Usa el servidor de MCP remoto de Cloud SQL

El estándar del Protocolo de contexto del modelo (MCP) estandariza la forma en que las aplicaciones de IA se conectan a fuentes de datos externas a través de servidores y herramientas de MCP.

En este documento, se describe cómo usar el servidor remoto del Protocolo de contexto del modelo (MCP) de Cloud SQL para conectarse a Cloud SQL para MySQL desde aplicaciones basadas en IA, como la CLI de Gemini, el modo de agente en Gemini Code Assist, Claude Code o en las aplicaciones basadas en IA que estás desarrollando.

El servidor de MCP remoto de Cloud SQL y otros servidores de MCP remotos tienen las siguientes funciones y beneficios: Google Cloud

  • Descubrimiento simplificado y centralizado
  • Extremos HTTP administrados globales o regionales
  • Autorización detallada
  • Seguridad opcional de instrucciones y respuestas con la protección de Model Armor.
  • Registro de auditoría centralizado

Google administra los servidores de MCP remotos, que ofrecen controles adicionales de seguridad y administración en comparación con los servidores de MCP locales que proporciona Cloud SQL for MySQL MCP Toolbox for Databases. Para obtener más información sobre otros servidores de MCP remotos y sobre los controles de seguridad y gobernanza disponibles para MCP, consulta Google Cloud Descripción general de los servidores de MCP.

Las siguientes secciones solo se aplican al servidor MCP remoto de Cloud SQL para MySQL.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Instala la CLI de gcloud.

  5. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  6. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. Instala la CLI de gcloud.

  10. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  11. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

Roles obligatorios

Para obtener los permisos que necesitas para habilitar y usar el servidor MCP remoto de Cloud SQL, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que quieres habilitar y usar el servidor MCP remoto de Cloud SQL:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para habilitar y usar el servidor MCP remoto de Cloud SQL. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para habilitar y usar el servidor de MCP remoto de Cloud SQL:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Realiza llamadas a la herramienta de MCP: mcp.tools.call
  • Clona una instancia de Cloud SQL: cloudsql.instances.clone
  • Crea una instancia de Cloud SQL: cloudsql.instances.create
  • Crea un usuario de Cloud SQL: cloudsql.users.create
  • Ejecuta consultas en SQL en una instancia de Cloud SQL:
    • cloudsql.instances.executeSql
    • cloudsql.instances.login
  • Obtén una instancia de Cloud SQL: cloudsql.instances.get
  • Obtén una operación de instancia de Cloud SQL: cloudsql.instances.get
  • Importa datos a una instancia de Cloud SQL: cloudsql.instances.import
  • Enumera las instancias de Cloud SQL en un proyecto: cloudsql.instances.list
  • Enumera los usuarios de Cloud SQL: cloudsql.users.list
  • Actualiza una instancia de Cloud SQL: cloudsql.instances.update
  • Actualiza un usuario de Cloud SQL: cloudsql.users.update

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Habilita o inhabilita el servidor de MCP de Cloud SQL

Puedes habilitar el servidor de MCP de Cloud SQL en un proyecto con el comando gcloud beta services mcp enable.

Habilita el servidor de MCP de Cloud SQL en un proyecto

Para habilitar el servidor MCP de Cloud SQL en tu proyecto deGoogle Cloud , ejecuta el siguiente comando:

gcloud beta services mcp enable sqladmin.googleapis.com \
    --project=PROJECT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud .

Después de ejecutar el comando, se habilitará el servidor de MCP remoto de Cloud SQL.

Si el servicio de Cloud SQL no está habilitado para tu proyecto deGoogle Cloud , se te solicitará que lo habilites antes de habilitar el servidor MCP remoto de Cloud SQL.

Si usas proyectos diferentes para tus credenciales de cliente, como claves de cuentas de servicio, ID de cliente de OAuth o claves de API, y para alojar tus recursos, debes habilitar el servicio de Cloud SQL y el servidor MCP remoto de Cloud SQL en ambos proyectos.

Inhabilita el servidor de MCP de Cloud SQL en un proyecto

Para inhabilitar el servidor MCP de Cloud SQL en tu proyectoGoogle Cloud , ejecuta el siguiente comando:

gcloud beta services mcp disable sqladmin.googleapis.com \
    --project=PROJECT_ID

El servidor de MCP de Cloud SQL está inhabilitado para su uso en tu proyecto Google Cloud .

Configura un cliente de MCP para que use el servidor de MCP de Cloud SQL

Los programas host, como Claude o Gemini CLI, pueden crear instancias de clientes de MCP que se conectan a un solo servidor de MCP. Un programa host puede tener varios clientes que se conectan a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer, como mínimo, la URL del servidor de MCP remoto.

Sigue estas instrucciones para configurar los clientes de MCP de modo que se conecten a tu servidor de MCP de Cloud SQL remoto.

Gemini CLI

Para agregar un servidor de MCP remoto de Cloud SQL a tu Gemini CLI, configúralo como una extensión.

  1. Crea un archivo de extensión en la siguiente ubicación: ~/.gemini/extensions/EXT_NAME/gemini-extension.json, donde ~/ es tu directorio principal y EXT_NAME es el nombre que deseas darle a la extensión.

  2. Guarda el siguiente contenido en el archivo de extensión:

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Cloud SQL MCP Server": {
              "httpUrl": "https://sqladmin.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. Guarda el archivo de extensiones.

  4. Inicia Gemini CLI:

            gemini

  5. Ejecuta /mcp para ver el servidor de MCP configurado y sus herramientas.

    La respuesta es similar a lo que se muestra a continuación:

            Configured MCP servers:
        🟢 Cloud SQL MCP Server (from sqladmin )
          - list_instances
          - get_instance
          - clone_instance
          - create_instance
          - update_instance
          - execute_sql
          - import_data
          - create_user
          - update_user
          - list_users
          - get_operation

El servidor de MCP remoto está listo para usarse en Gemini CLI.

Claude.ai

Debes tener el plan Claude Enterprise, Pro, Max o Team para configurar los servidores de Google y Google Cloud MCP en Claude.ai. Para obtener información sobre los precios, consulta Precios de Claude.

Para agregar un servidor de Google o Google Cloud MCP remoto a Claude.ai, configura un conector personalizado con un ID de cliente de OAuth y un secreto del cliente de OAuth:

Crea un ID y un secreto de cliente de OAuth 2.0

  1. En la consola de Google Cloud , ve a Google Auth Platform > Clients > Create client.

    Ir a Crear cliente

    Se te solicitará que crees un proyecto si no tienes uno seleccionado.

  2. En la lista Tipo de aplicación, selecciona Aplicación web.

  3. En el campo Nombre, ingresa un nombre para tu aplicación.

  4. En la sección URIs de redireccionamiento autorizados, haz clic en + Agregar URI y, luego, agrega https://claude.ai/api/mcp/auth_callback en el campo URIs.

  5. Haz clic en Crear. Se creó el cliente. Para acceder al ID de cliente, en la consola de Google Cloud , ve a Google Auth Platform > Clients.

  6. En la lista IDs de cliente de OAuth 2.0, selecciona el nombre del cliente.

  7. En la sección Secretos del cliente, copia el Secreto del cliente y guárdalo en un lugar seguro. Solo puedes copiarlo una vez. Si la pierdes, borra el secreto y crea uno nuevo.

Crea un conector personalizado en Claude.ai

Sigue las instrucciones para el plan de Claude que usas:

Enterprise y Team

  1. En Claude.ai, navega a Configuración del administrador > Conectores.

  2. Haz clic en Agregar conector personalizado.

  3. En el cuadro de diálogo Agregar conector personalizado, ingresa lo siguiente:

    • Nombre del servidor: Es un nombre legible para el servidor.
    • URL del servidor de MCP remoto: https://sqladmin.googleapis.com/mcp

  4. Expande el menú Configuración avanzada y, luego, ingresa lo siguiente:

    • ID de cliente de OAuth: Es el ID de cliente de OAuth 2.0 que creaste.
    • Secreto del cliente de OAuth: Es el secreto de tu cliente de OAuth 2.0. Para recuperar el secreto, ve a Google Auth Platform > Clients y, luego, selecciona el ID de cliente de OAuth que creaste. En la sección Client secrets, haz clic para copiar el Client secret.

  5. Haz clic en Agregar.

    Se creó el conector personalizado.

  6. Abre el menú Herramientas y habilita el conector.

    Claude.ai puede usar el servidor de MCP.

Pro y Max

  1. En Claude.ai, navega a Configuración > Conectores.

  2. Haz clic en Agregar conector personalizado.

  3. En el cuadro de diálogo Agregar conector personalizado, ingresa lo siguiente:

    • Nombre del servidor: Es un nombre legible para el servidor.
    • URL del servidor de MCP remoto: https://sqladmin.googleapis.com/mcp

  4. Expande el menú Configuración avanzada y, luego, ingresa lo siguiente:

    • ID de cliente de OAuth: Es el ID de cliente de OAuth 2.0 que creaste.
    • Secreto del cliente de OAuth: Es el secreto de tu cliente de OAuth 2.0. Para recuperar el secreto, ve a Google Auth Platform > Clients y, luego, selecciona el ID de cliente de OAuth que creaste. En la sección Client secrets, haz clic para copiar el Client secret.

