Remote-MCP-Server von Resource Manager verwenden

In diesem Dokument erfahren Sie, wie Sie den Remote-Server für das Model Context Protocol (MCP) von Resource Manager verwenden, um eine Verbindung zu KI-Anwendungen wie Gemini CLI, ChatGPT, Claude und benutzerdefinierten Anwendungen herzustellen, die Sie entwickeln. Mit dem Remote-MCP-Server von Resource Manager können Sie nach allen Google Cloud Projekten suchen und diese identifizieren, für die Sie die erforderlichen Berechtigungen haben . So haben Sie die richtigen IDs, bevor Sie versuchen, spezifischere Ressourcenkonfigurationen vorzunehmen.

Das Tool gibt eine strukturierte Liste mit der Projekt-ID, der Projektnummer und dem Lebenszyklusstatus des Projekts zurück. Der Remote-MCP-Server von Resource Manager wird aktiviert, wenn Sie die Resource Manager API aktivieren.

Model Context Protocol (MCP) standardisiert, wie Large Language Models (LLMs) und KI-Anwendungen oder ‑Agenten eine Verbindung zu externen Datenquellen herstellen. Mit MCP-Servern können Sie ihre Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten von ihrem Back-End-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server
werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standardeingabe- und ‑ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.
Remote-MCP-Server
werden in der Infrastruktur des Dienstes ausgeführt und bieten einen HTTP-Endpunkt für KI-Anwendungen zur Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Google- und Google Cloud Remote-MCP-Server

Google- und Google Cloud Remote-MCP-Server haben die folgenden Funktionen und Vorteile:

  • Vereinfachte, zentrale Erkennung
  • Verwaltete globale oder regionale HTTP-Endpunkte
  • Detaillierte Autorisierung
  • Optionale Prompt- und Antwortsicherheit mit Model Armor-Schutz
  • Zentralisierte Audit-Protokollierung

Informationen zu anderen MCP-Servern sowie zu Sicherheits und Governance-Kontrollen, die für Google Cloud-MCP-Server verfügbar sind, finden Sie unter Übersicht über Google Cloud-MCP-Server.

Hinweis

    Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

    gcloud init

    Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

    gcloud init

    Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Authentifizierung und Autorisierung

Der Remote-MCP-Server von Resource Manager verwendet das OAuth 2.0 Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Resource Manager-MCP-Server verwenden das OAuth 2.0 Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Resource Manager-MCP-Server akzeptiert keine API-Schlüssel für die Authentifizierung.

Wir empfehlen, eine separate Identität für Agenten zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.

OAuth-Bereiche für Resource Manager-MCP

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifizierter Prinzipal autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Resource Manager hat die folgenden OAuth-Bereiche für MCP-Tools:

Bereichs-URI für die gcloud CLI Beschreibung
https://www.googleapis.com/auth/cloudresourcemanager.read-only Ermöglicht nur den Zugriff zum Lesen von Daten.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Ermöglicht den Zugriff zum Lesen und Ändern von Daten.

Für die Ressourcen, auf die während eines Toolaufrufs zugegriffen wird, sind möglicherweise zusätzliche Bereiche erforderlich. Eine Liste der für Resource Manager erforderlichen Bereiche finden Sie unter Resource Manager API.

MCP-Client für die Verwendung des Resource Manager-MCP-Servers konfigurieren

KI-Anwendungen und ‑Agenten wie Claude oder Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client mindestens die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. seinen Namen und seine URL.

Geben Sie für den Resource Manager-MCP-Server nach Bedarf Folgendes ein:

  • Servername: Resource Manager-MCP-Server
  • Server-URL oder Endpunkt: https://cloudresourcemanager.googleapis.com/mcp
  • Transport: HTTP
  • Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Anmeldedaten, Ihre OAuth-Client-ID und Ihren Clientschlüssel oder eine Agentenidentität und ‑anmeldedaten eingeben. Google Cloud Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.
  • OAuth-Bereich: der OAuth 2.0-Bereich, den Sie verwenden möchten, wenn Sie eine Verbindung zum Resource Manager MCP-Server herstellen.

