Utiliser le serveur MCP distant Spanner

Ce document explique comment utiliser le serveur MCP (Model Context Protocol) distant Spanner pour vous connecter à des applications d'IA, y compris Gemini CLI, ChatGPT, Claude et les applications personnalisées que vous développez. Le serveur MCP Spanner vous permet d'accéder aux outils Spanner et de les exécuter pour créer, gérer et interroger des ressources Spanner à partir de vos environnements de développement compatibles avec l'IA et de vos plates-formes d'agents d'IA. .

Le serveur MCP distant Spanner est activé lorsque vous activez l'API Spanner.

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Quelle est la différence entre les serveurs MCP locaux et distants ?

Serveurs MCP locaux
S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.
Serveurs MCP à distance
 s'exécute sur l'infrastructure du service et propose un point de terminaison HTTP aux applications d'IA pour la communication entre le client AI MCP et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Pour en savoir plus sur le serveur MCP local Spanner, consultez Serveur MCP Spanner sur GitHub.

Google et les serveurs MCP distants Google Cloud

Les serveurs MCP Google et Google Cloud distants présentent les fonctionnalités et avantages suivants :

  • Découverte simplifiée et centralisée
  • Points de terminaison HTTP mondiaux ou régionaux gérés
  • Autorisations précises
  • Sécurité facultative des requêtes et des réponses avec la protection Model Armor
  • Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Activez l'API Spanner.

    Rôles requis pour activer les API

    Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

    Activer l'API

    Pour les nouveaux projets, l'API Spanner est automatiquement activée.

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur Spanner MCP, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur Spanner MCP :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP Spanner. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser le serveur MCP Spanner :

  • Effectuer des appels d'outils MCP : mcp.tools.call
  • Utilisez les outils Spanner MCP :
    • spanner.instances.create
    • spanner.instances.get
    • spanner.databases.create
    • spanner.databases.update
    • spanner.sessions.create
    • spanner.instanceOperations.get
    • spanner.databases.getDdl
    • spanner.databases.select
    • spanner.databases.write

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Authentification et autorisation

Les serveurs MCP Spanner utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP distant Spanner n'accepte pas les clés API.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Champs d'application OAuth Spanner MCP

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

Spanner dispose des niveaux d'accès OAuth suivants pour l'outil MCP :

URI du champ d'application pour gcloud CLI Description
https://www.googleapis.com/auth/spanner.admin Permet d'administrer vos instances et bases de données Spanner.
https://www.googleapis.com/auth/spanner.data Permet d'afficher et de gérer les données d'une base de données Spanner.

Pour en savoir plus sur ces niveaux d'accès, consultez API Spanner.

Configurer un client MCP pour qu'il utilise le serveur MCP Spanner

Les programmes hôtes, tels que Claude ou Gemini CLI, peuvent instancier des clients MCP qui se connectent à un seul serveur MCP. Un programme hôte peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître au minimum l'URL du serveur MCP distant.

Suivez les instructions ci-dessous pour configurer les clients MCP afin qu'ils se connectent à votre serveur MCP Spanner distant.

CLI Gemini

Pour ajouter un serveur MCP Spanner distant à Gemini CLI, configurez-le en tant qu'extension.

  1. Créez un fichier d'extension à l'emplacement suivant : ~/.gemini/extensions/EXT_NAME/gemini-extension.json~/ est votre répertoire d'accueil et EXT_NAME le nom que vous souhaitez donner à l'extension.

  2. Ajoutez le contenu suivant à votre fichier d'extension :

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Spanner MCP Server": {
              "httpUrl": "https://spanner.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. Enregistrez le fichier d'extensions.

  4. Lancez Gemini CLI :

            gemini

  5. Exécutez /mcp dans la CLI pour afficher votre serveur MCP configuré et ses outils.

    La réponse est semblable à ce qui suit :

            Configured MCP servers:
        🟢 Spanner MCP Server (from spanner )
          - get_database_ddl
          - get_instance
          - get_operation
          - create_database
          - create_instance
          - create_session
          - commit
          - execute_sql
          - list_databases
          - list_instances

Le serveur MCP distant est prêt à être utilisé dans Gemini CLI.

Claude.ai

Vous devez disposer d'un forfait Claude Enterprise, Pro, Max ou Team pour configurer les serveurs Google et Google Cloud MCP dans Claude.ai. Pour en savoir plus sur les tarifs, consultez la page Tarifs de Claude.

Pour ajouter un serveur MCP distant Spanner à Claude.ai, configurez un connecteur personnalisé avec un ID client OAuth et un code secret du client OAuth :

Créez un ID client et un code secret OAuth 2.0.

  1. Dans la console Google Cloud , accédez à Google Auth Platform > Clients > Créer un client.

    Accéder à la page "Créer un client"

    Si aucun projet n'est sélectionné, vous êtes invité à en créer un.

  2. Dans la liste Type d'application, sélectionnez Application Web.

  3. Dans le champ Nom, saisissez le nom de votre application.

  4. Dans la section URI de redirection autorisés, cliquez sur + Ajouter un URI, puis ajoutez https://claude.ai/api/mcp/auth_callback dans le champ URI.

