Utilizzare il server MCP remoto di Resource Manager

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per abilitare il server MCP di Resource Manager, chiedi all'amministratore di concederti il ruolo IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin) sul progetto in cui vuoi abilitare il server MCP di Resource Manager. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per attivare il server MCP di Resource Manager. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per abilitare il server MCP di Resource Manager sono necessarie le seguenti autorizzazioni:

serviceusage.mcppolicy.get
serviceusage.mcppolicy.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Attivare o disattivare il server MCP di Resource Manager

Puoi attivare o disattivare il server MCP di Resource Manager in un progetto con il comando gcloud beta services mcp enable. Per saperne di più, consulta le sezioni seguenti.

Abilitare il server MCP di Resource Manager in un progetto

Se utilizzi progetti diversi per le credenziali client, ad esempio chiavi del service account, ID client OAuth o chiavi API, e per l'hosting delle risorse, devi attivare il servizio Resource Manager e il server MCP remoto di Resource Manager in entrambi i progetti.

Per abilitare il server MCP di Resource Manager nel tuo progettoGoogle Cloud , esegui questo comando:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID progetto Google Cloud .
SERVICE: il nome del servizio globale o regionale per Resource Manager. Ad esempio, cloudresourcemanager.googleapis.com o cloudresourcemanager.us-central1.rep.googleapis.com. Per le regioni disponibili, consulta il riferimento MCP di Resource Manager.

Il server MCP remoto di Resource Manager è abilitato per l'utilizzo nel tuo progetto Google Cloud . Se il servizio Resource Manager non è abilitato per il tuo progettoGoogle Cloud , ti viene chiesto di abilitarlo prima di abilitare il server MCP remoto di Resource Manager.

Come best practice di sicurezza, ti consigliamo di abilitare i server MCP solo per i servizi necessari per il funzionamento della tua applicazione di AI.

Disabilita il server MCP di Resource Manager in un progetto

Per disattivare il server MCP di Resource Manager nel tuo progettoGoogle Cloud , esegui questo comando:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Il server MCP di Resource Manager è disattivato per l'utilizzo nel tuo progetto Google Cloud .

Autenticazione e autorizzazione

I server MCP di Resource Manager utilizzano il protocollo OAuth 2.0 con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione. Tutte le identitàGoogle Cloud sono supportate per l'autenticazione ai server MCP.

Consigliamo di creare un'identità separata per gli agenti che utilizzano gli strumenti MCP in modo che l'accesso alle risorse possa essere controllato e monitorato. Per saperne di più sull'autenticazione, consulta Autenticarsi sui server MCP.

Ambiti OAuth MCP di Resource Manager

OAuth 2.0 utilizza ambiti e credenziali per determinare se un principal autenticato è autorizzato a eseguire un'azione specifica su una risorsa. Per saperne di più sugli ambiti OAuth 2.0 in Google, leggi Utilizzare OAuth 2.0 per accedere alle API di Google.

Resource Manager dispone dei seguenti ambiti OAuth dello strumento MCP:

URI dell'ambito per gcloud CLI	Descrizione
`https://www.googleapis.com/auth/cloudresourcemanager.read-only`	Consente solo l'accesso in lettura ai dati.
`https://www.googleapis.com/auth/cloudresourcemanager.read-write`	Consente l'accesso per leggere e modificare i dati.

Potrebbero essere necessari ambiti aggiuntivi per le risorse a cui si accede durante una chiamata allo strumento. Per visualizzare un elenco degli ambiti richiesti per Resource Manager, consulta API Resource Manager.

Configurare un client MCP per utilizzare il server MCP di Resource Manager

Le applicazioni e gli agenti AI, come Claude o Gemini CLI, possono creare un client MCP che si connette a un singolo server MCP. Un'applicazione AI può avere più client che si connettono a server MCP diversi. Per connettersi a un server MCP remoto, il client MCP deve conoscere almeno l'URL del server MCP remoto.

Nella tua applicazione AI, cerca un modo per connetterti a un server MCP remoto. Ti viene chiesto di inserire i dettagli del server, ad esempio il nome e l'URL.

