שימוש בשרת MCP מרוחק של Spanner

במאמר הזה נסביר איך להשתמש בשרת Model Context Protocol‏ (MCP) מרוחק של Spanner כדי להתחבר לאפליקציות מבוססות-AI, כולל Gemini CLI, ‏ ChatGPT, ‏ Claude ואפליקציות בהתאמה אישית שאתם מפתחים. שרת ה-MCP של Spanner מאפשר לכם לגשת לכלי Spanner ולהריץ אותם כדי ליצור משאבי Spanner, לנהל אותם ולשאול עליהם שאילתות מסביבות פיתוח מבוססות-AI ופלטפורמות של סוכני AI. שרת ה-MCP המרוחק של Spanner מופעל כשמפעילים את Spanner API.

Model Context Protocol‏ (MCP) הוא תקן שקובע איך מודלים גדולים של שפה (LLM) ואפליקציות או סוכני AI מתחברים למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.

מה ההבדל בין שרתי MCP מקומיים לבין שרתי MCP מרחוק?

שרתי MCP מקומיים
בדרך כלל פועלים במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר.
שרתי MCP מרוחקים
פועל בתשתית של השירות ומציע נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-MCP של ה-AI לבין שרת ה-MCP. מידע נוסף על ארכיטקטורת MCP זמין במאמר ארכיטקטורת MCP.

מידע על שרת MCP מקומי של Spanner זמין במאמר בנושא MCP Toolbox for Databases.

‫Google ושרתי MCP מרוחקים Google Cloud

לשרתי MCP מרוחקים ולשרתי MCP של Google יש את התכונות והיתרונות הבאים: Google Cloud

  • גילוי פשוט ומרכזי
  • נקודות קצה (endpoints) מנוהלות של HTTP ברמה הגלובלית או האזורית
  • הרשאות פרטניות
  • אבטחת הנחיות ותשובות אופציונלית באמצעות הגנה מוגברת על המודל
  • רישום מרכזי ביומן הביקורת

מידע על שרתים אחרים של MCP ועל אמצעי בקרה בנושאי אבטחה וממשל שזמינים לשרתים של Google Cloud MCP מופיע במאמר סקירה כללית על שרתים של Google Cloud MCP.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. מפעילים את Spanner API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    להפעלת ה-API

    בפרויקטים חדשים, Spanner API מופעל באופן אוטומטי.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לשימוש בשרת Spanner MCP, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט שבו אתם רוצים להשתמש בשרת Spanner MCP:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה מכילים את ההרשאות שנדרשות לשימוש בשרת Spanner MCP. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי להשתמש בשרת Spanner MCP, נדרשות ההרשאות הבאות:

  • התקשרות לכלי ה-MCP: mcp.tools.call
  • שימוש בכלי MCP של Spanner:
    • spanner.instances.create
    • spanner.instances.get
    • spanner.databases.create
    • spanner.databases.update
    • spanner.sessions.create
    • spanner.instanceOperations.get
    • spanner.databases.getDdl
    • spanner.databases.select
    • spanner.databases.write

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

אימות והרשאה

שרתי Spanner MCP משתמשים בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולמתן הרשאות. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.

שרת ה-MCP המרוחק של Spanner לא מקבל מפתחות API.

אנחנו ממליצים ליצור זהות נפרדת לסוכנים באמצעות כלי MCP, כדי שיהיה אפשר לשלוט בגישה למשאבים ולעקוב אחריה. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.

היקפי הרשאות OAuth של Spanner MCP

ב-OAuth 2.0 משתמשים בהיקפי הרשאות ובפרטי כניסה כדי לקבוע אם לגורם מאומת מסוים יש הרשאה לבצע פעולה ספציפית במשאב. מידע נוסף על היקפי OAuth 2.0 ב-Google זמין במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.

ל-Spanner יש את היקפי הגישה הבאים של OAuth לכלי MCP:

URI של היקף ל-CLI של gcloud תיאור
https://www.googleapis.com/auth/spanner.admin מאפשרת גישה לניהול של מופעי Spanner ומסדי נתונים.
https://www.googleapis.com/auth/spanner.data ההרשאה מאפשרת גישה לנתונים במסד נתונים של Spanner, וניהול שלהם.

מידע נוסף על היקפי ההרשאות האלה זמין במאמר בנושא Spanner API.

הגדרת לקוח MCP לשימוש בשרת MCP של Spanner

תוכנות מארחות, כמו Claude או Gemini CLI, יכולות ליצור מופעים של לקוחות MCP שמתחברים לשרת MCP יחיד. לתוכנית מארחת יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. כדי להתחבר לשרת MCP מרוחק, לקוח ה-MCP צריך לדעת לפחות את כתובת ה-URL של שרת ה-MCP המרוחק.

