Esta página se ha traducido con Cloud Translation API.

Integración de Model Armor con servidores de Google Cloud MCP

En este documento se explica cómo configurar Model Armor para proteger tus datos y el contenido cuando envíes solicitudes a los Google Cloud servicios que exponen herramientas y servidores de Model Context Protocol (MCP).

Model Armor ayuda a proteger tus aplicaciones de IA de agente mediante la sanitización de las llamadas y las respuestas de las herramientas de MCP. Este proceso reduce los riesgos, como la inyección de peticiones y la divulgación de datos sensibles.

Antes de empezar

Habilita los servidores de MCP que quieras usar. Para obtener más información, consulta el artículo Habilitar o inhabilitar servidores MCP.
Habilita la API Model Armor en tu proyecto. Para obtener más información, consulta Habilitar APIs.
Si tienes requisitos de residencia de datos, debes configurar un receptor de registros para enrutar los registros a una ubicación de almacenamiento que cumpla los requisitos antes de habilitar Cloud Logging en el siguiente procedimiento. Configurar un receptor de registros ayuda a que los registros de Model Armor se almacenen en los segmentos regionales adecuados. Para obtener más información, consulta Regionalizar los registros.

Configurar la protección de los servidores de Google y los Google Cloud servidores de MCP remotos

Para proteger las llamadas y las respuestas de tu herramienta MCP, crea un ajuste de nivel de Model Armor y, a continuación, habilita la seguridad del contenido de MCP en tu proyecto. Un ajuste de nivel mínimo define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto de filtros coherente a todas las llamadas y respuestas de herramientas de MCP del proyecto.

Configura un ajuste mínimo de Model Armor con la sanitización de MCP habilitada. Para obtener más información, consulta Configurar los ajustes de la planta de Model Armor.

Nota: Si el agente y el servidor MCP están en proyectos diferentes, puedes crear ajustes de planta en ambos proyectos (el proyecto de cliente y el proyecto de recursos). En este caso, Model Armor se invoca dos veces, una por cada proyecto.

Consulta el siguiente comando de ejemplo:
```
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "HIGH", "filterType": "DANGEROUS"}]'
```
Sustituye PROJECT_ID por el ID de tu proyecto. Google Cloud

Ten en cuenta los siguientes ajustes:
- INSPECT_AND_BLOCK: El tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las peticiones y respuestas que coinciden con los filtros.
- ENABLED: el ajuste que habilita un filtro o una medida.
- HIGH: el nivel de confianza de los ajustes del filtro Peligroso de la IA responsable. Puedes modificar este ajuste, aunque los valores más bajos pueden dar lugar a más falsos positivos. Para obtener más información, consulta Configurar los ajustes de la planta.
En tu proyecto, habilita la protección de Model Armor para los servidores MCP remotos.
```
gcloud beta services mcp content-security add modelarmor.googleapis.com --project=PROJECT_ID
```
Sustituye PROJECT_ID por el ID de tu proyecto. Google Cloud Después de ejecutar este comando, Model Armor desinfecta todas las llamadas y respuestas de la herramienta MCP del proyecto, independientemente de dónde se originen.
Para confirmar que el tráfico de Google MCP se envía a Model Armor, ejecuta el siguiente comando:
```
gcloud beta services mcp content-security get --project=PROJECT_ID
```
Sustituye PROJECT_ID por el Google Cloud ID del proyecto.

Inhabilitar Model Armor en un proyecto

Para inhabilitar Model Armor en un proyecto de Google Cloud , ejecuta el siguiente comando:

gcloud beta services mcp content-security remove modelarmor.googleapis.com \
    --project=PROJECT_ID

Sustituye PROJECT_ID por el ID del proyecto. Google Cloud

Model Armor no analizará el tráfico de MCP de Google del proyecto especificado.

Inhabilitar el análisis del tráfico de MCP con Model Armor

Si quieres usar Model Armor en un proyecto y dejar de analizar el tráfico de Google MCP con Model Armor, ejecuta el siguiente comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER