Menggunakan server MCP jarak jauh Cloud SQL

Model Context Protocol (MCP) menstandardisasi cara aplikasi AI terhubung ke sumber data eksternal menggunakan server dan alat MCP.

Dokumen ini menjelaskan cara menggunakan server Model Context Protocol (MCP) jarak jauh Cloud SQL untuk terhubung ke Cloud SQL untuk MySQL dari aplikasi AI seperti Gemini CLI, mode agen di Gemini Code Assist, Claude Code, atau di aplikasi AI yang Anda kembangkan.

Server MCP jarak jauh Cloud SQL dan server MCP jarak jauh lainnya memiliki fitur dan manfaat berikut: Google Cloud

  • Penemuan yang disederhanakan dan terpusat.
  • Mengelola endpoint HTTP global atau regional.
  • Otorisasi terperinci.
  • Keamanan perintah dan respons opsional dengan perlindungan Model Armor.
  • Logging audit terpusat.

Server MCP Jarak Jauh dikelola oleh Google dan menawarkan kontrol keamanan dan tata kelola tambahan dibandingkan dengan Server MCP lokal yang disediakan oleh Toolbox MCP Cloud SQL untuk MySQL bagi Database. Untuk mengetahui informasi selengkapnya tentang server MCP jarak jauh lainnya serta kontrol keamanan dan tata kelola yang tersedia untuk MCP, lihat Google Cloud Ringkasan server MCP.

Bagian berikut hanya berlaku untuk server MCP jarak jauh Cloud SQL untuk MySQL.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Instal gcloud CLI.

  5. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  6. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. Instal gcloud CLI.

  10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  11. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mengaktifkan dan menggunakan server MCP jarak jauh Cloud SQL, minta administrator Anda untuk memberi Anda peran IAM berikut pada project tempat Anda ingin mengaktifkan dan menggunakan server MCP jarak jauh Cloud SQL:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengaktifkan dan menggunakan server MCP jarak jauh Cloud SQL. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengaktifkan dan menggunakan server MCP jarak jauh Cloud SQL:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Lakukan panggilan alat MCP: mcp.tools.call
  • Meng-clone instance Cloud SQL: cloudsql.instances.clone
  • Buat instance Cloud SQL: cloudsql.instances.create
  • Buat pengguna Cloud SQL: cloudsql.users.create
  • Menjalankan kueri SQL pada instance Cloud SQL:
    • cloudsql.instances.executeSql
    • cloudsql.instances.login
  • Mendapatkan instance Cloud SQL: cloudsql.instances.get
  • Mendapatkan operasi instance Cloud SQL: cloudsql.instances.get
  • Mengimpor data ke instance Cloud SQL: cloudsql.instances.import
  • Mencantumkan instance Cloud SQL dalam project: cloudsql.instances.list
  • Mencantumkan pengguna Cloud SQL: cloudsql.users.list
  • Memperbarui instance Cloud SQL: cloudsql.instances.update
  • Perbarui pengguna Cloud SQL: cloudsql.users.update

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengaktifkan atau menonaktifkan server MCP Cloud SQL

Anda dapat mengaktifkan server MCP Cloud SQL dalam project dengan perintah gcloud beta services mcp enable.

Mengaktifkan server MCP Cloud SQL di project

Untuk mengaktifkan server MCP Cloud SQL di project Anda, jalankan perintah berikut:Google Cloud 

gcloud beta services mcp enable sqladmin.googleapis.com \
    --project=PROJECT_ID

Ganti kode berikut:

  • PROJECT_ID: Google Cloud Project ID

Setelah Anda menjalankan perintah, server MCP jarak jauh Cloud SQL akan diaktifkan.

Jika layanan Cloud SQL tidak diaktifkan untuk project Anda, Anda akan diminta untuk mengaktifkan layanan sebelum mengaktifkan server MCP jarak jauh Cloud SQL.Google Cloud

Jika Anda menggunakan project yang berbeda untuk kredensial klien, seperti kunci akun layanan, ID klien OAuth, atau kunci API, dan untuk menghosting resource, Anda harus mengaktifkan layanan Cloud SQL dan server MCP jarak jauh Cloud SQL di kedua project.

Menonaktifkan server MCP Cloud SQL dalam project

Untuk menonaktifkan server MCP Cloud SQL di Google Cloud project Anda, jalankan perintah berikut:

gcloud beta services mcp disable sqladmin.googleapis.com \
    --project=PROJECT_ID

Server MCP Cloud SQL dinonaktifkan untuk digunakan di project Google Cloud Anda.

Mengonfigurasi klien MCP untuk menggunakan server MCP Cloud SQL

Program host, seperti Claude atau Gemini CLI, dapat membuat instance klien MCP yang terhubung ke satu server MCP. Program host dapat memiliki beberapa klien yang terhubung ke server MCP yang berbeda. Untuk terhubung ke server MCP jarak jauh, klien MCP setidaknya harus mengetahui URL server MCP jarak jauh.

Gunakan petunjuk berikut untuk mengonfigurasi klien MCP agar terhubung ke server MCP Cloud SQL jarak jauh Anda.

Gemini CLI

Untuk menambahkan server MCP jarak jauh Cloud SQL ke Gemini CLI Anda, konfigurasi sebagai ekstensi.

  1. Buat file ekstensi di lokasi berikut: ~/.gemini/extensions/EXT_NAME/gemini-extension.json dengan ~/ adalah direktori beranda Anda dan EXT_NAME adalah nama yang ingin Anda berikan untuk ekstensi.

  2. Simpan konten berikut dalam file ekstensi Anda:

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Cloud SQL MCP Server": {
              "httpUrl": "https://sqladmin.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. Simpan file ekstensi.

  4. Mulai Gemini CLI:

            gemini

  5. Jalankan /mcp untuk melihat server MCP yang dikonfigurasi dan alatnya.

    Responsnya mirip dengan hal berikut ini:

            Configured MCP servers:
        🟢 Cloud SQL MCP Server (from sqladmin )
          - list_instances
          - get_instance
          - clone_instance
          - create_instance
          - update_instance
          - execute_sql
          - import_data
          - create_user
          - update_user
          - list_users
          - get_operation

Server MCP jarak jauh siap digunakan di Gemini CLI.

Claude.ai

Anda harus memiliki paket Claude Enterprise, Pro, Max, atau Team untuk mengonfigurasi server Google dan MCP di Claude.ai. Google Cloud Untuk mengetahui informasi harga, lihat Harga Claude.

Untuk menambahkan server MCP Google atau jarak jauh ke Claude.ai, konfigurasikan konektor kustom dengan ID klien OAuth dan rahasia klien OAuth: Google Cloud

Buat ID dan rahasia klien OAuth 2.0

  1. Di konsol Google Cloud , buka Google Auth Platform > Clients > Create client.

    Buka Buat klien

    Anda akan diminta untuk membuat project jika belum memilih project.

  2. Pada daftar Application type, pilih Web application.

  3. Di kolom Name, masukkan nama aplikasi Anda.

  4. Di bagian URI pengalihan yang diberi otorisasi, klik + Tambahkan URI, lalu tambahkan https://claude.ai/api/mcp/auth_callback di kolom URI.

  5. Klik Create. Klien dibuat. Untuk mengakses ID klien, di konsol Google Cloud , buka Google Auth Platform > Clients.

  6. Pada daftar Client ID OAuth 2.0, pilih nama klien.

  7. Di bagian Client secrets, salin Client secret dan simpan di tempat yang aman. Anda hanya dapat menyalinnya satu kali. Jika Anda kehilangan rahasia tersebut, hapus rahasia dan buat yang baru.

Membuat konektor kustom di Claude.ai

Ikuti petunjuk untuk paket Claude yang Anda gunakan:

Enterprise dan Tim

  1. Di Claude.ai, buka Admin settings > Connectors.

  2. Klik Tambahkan konektor kustom.

  3. Dalam dialog Tambahkan konektor kustom, masukkan yang berikut:

    • Nama server: nama yang dapat dibaca manusia untuk server.
    • URL server MCP jarak jauh: https://sqladmin.googleapis.com/mcp

  4. Luaskan menu Setelan lanjutan, lalu masukkan hal berikut:

    • ID klien OAuth: ID klien OAuth 2.0 yang Anda buat.
    • Rahasia klien OAuth: rahasia untuk klien OAuth 2.0 Anda. Untuk mengambil secret, buka Google Auth Platform > Clients, lalu pilih client ID OAuth yang Anda buat. Di bagian Client secrets, klik untuk menyalin Client secret.

  5. Klik Tambahkan.

    Konektor kustom dibuat.

  6. Buka menu Alat, lalu aktifkan konektor.

    Claude.ai dapat menggunakan server MCP.

Pro dan Max

  1. Di Claude.ai, buka Settings > Connectors.

  2. Klik Tambahkan konektor kustom.

  3. Dalam dialog Tambahkan konektor kustom, masukkan yang berikut:

    • Nama server: nama yang dapat dibaca manusia untuk server.
    • URL server MCP jarak jauh: https://sqladmin.googleapis.com/mcp

  4. Luaskan menu Setelan lanjutan, lalu masukkan hal berikut:

    • ID klien OAuth: ID klien OAuth 2.0 yang Anda buat.
    • Rahasia klien OAuth: rahasia untuk klien OAuth 2.0 Anda. Untuk mengambil secret, buka Google Auth Platform > Clients, lalu pilih client ID OAuth yang Anda buat. Di bagian Client secrets, klik untuk menyalin Client secret.

  5. Klik Tambahkan.

    Konektor kustom dibuat.

  6. Buka menu Alat, lalu aktifkan konektor.

    Claude.ai dapat menggunakan server MCP.

ChatGPT

Anda harus memiliki langganan ChatGPT Business untuk menggunakan server MCP Google dan Cloud SQL dengan ChatGPT.

Untuk menambahkan server MCP jarak jauh Google atau Cloud SQL ke ChatGPT, buat ID dan rahasia klien OAuth 2.0 Google, lalu tambahkan server MCP sebagai Aplikasi di ChatGPT.

Buat ID dan rahasia klien OAuth 2.0

  1. Di konsol Google Cloud , buka Google Auth Platform > Clients > Create client.

    Buka Buat klien

    Anda akan diminta untuk membuat project jika belum memilih project.

  2. Pada daftar Application type, pilih Web application.

  3. Di kolom Name, masukkan nama aplikasi Anda.

  4. Di bagian Authorized JavaScript origins, klik + Add URI, lalu tambahkan https://chatgpt.com di kolom URIs.

  5. Di bagian URI pengalihan yang diberi otorisasi, klik + Tambahkan URI, lalu tambahkan https://chatgpt.com/connector_platform_oauth_redirect di kolom URI.

  6. Klik Create. Klien dibuat. Untuk mengakses ID klien, di konsol Google Cloud , buka Google Auth Platform > Clients.

  7. Pada daftar Client ID OAuth 2.0, pilih nama klien.

  8. Di bagian Client secrets, salin Client secret dan simpan di tempat yang aman. Anda hanya dapat menyalinnya satu kali. Jika Anda kehilangan rahasia tersebut, hapus rahasia dan buat yang baru.