כדי להגדיר את לקוחות ה-MCP להתחבר לשרת ה-MCP המרוחק של Spanner, צריך לפעול לפי ההוראות הבאות.

Gemini CLI

כדי להוסיף שרת MCP מרוחק של Spanner ל-Gemini CLI, צריך להגדיר אותו כתוסף.

  1. יוצרים קובץ תוסף במיקום הבא: ~/.gemini/extensions/EXT_NAME/gemini-extension.json כאשר ~/ היא ספריית הבית ו-EXT_NAME הוא השם שרוצים לתת לתוסף.

  2. מוסיפים את התוכן הבא לקובץ התוסף:

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Spanner MCP Server": {
              "httpUrl": "https://spanner.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. שומרים את קובץ התוספים.

  4. מפעילים את Gemini CLI:

            gemini

  5. מריצים את הפקודה /mcp ב-CLI כדי לראות את שרת ה-MCP שהוגדר ואת הכלים שלו.

    התגובה אמורה להיראות כך:

            Configured MCP servers:
        🟢 Spanner MCP Server (from spanner )
          - get_database_ddl
          - get_instance
          - get_operation
          - create_database
          - create_instance
          - create_session
          - commit
          - execute_sql
          - list_databases
          - list_instances

שרת ה-MCP המרוחק מוכן לשימוש ב-Gemini CLI.

Claude.ai

כדי להגדיר שרתי Google ו-MCP ב-Claude.ai, צריך להיות לכם מינוי לתוכנית Claude Enterprise, ‏ Pro, ‏ Max או Team. Google Cloud למידע על מחירים אפשר לעיין בתמחור של Claude.

כדי להוסיף שרת MCP מרוחק של Spanner ל-Claude.ai, צריך להגדיר מחבר מותאם אישית עם מזהה לקוח ב-OAuth וסוד לקוח ב-OAuth:

יצירת מזהה לקוח וסוד לקוח ב-OAuth 2.0

  1. במסוף Google Cloud , עוברים אל Google Auth Platform > Clients > Create client.

    מעבר אל Create client

    אם לא בחרתם פרויקט, תתבקשו ליצור פרויקט.

  2. ברשימה Application type, בוחרים באפשרות אפליקציית אינטרנט.

  3. בשדה שם, מזינים שם לאפליקציה.

  4. בקטע Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), לוחצים על + Add URI (הוספת כתובת URI) ואז מוסיפים את https://claude.ai/api/mcp/auth_callback בשדה URIs (כתובות URI).

  5. לוחצים על יצירה. הלקוח נוצר. כדי לגשת למזהה הלקוח, במסוף Google Cloud , עוברים אל פלטפורמת האימות של Google > לקוחות.

  6. ברשימה מזהי לקוחות ב-OAuth 2.0, בוחרים את שם הלקוח.

  7. בקטע Client secrets, מעתיקים את Client secret ושומרים אותו במקום מאובטח. אפשר להעתיק אותו רק פעם אחת. אם מאבדים אותו, צריך למחוק את הסוד וליצור סוד חדש.

יצירת מחבר בהתאמה אישית ב-Claude.ai

  1. ב-Claude.ai, עוברים להגדרות של מחברי התוכנית:

    • בתוכניות Enterprise או Team, עוברים אל הגדרות אדמין > מחברים.
    • בתוכניות Pro או Max, עוברים אל הגדרות > מחברים.

  2. לוחצים על הוספת מחבר בהתאמה אישית.

  3. בתיבת הדו-שיח הוספת מחבר מותאם אישית, מזינים את הפרטים הבאים:

    • שם השרת: שם של השרת שקריא לבני-אדם.
    • כתובת ה-URL של שרת ה-MCP המרוחק: https://spanner.googleapis.com/mcp

  4. מרחיבים את התפריט הגדרות מתקדמות ומזינים את הפרטים הבאים:

    • מזהה לקוח ב-OAuth: מזהה הלקוח ב-OAuth 2.0 שיצרתם.
    • סוד לקוח OAuth (בתוכניות Pro ו-Max בלבד): הסוד של לקוח OAuth 2.0. כדי לאחזר את הסוד, עוברים אל Google Auth Platform > Clients (פלטפורמת אימות של Google > לקוחות) ובוחרים את מזהה לקוח ה-OAuth שיצרתם. בקטע Client secrets, לוחצים כדי להעתיק את Client secret.

  5. לוחצים על הוספה.

