Usar o servidor MCP remoto do Resource Manager

Funções exigidas

Para receber as permissões necessárias para ativar o servidor MCP do Resource Manager, peça ao administrador para conceder a você o papel do IAM de Administrador do Service Usage (roles/serviceusage.serviceUsageAdmin) no projeto em que você quer ativar o servidor MCP do Resource Manager. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para ativar o servidor MCP do Resource Manager. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para ativar o servidor MCP do Resource Manager:

serviceusage.mcppolicy.get
serviceusage.mcppolicy.update

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ativar ou desativar o servidor MCP do Resource Manager

É possível ativar ou desativar o servidor MCP do Resource Manager em um projeto com o comando gcloud beta services mcp enable. Para mais informações, consulte as seções a seguir.

Ativar o servidor MCP do Resource Manager em um projeto

Se você estiver usando projetos diferentes para suas credenciais de cliente, como chaves de conta de serviço, ID do cliente OAuth ou chaves de API, e para hospedar seus recursos, será necessário ativar o serviço Resource Manager e o servidor MCP remoto do Resource Manager em ambos os projetos.

Para ativar o servidor MCP do Resource Manager no seu projetoGoogle Cloud , execute o seguinte comando:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Substitua:

PROJECT_ID: o ID do projeto do Google Cloud .
SERVICE: o nome do serviço global ou regional do Resource Manager. Por exemplo, cloudresourcemanager.googleapis.com ou cloudresourcemanager.us-central1.rep.googleapis.com. Para conferir as regiões disponíveis, consulte a referência do MCP do Resource Manager.

O servidor MCP remoto do Resource Manager está ativado para uso no seu Google Cloud projeto. Se o serviço do Resource Manager não estiver ativado para seu projetoGoogle Cloud , você vai precisar ativar o serviço antes de ativar o servidor MCP remoto do Resource Manager.

Como prática recomendada de segurança, recomendamos que você ative os servidores MCP apenas para os serviços necessários para o funcionamento do aplicativo de IA.

Desativar o servidor MCP do Resource Manager em um projeto

Para desativar o servidor MCP do Resource Manager no seu projetoGoogle Cloud , execute o seguinte comando:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

O servidor MCP do Resource Manager está desativado para uso no seu projeto Google Cloud .

Autenticação e autorização

Os servidores MCP do Resource Manager usam o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores MCP.

Recomendamos criar uma identidade separada para agentes que usam ferramentas do MCP. Assim, é possível controlar e monitorar o acesso aos recursos. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.

Escopos do OAuth do MCP do Resource Manager

O OAuth 2.0 usa escopos e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.

O Resource Manager tem os seguintes escopos do OAuth da ferramenta MCP:

URI de escopo para a CLI gcloud	Descrição
`https://www.googleapis.com/auth/cloudresourcemanager.read-only`	Permite o acesso apenas para leitura de dados.
`https://www.googleapis.com/auth/cloudresourcemanager.read-write`	Permite acesso para ler e modificar dados.

Outros escopos podem ser necessários nos recursos acessados durante uma chamada de ferramenta. Para conferir uma lista de escopos necessários para o Resource Manager, consulte a API Resource Manager.

Configurar um cliente MCP para usar o servidor MCP do Resource Manager

Aplicativos e agentes de IA, como a CLI do Claude ou do Gemini, podem instanciar um cliente MCP que se conecta a um único servidor MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores MCP. Para se conectar a um servidor MCP remoto, o cliente MCP precisa saber, no mínimo, o URL do servidor MCP remoto.

No seu aplicativo de IA, procure uma maneira de se conectar a um servidor MCP remoto. Você precisa inserir detalhes sobre o servidor, como nome e URL.

Para o servidor MCP do Resource Manager, insira o seguinte conforme necessário:

Nome do servidor: servidor MCP do Resource Manager
URL do servidor ou Endpoint: cloudresourcemanager.googleapis.com/mcp
Transporte: HTTP
Detalhes da autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID do cliente e a chave secreta do OAuth ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.
Escopo do OAuth: o escopo do OAuth 2.0 que você quer usar ao se conectar ao servidor MCP do Resource Manager.

Para orientações específicas do host, consulte:

Para orientações mais gerais, consulte os seguintes recursos:

Ferramentas disponíveis

As ferramentas do MCP somente leitura têm o atributo mcp.tool.isReadOnly do MCP definido como true. Talvez você queira permitir apenas ferramentas de leitura em determinados ambientes usando sua política da organização.

Para conferir detalhes das ferramentas do MCP disponíveis e as descrições delas para o servidor MCP do Resource Manager, consulte a referência do MCP do Resource Manager.

Ferramentas de lista

Use o MCP Inspector para listar ferramentas ou envie uma solicitação HTTP tools/list diretamente ao servidor MCP remoto do Resource Manager. O método tools/list não requer autenticação.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemplos de casos de uso

A ferramenta search_projects no servidor MCP remoto do Resource Manager permite que os agentes de IA descubram e identifiquem dinamicamente todos os projetos Google Cloud a que você tem as permissões necessárias para acessar, de modo que eles possam executar comandos em outras ferramentas.

A ferramenta retorna uma lista estruturada com o ID do projeto, o número e o estado do ciclo de vida do projeto. Confira a seguir exemplos de casos de uso do servidor MCP do Resource Manager:

Inventário de recursos e auditorias de acessibilidade: liste e resuma os projetos ativos do cloud acessíveis a você.

Comando do usuário: List all my active Google Cloud projects.

Ação do agente: o agente envia uma consulta de pesquisa ao servidor MCP para recuperar e mostrar uma lista resumida de todos os projetos ativos nas suas credenciais.
Pesquisas segmentadas com base no recurso pai: recupere projetos localizados em uma pasta ou organização específica para restringir o escopo de uma solicitação.

Comando do usuário: Find all projects under Folder 223.

Ação do agente: o agente executa uma chamada de ferramenta com a consulta parent:folders/223 para retornar uma lista de projetos dentro desse limite administrativo.
Resolução implícita de contexto: quando você pede informações sobre um recurso sem fornecer um ID do projeto específico, o agente pode resolver o contexto automaticamente.

Comando do usuário: Check the status of my 'payment-processor' service.

Ação do agente: o agente reconhece que um project_id está faltando para a ferramenta do Cloud Run. Ele usa a ferramenta search_projects para encontrar projetos com payment no nome, identifica projetos prováveis (como payment-prod-123) e pede confirmação antes de continuar.
Descoberta específica do ambiente: é possível encontrar projetos filtrados por ambientes ou estruturas organizacionais específicos sem sair da interface de chat.

Comando do usuário: Which projects do I have access to in the staging environment?

Ação do agente: o agente realiza uma operação de pesquisa em todos os projetos rotulados ou nomeados staging que você tem permissão para visualizar e retorna os IDs específicos do projeto.

Personalizar o comportamento do LLM

A ferramenta search_projects é versátil, mas os LLMs nem sempre sabem quando consultar sua hierarquia de Google Cloud . Para chamar a ferramenta em cenários específicos, forneça um contexto personalizado em um arquivo Markdown, por exemplo, ~/.gemini/GEMINI.md ou um AGENTS.md no nível do projeto.

A seguir

Leia a documentação de referência do MCP do Resource Manager.
Saiba mais sobre os servidores MCP do Google Cloud.