  5. Haz clic en Agregar.

    Se creó el conector personalizado.

  6. Abre el menú Herramientas y habilita el conector.

    Claude.ai puede usar el servidor de MCP.

ChatGPT

Debes tener una suscripción a ChatGPT Business para usar los servidores de MCP de Google y Cloud SQL con ChatGPT.

Para agregar un servidor de MCP remoto de Google o Cloud SQL a ChatGPT, crea un ID y un secreto de cliente de Google OAuth 2.0 y, luego, agrega el servidor de MCP como una app en ChatGPT.

Crea un ID y un secreto de cliente de OAuth 2.0

  1. En la consola de Google Cloud , ve a Google Auth Platform > Clients > Create client.

    Ir a Crear cliente

    Se te solicitará que crees un proyecto si no tienes uno seleccionado.

  2. En la lista Tipo de aplicación, selecciona Aplicación web.

  3. En el campo Nombre, ingresa un nombre para tu aplicación.

  4. En la sección Orígenes autorizados de JavaScript, haz clic en + Agregar URI y, luego, agrega https://chatgpt.com en el campo URIs.

  5. En la sección URIs de redireccionamiento autorizados, haz clic en + Agregar URI y, luego, agrega https://chatgpt.com/connector_platform_oauth_redirect en el campo URIs.

  6. Haz clic en Crear. Se creó el cliente. Para acceder al ID de cliente, en la consola de Google Cloud , ve a Google Auth Platform > Clients.

  7. En la lista IDs de cliente de OAuth 2.0, selecciona el nombre del cliente.

  8. En la sección Secretos del cliente, copia el Secreto del cliente y guárdalo en un lugar seguro. Solo puedes copiarlo una vez. Si la pierdes, borra el secreto y crea uno nuevo.

Agrega el servidor de MCP como una app en ChatGPT

  1. Accede a ChatGPT.
  2. Activa el modo de desarrollador:
    1. En ChatGPT, haz clic en tu nombre de usuario para abrir el menú de perfil y, luego, selecciona Configuración.
    2. En el menú Configuración, selecciona Apps y, luego, haz clic en Configuración avanzada.
    3. En la Configuración avanzada, haz clic en el botón de activación Modo de desarrollador para activarlo.
  3. En Configuración > Apps, haz clic en el botón Crear app.
  4. En el diálogo App nueva, ingresa la siguiente información:
    • Name: Es el nombre del servidor de MCP.
    • Descripción: Es una descripción opcional del servidor de MCP.
    • URL del servidor de MCP: https://sqladmin.googleapis.com/mcp
    • Autenticación:
      • En el menú Authentication, selecciona OAuth.
      • En el campo ID de cliente de OAuth, ingresa tu ID de cliente de OAuth de Google.
      • En el campo Secreto de OAuth, ingresa el secreto del cliente de Google OAuth.
    • Confirma que comprendes el riesgo asociado con el uso del servidor de MCP y, luego, haz clic en Crear.

El servidor de MCP se muestra en el menú Apps y está listo para usarse a través de instrucciones de chat.

Orientación general para los clientes de MCP

Si tu cliente de MCP no aparece en Configura un cliente de MCP para usar el servidor de MCP de Cloud SQL, usa la siguiente información para conectarte a un servidor de MCP remoto en tu programa host o aplicación de IA. Se te solicitará que ingreses detalles sobre el servidor, como su nombre y URL.

Para el servidor de MCP remoto de Cloud SQL, ingresa lo siguiente según sea necesario:

  • Nombre del servidor: Servidor MCP de Cloud SQL
  • URL del servidor o Extremo: https://sqladmin.googleapis.com/mcp
  • Transporte: HTTP
  • Detalles de autenticación: Según cómo desees autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID y secreto de cliente de OAuth, o bien la identidad y las credenciales de un agente.

Para obtener orientación más general, consulta los siguientes recursos:

Autenticación y autorización

Los servidores de MCP de Cloud SQL usan el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

El servidor MCP remoto de Cloud SQL no acepta claves de API.

Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.

Alcances de OAuth del MCP de Cloud SQL

OAuth 2.0 usa permisos y credenciales para determinar si un principal autenticado está autorizado a realizar una acción específica en un recurso. Si deseas obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Usa OAuth 2.0 para acceder a las APIs de Google.

Cloud SQL tiene los siguientes alcances de OAuth de la herramienta de MCP:

URI del alcance para gcloud CLI Descripción
https://www.googleapis.com/auth/cloud-platform Crea, actualiza y enumera recursos de Cloud SQL, incluidas instancias y usuarios de bases de datos. Importar datos y ejecutar consultas de SQL en instancias de Cloud SQL

Es posible que se requieran alcances adicionales en los recursos a los que se accede durante una llamada a la herramienta. Para ver una lista de los permisos requeridos para Cloud SQL, consulta la API de Cloud SQL Admin.

Herramientas disponibles

  • clone_instance: Crea una instancia de Cloud SQL como un clon de la instancia de origen.
  • create_instance: Inicia la creación de una instancia de Cloud SQL.
  • create_user: Crea un usuario de base de datos para una instancia de Cloud SQL.
  • execute_sql: Ejecuta cualquier instrucción de SQL válida (DDL, DCL, DQL, DML) en una instancia de Cloud SQL.
  • get_instance: Obtiene los detalles de una instancia de Cloud SQL.
  • get_operation: Obtiene el estado de una operación de larga duración en Cloud SQL.
  • list_instances: Enumera todas las instancias de Cloud SQL en un proyecto.
  • list_users: Enumera todos los usuarios de la base de datos para una instancia de Cloud SQL.
  • import_data: Importa datos a una instancia de Cloud SQL desde Cloud Storage.
  • update_instance: Actualiza la configuración admitida de una instancia de Cloud SQL.
  • update_user: Actualiza un usuario de base de datos para una instancia de Cloud SQL.

Para ver detalles adicionales de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP remoto de Cloud SQL, consulta la referencia de MCP de Cloud SQL.

Herramientas de lista

Usa el inspector de MCP para enumerar herramientas o envía una solicitud HTTP tools/list directamente al servidor de MCP remoto de Cloud SQL. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejecuta instrucciones de SQL

Para ejecutar sentencias de SQL, tu instancia de Cloud SQL debe cumplir con los siguientes requisitos:

Si la instancia no está configurada para ALLOW_DATA_API, usa la herramienta update_instance para actualizar la configuración de la instancia.

Ejemplos de casos de uso

A continuación, se incluyen ejemplos de casos de uso del servidor de MCP de Cloud SQL:

Desarrollo de aplicaciones web

Un caso de uso de ejemplo podría ser el desarrollo rápido de aplicaciones web y el aprovisionamiento de instancias de Cloud SQL como su base de datos de origen. En este caso de uso, el servidor de MCP de Cloud SQL te permite compilar una nueva base de datos y completarla con datos iniciales para un proyecto nuevo usando lenguaje natural.

Instrucción de ejemplo:

"Create a new MySQL development instance and set up a table called products."

Flujo de trabajo:

El flujo de trabajo para configurar una aplicación web podría verse de la siguiente manera:

  • Aprovisionamiento: El agente llama a la herramienta create_instance para crear una instancia nueva de Cloud SQL con especificaciones del tamaño de un entorno de desarrollo.

  • Verificación: El agente usa la herramienta get_operation para sondear el estado de la operación de creación de la instancia.

  • Connection: Cuando se completa la operación, el agente usa la herramienta get_instance para recuperar los metadatos de conexión de la instancia.

  • Configuración del esquema: Cuando está listo, el agente usa execute_sql para ejecutar la instrucción de SQL CREATE TABLE products.

  • Inicialización de datos: El agente vuelve a usar execute_sql para insertar datos iniciales de inicialización (DML) en la tabla recién creada.

  • Inicialización de datos: Cuando está listo, el agente usa import_data para importar un archivo de datos de productos de Cloud Storage.

Cómo consultar una base de datos con lenguaje natural

Puedes consultar una base de datos de Cloud SQL, actualizar registros y realizar actualizaciones de esquemas con lenguaje natural.

Instrucción de ejemplo:

"Add a `stock_count` column to the inventory table."

Flujo de trabajo: El flujo de trabajo para consultar una base de datos con lenguaje natural podría verse de la siguiente manera.

  • Migración de esquema: El agente llama a execute_sql para ejecutar una instrucción ALTER TABLE, que agrega la nueva columna stock_count al esquema de la base de datos.

  • Validación: El agente usa get_instance para confirmar que la actualización de la instancia se completó correctamente.

Instrucción de ejemplo:

"Show me a list of shoes that are priced above $100 from the inventory table."

Flujo de trabajo:

  • Ejecución de la consulta: El agente llama a execute_sql para ejecutar la instrucción de SQL que recupera los datos.

Limitaciones

El servidor MCP remoto de Cloud SQL tiene las siguientes limitaciones:

  • La herramienta de create_user no admite la creación de un usuario de autenticación integrada con una contraseña.
  • Si la herramienta de execute_sql devuelve una respuesta de más de 10 MB, se truncará.
  • Cuando se usa la herramienta execute_sql, las consultas que se ejecutan durante más de 30 segundos pueden agotar el tiempo de espera.

Configuraciones opcionales de seguridad

Google Cloud ofrece una integración con Model Armor para servidores de MCP remotos que te ayuda a usar las herramientas de MCP de forma segura. Para obtener más información sobre la seguridad y la administración de la MCP, consulta Seguridad y protección de la IA.

Model Armor

Model Armor es unGoogle Cloud servicio diseñado para mejorar la seguridad de tus aplicaciones de IA. Funciona analizando de forma proactiva las instrucciones y respuestas de los LLM, lo que brinda protección contra diversos riesgos y respalda las prácticas de IA responsable. Ya sea que implementes IA en tu entorno de nube o en proveedores externos, Model Armor puede ayudarte a evitar entradas maliciosas, verificar la seguridad del contenido, proteger los datos sensibles, mantener el cumplimiento y aplicar tus políticas de seguridad de la IA de manera coherente en todo tu diverso panorama de IA.

Model Armor solo está disponible en ubicaciones regionales específicas. Si Model Armor está habilitado para un proyecto y se realiza una llamada a ese proyecto desde una región no admitida, Model Armor realiza una llamada entre regiones. Para obtener más información, consulta Ubicaciones de Model Armor.

Habilita Model Armor

Para poder usar las APIs de Model Armor, debes habilitarlas.

Console

  1. Habilitar la API de Model Armor

    Roles necesarios para habilitar las APIs

    Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.

    Habilitar la API

  2. Elige el proyecto en el que quieres activar Model Armor.

gcloud

Antes de comenzar, sigue estos pasos con la CLI de gcloud y la API de Model Armor:

  1. En la consola de Google Cloud , activa Cloud Shell.

    Activa Cloud Shell

    En la parte inferior de la consola de Google Cloud , se inicia una sesión de Cloud Shell que muestra una ventana emergente con una línea de comandos. Cloud Shell es un entorno de shell con la CLI de gcloud ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. Ejecuta el comando siguiente para configurar el extremo de API del servicio de Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Reemplaza LOCATION por la región en la que quieres usar Model Armor.

Configura la protección para los servidores de MCP remotos y de Google Cloud Google

Para proteger las llamadas y respuestas de tu herramienta de MCP, puedes usar la configuración de Model Armor Floor. Un parámetro de configuración mínimo define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto coherente de filtros a todas las llamadas y respuestas de las herramientas de MCP dentro del proyecto.

Configura un valor mínimo de Model Armor con la limpieza de MCP habilitada. Para obtener más información, consulta Configura la configuración mínima de Model Armor.

Consulta el siguiente comando de ejemplo:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud .

Ten en cuenta los siguientes parámetros de configuración:

  • INSPECT_AND_BLOCK: Es el tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las instrucciones y las respuestas que coinciden con los filtros.
  • ENABLED: Es el parámetro de configuración que habilita un filtro o la aplicación.
  • MEDIUM_AND_ABOVE: Es el nivel de confianza para la configuración del filtro de IA responsable: Peligroso. Puedes modificar este parámetro de configuración, aunque los valores más bajos pueden generar más falsos positivos. Para obtener más información, consulta Niveles de confianza de Model Armor.

Inhabilita el análisis del tráfico de MCP con Model Armor

Si deseas dejar de analizar el tráfico de Google MCP con Model Armor, ejecuta el siguiente comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Reemplaza PROJECT_ID por el ID del proyecto Google Cloud .

Model Armor no analizará el tráfico de MCP en el proyecto.

Controla el uso del MCP con políticas de IAM de rechazo

Las políticas de denegación de Identity and Access Management (IAM) te ayudan a proteger los Google Cloud servidores MCP remotos. Configura estas políticas para bloquear el acceso no deseado a las herramientas de MCP.

Por ejemplo, puedes rechazar o permitir el acceso según lo siguiente:

  • La entidad principal
  • Propiedades de herramientas, como solo lectura
  • ID de cliente de OAuth de la aplicación

Para obtener más información, consulta Controla el uso de MCP con Identity and Access Management.

¿Qué sigue?