使用驗證管理工具，透過 API 金鑰進行驗證

如要讓代理程式向 Google 地圖或天氣 API 等外部工具進行驗證，請在代理程式身分驗證管理工具中，使用 API 金鑰驗證供應商設定傳出驗證。

API 金鑰驗證供應商會為您管理加密金鑰。這項功能可讓您不必在代理程式碼中硬式編碼金鑰，也不必手動管理金鑰。

API 金鑰工作流程

API 金鑰驗證提供者會使用代理程式的身分，不需要使用者同意。Google 會採取措施，在儲存期間保護 API 金鑰安全。使用 Agent Development Kit (ADK) 時，系統會自動擷取 API 金鑰，並將其插入工具叫用標頭。

事前準備

確認您選擇了正確的驗證方法。
啟用 Agent Identity Connector API。
啟用 API 時所需的角色
如要啟用 API，您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin)，其中包含 serviceusage.services.enable 權限。瞭解如何授予角色。
啟用 API
建立及部署代理程式。
從要連結的第三方服務取得 API 金鑰。
確認您具備完成這項工作所需的角色。

必要的角色

如要取得建立及使用 API 金鑰驗證供應商所需的權限，請要求系統管理員授予您專案的下列 IAM 角色：

如要建立驗證提供者：
- IAM 連接器管理員 (roles/iamconnectors.admin)
- IAM 連接器編輯者 (roles/iamconnectors.editor)
如何使用驗證提供者：
- IAM 連接器使用者 (roles/iamconnectors.user)
- 代理人預設存取權 (roles/aiplatform.agentDefaultAccess)
- Agent Context 編輯者 (roles/aiplatform.agentContextEditor)
- Vertex AI 使用者 (roles/aiplatform.user)
- 服務使用情形消費者 (roles/serviceusage.serviceUsageConsumer)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

這些預先定義的角色具備建立及使用 API 金鑰驗證供應商所需的權限。如要查看確切的必要權限，請展開「Required permissions」(必要權限) 部分：

所需權限

如要建立及使用 API 金鑰驗證供應商，必須具備下列權限：

如要建立驗證提供者： iamconnectors.connectors.create
如何使用驗證提供者：
- iamconnectors.connectors.retrieveCredentials
- aiplatform.endpoints.predict
- aiplatform.sessions.create

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

建立 API 金鑰驗證供應商

建立驗證提供者，定義第三方應用程式的設定和憑證。

如要建立 API 金鑰驗證供應商，請使用 Google Cloud 控制台或 Google Cloud CLI。

控制台

前往 Google Cloud 控制台的「Agent Registry」頁面。
前往 Agent Registry
按一下要為其建立驗證供應商的代理程式名稱。
按一下「身分」。
在「Auth Providers」(驗證提供者) 專區中，按一下「新增驗證提供者」。
在「新增驗證供應商」窗格中，輸入名稱和說明。

名稱只能使用小寫英文字母、數字或連字號，開頭須為小寫英文字母，結尾不得為連字號。
在「OAuth 類型」清單中選取「API 金鑰」。
點按「Create and continue」(建立並繼續)。
如要授予代理程式身分權限，允許使用驗證提供者，請按一下「Grant access」(授予存取權)。
這會自動將「連結器使用者」(roles/iamconnectors.user) 角色指派給授權提供者資源上的代理程式身分。
在「Auth provider credentials」(驗證供應商憑證) 部分中，輸入 API 金鑰。
按一下「新增供應商設定」。

新建立的驗證供應商會顯示在「驗證供應商」清單中。

Google Cloud CLI

建立驗證提供者：

gcloud alpha agent-identity connectors create AUTH_PROVIDER_NAME \
    --location="LOCATION" \
    --api-key="API_KEY"

如要授予代理程式身分使用驗證供應商的權限，請更新專案或特定驗證供應商的 IAM 允許政策，並將連接器使用者 (roles/iamconnectors.user) 角色授予代理程式主體。

代理身分採用業界標準的 SPIFFE ID 格式。在 IAM 允許政策中，代理程式身分會使用主體 ID參照。

專案層級 (gcloud)

在專案層級授予角色，可讓代理程式使用該專案中的任何驗證提供者。

如要授予單一代理程式專案中驗證供應商的存取權，請執行下列指令：

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/iamconnectors.user' \
    --member="principal://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/ENGINE_ID"

如要授予專案中所有代理程式授權供應商的存取權，請執行下列指令：

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/iamconnectors.user' \
    --member="principalSet://agents.global.org-ORGANIZATION_ID.system.id.goog/attribute.platformContainer/aiplatform/projects/PROJECT_NUMBER"

連接器層級 (捲曲)

如要授予單一代理程式特定驗證供應商的存取權，請使用 setIamPolicy API。這項指令會覆寫資源上現有的任何允許政策。

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{
  "policy": {
    "bindings": [
      {
        "role": "roles/iamconnectors.user",
        "members": ["principal://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/ENGINE_ID"]
      }
    ]
  }
}' \
    "https://iamconnectors.googleapis.com/v1alpha/projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME:setIamPolicy"

更改下列內容：

PROJECT_ID： Google Cloud 專案 ID。
AUTH_PROVIDER_NAME：驗證供應商的名稱。
ORGANIZATION_ID：您的 Google Cloud 機構 ID。
PROJECT_NUMBER：您的 Google Cloud 專案編號。
LOCATION：代理程式的位置 (例如 us-central1)。
ENGINE_ID：推理引擎的 ID。

