Utiliser le serveur MCP Cloud SQL distant

Le Model Context Protocol (MCP) standardise la façon dont les applications d'IA se connectent à des sources de données externes à l'aide de serveurs et d'outils MCP.

Ce document explique comment utiliser le serveur MCP (Model Context Protocol) distant Cloud SQL pour se connecter à Cloud SQL pour MySQL à partir d'applications d'IA telles que l'interface de ligne de commande Gemini, le mode agent dans Gemini Code Assist, Claude Code ou dans les applications d'IA que vous développez.

Le serveur MCP distant Cloud SQL et les autres serveurs MCP distants Google Cloud présentent les fonctionnalités et avantages suivants :

  • Découverte simplifiée et centralisée.
  • Points de terminaison HTTP mondiaux ou régionaux gérés.
  • Autorisation précise.
  • Sécurité facultative des requêtes et des réponses avec la protection Model Armor.
  • Journalisation centralisée des audits.

Les serveurs MCP distants sont gérés par Google et offrent des contrôles de sécurité et de gouvernance supplémentaires par rapport aux serveurs MCP locaux fournis par la boîte à outils MCP Cloud SQL pour MySQL pour les bases de données. Pour en savoir plus sur les autres serveurs MCP à distance, ainsi que sur les contrôles de sécurité et de gouvernance disponibles pour MCP, consultez Présentation des serveurs MCP.Google Cloud

Les sections suivantes ne s'appliquent qu'au serveur MCP distant Cloud SQL pour MySQL.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Installez la gcloud CLI.

  5. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  6. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. Installez la gcloud CLI.

  10. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  11. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

Rôles requis

Pour obtenir les autorisations nécessaires pour activer et utiliser le serveur MCP Cloud SQL à distance, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez activer et utiliser le serveur MCP Cloud SQL à distance :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour activer et utiliser le serveur MCP distant Cloud SQL. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour activer et utiliser le serveur MCP distant Cloud SQL :

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Effectuer des appels d'outils MCP : mcp.tools.call
  • Cloner une instance Cloud SQL : cloudsql.instances.clone
  • Créez une instance Cloud SQL : cloudsql.instances.create
  • Créez un utilisateur Cloud SQL : cloudsql.users.create
  • Exécutez des requêtes SQL sur une instance Cloud SQL :
    • cloudsql.instances.executeSql
    • cloudsql.instances.login
  • Obtenez une instance Cloud SQL : cloudsql.instances.get
  • Obtenir une opération d'instance Cloud SQL : cloudsql.instances.get
  • Importez des données dans une instance Cloud SQL : cloudsql.instances.import
  • Lister les instances Cloud SQL d'un projet : cloudsql.instances.list
  • Lister les utilisateurs Cloud SQL : cloudsql.users.list
  • Mettre à jour une instance Cloud SQL : cloudsql.instances.update
  • Mettre à jour un utilisateur Cloud SQL : cloudsql.users.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer ou désactiver le serveur MCP Cloud SQL

Vous pouvez activer le serveur MCP Cloud SQL dans un projet à l'aide de la commande gcloud beta services mcp enable.

Activer le serveur MCP Cloud SQL dans un projet

Pour activer le serveur MCP Cloud SQL dans votre projetGoogle Cloud , exécutez la commande suivante :

gcloud beta services mcp enable sqladmin.googleapis.com \
    --project=PROJECT_ID

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .

Une fois la commande exécutée, le serveur MCP distant Cloud SQL est activé.

Si le service Cloud SQL n'est pas activé pour votre projetGoogle Cloud , vous êtes invité à l'activer avant d'activer le serveur MCP distant Cloud SQL.

Si vous utilisez différents projets pour vos identifiants client (tels que les clés de compte de service, l'ID client OAuth ou les clés API) et pour héberger vos ressources, vous devez activer le service Cloud SQL et le serveur MCP distant Cloud SQL dans les deux projets.

Désactiver le serveur MCP Cloud SQL dans un projet

Pour désactiver le serveur MCP Cloud SQL dans votre projetGoogle Cloud , exécutez la commande suivante :

gcloud beta services mcp disable sqladmin.googleapis.com \
    --project=PROJECT_ID

Le serveur MCP Cloud SQL est désactivé pour une utilisation dans votre projet Google Cloud .

Configurer un client MCP pour utiliser le serveur MCP Cloud SQL

Les programmes hôtes, tels que Claude ou Gemini CLI, peuvent instancier des clients MCP qui se connectent à un seul serveur MCP. Un programme hôte peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître au minimum l'URL du serveur MCP distant.

Suivez les instructions ci-dessous pour configurer les clients MCP afin qu'ils se connectent à votre serveur MCP Cloud SQL distant.

CLI Gemini

Pour ajouter un serveur MCP Cloud SQL distant à votre Gemini CLI, configurez-le en tant qu'extension.

  1. Créez un fichier d'extension à l'emplacement suivant : ~/.gemini/extensions/EXT_NAME/gemini-extension.json~/ est votre répertoire d'accueil et EXT_NAME le nom que vous souhaitez donner à l'extension.

  2. Enregistrez le contenu suivant dans le fichier de votre extension :

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Cloud SQL MCP Server": {
              "httpUrl": "https://sqladmin.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. Enregistrez le fichier d'extensions.

  4. Démarrez Gemini CLI :

            gemini

  5. Exécutez /mcp pour afficher votre serveur MCP configuré et ses outils.

    La réponse est semblable à ce qui suit :

            Configured MCP servers:
        🟢 Cloud SQL MCP Server (from sqladmin )
          - list_instances
          - get_instance
          - clone_instance
          - create_instance
          - update_instance
          - execute_sql
          - import_data
          - create_user
          - update_user
          - list_users
          - get_operation

Le serveur MCP distant est prêt à être utilisé dans Gemini CLI.

Claude.ai

Vous devez disposer d'un forfait Claude Enterprise, Pro, Max ou Team pour configurer les serveurs Google et Google Cloud MCP dans Claude.ai. Pour en savoir plus sur les tarifs, consultez la page Tarifs de Claude.

Pour ajouter un serveur MCP Google ou Google Cloud distant à Claude.ai, configurez un connecteur personnalisé avec un ID client OAuth et un code secret du client OAuth :

Créez un ID client et un code secret OAuth 2.0.

  1. Dans la console Google Cloud , accédez à Google Auth Platform > Clients > Créer un client.

    Accéder à la page "Créer un client"

    Si aucun projet n'est sélectionné, vous êtes invité à en créer un.

  2. Dans la liste Type d'application, sélectionnez Application Web.

  3. Dans le champ Nom, saisissez le nom de votre application.

  4. Dans la section URI de redirection autorisés, cliquez sur + Ajouter un URI, puis ajoutez https://claude.ai/api/mcp/auth_callback dans le champ URI.

  5. Cliquez sur Créer. Le client est créé. Pour accéder à l'ID client, accédez à Google Auth Platform > Clients dans la console Google Cloud .

  6. Dans la liste ID client OAuth 2.0, sélectionnez le nom du client.

  7. Dans la section Codes secrets du client, copiez le code secret du client et enregistrez-le dans un emplacement sécurisé. Vous ne pouvez le copier qu'une seule fois. Si vous le perdez, supprimez le code secret et créez-en un autre.

Créer un connecteur personnalisé dans Claude.ai

Suivez les instructions correspondant au forfait Claude que vous utilisez :

Enterprise et Team

  1. Dans Claude.ai, accédez à Paramètres d'administration > Connecteurs.

  2. Cliquez sur Ajouter un connecteur personnalisé.

  3. Dans la boîte de dialogue Ajouter un connecteur personnalisé, saisissez les informations suivantes :

    • Nom du serveur : nom lisible du serveur.
    • URL du serveur MCP à distance : https://sqladmin.googleapis.com/mcp

  4. Développez le menu Paramètres avancés, puis saisissez les informations suivantes :

    • ID client OAuth : ID client OAuth 2.0 que vous avez créé.
    • Code secret du client OAuth : code secret de votre client OAuth 2.0. Pour récupérer le code secret, accédez à Google Auth Platform > Clients, puis sélectionnez l'ID client OAuth que vous avez créé. Dans la section Codes secrets du client, cliquez pour copier le code secret du client.

