud

• MCP ツール呼び出しを行う
• Datastream リソース: Datastream 閲覧者（roles/datastream.viewer）または Datastream 管理者（roles/datastream.admin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには Datastream リモート MCP サーバーを使用するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

Datastream MCP サーバーを有効または無効にする

プロジェクトで Datastream MCP サーバーを有効または無効にするには、gcloud beta services mcp enable コマンドを使用します。詳細については、次のセクションをご覧ください。

認証と認可

Datastream MCP サーバーは、認証と認可に Identity and Access Management（IAM） と OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。

リソースへのアクセスを制御してモニタリングできるように、MCP ツールを使用するエージェント用に個別の ID を作成することをおすすめします。Datastream は、MCP サーバーへの認証に API キーを使用できません。 認証の詳細については、MCP サーバーに対して認証するをご覧ください。

Datastream MCP の OAuth スコープ

OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。Google の OAuth 2.0 スコープの詳細については、 OAuth 2.0 を使用して Google API にアクセスする をご覧ください。

Datastream には、次の MCP ツール OAuth スコープがあります。

ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。Datastream に必要なスコープの一覧を表示するには、 Datastream APIをご覧ください。

Datastream MCP サーバーを使用するように MCP クライアントを構成する

Claude や Gemini CLI などの AI アプリケーションとエージェントは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。AI アプリケーションには、さまざまな MCP サーバーに接続する複数のクライアントを設定できます。 リモート MCP サーバーに接続するには、MCP クライアントがリモート MCP サーバーの URL を認識している必要があります。

AI アプリケーションで、リモート MCP サーバーに接続する方法を探します。サーバーの名前や URL などの詳細を入力するよう求められます。

Datastream MCP サーバーの場合は、必要に応じて次の情報を入力します。

• サーバー名: Datastream MCP サーバー
• サーバー URL または エンドポイント: datastream.googleapis.com/mcp
• トランスポート: HTTP

• 認証の詳細: 認証方法に応じて、 認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。 Google Cloud 認証の詳細については、MCP サーバーに対して認証するをご覧ください。

• OAuth スコープ: Datastream MCP サーバーに接続するときに使用するOAuth 2.0 スコープ。

MCP サーバーの設定と接続に関するホスト固有のガイダンスについては、以下をご覧ください。

• Claude.ai
• Gemini CLI

一般的なガイダンスについては、次のリソースをご覧ください。

• リモート MCP サーバーに接続する。
• AI アプリケーションで MCP を構成する。

使用可能なツール

読み取り専用の MCP ツールでは、MCP 属性 mcp.tool.isReadOnly が true に設定されています。組織のポリシーを使用して、特定の環境で読み取り専用ツールのみを 許可することがあります 。

Datastream MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、 Datastream MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、 tools/list HTTP リクエストを Datastream リモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: datastream.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

サンプル ユースケース

Datastream MCP サーバーのユースケースの例を次に示します。

• プロジェクト内のストリームの一覧表示、取得、開始、削除を行います。
• 接続プロファイルを一覧表示して、ソースと宛先の接続設定を確認します。
• 特定のストリーム オブジェクトの詳細を一覧表示して取得し、レプリケーションの進行状況とステータスを追跡します。
• get_operation ツールを使用して、ストリームの開始や削除などのオペレーションのステータスをポーリングします。

プロンプトの例

• 「プロジェクト PROJECT_ID とロケーション LOCATION で実行中のすべての Datastream ストリームを一覧表示します。」
• 「LOCATION の Datastream ストリーム STREAM_ID のステータスは何ですか？」
• 「LOCATION で Datastream ストリーム STREAM_ID を開始します。」
• 「ストリーム projects/PROJECT_ID/locations/LOCATION/streams/STREAM_ID によってレプリケートされているオブジェクトを一覧表示します。」
• 「ストリーム projects/PROJECT_ID/locations/LOCATION/streams/STREAM_ID のソーステーブル TABLE_NAME のレプリケーション ステータスを確認します。」

プロンプトでは、次のように置き換えます。

• PROJECT_ID はプロジェクト Google Cloud ID に置き換えます。
• LOCATION は、 プロジェクトのロケーションに置き換えます。 Google Cloud
• STREAM_ID は、Datastream ストリーム ID に置き換えます。
• TABLE_NAME は、ソーステーブルの名前に置き換えます。

セキュリティと安全に関するオプションの構成

MCP ツールで実行できるアクションが多岐にわたるため、MCP によって新たなセキュリティ リスクと考慮事項が加わります。これらのリスクを最小限に抑えて管理するために、 Google Cloud は、 組織またはプロジェクトでの MCP ツールの使用を制御するデフォルトの設定とカスタマイズ可能なポリシーを提供します。 Google Cloud

MCP のセキュリティとガバナンスの詳細については、 AI のセキュリティと安全性をご覧ください。

Model Armor を使用する

Model Armor は、AI アプリケーションのセキュリティと 安全性を強化するために設計された Google Cloud サービスです。LLM のプロンプトとレスポンスを事前にスクリーニングすることで、さまざまなリスクから保護し、責任ある AI への取り組みをサポートします。AI を自社のクラウド環境と外部のクラウド プロバイダのいずれにデプロイする場合も、Model Armor は、悪意のある入力の防止、コンテンツの安全性の検証、センシティブ データの保護、コンプライアンスの維持、多様な AI 環境全体での AI の安全性とセキュリティ ポリシーの一貫した適用に役立ちます。

Model Armor は、特定のリージョンのロケーションでのみ使用できます。プロジェクトで Model Armor が有効化されており、サポート対象外のリージョンからそのプロジェクトへの呼び出しが行われた場合、Model Armor はリージョン間の呼び出しを行います。 詳細については、 Model Armor のロケーションをご覧ください。

Model Armor を有効にする

Model Armor を使用するには、Model Armor API を有効にする必要があります。

Google と Google Cloud リモート MCP サーバーの保護を構成する

MCP ツールの呼び出しとレスポンスを保護するには、Model Armor のフロア設定を使用します。フロア設定では、プロジェクト全体に適用される最小限のセキュリティ フィルタを定義します。この構成では、プロジェクト内のすべての MCP ツール呼び出しとレスポンスに一貫したフィルタセットが適用されます。

MCP サニタイズを有効にして、Model Armor のフロア設定を行います。詳細については、Model Armor のフロア 設定を構成するをご覧ください。

次のコマンド例をご覧ください。

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

PROJECT_ID は、実際の Google Cloud プロジェクト ID に置き換えます。

次の設定に注意してください。

• INSPECT_AND_BLOCK: Google MCP サーバーのコンテンツを検査し、フィルタに一致するプロンプトとレスポンスをブロックする適用タイプ。
• ENABLED: フィルタまたは 適用を有効にする設定。
• MEDIUM_AND_ABOVE: 責任ある AI - 危険フィルタ設定の信頼レベル。この設定は変更できますが、 値を小さくすると誤検出が増える可能性があります。詳細については、Model Armor の信頼レベルをご覧ください。

Model Armor による MCP トラフィックのスキャンを無効にする

Model Armor による Google MCP トラフィックのスキャンを停止する場合は、次のコマンドを実行します。

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID は、 Google Cloud プロジェクト ID に置き換えます。

Model Armor は、プロジェクト内の MCP トラフィックをスキャンしません。

組織レベルの MCP 制御

`gcp.managed.allowedMCPService` 制約を使用して、組織での MCP サーバーの使用を制御するカスタムの組織のポリシーを作成できます。 Google Cloud gcp.managed.allowedMCPService詳細と ユースケースの例については、 IAM による Google Cloud MCP サーバーのアクセス制御をご覧ください。

次のステップ

• Datastream MCP リファレンス ドキュメントを読む。
• Google Cloud MCP サーバーの詳細を確認する。