    המחבר המותאם אישית נוצר.

  6. פותחים את התפריט כלים ומפעילים את המחבר.

    אפשר להשתמש בשרת ה-MCP ב-Claude.ai.

ChatGPT

כדי להשתמש בשרתי Google ו-Spanner MCP עם ChatGPT, צריך להיות לכם מינוי ל-ChatGPT Business.

כדי להוסיף שרת MCP מרוחק של Spanner ל-ChatGPT, צריך ליצור מזהה לקוח וסוד של Google OAuth 2.0, ואז להוסיף את שרת ה-MCP כאפליקציה ב-ChatGPT.

יצירת מזהה לקוח וסוד לקוח ב-OAuth 2.0

  1. במסוף Google Cloud , עוברים אל Google Auth Platform > Clients > Create client.

    מעבר אל Create client

    אם לא בחרתם פרויקט, תתבקשו ליצור פרויקט.

  2. ברשימה Application type, בוחרים באפשרות אפליקציית אינטרנט.

  3. בשדה שם, מזינים שם לאפליקציה.

  4. בקטע Authorized JavaScript origins (מקורות מורשים של JavaScript), לוחצים על + Add URI (הוספת URI) ואז מוסיפים https://chatgpt.com בשדה URIs (כתובות URI).

  5. בקטע Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), לוחצים על + Add URI (הוספת כתובת URI) ואז מוסיפים את https://chatgpt.com/connector_platform_oauth_redirect בשדה URIs (כתובות URI).

  6. לוחצים על יצירה. הלקוח נוצר. כדי לגשת למזהה הלקוח, במסוף Google Cloud , עוברים אל פלטפורמת האימות של Google > לקוחות.

  7. ברשימה מזהי לקוחות ב-OAuth 2.0, בוחרים את שם הלקוח.

  8. בקטע Client secrets, מעתיקים את Client secret ושומרים אותו במקום מאובטח. אפשר להעתיק אותו רק פעם אחת. אם מאבדים אותו, צריך למחוק את הסוד וליצור סוד חדש.

הוספת שרת MCP כאפליקציה ב-ChatGPT

  1. נכנסים לחשבון ב-ChatGPT.
  2. מפעילים את מצב פיתוח:
    1. ב-ChatGPT, לוחצים על שם המשתמש כדי לפתוח את תפריט הפרופיל, ואז בוחרים באפשרות הגדרות.
    2. בתפריט ההגדרות, בוחרים באפשרות אפליקציות ואז לוחצים על הגדרות מתקדמות.
    3. בהגדרות המתקדמות, לוחצים על המתג מצב פיתוח כדי להפעיל אותו.
  3. בקטע הגדרות > אפליקציות, לוחצים על הלחצן יצירת אפליקציה.
  4. בתיבת הדו-שיח New app, מזינים את הפרטים הבאים:
    • שם: השם של שרת ה-MCP.
    • תיאור: תיאור אופציונלי של שרת ה-MCP.
    • כתובת ה-URL של שרת ה-MCP: https://spanner.googleapis.com/mcp
    • אימות:
      • בתפריט אימות, בוחרים באפשרות OAuth.
      • בשדה מזהה הלקוח ב-OAuth, מזינים את מזהה הלקוח ב-Google OAuth.
      • בשדה סוד OAuth, מזינים את סוד הלקוח של Google OAuth.
    • מאשרים שהבנתם את הסיכון שקשור לשימוש בשרת MCP ואז לוחצים על יצירה.

שרת ה-MCP מוצג בתפריט Apps, והוא מוכן לשימוש באמצעות הנחיות בצ'אט.

הנחיות כלליות ללקוחות MCP

אם לא מופיעות הוראות ספציפיות ללקוח ה-MCP שלכם במאמר הגדרת לקוח MCP לשימוש בשרת Spanner MCP, תוכלו להשתמש במידע הבא כדי להתחבר לשרת MCP מרוחק בתוכנת המארח או באפליקציית ה-AI. תתבקשו להזין פרטים על השרת, כמו השם וכתובת ה-URL שלו.

עבור שרת ה-MCP המרוחק של Spanner, מזינים את הפרטים הבאים:

  • שם השרת: שרת MCP של Spanner
  • כתובת URL של השרת או נקודת קצה: https://spanner.googleapis.com/mcp
  • Transport: HTTP
  • פרטי אימות: בהתאם לשיטת האימות שבה רוצים להשתמש, אפשר להזין את Google Cloud פרטי הכניסה, את מזהה הלקוח וסוד הלקוח של OAuth, או את הזהות ופרטי הכניסה של סוכן.

