Esta página foi traduzida pela API Cloud Translation.

Integração do Model Armor com servidores MCP do Google Cloud

Neste documento, mostramos como configurar o Model Armor para proteger seus dados e conteúdo ao enviar solicitações para serviços Google Cloud que expõem ferramentas e servidores do Protocolo de Contexto de Modelo (MCP).

O Model Armor ajuda a proteger seus aplicativos de IA com agentes ao limpar as chamadas e respostas de ferramentas do MCP. Esse processo reduz riscos como injeção de comandos e divulgação de dados sensíveis.

Antes de começar

Ative os servidores MCP que você quer usar. Para mais informações, consulte Ativar ou desativar servidores do MCP.
Ative a API Model Armor no seu projeto. Para mais informações, consulte Ativar APIs.
Se você tiver requisitos de residência de dados, configure um coletor de registros para rotear os registros para um local de armazenamento em conformidade antes de ativar o Cloud Logging no próximo procedimento. Configurar um coletor de registros ajuda a garantir que os registros do Model Armor sejam armazenados nos buckets regionais adequados. Para mais informações, consulte Regionalizar seus registros.

Configurar a proteção para servidores MCP remotos e do Google Google Cloud

Para proteger as chamadas e respostas de ferramentas do MCP, crie uma configuração de limite do Model Armor e ative a segurança de conteúdo do MCP para seu projeto. Uma configuração mínima define os filtros de segurança mínimos que se aplicam a todo o projeto. Essa configuração aplica um conjunto consistente de filtros a todas as chamadas e respostas de ferramentas do MCP no projeto.

Configurar um valor mínimo do Model Armor com a limpeza do MCP ativada. Para mais informações, consulte Configurar configurações de limite mínimo do Model Armor.

Observação: se o agente e o servidor MCP estiverem em projetos diferentes, crie configurações de limite mínimo nos dois projetos (o do cliente e o de recursos). Nesse caso, o Model Armor é invocado duas vezes, uma para cada projeto.

Confira o exemplo de comando a seguir:
```
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "HIGH", "filterType": "DANGEROUS"}]'
```
Substitua PROJECT_ID pelo ID do projeto Google Cloud .

Observe as seguintes configurações:
- INSPECT_AND_BLOCK: o tipo de aplicação que inspeciona o conteúdo do servidor MCP do Google e bloqueia solicitações e respostas que correspondem aos filtros.
- ENABLED: a configuração que ativa um filtro ou uma restrição.
- HIGH: o nível de confiança para as configurações de filtro de IA responsável - perigoso. É possível modificar essa configuração, mas valores mais baixos podem resultar em mais falsos positivos. Para mais informações, consulte Configurar opções de piso.
No seu projeto, ative a proteção do Model Armor para servidores MCP remotos.
```
gcloud beta services mcp content-security add modelarmor.googleapis.com --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto do Google Cloud. Depois de executar esse comando, o Model Armor higieniza todas as chamadas e respostas de ferramentas do MCP do projeto, não importa de onde elas vêm.
Para confirmar se o tráfego do Google MCP está sendo enviado para o Model Armor, execute o seguinte comando:
```
gcloud beta services mcp content-security get --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto Google Cloud .

Desativar o Model Armor em um projeto

Para desativar o Model Armor em um projeto do Google Cloud , execute o seguinte comando:

gcloud beta services mcp content-security remove modelarmor.googleapis.com \
    --project=PROJECT_ID

Substitua PROJECT_ID pelo Google Cloud ID do projeto.

O tráfego do MCP do Google não será verificado pelo Model Armor no projeto especificado.

Desativar a verificação do tráfego do MCP com o Model Armor

Se você quiser usar o Model Armor em um projeto e parar de verificar o tráfego do Google MCP com o Model Armor, execute o seguinte comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER