Utilizzare il server MCP remoto di Resource Manager

Questo documento mostra come utilizzare il server Model Context Protocol (MCP) remoto di Resource Manager per connetterti ad applicazioni AI, tra cui Gemini CLI, ChatGPT, Claude e applicazioni personalizzate che stai sviluppando. Il server MCP remoto di Resource Manager ti consente di cercare e identificare tutti i Google Cloud progetti per i quali disponi delle autorizzazioni necessarie per l'accesso, assicurandoti di avere gli identificatori corretti prima di tentare configurazioni di risorse più specifiche.

Lo strumento restituisce un elenco strutturato contenente l'ID progetto, il numero di progetto e lo stato del ciclo di vita del progetto. Il server MCP remoto di Resource Manager è abilitato quando abiliti l'API Resource Manager.

Il Model Context Protocol (MCP) standardizza il modo in cui i modelli linguistici di grandi dimensioni (LLM) e le applicazioni o gli agenti AI si connettono a origini dati esterne. I server MCP ti consentono di utilizzare i loro strumenti, risorse e prompt per eseguire azioni e ottenere dati aggiornati dal loro servizio di backend.

Qual è la differenza tra i server MCP locali e remoti?

Server MCP locali
In genere vengono eseguiti sulla macchina locale e utilizzano i flussi di input e output standard (stdio) per la comunicazione tra i servizi sullo stesso dispositivo.
Server MCP remoti
Vengono eseguiti sull'infrastruttura del servizio e offrono un endpoint HTTP alle applicazioni AI per la comunicazione tra il client MCP AI e il server MCP. Per saperne di più sull'architettura MCP, consulta Architettura MCP.

Server MCP Google e remoti Google Cloud

I server MCP Google e Google Cloud remoti hanno le seguenti funzionalità e i seguenti vantaggi:

  • Rilevamento semplificato e centralizzato
  • Endpoint HTTP globali o regionali gestiti
  • Autorizzazione granulare
  • Sicurezza di prompt e risposte facoltativa con la protezione Model Armor
  • Logging di controllo centralizzato

Per informazioni su altri server MCP e sui controlli di sicurezza e governance disponibili per i server MCP di Google Cloud, consulta la panoramica dei server MCP di Google Cloud.

Prima di iniziare

    Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente: 

    gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente: 

    gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Autenticazione e autorizzazione

Il server MCP remoto di Resource Manager utilizza il protocollo OAuth 2.0 con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione. Tutte le Google Cloud identità sono supportate per l'autenticazione ai server MCP.

I server MCP di Resource Manager utilizzano il protocollo OAuth 2.0 con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione. Tutte le Google Cloud identità sono supportate per l'autenticazione ai server MCP.

Il server MCP di Resource Manager non accetta le chiavi API per l'autenticazione.

Ti consigliamo di creare un'identità separata per gli agenti che utilizzano gli strumenti MCP in modo che l'accesso alle risorse possa essere controllato e monitorato. Per saperne di più sull' autenticazione, consulta Autenticarsi ai server MCP.

Ambiti OAuth MCP di Resource Manager

OAuth 2.0 utilizza ambiti e credenziali per determinare se un'entità autenticata è autorizzata a eseguire un'azione specifica su una risorsa. Per saperne di più sugli ambiti OAuth 2.0 in Google, consulta Utilizzare OAuth 2.0 per accedere alle API di Google.

Resource Manager ha i seguenti ambiti OAuth per gli strumenti MCP:

URI dell'ambito per gcloud CLI Descrizione
https://www.googleapis.com/auth/cloudresourcemanager.read-only Consente l'accesso solo alla lettura dei dati.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Consente l'accesso alla lettura e alla modifica dei dati.

Potrebbero essere necessari ambiti aggiuntivi per le risorse a cui si accede durante una chiamata allo strumento. Per visualizzare un elenco degli ambiti richiesti per Resource Manager, consulta API Resource Manager.

Configurare un client MCP per utilizzare il server MCP di Resource Manager

Le applicazioni e gli agenti AI, come Claude o Gemini CLI, possono creare un'istanza di un client MCP che si connette a un singolo server MCP. Un'applicazione AI può avere più client che si connettono a server MCP diversi. Per connettersi a un server MCP remoto, il client MCP deve conoscere almeno l'URL del server MCP remoto.

Nell'applicazione AI, cerca un modo per connetterti a un server MCP remoto. Ti viene chiesto di inserire i dettagli del server, come il nome e l'URL.

