Usar o servidor MCP remoto do Resource Manager

Este documento mostra como usar o servidor remoto do Resource Manager do Protocolo de Contexto de Modelo (MCP) para se conectar a aplicativos de IA, incluindo a CLI do Gemini, o ChatGPT, o Claude e aplicativos personalizados que você está desenvolvendo. O servidor MCP remoto do Resource Manager permite pesquisar e identificar todos os projetos Google Cloud a que você tem as permissões necessárias para acessar, garantindo que você tenha os identificadores corretos antes de tentar configurações de recursos mais específicas.

A ferramenta retorna uma lista estruturada com o ID do projeto, o número e o estado do ciclo de vida do projeto. O servidor MCP remoto do Resource Manager é ativado quando você ativa a API Resource Manager.

O padrão Protocolo de Contexto de Modelo (MCP) padroniza como os modelos de linguagem grandes (LLMs) e os aplicativos ou agentes de IA se conectam a fontes de dados externas. Com os servidores do MCP, você pode usar as ferramentas, os recursos e os comandos deles para realizar ações e receber dados atualizados do serviço de back-end.

Qual é a diferença entre servidores MCP locais e remotos?

Servidores MCP locais
Normalmente executados na máquina local e usam os fluxos de entrada e saída padrão (stdio) para comunicação entre serviços no mesmo dispositivo.
Servidores MCP remotos
Executar na infraestrutura do serviço e oferecer um endpoint HTTP para aplicativos de IA para comunicação entre o cliente MCP de IA e o servidor MCP. Para mais informações sobre a arquitetura do MCP, consulte Arquitetura do MCP.

Servidores MCP remotos e do Google Google Cloud

Os servidores MCP remotos do Google e do Google Cloud têm os seguintes recursos e benefícios:

  • Descoberta simplificada e centralizada
  • Endpoints HTTP globais ou regionais gerenciados
  • Autorização detalhada
  • Segurança opcional de comandos e respostas com a proteção do Model Armor
  • Registro de auditoria centralizado

Para informações sobre outros servidores MCP e controles de segurança e governança disponíveis para servidores MCP do Google Cloud, consulte Visão geral dos servidores MCP do Google Cloud.

Antes de começar

    Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Instale a CLI do Google Cloud. Após a instalação, inicialize a Google Cloud CLI executando o seguinte comando: 

    gcloud init

    Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Instale a CLI do Google Cloud. Após a instalação, inicialize a Google Cloud CLI executando o seguinte comando: 

    gcloud init

    Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Autenticação e autorização

O servidor MCP remoto do Resource Manager usa o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores MCP.

Os servidores MCP do Resource Manager usam o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores MCP.

O servidor MCP do Resource Manager não aceita chaves de API para autenticação.

Recomendamos criar uma identidade separada para agentes que usam ferramentas do MCP. Assim, é possível controlar e monitorar o acesso aos recursos. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.

Escopos do OAuth do MCP do Resource Manager

O OAuth 2.0 usa escopos e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.

O Resource Manager tem os seguintes escopos OAuth da ferramenta MCP:

URI de escopo para a CLI gcloud Descrição
https://www.googleapis.com/auth/cloudresourcemanager.read-only Permite o acesso apenas para leitura de dados.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Permite acesso para ler e modificar dados.

Outros escopos podem ser necessários nos recursos acessados durante uma chamada de ferramenta. Para conferir uma lista de escopos necessários para o Resource Manager, consulte a API Resource Manager.

Configurar um cliente MCP para usar o servidor MCP do Resource Manager

Aplicativos e agentes de IA, como a CLI do Claude ou do Gemini, podem instanciar um cliente MCP que se conecta a um único servidor MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores MCP. Para se conectar a um servidor MCP remoto, o cliente MCP precisa saber, no mínimo, o URL do servidor MCP remoto.

No seu aplicativo de IA, procure uma maneira de se conectar a um servidor MCP remoto. Você precisa inserir detalhes sobre o servidor, como nome e URL.

Para o servidor MCP do Resource Manager, insira o seguinte conforme necessário:

  • Nome do servidor: servidor MCP do Resource Manager
  • URL do servidor ou Endpoint: https://cloudresourcemanager.googleapis.com/mcp
  • Transporte: HTTP
  • Detalhes da autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID do cliente e a chave secreta do OAuth ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.
  • Escopo do OAuth: o escopo do OAuth 2.0 que você quer usar ao se conectar ao servidor MCP do Resource Manager.

Para orientações específicas do host, consulte:

Para orientações mais gerais, consulte os seguintes recursos:

Ferramentas disponíveis

Para conferir detalhes das ferramentas do MCP disponíveis e as descrições delas para o servidor MCP do Resource Manager, consulte a referência do MCP do Resource Manager.

Ferramentas de lista

Use o inspetor do MCP para listar ferramentas ou envie uma solicitação HTTP tools/list diretamente ao servidor MCP remoto do Resource Manager. O método tools/list não requer autenticação.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemplos de casos de uso

A ferramenta search_projects no servidor MCP remoto do Resource Manager permite que os agentes de IA descubram e identifiquem dinamicamente todos os projetos Google Cloud a que você tem as permissões necessárias para acessar, para que possam executar comandos em outras ferramentas.

A ferramenta retorna uma lista estruturada com o ID do projeto, o número e o estado do ciclo de vida do projeto. Confira a seguir exemplos de casos de uso do servidor MCP do Resource Manager:

  • Inventário de recursos e auditorias de acessibilidade: liste e resuma os projetos ativos do cloud acessíveis a você.

    Comando do usuário: "Liste todos os meus projetos Google Cloud ativos".

    Ação do agente: o agente envia uma consulta de pesquisa ao servidor MCP para recuperar e mostrar uma lista resumida de todos os projetos ativos nas suas credenciais.

  • Pesquisas segmentadas com base no recurso pai: recupere projetos localizados em uma pasta ou organização específica para restringir o escopo de uma solicitação.

    Comando do usuário: "Encontre todos os projetos na pasta 223".

    Ação do agente: o agente executa uma chamada de função com a consulta parent:folders/223 para retornar uma lista de projetos dentro desse limite administrativo.

  • Resolução implícita de contexto: quando você pede informações sobre um recurso sem fornecer um ID do projeto específico, o agente pode resolver o contexto automaticamente.

    Comando do usuário: "Verifique o status do meu serviço 'payment-processor'".

    Ação do agente: o agente reconhece que um project_id está faltando para a ferramenta do Cloud Run. Ele usa a ferramenta search_projects para encontrar projetos com payment no nome, identifica projetos prováveis (como payment-prod-123) e pede confirmação antes de continuar.

  • Descoberta específica do ambiente: é possível encontrar projetos filtrados por ambientes ou estruturas organizacionais específicos sem sair da interface de chat.

    Comando do usuário: "A quais projetos tenho acesso no ambiente de teste?"

    Ação do agente: o agente realiza uma operação de pesquisa em todos os projetos rotulados ou nomeados staging que você tem permissão para visualizar e retorna os IDs específicos do projeto.

Personalizar o comportamento do LLM

A ferramenta search_projects é versátil, mas os LLMs nem sempre sabem quando consultar sua hierarquia de Google Cloud . Para chamar a ferramenta em cenários específicos, forneça um contexto personalizado em um arquivo Markdown, por exemplo, ~/.gemini/GEMINI.md ou um AGENTS.md para envolvidos no projeto.

Controlar o uso do MCP com políticas de negação do IAM

As políticas de negação do Identity and Access Management (IAM) ajudam a proteger Google Cloud servidores MCP remotos. Configure essas políticas para bloquear o acesso indesejado às ferramentas do MCP.

Por exemplo, é possível negar ou permitir o acesso com base em:

  • O diretor
  • Propriedades da ferramenta, como somente leitura
  • O ID do cliente OAuth do aplicativo

Para mais informações, consulte Controlar o uso do MCP com o Identity and Access Management.

A seguir