リモート MCP サーバーを使用して AI アプリケーションから Memorystore for Redis に接続する

このドキュメントでは、Memorystore for Redis リモート Model Context Protocol（MCP）サーバーを使用して、Gemini CLI、ChatGPT、Claude、開発中のカスタム アプリケーションなどの AI アプリケーションに接続する方法について説明します。Memorystore for Redis リモート MCP サーバーを使用すると、AI 対応の開発環境と AI エージェント プラットフォームから Memorystore for Redis インスタンスを管理できます。

Model Context Protocol（MCP）により、大規模言語モデル（LLM）と AI アプリケーション（エージェント）が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンド サービスから更新されたデータを取得できます。

ローカル MCP サーバーとリモート MCP サーバーの違いは何ですか？

ローカル MCP サーバー

通常はローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム（stdio）を使用します。

リモート MCP サーバー

サービスのインフラストラクチャで実行され、AI MCP クライアントと MCP サーバー間の通信用に AI アプリケーションに HTTP エンドポイントを提供します。MCP アーキテクチャの詳細については、MCP アーキテクチャをご覧ください。

Google と Google Cloud リモート MCP サーバー

• 簡素化された一元的な検出。
• マネージド グローバルまたはリージョン HTTP エンドポイント。
• きめ細かい認可。
• Model Armor 保護によるプロンプトとレスポンスのセキュリティ（オプション）。
• 一元的な監査ロギング。

他の MCP サーバーと、Google Cloud MCP サーバーで使用可能なセキュリティとガバナンスの制御については、Google Cloud MCP サーバーの概要をご覧ください。

始める前に

Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Google Cloud CLI をインストールします。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します。

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Google Cloud CLI をインストールします。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します。

gcloud init

必要なロール

Memorystore for Redis MCP サーバーを使用するために必要な権限を取得するには、Memorystore for Redis MCP サーバーを使用するプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

• MCP ツール呼び出しを行う: MCP ツールユーザー （roles/mcp.toolUser）
• Memorystore for Redis インスタンスを作成します。 Cloud Memorystore Redis 管理者 （roles/redis.admin）
• Memorystore for Redis インスタンスを取得するか、プロジェクト内のすべての Memorystore for Redis インスタンスを一覧表示します。 Cloud Memorystore Redis 閲覧者 （roles/redis.viewer）
• サービス使用状況ポリシーを管理する: Service Usage 管理者 （roles/serviceusage.serviceUsageAdmin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには、Memorystore for Redis MCP サーバーの使用に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

認証と認可

Memorystore for Redis MCP サーバーは、認証と認可に Identity and Access Management（IAM）と OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。

Memorystore for Redis リモート MCP サーバーは API キーを受け入れます。

リソースへのアクセスを制御およびモニタリングできるように、MCP ツールを使用してエージェント用に別個の ID を作成することをおすすめします。認証の詳細については、Google と Google Cloud MCP サーバーに対して認証するをご覧ください。

Memorystore for Redis MCP OAuth スコープ

OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。Google の OAuth 2.0 スコープの詳細については、OAuth 2.0 を使用して Google API にアクセスするをご覧ください。

Memorystore for Redis には、次の MCP ツール OAuth スコープがあります。

Memorystore for Redis MCP サーバーを使用するように MCP クライアントを構成する

Claude や Gemini CLI などの AI アプリケーションやエージェントは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。AI アプリケーションには、さまざまな MCP サーバーに接続する複数のクライアントを設定できます。リモート MCP サーバーに接続するには、MCP クライアントが少なくともリモート MCP サーバーの URL を認識している必要があります。

AI アプリケーションで、リモート MCP サーバーに接続する方法を探します。サーバー名や URL などのサーバーの詳細情報を入力するよう求められます。

Memorystore for Redis MCP サーバーの場合は、必要に応じて次の情報を入力します。

• サーバー名: Memorystore for Redis MCP サーバー
• サーバー URL またはエンドポイント: https://redis.googleapis.com/mcp
• トランスポート: HTTP
• 認証の詳細: 認証方法に応じて、 Google Cloud 認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。認証の詳細については、Google および Google Cloud MCP サーバーに対して認証するをご覧ください。
• OAuth スコープ: Memorystore for Redis MCP サーバーに接続するときに使用する OAuth 2.0 スコープ。

ホスト固有のガイダンスについては、以下をご覧ください。

• Claude.ai
• Gemini CLI

一般的なガイダンスについては、次のリソースをご覧ください。

• リモート MCP サーバーに接続する。
• AI アプリケーションで MCP を構成する。

使用可能なツール

Memorystore for Redis MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、Memorystore for Redis MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、tools/list HTTP リクエストを Memorystore for Redis リモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

サンプルのユースケース

Memorystore for Redis MCP サーバーのユースケースの例を次に示します。

「認証を有効にして Memorystore for Redis インスタンスを作成する理由は何ですか？」

インスタンスを作成して AUTH 機能を有効にすると、インスタンスに接続するには、受信クライアント接続が認証される必要があります。接続するには、クライアントが AUTH コマンドと AUTH 文字列を送信します。この文字列は、インスタンスごとに一意のランダムに生成された文字列です。Memorystore for Redis MCP サーバーの AI エージェントは、create_instance MCP ツールを使用してインスタンスを作成します。

「特定のリージョンでアクティブな Memorystore for Redis インスタンスをすべて表示するのはなぜですか？」

これらのインスタンスを一覧表示することで、リソースが現在のアーキテクチャと一致していることを確認できます。Memorystore for Redis MCP サーバーの AI エージェントは、list_instances MCP ツールを使用して、指定されたリージョンのインスタンスのフォーマットされたリストを取得します。

「特定のリージョンの Memorystore for Redis インスタンスから接続エンドポイントと運用メタデータを取得するのはなぜですか？」

この情報は、アプリケーション統合とシステム メンテナンスに必要です。Memorystore for Redis MCP サーバーの AI エージェントは、get_instance MCP ツールを使用して、検出エンドポイントやレプリカ数などのインスタンスに関する情報を取得します。

「データ集約型アプリケーション向けに Memorystore for Redis を最適化するにはどうすればよいですか？」

これらのアプリケーションの CPU 容量とメモリ スループットの両方を大幅に増やすには、インスタンスのレプリカ数を増やして Memorystore for Redis インスタンスをスケーリングします。Memorystore for Redis MCP サーバーの AI エージェントは、update_instance MCP ツールを使用してインスタンスのレプリカ数を更新します。

「Memorystore for Redis インスタンスまたはそのインスタンスが配置されているリージョンで発生する可能性のある障害からデータを保護するにはどうすればよいですか？」

インスタンス内のデータのスナップショットを Cloud Storage バケットにエクスポートします。リージョンまたはインスタンスの障害が発生した場合は、データを新しいインスタンスに復元してオペレーションを再開できます。Memorystore for Redis MCP サーバーの AI エージェントは、export_instance MCP ツールを使用してデータをエクスポートします。

セキュリティと安全に関するオプションの構成

MCP ツールで実行できるアクションが多岐にわたるため、MCP によって新たなセキュリティ リスクと考慮事項が加わります。これらのリスクを最小限に抑えて管理するために、 Google Cloud は、 Google Cloud 組織またはプロジェクトでの MCP ツールの使用を制御するデフォルトのポリシーとカスタマイズ可能なポリシーを提供します。

MCP のセキュリティとガバナンスの詳細については、AI のセキュリティと安全性をご覧ください。

Model Armor

Model Armor は、AI アプリケーションのセキュリティと安全性を強化するために設計された Google Cloud サービスです。LLM のプロンプトとレスポンスを事前にスクリーニングすることで、さまざまなリスクから保護し、責任ある AI への取り組みをサポートします。AI を自社のクラウド環境と外部のクラウド プロバイダのいずれにデプロイする場合も、Model Armor は、悪意のある入力の防止、コンテンツの安全性の検証、センシティブ データの保護、コンプライアンスの維持、多様な AI 環境全体での AI の安全性とセキュリティ ポリシーの一貫した適用に役立ちます。

Model Armor は、特定のリージョンのロケーションで使用できます。プロジェクトで Model Armor を有効にしており、サポート対象外のリージョンからそのプロジェクトへの呼び出しが行われた場合、Model Armor はリージョン間の呼び出しを行います。詳細については、Model Armor のロケーションをご覧ください。

Model Armor を有効にする

Model Armor を使用するには、Model Armor API を有効にする必要があります。

Google と Google Cloud リモート MCP サーバーの保護を構成する

MCP ツール呼び出しとレスポンスを保護するには、Model Armor のフロア設定を使用します。フロア設定は、プロジェクト全体に適用される最小限のセキュリティ フィルタを定義します。この構成では、プロジェクト内のすべての MCP ツール呼び出しとレスポンスに一貫したフィルタセットが適用されます。

MCP のサニタイズを有効にして、Model Armor のフロア設定をセットアップします。詳細については、Model Armor のフロア設定を構成するをご覧ください。

次のコマンド例をご覧ください。

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

PROJECT_ID は、実際の Google Cloud プロジェクト ID に置き換えます。

次の設定に注意してください。

• INSPECT_AND_BLOCK: Google MCP サーバーのコンテンツを検査し、フィルタに一致するプロンプトとレスポンスをブロックする適用タイプ。
• ENABLED: フィルタまたは適用を有効にする設定。
• MEDIUM_AND_ABOVE: 責任ある AI - 危険フィルタ設定の信頼度。この設定は変更できますが、値を小さくすると偽陽性が多くなる可能性があります。詳細については、Model Armor の信頼度をご覧ください。

Model Armor による MCP トラフィックのスキャンを無効にする

Model Armor による Google MCP トラフィックのスキャンを停止する場合は、次のコマンドを実行します。

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID は、 Google Cloud プロジェクト ID に置き換えます。

Model Armor はプロジェクト内の MCP トラフィックをスキャンしません。

IAM 拒否ポリシーで MCP の使用を制御する

Identity and Access Management（IAM）拒否ポリシーは、 Google Cloud リモート MCP サーバーの保護に役立ちます。これらのポリシーを構成して、不要な MCP ツールへのアクセスをブロックします。

たとえば、次の条件に基づいてアクセスを拒否または許可できます。

• プリンシパル
• 読み取り専用などのツール プロパティ
• アプリケーションの OAuth クライアント ID

詳細については、Identity and Access Management による MCP の使用の制御をご覧ください。