Per il server MCP di Resource Manager, inserisci quanto segue, se necessario:

  • Nome server: server MCP di Resource Manager
  • URL server o endpoint: https://cloudresourcemanager.googleapis.com/mcp
  • Trasporto: HTTP
  • Dettagli di autenticazione: a seconda della modalità di autenticazione, puoi inserire le tue Google Cloud credenziali, l'ID client OAuth e il secret o un'identità e le credenziali dell'agente. Per saperne di più sull' autenticazione, consulta Autenticarsi ai server MCP.
  • Ambito OAuth: l'ambito OAuth 2.0 che vuoi utilizzare quando ti connetti al server MCP di Resource Manager.

Per indicazioni specifiche per l'host, consulta:

Per indicazioni più generali, consulta le seguenti risorse:

Strumenti disponibili

Per visualizzare i dettagli degli strumenti MCP disponibili e le relative descrizioni per il server MCP di Resource Manager, consulta il riferimento MCP di Resource Manager.

Elencare gli strumenti

Utilizza l'ispettore MCP per elencare gli strumenti o invia una tools/list richiesta HTTP direttamente al server MCP remoto di Resource Manager. Il metodo tools/list non richiede l'autenticazione.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Esempi di casi d'uso

Lo strumento search_projects nel server MCP remoto di Resource Manager consente agli agenti AI di scoprire e identificare dinamicamente tutti i progetti Google Cloud per i quali disponi delle autorizzazioni necessarie per l'accesso, in modo che possano eseguire comandi in altri strumenti.

Lo strumento restituisce un elenco strutturato contenente l'ID progetto, il numero di progetto e lo stato del ciclo di vita del progetto. Di seguito sono riportati esempi di casi d'uso per il server MCP di Resource Manager:

  • Inventario delle risorse e audit di accessibilità: elenca e riepiloga i progetti cloud attivi accessibili.

    Prompt utente: "Elenca tutti i miei progetti attivi Google Cloud ."

    Azione dell'agente: l'agente invia una query di ricerca al server MCP per recuperare e visualizzare un elenco riepilogativo di tutti i progetti attivi con le tue credenziali.

  • Ricerche mirate basate sul progetto padre: recupera i progetti che si trovano in una cartella o in un'organizzazione specifica per restringere l'ambito di una richiesta.

    Prompt utente: "Trova tutti i progetti nella cartella 223."

    Azione dell'agente: l'agente esegue una chiamata allo strumento con la query parent:folders/223 per restituire un elenco di progetti all'interno di questo limite amministrativo.

  • Risoluzione implicita del contesto: quando chiedi informazioni su una risorsa senza fornire un ID progetto specifico, l'agente può risolvere automaticamente il contesto.

    Prompt utente: "Controlla lo stato del mio servizio 'payment-processor'."

    Azione dell'agente: l'agente riconosce che manca un project_id per lo strumento Cloud Run. Utilizza lo strumento search_projects per trovare i progetti con payment nel nome, identifica i progetti probabili (ad esempio payment-prod-123) e ti chiede conferma prima di procedere.

  • Rilevamento specifico per l'ambiente: puoi trovare i progetti filtrati in base a ambienti o strutture organizzative specifici senza uscire dall'interfaccia di chat.

    Prompt utente: "A quali progetti ho accesso nell'ambiente di staging?"

    Azione dell'agente: l'agente esegue un'operazione di ricerca per tutti i progetti etichettati o denominati staging per i quali hai l'autorizzazione a visualizzare e restituisce gli ID progetto specifici.

Personalizzare il comportamento dell'LLM

Lo strumento search_projects è versatile, ma gli LLM potrebbero non sapere sempre quando eseguire una query sulla Google Cloud gerarchia. Per chiamare lo strumento in scenari specifici, fornisci un contesto personalizzato in un file Markdown, ad esempio ~/.gemini/GEMINI.md o AGENTS.md a livello di progetto.

Controllare l'utilizzo di MCP con i criteri di rifiuto IAM

I criteri di rifiuto di Identity and Access Management (IAM) ti aiutano a proteggere Google Cloud i server MCP remoti. Configura questi criteri per bloccare l'accesso indesiderato agli strumenti MCP.

Ad esempio, puoi negare o consentire l'accesso in base a:

  • L'entità
  • Proprietà dello strumento come sola lettura
  • L'ID client OAuth dell'applicazione

Per saperne di più, consulta Controllare l'utilizzo di MCP con Identity and Access Management.

Passaggi successivi