Per il server MCP di Resource Manager, inserisci quanto segue in base alle tue esigenze:

Nome server: server MCP di Resource Manager
URL server o endpoint: cloudresourcemanager.googleapis.com/mcp
Trasporto: HTTP
Dettagli di autenticazione: a seconda di come vuoi autenticarti, puoi inserire le tue Google Cloud credenziali, l'ID client e il client secret OAuth oppure un'identità e le credenziali dell'agente. Per saperne di più sull'autenticazione, consulta Autenticarsi sui server MCP.
Ambito OAuth: l'ambito OAuth 2.0 che vuoi utilizzare per connetterti al server MCP di Resource Manager.

Per indicazioni specifiche per l'host, consulta:

Per indicazioni più generali, consulta le seguenti risorse:

Strumenti disponibili

Gli strumenti MCP di sola lettura hanno l'attributo MCP mcp.tool.isReadOnly impostato su true. Potresti voler consentire solo strumenti di sola lettura in determinati ambienti tramite i criteri dell'organizzazione.

Per visualizzare i dettagli degli strumenti MCP disponibili e le relative descrizioni per il server MCP di Resource Manager, consulta il riferimento MCP di Resource Manager.

Strumenti per le liste

Utilizza lo strumento di controllo MCP per elencare gli strumenti o invia una richiesta HTTP tools/list direttamente al server MCP remoto di Resource Manager. Il metodo tools/list non richiede l'autenticazione.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Esempi di casi d'uso

Lo strumento search_projects nel server MCP remoto di Resource Manager consente agli agenti AI di scoprire e identificare dinamicamente tutti i progetti Google Cloud per cui disponi delle autorizzazioni necessarie per accedere, in modo che possano eseguire comandi in altri strumenti.

Lo strumento restituisce un elenco strutturato contenente l'ID progetto, il numero di progetto e lo stato del ciclo di vita del progetto. Di seguito sono riportati alcuni casi d'uso di esempio per il server MCP di Resource Manager:

Inventario delle risorse e controlli di accessibilità: elenca e riepiloga i progetti cloud attivi a cui puoi accedere.

Prompt dell'utente: List all my active Google Cloud projects.

Azione dell'agente: l'agente invia una query di ricerca al server MCP per recuperare e visualizzare un elenco riepilogativo di tutti i progetti attivi con le tue credenziali.
Ricerche mirate basate sul parent: recupera i progetti che si trovano all'interno di una cartella o un'organizzazione specifica per restringere l'ambito di una richiesta.

Prompt dell'utente: Find all projects under Folder 223.

Azione dell'agente: l'agente esegue una chiamata allo strumento con la query parent:folders/223 per restituire un elenco di progetti all'interno di questo confine amministrativo.
Risoluzione implicita del contesto: quando chiedi informazioni su una risorsa senza fornire un ID progetto specifico, l'agente può risolvere il contesto automaticamente.

Prompt dell'utente: Check the status of my 'payment-processor' service.

Azione dell'agente: l'agente riconosce che manca un project_id per lo strumento Cloud Run. Utilizza lo strumento search_projects per trovare progetti con payment nel nome, identifica i progetti probabili (ad esempio payment-prod-123) e ti chiede una conferma prima di procedere.
Rilevamento specifico per l'ambiente: puoi trovare progetti filtrati in base a ambienti o strutture organizzative specifici senza uscire dall'interfaccia di chat.

Prompt dell'utente: Which projects do I have access to in the staging environment?

Azione dell'agente: l'agente esegue un'operazione di ricerca per tutti i progetti etichettati o denominati staging per i quali hai l'autorizzazione alla visualizzazione e restituisce gli ID progetto specifici.

Personalizzare il comportamento dell'LLM

Lo strumento search_projects è versatile, ma i modelli linguistici di grandi dimensioni potrebbero non sapere sempre quando eseguire query sulla gerarchia Google Cloud . Per chiamare lo strumento in scenari specifici, fornisci un contesto personalizzato in un file Markdown, ad esempio, ~/.gemini/GEMINI.md o un AGENTS.md a livello di progetto.

Passaggi successivi

Leggi la documentazione di riferimento di Resource Manager MCP.
Scopri di più sui server MCP di Google Cloud.