Menambahkan server MCP sebagai aplikasi di ChatGPT

  1. Login ke ChatGPT.
  2. Aktifkan Mode developer:
    1. Di ChatGPT, klik nama pengguna Anda untuk membuka Menu profil, lalu pilih Setelan.
    2. Di menu Setelan, pilih Aplikasi, lalu klik Setelan lanjutan.
    3. Di Setelan lanjutan, klik tombol Mode developer ke posisi aktif.
  3. Di Setelan > Aplikasi, klik tombol Buat aplikasi.
  4. Pada dialog Aplikasi baru, masukkan informasi berikut:
    • Name: nama server MCP.
    • Deskripsi: deskripsi opsional server MCP.
    • URL server MCP: https://sqladmin.googleapis.com/mcp
    • Autentikasi:
      • Di menu Authentication, pilih OAuth.
      • Di kolom OAuth client ID, masukkan client ID Google OAuth Anda.
      • Di kolom OAuth secret, masukkan rahasia klien Google OAuth Anda.
    • Konfirmasi bahwa Anda memahami risiko yang terkait dengan penggunaan server MCP, lalu klik Create.

Server MCP ditampilkan di menu Apps, dan siap digunakan melalui perintah chat.

Panduan umum untuk klien MCP

Jika klien MCP Anda tidak tercantum di Mengonfigurasi klien MCP untuk menggunakan server MCP Cloud SQL, Anda dapat menggunakan informasi berikut untuk terhubung ke server MCP jarak jauh di program host atau aplikasi AI Anda. Anda akan diminta untuk memasukkan detail tentang server, seperti nama dan URL-nya.

Untuk server MCP jarak jauh Cloud SQL, masukkan hal berikut sesuai kebutuhan:

  • Nama server: Server MCP Cloud SQL
  • URL Server atau Endpoint: https://sqladmin.googleapis.com/mcp
  • Transportasi: HTTP
  • Detail autentikasi: Bergantung pada cara autentikasi yang Anda inginkan, Anda dapat memasukkan Google Cloud kredensial, ID Klien OAuth dan rahasia, atau identitas dan kredensial agen.

Untuk panduan umum lainnya, lihat referensi berikut:

Autentikasi dan otorisasi

Server MCP Cloud SQL menggunakan protokol OAuth 2.0 dengan Identity and Access Management (IAM) untuk autentikasi dan otorisasi. Semua Google Cloud identitas didukung untuk autentikasi ke server MCP.

Server MCP jarak jauh Cloud SQL tidak menerima kunci API.

Sebaiknya buat identitas terpisah untuk agen menggunakan alat MCP agar akses ke resource dapat dikontrol dan dipantau. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

Cakupan OAuth MCP Cloud SQL

OAuth 2.0 menggunakan cakupan dan kredensial untuk menentukan apakah akun utama terautentikasi diizinkan untuk melakukan tindakan tertentu pada resource. Untuk mengetahui informasi selengkapnya tentang cakupan OAuth 2.0 di Google, baca Menggunakan OAuth 2.0 untuk mengakses Google API.

Cloud SQL memiliki cakupan OAuth alat MCP berikut:

URI cakupan untuk gcloud CLI Deskripsi
https://www.googleapis.com/auth/cloud-platform Membuat, memperbarui, dan mencantumkan resource Cloud SQL, termasuk instance dan pengguna database. Mengimpor data dan menjalankan kueri SQL di instance Cloud SQL.

Cakupan tambahan mungkin diperlukan pada resource yang diakses selama panggilan alat. Untuk melihat daftar cakupan yang diperlukan untuk Cloud SQL, lihat Cloud SQL Admin API.

Alat yang tersedia

  • clone_instance: membuat instance Cloud SQL sebagai clone instance sumber.
  • create_instance: memulai pembuatan instance Cloud SQL.
  • create_user: membuat pengguna database untuk instance Cloud SQL.
  • execute_sql: menjalankan pernyataan SQL yang valid (DDL, DCL, DQL, DML) pada instance Cloud SQL.
  • get_instance: mendapatkan detail instance Cloud SQL.
  • get_operation: mendapatkan status operasi yang berjalan lama di Cloud SQL.
  • list_instances: mencantumkan semua instance Cloud SQL dalam project.
  • list_users: mencantumkan semua pengguna database untuk instance Cloud SQL.
  • import_data: mengimpor data ke instance Cloud SQL dari Cloud Storage.
  • update_instance: memperbarui setelan yang didukung dari instance Cloud SQL.
  • update_user: memperbarui pengguna database untuk instance Cloud SQL.

Untuk melihat detail tambahan alat MCP yang tersedia dan deskripsinya untuk server MCP jarak jauh Cloud SQL, lihat referensi MCP Cloud SQL.

Alat daftar

Gunakan pemeriksa MCP untuk mencantumkan alat, atau kirim permintaan HTTP tools/list langsung ke server MCP jarak jauh Cloud SQL. Metode tools/list tidak memerlukan autentikasi.

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Menjalankan pernyataan SQL

Untuk menjalankan pernyataan SQL, instance Cloud SQL Anda harus memenuhi persyaratan berikut:

Jika instance tidak dikonfigurasi ke ALLOW_DATA_API, gunakan alat update_instance untuk mengupdate konfigurasi instance.

Kasus penggunaan sampel

Berikut adalah contoh kasus penggunaan untuk server MCP Cloud SQL:

Pengembangan aplikasi web

Contoh kasus penggunaan mungkin berupa pengembangan aplikasi web yang cepat dan penyediaan instance Cloud SQL sebagai database sumbernya. Dalam kasus penggunaan ini, menggunakan server MCP Cloud SQL memungkinkan Anda membangun database baru dan mengisinya dengan data awal untuk project baru menggunakan bahasa alami.

Contoh perintah:

"Create a new MySQL development instance and set up a table called products."

Alur Kerja:

Alur kerja untuk menyiapkan aplikasi web mungkin terlihat seperti berikut:

  • Penyediaan: Agen memanggil alat create_instance untuk membuat instance Cloud SQL baru dengan spesifikasi berukuran lingkungan pengembangan.

  • Verifikasi: Agen menggunakan alat get_operation untuk melakukan polling status operasi pembuatan instance.

  • Koneksi: Setelah operasi selesai, agen menggunakan alat get_instance untuk mengambil metadata koneksi instance.

  • Penyiapan skema: Setelah siap, agen akan menggunakan execute_sql untuk menjalankan pernyataan SQL CREATE TABLE products.

  • Pengisian data: Agen menggunakan execute_sql lagi untuk menyisipkan data awal (DML) ke dalam tabel yang baru dibuat.

  • Pengisian data: Setelah siap, agen menggunakan import_data untuk mengimpor file data produk dari Cloud Storage.

Membuat kueri database menggunakan bahasa alami

Anda dapat membuat kueri database Cloud SQL, memperbarui data, dan melakukan pembaruan skema menggunakan bahasa alami.

Contoh perintah:

"Add a `stock_count` column to the inventory table."

Alur kerja: Alur kerja untuk membuat kueri database dengan bahasa alami mungkin terlihat seperti berikut.

  • Migrasi skema: Agen memanggil execute_sql untuk menjalankan pernyataan ALTER TABLE, menambahkan kolom stock_count baru ke skema database.

  • Validasi: Agen menggunakan get_instance untuk mengonfirmasi bahwa update instance telah berhasil diselesaikan.

Contoh perintah:

"Show me a list of shoes that are priced above $100 from the inventory table."

Alur Kerja:

  • Eksekusi kueri: Agen memanggil execute_sql untuk menjalankan pernyataan SQL yang mengambil data.

Batasan

Server MCP jarak jauh Cloud SQL memiliki batasan berikut:

  • Alat create_user tidak mendukung pembuatan pengguna autentikasi bawaan dengan sandi.
  • Jika alat execute_sql menampilkan respons yang lebih besar dari 10 MB, respons akan dipangkas.
  • Saat menggunakan alat execute_sql, kueri yang berjalan lebih dari 30 detik dapat mengalami waktu tunggu habis.

Konfigurasi keamanan dan keselamatan opsional

Google Cloud menawarkan integrasi dengan Model Armor untuk Server MCP jarak jauh guna membantu Anda menggunakan alat MCP dengan aman. Untuk mengetahui informasi selengkapnya tentang keamanan dan tata kelola MCP, lihat Keamanan dan keselamatan AI.

Model Armor

Model Armor adalah layananGoogle Cloud yang dirancang untuk meningkatkan keamanan dan keselamatan aplikasi AI Anda. Model Armor bekerja dengan menyaring perintah dan respons LLM secara proaktif, melindungi dari berbagai risiko, dan mendukung praktik AI yang bertanggung jawab. Baik Anda men-deploy AI di lingkungan cloud Anda, atau di penyedia cloud eksternal, Model Armor dapat membantu Anda mencegah input berbahaya, memverifikasi keamanan konten, melindungi data sensitif, menjaga kepatuhan, dan menerapkan kebijakan keamanan dan keselamatan AI Anda secara konsisten di seluruh lanskap AI Anda yang beragam.

Model Armor hanya tersedia di lokasi regional tertentu. Jika Model Armor diaktifkan untuk project, dan panggilan ke project tersebut berasal dari region yang tidak didukung, Model Armor akan melakukan panggilan lintas region. Untuk mengetahui informasi selengkapnya, lihat Lokasi Model Armor.

Mengaktifkan Model Armor

Anda harus mengaktifkan Model Armor API sebelum dapat menggunakan Model Armor.

Konsol

  1. Aktifkan Model Armor API.

    Peran yang diperlukan untuk mengaktifkan API

    Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

    Mengaktifkan API

  2. Pilih project tempat Anda ingin mengaktifkan Model Armor.

gcloud

Sebelum memulai, ikuti langkah-langkah berikut menggunakan gcloud CLI dengan Model Armor API:

  1. Di konsol Google Cloud , aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan gcloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.

  2. Jalankan perintah berikut untuk menetapkan endpoint API bagi layanan Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ganti LOCATION dengan region tempat Anda ingin menggunakan Model Armor.

Mengonfigurasi perlindungan untuk server MCP jarak jauh dan Google Cloud Google

Untuk membantu melindungi panggilan dan respons alat MCP, Anda dapat menggunakan setelan batas bawah Model Armor. Setelan minimum menentukan filter keamanan minimum yang berlaku di seluruh project. Konfigurasi ini menerapkan serangkaian filter yang konsisten ke semua panggilan dan respons alat MCP dalam project.

Siapkan setelan minimum Model Armor dengan pengamanan MCP diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan batas bawah Model Armor.

Lihat contoh perintah berikut:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ganti PROJECT_ID dengan project ID Google Cloud Anda.

Perhatikan setelan berikut:

  • INSPECT_AND_BLOCK: Jenis penegakan yang memeriksa konten untuk server MCP Google dan memblokir perintah dan respons yang cocok dengan filter.
  • ENABLED: Setelan yang mengaktifkan filter atau penerapan.
  • MEDIUM_AND_ABOVE: Tingkat keyakinan untuk setelan filter Responsible AI - Berbahaya. Anda dapat mengubah setelan ini, meskipun nilai yang lebih rendah dapat menghasilkan lebih banyak positif palsu. Untuk mengetahui informasi selengkapnya, lihat Tingkat keyakinan Model Armor.

Menonaktifkan pemindaian traffic MCP dengan Model Armor

Jika Anda ingin berhenti memindai traffic MCP Google dengan Model Armor, jalankan perintah berikut:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ganti PROJECT_ID dengan ID project Google Cloud .

Model Armor tidak akan memindai traffic MCP dalam project.

Mengontrol penggunaan MCP dengan kebijakan penolakan IAM

Kebijakan penolakan Identity and Access Management (IAM) membantu Anda mengamankan server MCP jarak jauh Google Cloud . Konfigurasi kebijakan ini untuk memblokir akses alat MCP yang tidak diinginkan.

Misalnya, Anda dapat menolak atau mengizinkan akses berdasarkan:

  • Kepala sekolah
  • Properti alat seperti hanya baca
  • Client ID OAuth aplikasi

Untuk mengetahui informasi selengkapnya, lihat Mengontrol penggunaan MCP dengan Identity and Access Management.

Langkah berikutnya