הנחיות כלליות נוספות זמינות במקורות המידע הבאים:

כלים זמינים

כדי לראות פרטים על כלי MCP זמינים ותיאורים שלהם עבור שרת Spanner MCP, אפשר לעיין בהפניה ל-Spanner MCP.

כלים ליצירת רשימות

אפשר להשתמש בכלי לבדיקת MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP‏ tools/list ישירות לשרת MCP מרוחק של Spanner. בשיטה tools/list לא נדרש אימות.

POST /mcp HTTP/1.1
Host: spanner.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

ניראות (observability)

שרת ה-MCP של Spanner תומך בכלי תצפית ובדיקה של Spanner.

בקשת תגים

שאילתות שמופעלות או טרנזקציות שמתבצעות באמצעות שרת Spanner MCP מתויגות אוטומטית בתגי בקשה ספציפיים. אפשר להשתמש בתגים האלה כדי לנפות באגים בשאילתות ובעסקאות. מידע נוסף זמין במאמר פתרון בעיות באמצעות תגי בקשה ותגי טרנזקציה.

שם הכלי תג בקשה
execute_sql mcp_execute_sql
execute_sql_readonly mcp_execute_sql_readonly
commit mcp_commit

תרחישים לדוגמה

בהמשך מפורטים תרחישים לדוגמה לשימוש בשרת Spanner MCP.

פיתוח אפליקציות באמצעות Spanner

מפתחי אפליקציות יכולים להשתמש בשרת Spanner MCP כדי להקצות משאבים, ליצור מסדי נתונים ולאכלס נתוני דוגמה.

הנחיה לדוגמה: "תצורת מופע אזורי של Spanner בפרויקט PROJECT_ID במופע האזורי us-central1. תצור מסד נתונים למעקב אחר מלאי ותוסיף 5 מוצרים לדוגמה".

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud .

תהליך עבודה:

תהליך העבודה לפיתוח אפליקציה יכול להיראות כך:

  • הסוכן קורא לכלי create_instance כדי להקצות מופע חדש של Spanner באמצעות הגדרת המופע שצוינה. יכול להיות שהסוכן יפעיל את הכלי get_operation כדי לוודא שהמופע מוכן לשימוש.

  • הסוכן קורא לכלי create_database כדי ליצור מסד נתונים חדש עם הסכימה הנדרשת. יכול להיות שהנציג יתקשר לכלי get_operation כדי לבדוק את סטטוס הפעולה של יצירת מסד הנתונים.

  • הסוכן יכול להשתמש בשילוב של create_session, execute_sql והכלים של commit כדי להוסיף נתונים לדוגמה.

  • אופציונלית, הסוכן יכול להפעיל את כלי execute_sql כדי לשלוח שאילתה ולוודא את יצירת נתוני הדוגמה.

תובנות תפעוליות וניהול הגדרות של מסד נתונים

אדמינים של Spanner יכולים להשתמש בשרת MCP של Spanner כדי לאסוף מידע על מכונות Spanner ומסדי נתונים באמצעות כלים כמו list_instances, get_instance, list_databases ו-get_database_ddl.

הנחיות לדוגמה:

  • ‫"List all Spanner instances in the current project." ‏(הצגת רשימה של כל מופעי Spanner בפרויקט הנוכחי).
  • ‫"List all databases in the current Spanner instance."
  • ‫"Show the schema for the current Spanner database"‏ (הצגת הסכימה של מסד הנתונים הנוכחי ב-Spanner).

הגדרות אבטחה ובטיחות אופציונליות

השימוש ב-MCP מציג סיכוני אבטחה חדשים ושיקולים חדשים בגלל המגוון הרחב של הפעולות שאפשר לבצע באמצעות הכלים של MCP. כדי למזער את הסיכונים האלה ולנהל אותם,Google Cloud מציע הגדרות ברירת מחדל ומדיניות שניתנת להתאמה אישית כדי לשלוט בשימוש בכלי MCP בארגון או בפרויקט שלכם ב- Google Cloud.

מידע נוסף על אבטחה וניהול של MCP זמין במאמר בנושא אבטחה ובטיחות של AI.

שימוש בהגנה מוגברת על המודל

Model Armor הואGoogle Cloud שירות שנועד לשפר את האבטחה והבטיחות של אפליקציות ה-AI שלכם. היא פועלת על ידי סינון יזום של הנחיות ותשובות של מודלים גדולים של שפה (LLM), ומגנה מפני סיכונים שונים. בנוסף, היא תומכת בשיטות עבודה מומלצות בתחום ה-AI האחראי. בין אם אתם פורסים AI בסביבת הענן שלכם או אצל ספקי שירותי ענן חיצוניים, הגנה מוגברת על המודל יכול לעזור לכם למנוע קלט זדוני, לאמת את בטיחות התוכן, להגן על מידע אישי רגיש, לשמור על תאימות ולאכוף את מדיניות הבטיחות והאבטחה של ה-AI באופן עקבי בסביבת ה-AI המגוונת שלכם.