  5. Cliquez sur Ajouter.

    Le connecteur personnalisé est créé.

  6. Ouvrez le menu Outils et activez le connecteur.

    Claude.ai peut utiliser le serveur MCP.

Pro et Max

  1. Dans Claude.ai, accédez à Settings > Connectors (Paramètres > Connecteurs).

  2. Cliquez sur Ajouter un connecteur personnalisé.

  3. Dans la boîte de dialogue Ajouter un connecteur personnalisé, saisissez les informations suivantes :

    • Nom du serveur : nom lisible du serveur.
    • URL du serveur MCP à distance : https://sqladmin.googleapis.com/mcp

  4. Développez le menu Paramètres avancés, puis saisissez les informations suivantes :

    • ID client OAuth : ID client OAuth 2.0 que vous avez créé.
    • Code secret du client OAuth : code secret de votre client OAuth 2.0. Pour récupérer le code secret, accédez à Google Auth Platform > Clients, puis sélectionnez l'ID client OAuth que vous avez créé. Dans la section Codes secrets du client, cliquez pour copier le code secret du client.

  5. Cliquez sur Ajouter.

    Le connecteur personnalisé est créé.

  6. Ouvrez le menu Outils et activez le connecteur.

    Claude.ai peut utiliser le serveur MCP.

ChatGPT

Vous devez disposer d'un abonnement ChatGPT Business pour utiliser les serveurs MCP Google et Cloud SQL avec ChatGPT.

Pour ajouter un serveur MCP Google ou Cloud SQL distant à ChatGPT, créez un ID client et un code secret Google OAuth 2.0, puis ajoutez le serveur MCP en tant qu'application dans ChatGPT.

Créez un ID client et un code secret OAuth 2.0.

  1. Dans la console Google Cloud , accédez à Google Auth Platform > Clients > Créer un client.

    Accéder à la page "Créer un client"

    Si aucun projet n'est sélectionné, vous êtes invité à en créer un.

  2. Dans la liste Type d'application, sélectionnez Application Web.

  3. Dans le champ Nom, saisissez le nom de votre application.

  4. Dans la section Origines JavaScript autorisées, cliquez sur + Ajouter un URI, puis ajoutez https://chatgpt.com dans le champ URI.

  5. Dans la section URI de redirection autorisés, cliquez sur + Ajouter un URI, puis ajoutez https://chatgpt.com/connector_platform_oauth_redirect dans le champ URI.

  6. Cliquez sur Créer. Le client est créé. Pour accéder à l'ID client, accédez à Google Auth Platform > Clients dans la console Google Cloud .

  7. Dans la liste ID client OAuth 2.0, sélectionnez le nom du client.

  8. Dans la section Codes secrets du client, copiez le code secret du client et enregistrez-le dans un emplacement sécurisé. Vous ne pouvez le copier qu'une seule fois. Si vous le perdez, supprimez le code secret et créez-en un autre.

Ajouter le serveur MCP en tant qu'application dans ChatGPT

  1. Connectez-vous à ChatGPT.
  2. Activez le mode développeur :
    1. Dans ChatGPT, cliquez sur votre nom d'utilisateur pour ouvrir le menu "Profil", puis sélectionnez Paramètres.
    2. Dans le menu "Paramètres", sélectionnez Applications, puis cliquez sur Paramètres avancés.
    3. Dans les paramètres avancés, cliquez sur le bouton Mode développeur pour l'activer.
  3. Dans Paramètres > Applications, cliquez sur le bouton Créer une application.
  4. Dans la boîte de dialogue Nouvelle application, saisissez les informations suivantes :
    • Nom : nom du serveur MCP.
    • Description : description facultative du serveur MCP.
    • URL du serveur MCP : https://sqladmin.googleapis.com/mcp
    • Authentification :
      • Dans le menu Authentication (Authentification), sélectionnez OAuth.
      • Dans le champ ID client OAuth, saisissez votre ID client Google OAuth.
      • Dans le champ Secret OAuth, saisissez le code secret de votre client Google OAuth.
    • Confirmez que vous comprenez les risques associés à l'utilisation du serveur MCP, puis cliquez sur Créer.

