Diese Seite wurde von der Cloud Translation API übersetzt.

Einbindung von Model Armor in Google Cloud MCP-Server

In diesem Dokument wird beschrieben, wie Sie Model Armor konfigurieren, um Ihre Daten und Inhalte zu schützen, wenn Sie Anfragen an Google Cloud -Dienste senden, die MCP-Tools (Model Context Protocol) und -Server bereitstellen.

Model Armor trägt dazu bei, Ihre Agentic AI-Anwendungen zu schützen, indem es MCP-Toolaufrufe und ‑Antworten bereinigt. Dieser Prozess minimiert Risiken wie Prompt Injection und die Offenlegung sensibler Daten.

Hinweise

Aktivieren Sie die MCP-Server, die Sie verwenden möchten. Weitere Informationen finden Sie unter MCP-Server aktivieren oder deaktivieren.
Aktivieren Sie die Model Armor API in Ihrem Projekt. Weitere Informationen finden Sie unter APIs aktivieren.
Wenn Sie Anforderungen an den Datenstandort haben, müssen Sie einen Log-Sink konfigurieren, um Logs an einen konformen Speicherort weiterzuleiten, bevor Sie Cloud Logging im nächsten Schritt aktivieren. Wenn Sie einen Log-Sink konfigurieren, werden Model Armor-Logs in den entsprechenden regionalen Buckets gespeichert. Weitere Informationen finden Sie unter Logs regionalisieren.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Um Ihre MCP-Tool-Aufrufe und -Antworten zu schützen, erstellen Sie eine Mindesteinstellung für Model Armor und aktivieren dann die MCP-Inhaltssicherheit für Ihr Projekt. Eine Mindesteinstellung definiert die Mindestsicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Tool-Aufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Model Armor-Mindesteinstellung mit aktivierter MCP-Bereinigung ein. Weitere Informationen finden Sie unter Model Armor-Untergrenzeneinstellungen konfigurieren.

Hinweis: Wenn sich der Agent und der MCP-Server in verschiedenen Projekten befinden, können Sie in beiden Projekten (dem Clientprojekt und dem Ressourcenprojekt) Mindestpreiseinstellungen erstellen. In diesem Fall wird Model Armor zweimal aufgerufen, einmal für jedes Projekt.

Hier ein Beispielbefehl:
```
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "HIGH", "filterType": "DANGEROUS"}]'
```
Ersetzen Sie dabei PROJECT_ID durch die ID Ihres Projekts in Google Cloud .

Beachten Sie die folgenden Einstellungen:
- INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
- ENABLED: Die Einstellung, die einen Filter oder die Erzwingung ermöglicht.
- HIGH: Das Konfidenzniveau für die Filter für verantwortungsbewusste KI – gefährlich. Sie können diese Einstellung ändern. Bei niedrigeren Werten kann es jedoch zu mehr falsch positiven Ergebnissen kommen. Weitere Informationen finden Sie unter Etagenkonfiguration.
Aktivieren Sie für Ihr Projekt den Model Armor-Schutz für Remote-MCP-Server.
```
gcloud beta services mcp content-security add modelarmor.googleapis.com --project=PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch Ihre Google CloudProjekt-ID. Nachdem Sie diesen Befehl ausgeführt haben, bereinigt Model Armor alle MCP-Toolaufrufe und ‑antworten aus dem Projekt, unabhängig davon, woher die Aufrufe und Antworten stammen.
Führen Sie den folgenden Befehl aus, um zu prüfen, ob Google MCP-Traffic an Model Armor gesendet wird:
```
gcloud beta services mcp content-security get --project=PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID.

Model Armor in einem Projekt deaktivieren

Führen Sie den folgenden Befehl aus, um Model Armor für ein Google Cloud -Projekt zu deaktivieren:

gcloud beta services mcp content-security remove modelarmor.googleapis.com \
    --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID.

Google MCP-Traffic wird von Model Armor für das angegebene Projekt nicht gescannt.

Scannen von MCP-Traffic mit Model Armor deaktivieren

Wenn Sie Model Armor in einem Projekt verwenden und den Scan von Google MCP-Traffic mit Model Armor beenden möchten, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER