Remote-MCP-Server von Resource Manager verwenden

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Service Usage Admin (roles/serviceusage.serviceUsageAdmin) für das Projekt zuzuweisen, in dem Sie den Resource Manager MCP-Server aktivieren möchten, um die Berechtigungen zu erhalten, die Sie zum Aktivieren des Resource Manager MCP-Servers benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Aktivieren des Resource Manager MCP-Servers erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Resource Manager MCP-Server zu aktivieren:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Resource Manager-MCP-Server aktivieren oder deaktivieren

Sie können den Resource Manager MCP-Server in einem Projekt mit dem Befehl gcloud beta services mcp enable aktivieren oder deaktivieren. Weitere Informationen finden Sie in den folgenden Abschnitten.

Resource Manager-MCP-Server in einem Projekt aktivieren

Wenn Sie für Ihre Clientanmeldedaten (z. B. Dienstkontoschlüssel, OAuth-Client-ID oder API-Schlüssel) und für das Hosting Ihrer Ressourcen unterschiedliche Projekte verwenden, müssen Sie den Resource Manager-Dienst und den Remote-MCP-Server von Resource Manager in beiden Projekten aktivieren.

Führen Sie den folgenden Befehl aus, um den Resource Manager MCP-Server in IhremGoogle Cloud -Projekt zu aktivieren:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Google Cloud Projekt-ID.
  • SERVICE: Der globale oder regionale Dienstname für Resource Manager. Beispiel: cloudresourcemanager.googleapis.com oder cloudresourcemanager.us-central1.rep.googleapis.com. Informationen zu verfügbaren Regionen finden Sie in der Resource Manager MCP-Referenz.

Der Resource Manager-Remote-MCP-Server ist für die Verwendung in Ihrem Google Cloud -Projekt aktiviert. Wenn der Resource Manager-Dienst für IhrGoogle Cloud -Projekt nicht aktiviert ist, werden Sie aufgefordert, den Dienst zu aktivieren, bevor Sie den Resource Manager-Remote-MCP-Server aktivieren.

Als Best Practice für die Sicherheit empfehlen wir, MCP-Server nur für die Dienste zu aktivieren, die für die Funktion Ihrer KI-Anwendung erforderlich sind.

Resource Manager-MCP-Server in einem Projekt deaktivieren

Führen Sie den folgenden Befehl aus, um den Resource Manager MCP-Server in IhremGoogle Cloud -Projekt zu deaktivieren:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Der Resource Manager-MCP-Server ist für die Verwendung in Ihrem Google Cloud Projekt deaktiviert.

Authentifizierung und Autorisierung

Resource Manager MCP-Server verwenden das OAuth 2.0-Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Wir empfehlen, eine separate Identität für Kundenservicemitarbeiter zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

OAuth-Bereiche für Resource Manager MCP

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifiziertes Hauptkonto autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Resource Manager hat die folgenden OAuth-Bereiche für MCP-Tools:

Bereichs-URI für die gcloud CLI Beschreibung
https://www.googleapis.com/auth/cloudresourcemanager.read-only Gewährt nur Lesezugriff auf Daten.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Ermöglicht den Zugriff zum Lesen und Ändern von Daten.

Möglicherweise sind zusätzliche Bereiche für die Ressourcen erforderlich, auf die während eines Tool-Aufrufs zugegriffen wird. Eine Liste der für Resource Manager erforderlichen Bereiche finden Sie unter Resource Manager API.

MCP-Client für die Verwendung des Resource Manager-MCP-Servers konfigurieren

KI-Anwendungen und ‑Agents wie Claude oder Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die sich mit verschiedenen MCP-Servern verbinden. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client mindestens die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den Resource Manager-MCP-Server Folgendes ein:

  • Servername: Resource Manager-MCP-Server
  • Server-URL oder Endpunkt: cloudresourcemanager.googleapis.com/mcp
  • Transport: HTTP
  • Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Google Cloud Anmeldedaten, Ihre OAuth-Client-ID und Ihren OAuth-Clientschlüssel oder eine Agent-Identität und Anmeldedaten eingeben. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.
  • OAuth-Bereich: Der OAuth 2.0-Bereich, den Sie beim Herstellen einer Verbindung zum Resource Manager MCP-Server verwenden möchten.

Hostspezifische Anleitungen finden Sie hier:

Allgemeine Informationen finden Sie in den folgenden Ressourcen:

Verfügbare Tools

Bei schreibgeschützten MCP-Tools ist das MCP-Attribut mcp.tool.isReadOnly auf true festgelegt. Möglicherweise möchten Sie in bestimmten Umgebungen nur schreibgeschützte Tools über Ihre Organisationsrichtlinie zulassen.

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den Resource Manager-MCP-Server finden Sie in der Resource Manager-MCP-Referenz.

Tools für Listen

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list-HTTP-Anfrage direkt an den Remote-MCP-Server des Resource Manager. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Mit dem Tool search_projects auf dem Remote-MCP-Server des Resource Managers können KI-Agents dynamisch alle Google Cloud Projekte ermitteln und identifizieren, auf die Sie die erforderlichen Berechtigungen haben, damit sie Befehle in anderen Tools ausführen können.

Das Tool gibt eine strukturierte Liste mit der Projekt-ID, der Projektnummer und dem Lebenszyklusstatus des Projekts zurück. Im Folgenden finden Sie einige Beispielanwendungsfälle für den Resource Manager MCP-Server:

  • Ressourceninventar und Barrierefreiheitsprüfungen: Hier werden die aktiven Cloud-Projekte, auf die Sie Zugriff haben, aufgelistet und zusammengefasst.

    Nutzer-Prompt: List all my active Google Cloud projects.

    Agent-Aktion: Der Agent sendet eine Suchanfrage an den MCP-Server, um eine zusammengefasste Liste aller aktiven Projekte unter Ihren Anmeldedaten abzurufen und anzuzeigen.

  • Zielgerichtete übergeordnete Suchen: Rufen Sie Projekte ab, die sich in einem bestimmten Ordner oder einer bestimmten Organisation befinden, um den Umfang einer Anfrage einzugrenzen.

    Nutzer-Prompt: Find all projects under Folder 223.

    Agent-Aktion: Der Agent führt einen Tool-Aufruf mit der Anfrage parent:folders/223 aus, um eine Liste der Projekte innerhalb dieser administrativen Einheit zurückzugeben.

  • Implizite Kontextauflösung: Wenn Sie Informationen zu einer Ressource anfordern, ohne eine bestimmte Projekt-ID anzugeben, kann der Agent den Kontext automatisch auflösen.

    Nutzer-Prompt: Check the status of my 'payment-processor' service.

    Agent-Aktion: Der Agent erkennt, dass für das Cloud Run-Tool ein project_id fehlt. Dazu wird das Tool search_projects verwendet, um Projekte mit payment im Namen zu finden. Es werden wahrscheinliche Projekte wie payment-prod-123 identifiziert und Sie werden um Bestätigung gebeten, bevor fortgefahren wird.

  • Umgebungsspezifische Suche: Sie können Projekte nach bestimmten Umgebungen oder Organisationsstrukturen filtern, ohne die Chatoberfläche zu verlassen.

    Nutzer-Prompt: Which projects do I have access to in the staging environment?

    Agent-Aktion: Der Agent führt einen Suchvorgang für alle Projekte mit dem Label oder Namen staging durch, für die Sie die Berechtigung zum Aufrufen haben, und gibt die spezifischen Projekt-IDs zurück.

LLM-Verhalten anpassen

Das search_projects-Tool ist vielseitig, aber LLMs wissen möglicherweise nicht immer, wann sie Ihre Google Cloud Hierarchie abfragen müssen. Wenn Sie das Tool in bestimmten Szenarien aufrufen möchten, geben Sie benutzerdefinierten Kontext in einer Markdown-Datei an, z. B. ~/.gemini/GEMINI.md oder AGENTS.md auf Projektebene.

Nächste Schritte