Le serveur MCP s'affiche dans le menu Applications et est prêt à être utilisé via des requêtes de chat.

Conseils généraux pour les clients MCP

Si votre client MCP ne figure pas dans Configurer un client MCP pour utiliser le serveur MCP Cloud SQL, utilisez les informations suivantes pour vous connecter à un serveur MCP distant dans votre programme hôte ou votre application d'IA. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP distant Cloud SQL, saisissez les informations suivantes, le cas échéant :

  • Nom du serveur : serveur MCP Cloud SQL
  • URL du serveur ou Point de terminaison : https://sqladmin.googleapis.com/mcp
  • Transport : HTTP
  • Informations d'authentification : selon la méthode d'authentification choisie, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent.

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Authentification et autorisation

Les serveurs MCP Cloud SQL utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP distant Cloud SQL n'accepte pas les clés API.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Champs d'application OAuth MCP Cloud SQL

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

Cloud SQL dispose des niveaux d'accès OAuth suivants pour l'outil MCP :

URI du champ d'application pour gcloud CLI Description
https://www.googleapis.com/auth/cloud-platform Créer, mettre à jour et lister les ressources Cloud SQL, y compris les instances et les utilisateurs de bases de données. Importer des données et exécuter des requêtes SQL sur des instances Cloud SQL

Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles l'outil accède lors d'un appel. Pour afficher la liste des niveaux d'accès requis pour Cloud SQL, consultez API Cloud SQL Admin.

Outils disponibles

  • clone_instance : crée une instance Cloud SQL qui est un clone de l'instance source.
  • create_instance : lance la création d'une instance Cloud SQL.
  • create_user : crée un utilisateur de base de données pour une instance Cloud SQL.
  • execute_sql : exécute toutes les instructions SQL valides (LDD, LCD, LQD, LMD) sur une instance Cloud SQL.
  • get_instance : obtient les détails d'une instance Cloud SQL.
  • get_operation : obtient l'état d'une opération de longue durée dans Cloud SQL.
  • list_instances : liste toutes les instances Cloud SQL d'un projet.
  • list_users : liste tous les utilisateurs de base de données pour une instance Cloud SQL.
  • import_data : importe des données dans une instance Cloud SQL depuis Cloud Storage.
  • update_instance : met à jour les paramètres compatibles d'une instance Cloud SQL.
  • update_user : met à jour un utilisateur de base de données pour une instance Cloud SQL.

Pour afficher plus d'informations sur les outils MCP disponibles et leurs descriptions pour le serveur MCP distant Cloud SQL, consultez la documentation de référence sur le MCP Cloud SQL.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant Cloud SQL. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exécuter des instructions SQL

Pour exécuter des instructions SQL, votre instance Cloud SQL doit répondre aux exigences suivantes :

Si l'instance n'est pas configurée pour ALLOW_DATA_API, utilisez l'outil update_instance pour mettre à jour la configuration de l'instance.

Exemples de cas d'utilisation

Voici des exemples de cas d'utilisation du serveur MCP Cloud SQL :

Développement d'applications Web

Un exemple de cas d'utilisation pourrait être le développement rapide d'applications Web et le provisionnement d'instances Cloud SQL comme base de données source. Dans ce cas d'utilisation, le serveur MCP Cloud SQL vous permet de créer une base de données et de l'alimenter avec des données initiales pour un nouveau projet en langage naturel.

Exemple de requête :

"Create a new MySQL development instance and set up a table called products."

Procédure :

Le workflow de configuration d'une application Web peut ressembler à ce qui suit :

  • Provisionnement : l'agent appelle l'outil create_instance pour créer une instance Cloud SQL avec des spécifications adaptées à un environnement de développement.

  • Validation : l'agent utilise l'outil get_operation pour interroger l'état de l'opération de création d'instance.

  • Connexion : une fois l'opération terminée, l'agent utilise l'outil get_instance pour récupérer les métadonnées de connexion de l'instance.

  • Configuration du schéma : lorsque l'agent est prêt, il utilise execute_sql pour exécuter l'instruction SQL CREATE TABLE products.

  • Amorçage des données : l'agent utilise à nouveau execute_sql pour insérer des données d'amorçage initiales (LMD) dans la table nouvellement créée.

  • Amorçage des données : lorsque l'agent est prêt, il utilise import_data pour importer un fichier de données de produits depuis Cloud Storage.

Interroger une base de données en langage naturel

Vous pouvez interroger une base de données Cloud SQL, mettre à jour des enregistrements et modifier des schémas en langage naturel.

Exemple de requête :

"Add a `stock_count` column to the inventory table."

Workflow : le workflow pour interroger une base de données en langage naturel peut se présenter comme suit.

  • Migration du schéma : l'agent appelle execute_sql pour exécuter une instruction ALTER TABLE, en ajoutant la nouvelle colonne stock_count au schéma de la base de données.

  • Validation : l'agent utilise get_instance pour confirmer que la mise à jour de l'instance a bien été effectuée.

Exemple de requête :

"Show me a list of shoes that are priced above $100 from the inventory table."

Procédure :

  • Exécution de la requête : l'agent appelle execute_sql pour exécuter l'instruction SQL qui récupère les données.

Limites

Le serveur MCP distant Cloud SQL présente les limites suivantes :

  • L'outil create_user ne permet pas de créer un utilisateur d'authentification intégrée avec un mot de passe.
  • Si l'outil execute_sql renvoie une réponse de plus de 10 Mo, elle sera tronquée.
  • Lorsque vous utilisez l'outil execute_sql, les requêtes qui s'exécutent pendant plus de 30 secondes peuvent expirer.

Configurations de sécurité et de protection facultatives

Google Cloud propose une intégration à Model Armor pour les serveurs MCP distants afin de vous aider à utiliser les outils MCP de manière sécurisée. Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Model Armor

Model Armor est un serviceGoogle Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de services cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à assurer la conformité et à appliquer vos règles de sécurité et de protection de l'IA de manière cohérente dans votre environnement d'IA diversifié.

Model Armor n'est disponible que dans certaines régions. Si Model Armor est activé pour un projet et qu'un appel à ce projet provient d'une région non prise en charge, Model Armor effectue un appel multirégional. Pour en savoir plus, consultez Emplacements de Model Armor.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Console

  1. Activer l'API Model Armor

    Rôles requis pour activer les API

    Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

    Activer l'API

  2. Sélectionnez le projet dans lequel vous souhaitez activer Model Armor.

gcloud

Avant de commencer, suivez ces étapes à l'aide de la gcloud CLI avec l'API Model Armor :

  1. Dans la console Google Cloud , activez Cloud Shell.

    Activer Cloud Shell

    En bas de la console Google Cloud , une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel la gcloud CLI est déjà installée, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.

  2. Exécutez la commande suivante pour définir le point de terminaison de l'API pour le service Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Remplacez LOCATION par la région dans laquelle vous souhaitez utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger les appels et les réponses de vos outils MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.

Consultez l'exemple de commande suivant :

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Notez les paramètres suivants :

  • INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.
  • ENABLED : paramètre qui active un filtre ou une application forcée.
  • MEDIUM_AND_ABOVE : niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Niveaux de confiance de Model Armor.

Désactiver l'analyse du trafic MCP avec Model Armor

Si vous souhaitez arrêter d'analyser le trafic Google MCP avec Model Armor, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Model Armor n'analysera pas le trafic MCP dans le projet.

Contrôler l'utilisation du MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

  • Le principal
  • Propriétés de l'outil, comme la lecture seule
  • ID client OAuth de l'application

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.

Étapes suivantes