  5. Cliquez sur Créer. Le client est créé. Pour accéder à l'ID client, accédez à Google Auth Platform > Clients dans la console Google Cloud .

  6. Dans la liste ID client OAuth 2.0, sélectionnez le nom du client.

  7. Dans la section Codes secrets du client, copiez le code secret du client et enregistrez-le dans un emplacement sécurisé. Vous ne pouvez le copier qu'une seule fois. Si vous le perdez, supprimez le code secret et créez-en un autre.

Créer un connecteur personnalisé dans Claude.ai

  1. Dans Claude.ai, accédez aux paramètres des connecteurs pour votre forfait :

    • Pour le forfait Enterprise ou Team, accédez à Paramètres d'administration > Connecteurs.
    • Pour les forfaits Pro ou Max, accédez à Paramètres > Connecteurs.

  2. Cliquez sur Ajouter un connecteur personnalisé.

  3. Dans la boîte de dialogue Ajouter un connecteur personnalisé, saisissez les informations suivantes :

    • Nom du serveur : nom lisible du serveur.
    • URL du serveur MCP distant : https://spanner.googleapis.com/mcp

  4. Développez le menu Paramètres avancés, puis saisissez les informations suivantes :

    • ID client OAuth : ID client OAuth 2.0 que vous avez créé.
    • Code secret du client OAuth (plans Pro et Max uniquement) : code secret de votre client OAuth 2.0. Pour récupérer le code secret, accédez à Google Auth Platform > Clients, puis sélectionnez l'ID client OAuth que vous avez créé. Dans la section Codes secrets du client, cliquez pour copier le code secret du client.

  5. Cliquez sur Ajouter.

    Le connecteur personnalisé est créé.

  6. Ouvrez le menu Outils et activez le connecteur.

    Claude.ai peut utiliser le serveur MCP.

ChatGPT

Vous devez disposer d'un abonnement ChatGPT Business pour utiliser les serveurs MCP Google et Spanner avec ChatGPT.

Pour ajouter un serveur MCP Spanner distant à ChatGPT, créez un ID client et un secret Google OAuth 2.0, puis ajoutez le serveur MCP en tant qu'application dans ChatGPT.

Créez un ID client et un code secret OAuth 2.0.

  1. Dans la console Google Cloud , accédez à Google Auth Platform > Clients > Créer un client.

    Accéder à la page "Créer un client"

    Si aucun projet n'est sélectionné, vous êtes invité à en créer un.

  2. Dans la liste Type d'application, sélectionnez Application Web.

  3. Dans le champ Nom, saisissez le nom de votre application.

  4. Dans la section Origines JavaScript autorisées, cliquez sur + Ajouter un URI, puis ajoutez https://chatgpt.com dans le champ URI.

  5. Dans la section URI de redirection autorisés, cliquez sur + Ajouter un URI, puis ajoutez https://chatgpt.com/connector_platform_oauth_redirect dans le champ URI.

  6. Cliquez sur Créer. Le client est créé. Pour accéder à l'ID client, accédez à Google Auth Platform > Clients dans la console Google Cloud .

  7. Dans la liste ID client OAuth 2.0, sélectionnez le nom du client.

  8. Dans la section Codes secrets du client, copiez le code secret du client et enregistrez-le dans un emplacement sécurisé. Vous ne pouvez le copier qu'une seule fois. Si vous le perdez, supprimez le code secret et créez-en un autre.

Ajouter le serveur MCP en tant qu'application dans ChatGPT

  1. Connectez-vous à ChatGPT.
  2. Activez le mode développeur :
    1. Dans ChatGPT, cliquez sur votre nom d'utilisateur pour ouvrir le menu "Profil", puis sélectionnez Paramètres.
    2. Dans le menu "Paramètres", sélectionnez Applications, puis cliquez sur Paramètres avancés.
    3. Dans les paramètres avancés, cliquez sur le bouton Mode développeur pour l'activer.
  3. Dans Paramètres > Applications, cliquez sur le bouton Créer une application.
  4. Dans la boîte de dialogue Nouvelle application, saisissez les informations suivantes :
    • Nom : nom du serveur MCP.
    • Description : description facultative du serveur MCP.
    • URL du serveur MCP : https://spanner.googleapis.com/mcp
    • Authentification :
      • Dans le menu Authentication (Authentification), sélectionnez OAuth.
      • Dans le champ ID client OAuth, saisissez votre ID client Google OAuth.
      • Dans le champ Secret OAuth, saisissez le code secret de votre client Google OAuth.
    • Confirmez que vous comprenez les risques associés à l'utilisation du serveur MCP, puis cliquez sur Créer.

Le serveur MCP s'affiche dans le menu Applications et est prêt à être utilisé via des requêtes de chat.

