Usa el servidor de MCP remoto del Administrador de recursos

En este documento, se muestra cómo usar el servidor de Protocolo de contexto del modelo (MCP) remoto de Resource Manager para conectarte con aplicaciones de IA, incluidas la CLI de Gemini, ChatGPT, Claude y las aplicaciones personalizadas que estás desarrollando. El servidor de MCP remoto de Resource Manager te permite buscar e identificar todos los Google Cloud proyectos a los que tienes los permisos necesarios para acceder, lo que garantiza que tengas los identificadores correctos antes de intentar configuraciones de recursos más específicas.

La herramienta muestra una lista estructurada que contiene el ID del proyecto, el número del proyecto y el estado del ciclo de vida del proyecto. El servidor de MCP remoto de Resource Manager se habilita cuando habilitas la API de Resource Manager.

El Protocolo de contexto del modelo (MCP) estandariza la forma en que los modelos de lenguaje grandes (LLM) y las aplicaciones o los agentes de IA se conectan a fuentes de datos externas. Los servidores de MCP te permiten usar sus herramientas, recursos y mensajes para realizar acciones y obtener datos actualizados de su servicio de backend.

¿Cuál es la diferencia entre los servidores de MCP locales y remotos?

Servidores de MCP locales
Por lo general, se ejecutan en tu máquina local y usan los flujos de entrada y salida estándar (stdio) para la comunicación entre los servicios en el mismo dispositivo.
Servidores de MCP remotos
Se ejecutan en la infraestructura del servicio y ofrecen un extremo HTTP a las aplicaciones de IA para la comunicación entre el cliente de MCP de IA y el servidor de MCP. Para obtener más información sobre la arquitectura de MCP, consulta Arquitectura de MCP.

Servidores de MCP de Google y Google Cloud remotos

Los servidores de MCP de Google y Google Cloud remotos tienen las siguientes funciones y beneficios:

  • Descubrimiento simplificado y centralizado
  • Extremos HTTP globales o regionales administrados
  • Autorización detallada
  • Seguridad opcional de mensajes y respuestas con protección de Model Armor
  • Registro de auditoría centralizado

Para obtener información sobre otros servidores de MCP y sobre los controles de seguridad y administración disponibles para los servidores de MCP de Google Cloud, consulta Descripción general de los servidores de MCP de Google Cloud.

Antes de comenzar

    Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Instala la Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando: 

    gcloud init

    Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Instala la Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando: 

    gcloud init

    Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Autenticación y autorización

El servidor de MCP remoto de Resource Manager usa el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

Los servidores de MCP de Resource Manager usan el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

El servidor de MCP de Resource Manager no acepta claves de API para la autenticación.

Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Autenticación en servidores de MCP.

Permisos de OAuth de MCP de Resource Manager

OAuth 2.0 usa permisos y credenciales para determinar si una entidad autenticada está autorizada para realizar una acción específica en un recurso. Para obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Usa OAuth 2.0 para acceder a las APIs de Google.

Resource Manager tiene los siguientes permisos de OAuth de la herramienta de MCP:

URI del permiso para gcloud CLI Descripción
https://www.googleapis.com/auth/cloudresourcemanager.read-only Solo permite el acceso para leer datos.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Permite el acceso para leer y modificar datos.

Es posible que se requieran permisos adicionales en los recursos a los que se accede durante una llamada a la herramienta. Para ver una lista de los permisos necesarios para Resource Manager, consulta la API de Resource Manager.

Configura un cliente de MCP para usar el servidor de MCP de Resource Manager

Las aplicaciones y los agentes de IA, como Claude o la CLI de Gemini, pueden crear una instancia de un cliente de MCP que se conecte a un solo servidor de MCP. Una aplicación de IA puede tener varios clientes que se conecten a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer, como mínimo, la URL del servidor de MCP remoto.

En tu aplicación de IA, busca una forma de conectarte a un servidor de MCP remoto. Se te solicitará que ingreses detalles sobre el servidor, como su nombre y URL.

