Resource Manager リモート MCP サーバーを使用する

このドキュメントでは、Resource Manager リモート Model Context Protocol(MCP)サーバーを使用して、Gemini CLI、ChatGPT、Claude、開発中のカスタム アプリケーションなどの AI アプリケーションに接続する方法について説明します。Resource Manager リモート MCP サーバーを使用すると、アクセスに必要な権限を持つすべての Google Cloud プロジェクトを検索して識別できます。これにより、より具体的なリソース構成を試みる前に、正しい識別子を取得できます。

このツールは、プロジェクト ID、プロジェクト番号、プロジェクトのライフサイクル状態を含む構造化されたリストを返します。Resource Manager API を有効にすると、Resource Manager リモート MCP サーバーが有効になります。

Model Context Protocol(MCP)により、大規模言語モデル(LLM)と AI アプリケーション(エージェント)が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンド サービスから更新されたデータを取得できます。

ローカル MCP サーバーとリモート MCP サーバーの違いは何ですか?

ローカル MCP サーバー
通常はローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム(stdio)を使用します。
リモート MCP サーバー
サービスのインフラストラクチャで実行され、AI MCP クライアントと MCP サーバー間の通信用に AI アプリケーションに HTTP エンドポイントを提供します。MCP アーキテクチャの詳細については、MCP アーキテクチャをご覧ください。

Google と Google Cloud リモート MCP サーバー

Google と Google Cloud リモート MCP サーバーには、次の機能とメリットがあります。

  • 簡素化された一元的な検出
  • マネージド グローバルまたはリージョン HTTP エンドポイント
  • きめ細かい認可
  • Model Armor 保護によるプロンプトとレスポンスのセキュリティ(オプション)
  • 一元的な監査ロギング

他の MCP サーバーと、Google Cloud MCP サーバーで使用可能なセキュリティとガバナンスの制御については、Google Cloud MCP サーバーの概要をご覧ください。

始める前に

    Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Google Cloud CLI をインストールします。インストール後、次のコマンドを実行して Google Cloud CLI を初期化します。

    gcloud init

    外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Google Cloud CLI をインストールします。インストール後、次のコマンドを実行して Google Cloud CLI を初期化します。

    gcloud init

    外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

認証と認可

Resource Manager リモート MCP サーバーは、認証と認可に Identity and Access Management(IAM)OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。

Resource Manager MCP サーバーは、認証と認可に Identity and Access Management(IAM)OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。

Resource Manager MCP サーバーは、認証に API キーを使用できません。

リソースへのアクセスを制御およびモニタリングできるように、MCP ツールを使用してエージェント用に別個の ID を作成することをおすすめします。認証の詳細については、MCP サーバーに対して認証するをご覧ください。

Resource Manager MCP OAuth スコープ

OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。Google の OAuth 2.0 スコープの詳細については、OAuth 2.0 を使用して Google API にアクセスするをご覧ください。

Resource Manager には、次の MCP ツール OAuth スコープがあります。

gcloud CLI のスコープの URI 説明
https://www.googleapis.com/auth/cloudresourcemanager.read-only データの読み取りアクセスのみを許可します。
https://www.googleapis.com/auth/cloudresourcemanager.read-write データの読み取りと変更のアクセスを許可します。

ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。Resource Manager に必要なスコープのリストを表示するには、Resource Manager API をご覧ください。

Resource Manager MCP サーバーを使用するように MCP クライアントを構成する

Claude や Gemini CLI などの AI アプリケーションとエージェントは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。AI アプリケーションには、さまざまな MCP サーバーに接続する複数のクライアントを設定できます。リモート MCP サーバーに接続するには、MCP クライアントが少なくともリモート MCP サーバーの URL を認識している必要があります。

AI アプリケーションで、リモート MCP サーバーに接続する方法を探します。サーバー名や URL などのサーバーの詳細情報を入力するよう求められます。

Resource Manager MCP サーバーの場合は、必要に応じて次の情報を入力します。

  • サーバー名: Resource Manager MCP サーバー
  • サーバー URL またはエンドポイント: https://cloudresourcemanager.googleapis.com/mcp
  • トランスポート: HTTP
  • 認証の詳細: 認証方法に応じて、 Google Cloud 認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。認証の詳細については、MCP サーバーに対して認証するをご覧ください。
  • OAuth スコープ: Resource Manager MCP サーバーに接続するときに使用する OAuth 2.0 スコープ

ホスト固有のガイダンスについては、以下をご覧ください。

一般的なガイダンスについては、次のリソースをご覧ください。

使用可能なツール

Resource Manager MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、Resource Manager MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、tools/list HTTP リクエストを Resource Manager リモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

サンプルのユースケース

Resource Manager リモート MCP サーバーの search_projects ツールを使用すると、AI エージェントは、アクセスに必要な権限を持つすべての Google Cloud プロジェクトを動的に検出して識別し、他のツールでコマンドを実行できます。

このツールは、プロジェクト ID、プロジェクト番号、プロジェクトのライフサイクル状態を含む構造化されたリストを返します。Resource Manager MCP サーバーのユースケースの例を次に示します。

  • リソース インベントリとアクセシビリティ監査: アクセス可能なアクティブなクラウド プロジェクトを一覧表示して要約します。

    ユーザーのプロンプト: 「アクティブな Google Cloud プロジェクトをすべてリストして。」

    エージェントのアクション: エージェントは MCP サーバーに検索クエリを送信し、認証情報でアクティブなすべてのプロジェクトの概要リストを取得して表示します。

  • ターゲットを絞った親ベースの検索: 特定のフォルダまたは組織内にあるプロジェクトを取得して、リクエストのスコープを絞り込みます。

    ユーザー プロンプト: 「フォルダ 223 のすべてのプロジェクトを見つけて。」

    エージェントのアクション: エージェントは、クエリ parent:folders/223 を使用してツール呼び出しを実行し、その管理境界内のプロジェクトのリストを返します。

  • 暗黙的なコンテキスト解決: 特定のプロジェクト ID を指定せずにリソースに関する情報をリクエストすると、エージェントはコンテキストを自動的に解決できます。

    ユーザーのプロンプト: 「支払い処理サービスのステータスを確認して。」

    エージェントの対応: エージェントは、Cloud Run ツールに project_id がないことを認識します。search_projects ツールを使用して、名前に payment が含まれるプロジェクトを検索し、候補となるプロジェクト(payment-prod-123 など)を特定して、続行する前に確認を求めます。

  • 環境固有の検出: チャット インターフェースを離れることなく、特定の環境または組織構造でフィルタされたプロジェクトを見つけることができます。

    ユーザー プロンプト: 「ステージング環境でアクセスできるプロジェクトはどれですか?」

    エージェント アクション: エージェントは、表示権限のある staging というラベルまたは名前が付いたすべてのプロジェクトの検索オペレーションを実行し、特定のプロジェクト ID を返します。

LLM の動作をカスタマイズする

search_projects ツールは汎用性が高いですが、LLM は Google Cloud 階層をクエリするタイミングを常に把握しているとは限りません。特定のシナリオでツールを呼び出すには、Markdown ファイル(~/.gemini/GEMINI.md やプロジェクト レベルの AGENTS.md など)でカスタム コンテキストを指定します。

IAM 拒否ポリシーで MCP の使用を制御する

Identity and Access Management(IAM)拒否ポリシーは、 Google Cloud リモート MCP サーバーの保護に役立ちます。これらのポリシーを構成して、不要な MCP ツールへのアクセスをブロックします。

たとえば、次の条件に基づいてアクセスを拒否または許可できます。

  • プリンシパル
  • 読み取り専用などのツール プロパティ
  • アプリケーションの OAuth クライアント ID

詳細については、Identity and Access Management による MCP の使用の制御をご覧ください。

次のステップ