Conseils généraux pour les clients MCP

Si des instructions spécifiques pour votre client MCP ne sont pas incluses dans Configurer un client MCP pour utiliser le serveur MCP Spanner, utilisez les informations suivantes pour vous connecter à un serveur MCP distant dans votre programme hôte ou votre application d'IA. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP Spanner distant, saisissez les informations suivantes :

  • Nom du serveur : serveur MCP Spanner
  • URL du serveur ou point de terminaison : https://spanner.googleapis.com/mcp
  • Transport : HTTP
  • Informations d'authentification : selon la méthode d'authentification que vous souhaitez utiliser, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent.

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Spanner, consultez la documentation de référence sur le serveur MCP Spanner.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP Spanner à distance. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: spanner.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Observabilité

Le serveur MCP Spanner est compatible avec les outils d'introspection et d'observabilité Spanner.

Demander des tags

Les requêtes exécutées ou les transactions validées à l'aide du serveur MCP Spanner sont automatiquement taguées avec des tags de requête spécifiques. Vous pouvez utiliser ces tags pour déboguer des requêtes et des transactions. Pour en savoir plus, consultez Résoudre les problèmes liés aux tags de requête et aux tags de transaction.

Nom de l'outil Tag de demande
execute_sql mcp_execute_sql
execute_sql_readonly mcp_execute_sql_readonly
commit mcp_commit

Exemples de cas d'utilisation

Voici des exemples de cas d'utilisation du serveur MCP Spanner.

Développement d'applications avec Spanner

Un développeur d'applications peut utiliser le serveur MCP Spanner pour provisionner des ressources, créer des bases de données et remplir des exemples de données.

Exemple de requête : "Crée une instance Spanner régionale dans le projet PROJECT_ID avec la configuration d'instance régionale us-central1. Crée une base de données pour suivre l'inventaire et ajoute cinq exemples de produits."

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Workflow :

Le workflow de développement d'une application peut se présenter comme suit :

  • L'agent appelle l'outil create_instance pour provisionner une nouvelle instance Spanner à l'aide de la configuration d'instance spécifiée. L'agent peut appeler l'outil get_operation pour vérifier si l'instance est prête à être utilisée.

  • L'agent appelle l'outil create_database pour créer une base de données avec le schéma requis. L'agent peut appeler l'outil get_operation pour vérifier l'état de l'opération de création de la base de données.

  • L'agent peut utiliser une combinaison des outils create_session, execute_sql et commit pour insérer des exemples de données.

  • Si vous le souhaitez, l'agent peut appeler l'outil execute_sql pour interroger et valider la création d'exemples de données.

Insights opérationnels et gestion de la configuration de la base de données

Les administrateurs Spanner peuvent utiliser le serveur MCP Spanner pour collecter des informations sur les instances et les bases de données Spanner à l'aide d'outils tels que list_instances, get_instance, list_databases et get_database_ddl.

Exemples de requêtes :

  • "Liste toutes les instances Spanner du projet actuel."
  • "Liste toutes les bases de données de l'instance Spanner actuelle."
  • "Affiche le schéma de la base de données Spanner actuelle."

Configurations de sécurité et de protection facultatives

MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou votre projet Google Cloud.

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Utiliser Model Armor

Model Armor est un serviceGoogle Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de services cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à assurer la conformité et à appliquer vos règles de sécurité de l'IA de manière cohérente dans votre paysage d'IA diversifié.

Lorsque Model Armor est activé avec la journalisation activée, il enregistre l'intégralité de la charge utile. Cela peut exposer des informations sensibles dans vos journaux.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Console

  1. Activer l'API Model Armor

    Rôles requis pour activer les API

    Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

    Activer l'API

  2. Sélectionnez le projet dans lequel vous souhaitez activer Model Armor.

gcloud

Avant de commencer, suivez ces étapes à l'aide de la Google Cloud CLI avec l'API Model Armor :

  1. Dans la console Google Cloud , activez Cloud Shell.

    Activer Cloud Shell

    En bas de la console Google Cloud , une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.

  2. Exécutez la commande suivante pour définir le point de terminaison de l'API pour le service Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Remplacez LOCATION par la région dans laquelle vous souhaitez utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger les appels et les réponses de votre outil MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.

Consultez l'exemple de commande suivant :

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Notez les paramètres suivants :

  • INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.
  • ENABLED : paramètre qui active un filtre ou une application forcée.
  • MEDIUM_AND_ABOVE : niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Niveaux de confiance de Model Armor.

Désactiver l'analyse du trafic MCP avec Model Armor

Pour empêcher Model Armor d'analyser automatiquement le trafic vers et depuis les serveurs MCP Google en fonction des paramètres de plancher du projet, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l'ID du projet Google Cloud . Model Armor n'applique pas automatiquement les règles définies dans les paramètres de plancher de ce projet au trafic des serveurs MCP Google.

Les paramètres de base et la configuration générale de Model Armor peuvent avoir un impact au-delà du MCP. Étant donné que Model Armor s'intègre à des services tels que la plate-forme d'agent, toute modification apportée aux paramètres de plancher peut affecter l'analyse du trafic et les comportements de sécurité dans tous les services intégrés, et pas seulement dans MCP.

Contrôler l'utilisation du MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

  • Le compte principal
  • Propriétés de l'outil, comme la lecture seule
  • ID client OAuth de l'application

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.

Étapes suivantes