在代理程式碼中進行驗證

如要驗證代理，可以使用 ADK。

ADK

在 ADK 中使用 MCP 工具組，在代理的程式碼中參照驗證供應商。

from google.adk.agents.llm_agent import LlmAgent
from google.adk.auth.credential_manager import CredentialManager
from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme
from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams
from google.adk.tools.mcp_tool.mcp_toolset import McpToolset
from google.adk.auth.auth_tool import AuthConfig

# Register the Google Cloud auth provider so the CredentialManager can use it.
CredentialManager.register_auth_provider(GcpAuthProvider())

# Create the Google Cloud auth provider scheme using the auth provider's full resource name.
auth_scheme = GcpAuthProviderScheme(
    name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME"
)

# Configure an MCP tool with the authentication scheme.
toolset = McpToolset(
    connection_params=StreamableHTTPConnectionParams(url="https://YOUR_MCP_SERVER_URL"),
    auth_scheme=auth_scheme,
)

# Initialize the agent with the authenticated tools.
agent = LlmAgent(
    name="YOUR_AGENT_NAME",
    model="gemini-2.0-flash",
    instruction="YOUR_AGENT_INSTRUCTIONS",
    tools=[toolset],
)

ADK

使用 ADK 中的已驗證函式工具，在代理的程式碼中參照驗證供應商。

import httpx
from google.adk.agents.llm_agent import LlmAgent
from google.adk.auth.credential_manager import CredentialManager
from google.adk.integrations.agent_identity import GcpAuthProvider
from google.adk.integrations.agent_identity import GcpAuthProviderScheme
from google.adk.apps import App
from google.adk.auth.auth_credential import AuthCredential
from google.adk.auth.auth_tool import AuthConfig
from google.adk.tools.authenticated_function_tool import AuthenticatedFunctionTool
from vertexai import agent_engines

# First, register Google Cloud auth provider
CredentialManager.register_auth_provider(GcpAuthProvider())

# Create Auth Config
spotify_auth_config = AuthConfig(
    auth_scheme=GcpAuthProviderScheme(
        name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME"
    )
)

# Use the Auth Config in Authenticated Function Tool
spotify_search_track_tool = AuthenticatedFunctionTool(
    func=spotify_search_track, auth_config=spotify_auth_config
)

# Sample function tool
async def spotify_search_track(credential: AuthCredential, query: str) -> str | list:
    token = None
    if credential.http and credential.http.credentials:
        token = credential.http.credentials.token

    if not token:
        return "Error: No authentication token available."

    async with httpx.AsyncClient() as client:
        response = await client.get(
            "https://api.spotify.com/v1/search",
            headers={"Authorization": f"Bearer {token}"},
            params={"q": query, "type": "track", "limit": 1},
        )
        # Add your own logic here

agent = LlmAgent(
    name="YOUR_AGENT_NAME",
    model="YOUR_MODEL_NAME",
    instruction="YOUR_AGENT_INSTRUCTIONS",
    tools=[spotify_search_track_tool],
)

app = App(
    name="YOUR_APP_NAME",
    root_agent=agent,
)

vertex_app = agent_engines.AdkApp(app_name=app)

ADK

使用 ADK 中的 Agent Registry MCP 工具集，在代理的程式碼中參照驗證提供者。

from google.adk.agents.llm_agent import LlmAgent
from google.adk.auth.credential_manager import CredentialManager
from google.adk.integrations.agent_identity import GcpAuthProvider
from google.adk.integrations.agent_identity import GcpAuthProviderScheme
from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams
from google.adk.tools.mcp_tool.mcp_toolset import McpToolset
from google.adk.auth.auth_tool import AuthConfig
from google.adk.integrations.agent_registry import AgentRegistry

# First, register Google Cloud auth provider
CredentialManager.register_auth_provider(GcpAuthProvider())

# Create Google Cloud auth provider scheme by providing Auth Provider full resource name
auth_scheme = GcpAuthProviderScheme(
    name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME"
)

# Set Agent Registry
registry = AgentRegistry(project_id="PROJECT_ID", location="global")

toolset = registry.get_mcp_toolset(mcp_server_name="projects/PROJECT_ID/locations/global/mcpServers/agentregistry-00000000-0000-0000-0000-000000000000", auth_scheme=auth_scheme)

# Example MCP tool
toolset = McpToolset(
    connection_params=StreamableHTTPConnectionParams(url="MCP_URL"),
    auth_scheme=auth_scheme,
)

agent = LlmAgent(
    name="YOUR_AGENT_NAME",
    model="YOUR_MODEL_NAME",
    instruction="YOUR_AGENT_INSTRUCTIONS",
    tools=[toolset],
)

部署代理

將代理部署至 Google Cloud時，請務必啟用代理身分。

如要部署至 Agent Runtime，請使用 identity_type=AGENT_IDENTITY 旗標：

import vertexai
from vertexai import types
from vertexai.agent_engines import AdkApp

# Initialize the Vertex AI client with v1beta1 API for Agent Identity support
client = vertexai.Client(
    project="PROJECT_ID",
    location="LOCATION",
    http_options=dict(api_version="v1beta1")
)

# Use the proper wrapper class for your Agent Framework (e.g., AdkApp)
app = AdkApp(agent=agent)

# Deploy the agent with Agent Identity enabled
remote_app = client.agent_engines.create(
    agent=app,
    config={
        "identity_type": types.IdentityType.AGENT_IDENTITY,
        "requirements": ["google-cloud-aiplatform[agent_engines,adk]", "google-adk[agent-identity]"],
    },
)