Cette page a été traduite par l'API Cloud Translation.

Intégration de Model Armor aux serveurs Google Cloud MCP

Ce document explique comment configurer Model Armor pour protéger vos données et sécuriser votre contenu lorsque vous envoyez des requêtes aux services Google Cloud qui exposent des outils et des serveurs MCP (Model Context Protocol).

Model Armor vous aide à sécuriser vos applications d'IA agentiques en assainissant les appels et les réponses des outils MCP. Ce processus permet d'atténuer les risques tels que l'injection de requêtes et la divulgation de données sensibles.

Avant de commencer

Activez les serveurs MCP que vous souhaitez utiliser. Pour en savoir plus, consultez Activer ou désactiver les serveurs MCP.
Activez l'API Model Armor dans votre projet. Pour en savoir plus, consultez Activer des API.
Si vous avez des exigences de résidence des données, vous devez configurer un récepteur de journaux pour acheminer les journaux vers un emplacement de stockage conforme avant d'activer Cloud Logging dans la procédure suivante. La configuration d'un récepteur de journaux permet de s'assurer que les journaux Model Armor sont stockés dans les buckets régionaux appropriés. Pour en savoir plus, consultez Régionaliser vos journaux.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger vos appels et réponses d'outils MCP, vous devez créer un paramètre de plancher Model Armor, puis activer la sécurité du contenu MCP pour votre projet. Un paramètre plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de seuil Model Armor.

Remarque : Si l'agent et le serveur MCP se trouvent dans des projets différents, vous pouvez créer des paramètres de plancher dans les deux projets (le projet client et le projet de ressources). Dans ce cas, Model Armor est appelé deux fois, une fois pour chaque projet.

Consultez l'exemple de commande suivant :
```
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "HIGH", "filterType": "DANGEROUS"}]'
```
Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Notez les paramètres suivants :
- INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.
- ENABLED : paramètre qui active un filtre ou une application forcée.
- HIGH : niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Configurer les paramètres des étages.
Pour votre projet, activez la protection Model Armor pour les serveurs MCP distants.
```
gcloud beta services mcp content-security add modelarmor.googleapis.com --project=PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet Google Cloud. Après l'exécution de cette commande, Model Armor assainit tous les appels et réponses des outils MCP du projet, quelle que soit leur origine.
Pour vérifier que le trafic Google MCP est envoyé à Model Armor, exécutez la commande suivante :
```
gcloud beta services mcp content-security get --project=PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Désactiver Model Armor dans un projet

Pour désactiver Model Armor sur un projet Google Cloud , exécutez la commande suivante :

gcloud beta services mcp content-security remove modelarmor.googleapis.com \
    --project=PROJECT_ID

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Le trafic Google MCP ne sera pas analysé par Model Armor pour le projet spécifié.

Désactiver l'analyse du trafic MCP avec Model Armor

Si vous souhaitez utiliser Model Armor dans un projet et arrêter d'analyser le trafic Google MCP avec Model Armor, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER