Utilizza il server MCP remoto Cloud SQL

Il Model Context Protocol (MCP) standardizza il modo in cui le applicazioni AI si connettono a origini dati esterne utilizzando server e strumenti MCP.

Questo documento descrive come utilizzare il server Model Context Protocol (MCP) remoto Cloud SQL per connettersi a Cloud SQL per MySQL da applicazioni AI come Gemini CLI, modalità agent in Gemini Code Assist, Claude Code o in applicazioni AI che stai sviluppando.

Il server MCP remoto Cloud SQL e altri Google Cloud server MCP remoti offrono le seguenti funzionalità e vantaggi:

  • Rilevamento semplificato e centralizzato.
  • Endpoint HTTP globali o regionali gestiti.
  • Autorizzazione granulare.
  • Sicurezza facoltativa di prompt e risposte con la protezione Model Armor.
  • Audit logging centralizzato.

I server MCP remoti sono gestiti da Google e offrono controlli di sicurezza e governance aggiuntivi rispetto ai server MCP locali forniti da Cloud SQL for MySQL MCP Toolbox for Databases. Per saperne di più su altri server MCP remoti e sui controlli di sicurezza e governance disponibili per MCP, consulta la Google Cloud panoramica dei server MCP.

Le sezioni seguenti si applicano solo al server MCP remoto Cloud SQL per MySQL.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Installa gcloud CLI.

  5. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  6. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. Installa gcloud CLI.

  10. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  11. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per attivare e utilizzare il server MCP remoto Cloud SQL, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto in cui vuoi attivare e utilizzare il server MCP remoto Cloud SQL:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per attivare e utilizzare il server MCP remoto Cloud SQL. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per abilitare e utilizzare il server MCP remoto Cloud SQL sono necessarie le seguenti autorizzazioni:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Effettua chiamate allo strumento MCP: mcp.tools.call
  • Clona un'istanza Cloud SQL: cloudsql.instances.clone
  • Crea un'istanza Cloud SQL: cloudsql.instances.create
  • Crea un utente Cloud SQL: cloudsql.users.create
  • Esegui query SQL su un'istanza Cloud SQL:
    • cloudsql.instances.executeSql
    • cloudsql.instances.login
  • Ottieni un'istanza Cloud SQL: cloudsql.instances.get
  • Recupera un'operazione dell'istanza Cloud SQL: cloudsql.instances.get
  • Importa dati in un'istanza Cloud SQL: cloudsql.instances.import
  • Elenca le istanze Cloud SQL in un progetto: cloudsql.instances.list
  • Elenca gli utenti Cloud SQL: cloudsql.users.list
  • Aggiorna un'istanza Cloud SQL: cloudsql.instances.update
  • Aggiorna un utente Cloud SQL: cloudsql.users.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Attivare o disattivare il server MCP Cloud SQL

Puoi abilitare il server MCP Cloud SQL in un progetto con il comando gcloud beta services mcp enable.

Abilitare il server MCP Cloud SQL in un progetto

Per abilitare il server Cloud SQL MCP nel tuo progettoGoogle Cloud , esegui questo comando:

gcloud beta services mcp enable sqladmin.googleapis.com \
    --project=PROJECT_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto Google Cloud .

Dopo aver eseguito il comando, il server MCP remoto Cloud SQL viene attivato.

Se il servizio Cloud SQL non è abilitato per il tuo progettoGoogle Cloud , ti viene chiesto di abilitare il servizio prima di abilitare il server MCP remoto Cloud SQL.

Se utilizzi progetti diversi per le credenziali client, ad esempio chiavi del service account, ID client OAuth o chiavi API, e per l'hosting delle risorse, devi attivare il servizio Cloud SQL e il server MCP remoto Cloud SQL in entrambi i progetti.

Disabilitare il server MCP Cloud SQL in un progetto

Per disattivare il server Cloud SQL MCP nel tuo progettoGoogle Cloud , esegui questo comando:

gcloud beta services mcp disable sqladmin.googleapis.com \
    --project=PROJECT_ID

Il server MCP Cloud SQL è disabilitato per l'utilizzo nel tuo progetto Google Cloud .

Configura un client MCP per utilizzare il server MCP Cloud SQL

I programmi host, come Claude o Gemini CLI, possono creare istanze di client MCP che si connettono a un singolo server MCP. Un programma host può avere più client che si connettono a server MCP diversi. Per connettersi a un server MCP remoto, il client MCP deve conoscere almeno l'URL del server MCP remoto.

Utilizza le seguenti istruzioni per configurare i client MCP in modo che si connettano al server MCP Cloud SQL remoto.

Gemini CLI

Per aggiungere un server MCP remoto Cloud SQL a Gemini CLI, configuralo come estensione.

  1. Crea un file di estensione nella seguente posizione: ~/.gemini/extensions/EXT_NAME/gemini-extension.json dove ~/ è la tua home directory e EXT_NAME è il nome che vuoi assegnare all'estensione.

  2. Salva i seguenti contenuti nel file di estensione:

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Cloud SQL MCP Server": {
              "httpUrl": "https://sqladmin.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. Salva il file delle estensioni.

  4. Avvia Gemini CLI:

            gemini

  5. Esegui /mcp per visualizzare il server MCP configurato e i relativi strumenti.

    La risposta è simile alla seguente:

            Configured MCP servers:
        🟢 Cloud SQL MCP Server (from sqladmin )
          - list_instances
          - get_instance
          - clone_instance
          - create_instance
          - update_instance
          - execute_sql
          - import_data
          - create_user
          - update_user
          - list_users
          - get_operation

Il server MCP remoto è pronto per l'uso in Gemini CLI.

Claude.ai

Devi disporre del piano Claude Enterprise, Pro, Max o Team per configurare i server Google e Google Cloud MCP in Claude.ai. Per informazioni sui prezzi, consulta Prezzi di Claude.

Per aggiungere un server MCP Google o remoto a Claude.ai, configura un connettore personalizzato con un ID client OAuth e un client secret OAuth: Google Cloud

Crea un ID client e un secret OAuth 2.0

  1. Nella console Google Cloud , vai a Google Auth Platform > Clients > Create client.

    Vai a Crea client

    Se non hai selezionato un progetto, ti viene chiesto di crearne uno.

  2. Nell'elenco Tipo di applicazione, seleziona Applicazione web.

  3. Nel campo Nome, inserisci un nome per l'applicazione.

  4. Nella sezione URI di reindirizzamento autorizzati, fai clic su + Aggiungi URI e poi aggiungi https://claude.ai/api/mcp/auth_callback nel campo URI.

  5. Fai clic su Crea. Il client è stato creato. Per accedere all'ID client, nella console Google Cloud , vai a Google Auth Platform > Client.

  6. Nell'elenco ID client OAuth 2.0, seleziona il nome del client.

  7. Nella sezione Client secret, copia il client secret e salvalo in un luogo sicuro. Puoi copiarlo una sola volta. Se lo perdi, elimina il secret e creane uno nuovo.

Creare un connettore personalizzato in Claude.ai

Segui le istruzioni per il piano Claude che stai utilizzando:

Enterprise e Team

  1. In Claude.ai, vai ad Admin settings > Connectors (Impostazioni amministrazione > Connettori).

  2. Fai clic su Aggiungi connettore personalizzato.

  3. Nella finestra di dialogo Aggiungi connettore personalizzato, inserisci quanto segue:

    • Nome server: un nome leggibile per il server.
    • URL del server MCP remoto: https://sqladmin.googleapis.com/mcp

  4. Espandi il menu Impostazioni avanzate e inserisci quanto segue:

    • ID client OAuth: l'ID client OAuth 2.0 che hai creato.
    • Client secret OAuth: il segreto per il client OAuth 2.0. Per recuperare il segreto, vai a Google Auth Platform > Clients e seleziona l'ID client OAuth che hai creato. Nella sezione Client secrets (Client secret), fai clic per copiare il Client secret.

  5. Fai clic su Aggiungi.

    Il connettore personalizzato è stato creato.