כשמפעילים את Model Armor עם הפעלת רישום ביומן, המערכת רושמת ביומן את כל מטען הנתונים. יכול להיות שייחשף מידע רגיש ביומני הרישום.

הפעלת הגנה מוגברת על המודל

כדי להשתמש ב-Model Armor, צריך להפעיל את ממשקי ה-API של Model Armor.

המסוף

  1. מפעילים את הגנה מוגברת על המודל API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    להפעלת ה-API

  2. בוחרים את הפרויקט שבו רוצים להפעיל את הגנה מוגברת על המודל.

gcloud

לפני שמתחילים, צריך לבצע את השלבים הבאים באמצעות Google Cloud CLI עם Model Armor API:

  1. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

    בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

  2. מריצים את הפקודה הבאה כדי להגדיר את נקודת קצה ל-API לשירות הגנה מוגברת על המודל.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    מחליפים את LOCATION באזור שבו רוצים להשתמש בהגנה מוגברת על המודל.

הגדרת הגנה לשרתי MCP של Google ושרתי MCP מרוחקים Google Cloud

כדי להגן על הקריאות והתגובות של כלי ה-MCP, אפשר להשתמש בהגדרות של Model Armor. הגדרת רמת בסיס מגדירה את מסנני האבטחה המינימליים שחלים על הפרויקט. ההגדרה הזו מחילה קבוצה עקבית של מסננים על כל הקריאות והתשובות של כלי MCP בפרויקט.

הגדרת סף תחתון של הגנה מוגברת על המודל עם הפעלת ניקוי נתונים ב-MCP. מידע נוסף זמין במאמר בנושא הגדרת ערכי סף ב-Model Armor.

דוגמה לפקודה:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud .

שימו לב להגדרות הבאות:

  • INSPECT_AND_BLOCK: סוג האכיפה שבודק את התוכן בשרת MCP של Google וחוסם הנחיות ותשובות שתואמות למסננים.
  • ENABLED: ההגדרה שמפעילה מסנן או אכיפה.
  • MEDIUM_AND_ABOVE: רמת המהימנות של ההגדרות של המסנן 'שימוש אחראי ב-AI – מסוכן'. אפשר לשנות את ההגדרה הזו, אבל ערכים נמוכים יותר עלולים להוביל ליותר תוצאות חיוביות כוזבות. מידע נוסף זמין במאמר בנושא רמות הסמך של הגנה מוגברת על המודל.

השבתת סריקת תעבורת נתונים של MCP באמצעות הגנה מוגברת על המודל

כדי להפסיק את הסריקה האוטומטית של תעבורת נתונים אל השרתים של Google MCP וממנה על ידי הגנה מוגברת על המודל על סמך הגדרות אבטחה מינימליות של הפרויקט, מריצים את הפקודה הבאה:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud . התכונה הגנה מוגברת על המודל לא מחילה באופן אוטומטי את הכללים שמוגדרים בהגדרות אבטחה מינימליות של הפרויקט על תעבורה של שרת Google MCP.

ההגדרות של הסף התחתון של Model Armor וההגדרה הכללית יכולות להשפיע על יותר דברים מאשר רק על MCP. ‫Model Armor משולב עם שירותים כמו Vertex AI, ולכן כל שינוי שתבצעו בהגדרות של רמת הרצפה יכול להשפיע על סריקת התנועה ועל התנהגויות הבטיחות בכל השירותים המשולבים, ולא רק ב-MCP.

שליטה בשימוש ב-MCP באמצעות כללי מדיניות דחייה ב-IAM

כללי מדיניות הדחייה של ניהול זהויות והרשאות גישה (IAM) עוזרים לכם לאבטח שרתי MCP מרוחקים של Google Cloud . כדאי להגדיר את המדיניות הזו כדי לחסום גישה לא רצויה לכלי MCP.

לדוגמה, אתם יכולים לדחות או לאשר גישה על סמך:

  • הקרן
  • מאפייני כלי כמו קריאה בלבד
  • מזהה הלקוח ב-OAuth של האפליקציה

מידע נוסף זמין במאמר שליטה בשימוש ב-MCP באמצעות ניהול זהויות וגישה.

המאמרים הבאים