Eine hostspezifische Anleitung finden Sie hier:

Allgemeinere Anleitungen finden Sie in den folgenden Ressourcen:

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den Resource Manager-MCP-Server finden Sie in der Resource Manager-MCP-Referenz.

Tools auflisten

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list HTTP-Anfrage direkt an den Remote-MCP-Server von Resource Manager. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Mit dem Tool search_projects auf dem Remote-MCP-Server von Resource Manager können KI-Agenten dynamisch alle Projekte ermitteln und identifizieren, für die Sie die erforderlichen Berechtigungen haben, damit sie Befehle in anderen Tools ausführen können. Google Cloud

Das Tool gibt eine strukturierte Liste mit der Projekt-ID, der Projektnummer und dem Lebenszyklusstatus des Projekts zurück. Im Folgenden finden Sie Beispiele für Anwendungsfälle für den Resource Manager-MCP-Server:

  • Ressourceninventar und Prüfungen der Barrierefreiheit: Listen Sie die aktiven Cloud-Projekte auf, auf die Sie Zugriff haben, und fassen Sie sie zusammen.

    Nutzer-Prompt: „Liste alle meine aktiven Google Cloud Projekte auf.“

    Agentenaktion: Der Agent sendet eine Suchanfrage an den MCP-Server, um eine zusammengefasste Liste aller aktiven Projekte unter Ihren Anmeldedaten abzurufen und anzuzeigen.

  • Gezielte übergeordnete Suchen: Rufen Sie Projekte ab, die sich in einem bestimmten Ordner oder einer bestimmten Organisation befinden, um den Umfang einer Anfrage einzugrenzen.

    Nutzer-Prompt: „Finde alle Projekte unter Ordner 223.“

    Agentenaktion: Der Agent führt einen Toolaufruf mit der Abfrage parent:folders/223 aus, um eine Liste der Projekte innerhalb dieser Verwaltungsgrenze zurückzugeben.

  • Implizite Kontextauflösung: Wenn Sie Informationen zu einer Ressource anfordern, ohne eine bestimmte Projekt-ID anzugeben, kann der Agent den Kontext automatisch auflösen.

    Nutzer-Prompt: „Prüfe den Status meines Dienstes ‚Zahlungsabwicklung‘.“

    Agentenaktion: Der Agent erkennt, dass für das Cloud Run-Tool eine project_id fehlt. Er verwendet das search_projects Tool, um Projekte zu finden mit payment im Namen, identifiziert wahrscheinliche Projekte (z. B. payment-prod-123) und bittet Sie um Bestätigung, bevor er fortfährt.

  • Umgebungsspezifische Erkennung: Sie können Projekte filtern, die nach bestimmten Umgebungen oder Organisationsstrukturen gefiltert sind, ohne die Chat Oberfläche zu verlassen.

    Nutzer-Prompt: „Auf welche Projekte habe ich in der Staging-Umgebung Zugriff?“

    Agentenaktion: Der Agent führt eine Suchanfrage für alle Projekte aus, die mit staging gekennzeichnet oder benannt sind und für die Sie die Berechtigung zum Aufrufen haben, und gibt die spezifischen Projekt-IDs zurück.

LLM-Verhalten anpassen

Das search_projects Tool ist vielseitig, aber LLMs wissen möglicherweise nicht immer, wann sie Ihre Hierarchie abfragen müssen. Google Cloud Wenn Sie das Tool in bestimmten Szenarien aufrufen möchten, geben Sie benutzerdefinierten Kontext in einer Markdown-Datei an, z. B. ~/.gemini/GEMINI.md oder AGENTS.md auf Projektebene.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

Mit IAM-Ablehnungsrichtlinien (Identity and Access Management) können Sie Remote-MCP-Server schützen Google Cloud . Konfigurieren Sie diese Richtlinien, um den unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise basierend auf Folgendem verweigern oder zulassen:

  • Der Prinzipal
  • Toolattribute wie „schreibgeschützt“
  • Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit Identity and Access Management steuern.

Nächste Schritte