Usa el servidor de MCP remoto del Administrador de recursos

Roles obligatorios

Si deseas obtener los permisos necesarios para habilitar el servidor de MCP de Resource Manager, pídele a tu administrador que te otorgue el rol de IAM de Administrador de Service Usage (roles/serviceusage.serviceUsageAdmin) en el proyecto en el que deseas habilitar el servidor de MCP de Resource Manager. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para habilitar el servidor de MCP de Resource Manager. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para habilitar el servidor MCP de Resource Manager:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Habilita o inhabilita el servidor de MCP de Resource Manager

Puedes habilitar o inhabilitar el servidor de MCP de Resource Manager en un proyecto con el comando gcloud beta services mcp enable. Para obtener más información, consulta las siguientes secciones.

Habilita el servidor de MCP de Resource Manager en un proyecto

Si usas diferentes proyectos para tus credenciales de cliente, como claves de cuentas de servicio, ID de cliente de OAuth o claves de API, y para alojar tus recursos, debes habilitar el servicio de Resource Manager y el servidor MCP remoto de Resource Manager en ambos proyectos.

Para habilitar el servidor de MCP de Resource Manager en tu proyecto deGoogle Cloud , ejecuta el siguiente comando:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud .
  • SERVICE: Es el nombre del servicio global o regional de Resource Manager. Por ejemplo, cloudresourcemanager.googleapis.com o cloudresourcemanager.us-central1.rep.googleapis.com. Para conocer las regiones disponibles, consulta la referencia de MCP de Resource Manager.

El servidor de MCP remoto de Resource Manager está habilitado para usarse en tu proyecto Google Cloud . Si el servicio de Resource Manager no está habilitado para tu proyectoGoogle Cloud , se te solicitará que lo habilites antes de habilitar el servidor de MCP remoto de Resource Manager.

Como práctica recomendada de seguridad, te recomendamos que habilites los servidores de MCP solo para los servicios necesarios para que funcione tu aplicación basada en IA.

Inhabilita el servidor de MCP de Resource Manager en un proyecto

Para inhabilitar el servidor de MCP de Resource Manager en tu proyecto deGoogle Cloud , ejecuta el siguiente comando:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

El servidor de MCP de Resource Manager está inhabilitado para su uso en tu Google Cloud proyecto.

Autenticación y autorización

Los servidores de MCP de Resource Manager usan el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.

Alcances de OAuth de MCP de Resource Manager

OAuth 2.0 usa permisos y credenciales para determinar si un principal autenticado está autorizado a realizar una acción específica en un recurso. Si deseas obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Usa OAuth 2.0 para acceder a las APIs de Google.

Resource Manager tiene los siguientes permisos de OAuth de la herramienta de MCP:

URI del alcance para gcloud CLI Descripción
https://www.googleapis.com/auth/cloudresourcemanager.read-only Solo permite el acceso de lectura a los datos.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Permite el acceso para leer y modificar datos.

Es posible que se requieran alcances adicionales en los recursos a los que se accede durante una llamada a la herramienta. Para ver una lista de los permisos requeridos para Resource Manager, consulta la API de Resource Manager.

Configura un cliente de MCP para usar el servidor de MCP de Resource Manager

Las aplicaciones y los agentes de IA, como Claude o Gemini CLI, pueden crear una instancia de un cliente de MCP que se conecte a un solo servidor de MCP. Una aplicación de IA puede tener varios clientes que se conectan a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer, como mínimo, la URL del servidor de MCP remoto.

En tu aplicación de IA, busca una forma de conectarte a un servidor de MCP remoto. Se te pedirá que ingreses detalles sobre el servidor, como su nombre y URL.

Para el servidor de MCP de Resource Manager, ingresa lo siguiente según sea necesario:

  • Nombre del servidor: Servidor de MCP de Resource Manager
  • URL del servidor o Endpoint: cloudresourcemanager.googleapis.com/mcp
  • Transporte: HTTP
  • Detalles de autenticación: Según cómo quieras autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID y secreto de cliente de OAuth, o bien la identidad y las credenciales de un agente. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.
  • Permiso de OAuth: Es el permiso de OAuth 2.0 que deseas usar cuando te conectes al servidor de MCP de Resource Manager.

Para obtener orientación específica sobre el host, consulta lo siguiente:

Para obtener orientación más general, consulta los siguientes recursos:

Herramientas disponibles

Las herramientas de MCP de solo lectura tienen el atributo de MCP mcp.tool.isReadOnly establecido en true. Es posible que desees permitir solo herramientas de solo lectura en ciertos entornos a través de tu política de la organización.

Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de Resource Manager, consulta la referencia de MCP de Resource Manager.

Herramientas de lista

Usa el inspector de MCP para enumerar herramientas o envía una solicitud HTTP tools/list directamente al servidor de MCP remoto de Resource Manager. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejemplos de casos de uso

La herramienta search_projects en el servidor de MCP remoto de Resource Manager permite que los agentes de IA descubran e identifiquen de forma dinámica todos los proyectos Google Cloud a los que tienes los permisos necesarios para acceder, de modo que puedan ejecutar comandos en otras herramientas.

La herramienta devuelve una lista estructurada que contiene el ID del proyecto, el número y el estado del ciclo de vida del proyecto. A continuación, se muestran ejemplos de casos de uso del servidor MCP de Resource Manager:

  • Inventario de recursos y auditorías de accesibilidad: Enumera y resume los proyectos activos en la nube a los que tienes acceso.

    Instrucción del usuario: List all my active Google Cloud projects.

    Acción del agente: El agente envía una búsqueda al servidor de MCP para recuperar y mostrar una lista resumida de todos los proyectos activos con tus credenciales.

  • Búsquedas segmentadas basadas en el recurso superior: Recupera proyectos ubicados dentro de una carpeta o una organización específicas para reducir el alcance de una solicitud.

    Instrucción del usuario: Find all projects under Folder 223.

    Acción del agente: El agente ejecuta una llamada a herramienta con la búsqueda parent:folders/223 para devolver una lista de proyectos dentro de ese límite administrativo.

  • Resolución implícita del contexto: Cuando solicitas información sobre un recurso sin proporcionar un ID del proyecto específico, el agente puede resolver el contexto automáticamente.

    Instrucción del usuario: Check the status of my 'payment-processor' service.

    Acción del agente: El agente reconoce que falta un project_id para la herramienta de Cloud Run. Usa la herramienta search_projects para encontrar proyectos con payment en el nombre, identifica proyectos probables (como payment-prod-123) y te pide confirmación antes de continuar.

  • Descubrimiento específico del entorno: Puedes encontrar proyectos filtrados por entornos específicos o estructuras organizativas sin salir de la interfaz de chat.

    Instrucción del usuario: Which projects do I have access to in the staging environment?

    Acción del agente: El agente realiza una operación de búsqueda de todos los proyectos etiquetados o denominados staging que tienes permiso para ver y devuelve los IDs de proyecto específicos.

Personaliza el comportamiento del LLM

La herramienta search_projects es versátil, pero es posible que los LLM no siempre sepan cuándo consultar tu jerarquía de Google Cloud . Para llamar a la herramienta en situaciones específicas, proporciona contexto personalizado en un archivo Markdown, por ejemplo, ~/.gemini/GEMINI.md o un AGENTS.md a nivel del proyecto.

¿Qué sigue?