Para el servidor de MCP de Resource Manager, ingresa lo siguiente según sea necesario:

  • Nombre del servidor: Servidor de MCP de Resource Manager
  • URL del servidor o extremo: https://cloudresourcemanager.googleapis.com/mcp
  • Transporte: HTTP
  • Detalles de autenticación: Según cómo quieras autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID de cliente y secreto de OAuth, o una identidad y credenciales de agente. Para obtener más información sobre la autenticación, consulta Autenticación en servidores de MCP.
  • Permiso de OAuth: Es el permiso de OAuth 2.0 que deseas usar cuando te conectas al servidor de MCP de Resource Manager.

Para obtener instrucciones específicas del host, consulta lo siguiente:

Para obtener instrucciones más generales, consulta los siguientes recursos:

Herramientas disponibles

Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de Resource Manager, consulta la referencia de MCP de Resource Manager.

Herramientas de lista

Usa el inspector de MCP para enumerar las herramientas o enviar una tools/list solicitud HTTP directamente al servidor de MCP remoto de Resource Manager. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejemplos de casos de uso

La herramienta search_projects en el servidor de MCP remoto de Resource Manager permite que los agentes de IA descubran y identifiquen de forma dinámica todos los proyectos a los que tienes los permisos necesarios para acceder, de modo que puedan ejecutar comandos en otras herramientas. Google Cloud

La herramienta muestra una lista estructurada que contiene el ID del proyecto, el número del proyecto y el estado del ciclo de vida del proyecto. Los siguientes son casos de uso de ejemplo para el servidor de MCP de Resource Manager:

  • Auditorías de inventario y accesibilidad de recursos: Enumera y resume los proyectos de nube activos a los que tienes acceso.

    Mensaje del usuario: "Enumera todos mis proyectos activos Google Cloud ".

    Acción del agente: El agente envía una consulta de búsqueda al servidor de MCP para recuperar y mostrar una lista resumida de todos los proyectos activos con tus credenciales.

  • Búsquedas segmentadas basadas en elementos superiores: Recupera proyectos ubicados dentro de una carpeta u organización específica para limitar el alcance de una solicitud.

    Mensaje del usuario: "Busca todos los proyectos en la carpeta 223".

    Acción del agente: El agente ejecuta una llamada a la herramienta con la consulta parent:folders/223 para mostrar una lista de proyectos dentro de ese límite administrativo.

  • Resolución de contexto implícita: Cuando solicitas información sobre un recurso sin proporcionar un ID del proyecto específico, el agente puede resolver el contexto automáticamente.

    Mensaje del usuario: "Verifica el estado de mi servicio 'payment-processor'".

    Acción del agente: El agente reconoce que falta un project_id para la herramienta de Cloud Run. Usa la herramienta search_projects para buscar proyectos con payment en el nombre, identifica proyectos probables (como payment-prod-123) y te pide confirmación antes de continuar.

  • Descubrimiento específico del entorno: Puedes encontrar proyectos filtrados por entornos específicos o estructuras organizacionales sin salir de la interfaz de chat.

    Mensaje del usuario: "¿A qué proyectos tengo acceso en el entorno de etapa de pruebas?".

    Acción del agente: El agente realiza una operación de búsqueda para todos los proyectos etiquetados o denominados staging que tienes permiso para ver y muestra los IDs de proyecto específicos.

Personaliza el comportamiento de LLM

La herramienta search_projects es versátil, pero es posible que los LLM no siempre sepan cuándo consultar tu Google Cloud jerarquía. Para llamar a la herramienta en situaciones específicas, proporciona un contexto personalizado en un archivo Markdown, por ejemplo, ~/.gemini/GEMINI.md o un AGENTS.md a nivel del proyecto.

Controla el uso de MCP con políticas de denegación de IAM

Las políticas de denegación de Identity and Access Management (IAM) te ayudan a proteger Google Cloud los servidores de MCP remotos. Configura estas políticas para bloquear el acceso no deseado a la herramienta de MCP.

Por ejemplo, puedes denegar o permitir el acceso según lo siguiente:

  • La entidad
  • Propiedades de la herramienta, como solo lectura
  • El ID de cliente de OAuth de la aplicación

Para obtener más información, consulta Controla el uso de MCP con Identity and Access Management.

¿Qué sigue?