Se usó la API de Cloud Translation para traducir esta página.

Integración de Model Armor con servidores de MCP de Google Cloud

En este documento, se muestra cómo configurar Model Armor para proteger tus datos y el contenido seguro cuando envías solicitudes a los servicios Google Cloud que exponen herramientas y servidores del Protocolo de contexto del modelo (MCP).

Model Armor ayuda a proteger tus aplicaciones de IA basadas en agentes, ya que depura las llamadas y respuestas de las herramientas de MCP. Este proceso mitiga riesgos como la inyección de instrucciones y la divulgación de datos sensibles.

Antes de comenzar

Habilita los servidores de MCP que quieras usar. Para obtener más información, consulta Cómo habilitar o inhabilitar servidores de MCP.
Habilita la API de Model Armor en tu proyecto. Para obtener más información, consulta Habilita APIs.
Si tienes requisitos de residencia de datos, debes configurar un receptor de registros para enrutar los registros a una ubicación de almacenamiento que cumpla con los requisitos antes de habilitar Cloud Logging en el siguiente procedimiento. Configurar un receptor de registros ayuda a garantizar que los registros de Model Armor se almacenen en los buckets regionales adecuados. Para obtener más información, consulta Regionaliza tus registros.

Configura la protección para los servidores de MCP remotos y de Google Google Cloud

Para proteger las llamadas y respuestas de tu herramienta de MCP, crea un parámetro de Model Armor Floor y, luego, habilita la seguridad del contenido de MCP para tu proyecto. Un parámetro de configuración de límite define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto coherente de filtros a todas las llamadas y respuestas de herramientas de MCP dentro del proyecto.

Configura un límite mínimo de Model Armor con la limpieza de MCP habilitada. Para obtener más información, consulta Cómo configurar los parámetros de Model Armor.

Nota: Si el agente y el servidor de MCP se encuentran en proyectos diferentes, puedes crear parámetros de configuración de piso en ambos proyectos (el proyecto del cliente y el proyecto de recursos). En este caso, Model Armor se invoca dos veces, una para cada proyecto.

Consulta el siguiente comando de ejemplo:
```
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "HIGH", "filterType": "DANGEROUS"}]'
```
Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud .

Ten en cuenta los siguientes parámetros de configuración:
- INSPECT_AND_BLOCK: Es el tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las instrucciones y respuestas que coinciden con los filtros.
- ENABLED: Es el parámetro de configuración que habilita un filtro o la aplicación de una política.
- HIGH: Es el nivel de confianza para la configuración del filtro de IA responsable: Peligroso. Puedes modificar este parámetro de configuración, aunque los valores más bajos pueden generar más falsos positivos. Para obtener más información, consulta Cómo configurar los ajustes de piso.
En tu proyecto, habilita la protección de Model Armor para los servidores de MCP remotos.
```
gcloud beta services mcp content-security add modelarmor.googleapis.com --project=PROJECT_ID
```
Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud. Después de ejecutar este comando, Model Armor sanitiza todas las llamadas y respuestas de las herramientas de MCP del proyecto, independientemente de dónde se originen.
Para confirmar que el tráfico de Google MCP se envía a Model Armor, ejecuta el siguiente comando:
```
gcloud beta services mcp content-security get --project=PROJECT_ID
```
Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud .

Inhabilita Model Armor en un proyecto

Para inhabilitar Model Armor en un proyecto de Google Cloud , ejecuta el siguiente comando:

gcloud beta services mcp content-security remove modelarmor.googleapis.com \
    --project=PROJECT_ID

Reemplaza PROJECT_ID por el ID del proyecto Google Cloud .

Model Armor no analizará el tráfico de MCP de Google para el proyecto especificado.

Inhabilita el análisis del tráfico de MCP con Model Armor

Si deseas usar Model Armor en un proyecto y detener el análisis del tráfico de Google MCP con Model Armor, ejecuta el siguiente comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER