Utiliser le serveur MCP distant Resource Manager

Ce document vous explique comment utiliser le serveur MCP (Model Context Protocol) distant Resource Manager pour vous connecter à des applications d'IA, y compris Gemini CLI, ChatGPT, Claude et les applications personnalisées que vous développez. Le serveur MCP distant Resource Manager vous permet de rechercher et d'identifier tous les projets Google Cloud auxquels vous avez les autorisations nécessaires pour accéder. Vous pouvez ainsi vous assurer d'avoir les identifiants corrects avant de tenter des configurations de ressources plus spécifiques.

L'outil renvoie une liste structurée contenant l'ID du projet, le numéro du projet et l'état du cycle de vie du projet. Le serveur MCP distant Resource Manager est activé lorsque vous activez l'API Resource Manager.

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Quelle est la différence entre les serveurs MCP locaux et distants ?

Serveurs MCP locaux
S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.
Serveurs MCP à distance
 s'exécute sur l'infrastructure du service et propose un point de terminaison HTTP aux applications d'IA pour la communication entre le client AI MCP et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Google et les serveurs MCP distants Google Cloud

Les serveurs MCP Google et Google Cloud distants présentent les fonctionnalités et avantages suivants :

  • Découverte simplifiée et centralisée
  • Points de terminaison HTTP mondiaux ou régionaux gérés
  • Autorisations précises
  • Sécurité facultative des requêtes et des réponses avec la protection Model Armor
  • Journaux d'audit centralisés

Pour en savoir plus sur les autres serveurs MCP, ainsi que sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.

Avant de commencer

    Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante : 

    gcloud init

    Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante : 

    gcloud init

    Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Authentification et autorisation

Le serveur MCP distant Resource Manager utilise le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Les serveurs MCP Resource Manager utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP Resource Manager n'accepte pas les clés API pour l'authentification.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Habilitations OAuth MCP Resource Manager

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

Resource Manager dispose des champs d'application OAuth de l'outil MCP suivants :

URI du champ d'application pour gcloud CLI Description
https://www.googleapis.com/auth/cloudresourcemanager.read-only Octroie un accès ne permettant que de lire les données.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Octroie un accès permettant de lire et de modifier les données.

Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles l'outil accède lors d'un appel. Pour afficher la liste des champs d'application requis pour Resource Manager, consultez API Resource Manager.

Configurer un client MCP pour utiliser le serveur MCP Resource Manager

Les applications et agents d'IA, tels que Claude ou Gemini CLI, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître au minimum l'URL du serveur MCP distant.

Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP Resource Manager, saisissez les informations requises :

  • Nom du serveur : serveur MCP Resource Manager
  • URL du serveur ou point de terminaison : https://cloudresourcemanager.googleapis.com/mcp
  • Transport : HTTP
  • Informations d'authentification : selon la méthode d'authentification que vous souhaitez utiliser, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
  • Champ d'application OAuth : champ d'application OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP Resource Manager.

Pour obtenir des conseils spécifiques à un hôte, consultez les articles suivants :

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Resource Manager, consultez la documentation de référence sur le serveur MCP Resource Manager.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant Resource Manager. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemples de cas d'utilisation

L'outil search_projects du serveur MCP distant Resource Manager permet aux agents IA de découvrir et d'identifier dynamiquement tous les projets Google Cloud auxquels vous avez les autorisations nécessaires pour accéder, afin qu'ils puissent exécuter des commandes dans d'autres outils.

L'outil renvoie une liste structurée contenant l'ID du projet, le numéro du projet et l'état du cycle de vie du projet. Voici des exemples de cas d'utilisation du serveur MCP Resource Manager :

  • Inventaire des ressources et audits d'accessibilité : listez et résumez les projets cloud actifs auxquels vous avez accès.

    Requête utilisateur : "Liste tous mes projets Google Cloud actifs."

    Action de l'agent : l'agent envoie une requête de recherche au serveur MCP pour récupérer et afficher une liste récapitulative de tous les projets actifs associés à vos identifiants.

  • Recherches ciblées basées sur le parent : récupérez les projets situés dans un dossier ou une organisation spécifiques pour affiner le champ d'application d'une requête.

    Requête utilisateur : "Trouve tous les projets du dossier 223."

    Action de l'agent : l'agent exécute un appel d'outil avec la requête parent:folders/223 pour renvoyer une liste des projets dans cette limite administrative.

  • Résolution implicite du contexte : lorsque vous demandez des informations sur une ressource sans fournir d'ID de projet spécifique, l'agent peut résoudre le contexte automatiquement.

    Requête utilisateur : "Vérifie l'état de mon service 'payment-processor'."

    Action de l'agent : l'agent reconnaît qu'un project_id est manquant pour l'outil Cloud Run. Il utilise l'outil search_projects pour trouver les projets dont le nom contient payment, identifie les projets probables (tels que payment-prod-123) et vous demande de confirmer avant de continuer.

  • Découverte spécifique à l'environnement : vous pouvez trouver des projets filtrés par des environnements ou des structures organisationnelles spécifiques sans quitter l'interface de chat.

    Requête utilisateur : "À quels projets ai-je accès dans l'environnement de préproduction ?"

    Action de l'agent : l'agent effectue une opération de recherche pour tous les projets libellés ou nommés staging pour lesquels vous disposez d'une autorisation d'affichage, puis renvoie les ID de projet spécifiques.

Personnaliser le comportement des LLM

L'outil search_projects est polyvalent, mais les LLM ne savent pas toujours quand interroger votre hiérarchie Google Cloud . Pour appeler l'outil dans des scénarios spécifiques, fournissez un contexte personnalisé dans un fichier Markdown, par exemple ~/.gemini/GEMINI.md ou un AGENTS.md au niveau du projet.

Contrôler l'utilisation du MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

  • Le compte principal
  • Propriétés de l'outil, comme la lecture seule
  • ID client OAuth de l'application

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.

Étapes suivantes