Utiliser le serveur MCP distant Resource Manager

Rôles requis

Pour obtenir les autorisations nécessaires pour activer le serveur MCP Resource Manager, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin) sur le projet dans lequel vous souhaitez activer le serveur MCP Resource Manager. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour activer le serveur MCP Resource Manager. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour activer le serveur MCP Resource Manager :

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer ou désactiver le serveur MCP Resource Manager

Vous pouvez activer ou désactiver le serveur MCP Resource Manager dans un projet à l'aide de la commande gcloud beta services mcp enable. Pour en savoir plus, consultez les sections suivantes.

Activer le serveur MCP Resource Manager dans un projet

Si vous utilisez différents projets pour vos identifiants client (tels que les clés de compte de service, l'ID client OAuth ou les clés API) et pour héberger vos ressources, vous devez activer le service Resource Manager et le serveur MCP distant Resource Manager dans les deux projets.

Pour activer le serveur MCP Resource Manager dans votre projetGoogle Cloud , exécutez la commande suivante :

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • SERVICE : nom du service global ou régional pour Resource Manager. Par exemple, cloudresourcemanager.googleapis.com ou cloudresourcemanager.us-central1.rep.googleapis.com. Pour connaître les régions disponibles, consultez la référence MCP Resource Manager.

Le serveur MCP distant Resource Manager est activé pour être utilisé dans votre projet Google Cloud . Si le service Resource Manager n'est pas activé pour votre projetGoogle Cloud , vous êtes invité à l'activer avant d'activer le serveur MCP Resource Manager à distance.

Pour respecter les bonnes pratiques de sécurité, nous vous recommandons d'activer les serveurs MCP uniquement pour les services nécessaires au fonctionnement de votre application d'IA.

Désactiver le serveur MCP Resource Manager dans un projet

Pour désactiver le serveur MCP Resource Manager dans votre projetGoogle Cloud , exécutez la commande suivante :

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Le serveur MCP Resource Manager est désactivé pour être utilisé dans votre projet Google Cloud .

Authentification et autorisation

Les serveurs MCP Resource Manager utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les identitésGoogle Cloud sont acceptées pour l'authentification auprès des serveurs MCP.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Habilitations OAuth MCP Resource Manager

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

Resource Manager dispose des champs d'application OAuth suivants pour l'outil MCP :

URI du champ d'application pour gcloud CLI Description
https://www.googleapis.com/auth/cloudresourcemanager.read-only Octroie un accès ne permettant que de lire les données.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Octroie un accès permettant de lire et de modifier les données.

Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles l'outil accède lors d'un appel. Pour afficher la liste des champs d'application requis pour Resource Manager, consultez API Resource Manager.

Configurer un client MCP pour utiliser le serveur MCP Resource Manager

Les applications et agents d'IA, tels que Claude ou CLI Gemini, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut comporter plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître au minimum l'URL du serveur MCP distant.

Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP Resource Manager, saisissez les informations suivantes si nécessaire :

  • Nom du serveur : serveur MCP Resource Manager
  • URL du serveur ou point de terminaison : cloudresourcemanager.googleapis.com/mcp
  • Transport : HTTP
  • Informations d'authentification : selon la méthode d'authentification choisie, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
  • Champ d'application OAuth : champ d'application OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP Resource Manager.

Pour obtenir des conseils spécifiques à un hôte, consultez les articles suivants :

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Outils disponibles

Les outils MCP en lecture seule ont l'attribut MCP mcp.tool.isReadOnly défini sur true. Vous pouvez choisir d'autoriser uniquement les outils en lecture seule dans certains environnements via votre règle d'administration.

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Resource Manager, consultez la documentation de référence sur le serveur MCP Resource Manager.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant Resource Manager. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemples de cas d'utilisation

L'outil search_projects du serveur MCP distant Resource Manager permet aux agents d'IA de découvrir et d'identifier dynamiquement tous les projets Google Cloud auxquels vous avez les autorisations nécessaires pour accéder, afin qu'ils puissent exécuter des commandes dans d'autres outils.

L'outil renvoie une liste structurée contenant l'ID, le numéro et l'état du cycle de vie du projet. Voici des exemples de cas d'utilisation du serveur MCP Resource Manager :

  • Inventaire des ressources et audits d'accessibilité : listez et résumez les projets cloud actifs auxquels vous avez accès.

    Requête de l'utilisateur : List all my active Google Cloud projects.

    Action de l'agent : l'agent envoie une requête de recherche au serveur MCP pour récupérer et afficher une liste récapitulative de tous les projets actifs sous vos identifiants.

  • Recherches ciblées basées sur le parent : récupérez les projets situés dans un dossier ou une organisation spécifiques pour affiner le champ d'application d'une requête.

    Requête de l'utilisateur : Find all projects under Folder 223.

    Action de l'agent : l'agent exécute un appel d'outil avec la requête parent:folders/223 pour renvoyer une liste des projets dans cette limite administrative.

  • Résolution implicite du contexte : lorsque vous demandez des informations sur une ressource sans fournir d'ID de projet spécifique, l'agent peut résoudre le contexte automatiquement.

    Requête de l'utilisateur : Check the status of my 'payment-processor' service.

    Action de l'agent : l'agent reconnaît qu'un project_id est manquant pour l'outil Cloud Run. Il utilise l'outil search_projects pour trouver les projets dont le nom contient payment, identifie les projets probables (tels que payment-prod-123) et vous demande de confirmer avant de continuer.

  • Découverte spécifique à l'environnement : vous pouvez trouver des projets filtrés par des environnements ou des structures organisationnelles spécifiques sans quitter l'interface de chat.

    Requête de l'utilisateur : Which projects do I have access to in the staging environment?

    Action de l'agent : l'agent effectue une opération de recherche pour tous les projets libellés ou nommés staging pour lesquels vous disposez d'une autorisation d'affichage, puis renvoie les ID de projet spécifiques.

Personnaliser le comportement des LLM

L'outil search_projects est polyvalent, mais les LLM ne savent pas toujours quand interroger votre hiérarchie Google Cloud . Pour appeler l'outil dans des scénarios spécifiques, fournissez un contexte personnalisé dans un fichier Markdown, par exemple ~/.gemini/GEMINI.md ou un AGENTS.md au niveau du projet.

Étapes suivantes