  6. Apri il menu Strumenti e attiva il connettore.

    Claude.ai può utilizzare il server MCP.

Pro e Max

  1. In Claude.ai, vai a Impostazioni > Connettori.

  2. Fai clic su Aggiungi connettore personalizzato.

  3. Nella finestra di dialogo Aggiungi connettore personalizzato, inserisci quanto segue:

    • Nome server: un nome leggibile per il server.
    • URL del server MCP remoto: https://sqladmin.googleapis.com/mcp

  4. Espandi il menu Impostazioni avanzate e inserisci quanto segue:

    • ID client OAuth: l'ID client OAuth 2.0 che hai creato.
    • Client secret OAuth: il segreto per il client OAuth 2.0. Per recuperare il segreto, vai a Google Auth Platform > Clients e seleziona l'ID client OAuth che hai creato. Nella sezione Client secrets (Client secret), fai clic per copiare il Client secret.

  5. Fai clic su Aggiungi.

    Il connettore personalizzato è stato creato.

  6. Apri il menu Strumenti e attiva il connettore.

    Claude.ai può utilizzare il server MCP.

ChatGPT

Per utilizzare i server Google e Cloud SQL MCP con ChatGPT, devi avere un abbonamento a ChatGPT Business.

Per aggiungere un server MCP remoto Google o Cloud SQL a ChatGPT, crea un ID client e un client secret OAuth 2.0 di Google, quindi aggiungi il server MCP come app in ChatGPT.

Crea un ID client e un secret OAuth 2.0

  1. Nella console Google Cloud , vai a Google Auth Platform > Clients > Create client.

    Vai a Crea client

    Se non hai selezionato un progetto, ti viene chiesto di crearne uno.

  2. Nell'elenco Tipo di applicazione, seleziona Applicazione web.

  3. Nel campo Nome, inserisci un nome per l'applicazione.

  4. Nella sezione Origini JavaScript autorizzate, fai clic su + Aggiungi URI e poi aggiungi https://chatgpt.com nel campo URI.

  5. Nella sezione URI di reindirizzamento autorizzati, fai clic su + Aggiungi URI e poi aggiungi https://chatgpt.com/connector_platform_oauth_redirect nel campo URI.

  6. Fai clic su Crea. Il client è stato creato. Per accedere all'ID client, nella console Google Cloud , vai a Google Auth Platform > Client.

  7. Nell'elenco ID client OAuth 2.0, seleziona il nome del client.

  8. Nella sezione Client secret, copia il client secret e salvalo in un luogo sicuro. Puoi copiarlo una sola volta. Se lo perdi, elimina il secret e creane uno nuovo.

Aggiungere il server MCP come app in ChatGPT

  1. Accedi a ChatGPT.
  2. Attiva la modalità sviluppatore:
    1. In ChatGPT, fai clic sul tuo nome utente per aprire il menu Profilo, quindi seleziona Impostazioni.
    2. Nel menu Impostazioni, seleziona App e poi fai clic su Impostazioni avanzate.
    3. In Impostazioni avanzate, fai clic sul pulsante di attivazione/disattivazione Modalità sviluppatore.
  3. In Impostazioni > App, fai clic sul pulsante Crea app.
  4. Nella finestra di dialogo Nuova app, inserisci le seguenti informazioni:
    • Nome: il nome del server MCP.
    • Descrizione: una descrizione facoltativa del server MCP.
    • URL del server MCP: https://sqladmin.googleapis.com/mcp
    • Autenticazione:
      • Nel menu Authentication (Autenticazione), seleziona OAuth.
      • Nel campo ID client OAuth, inserisci l'ID client OAuth di Google.
      • Nel campo Segreto OAuth, inserisci il client secret OAuth di Google.
    • Conferma di aver compreso il rischio associato all'utilizzo del server MCP, quindi fai clic su Crea.

Il server MCP viene visualizzato nel menu App ed è pronto per l'uso tramite prompt di chat.

Indicazioni generali per i clienti MCP

Se il tuo client MCP non è elencato in Configurare un client MCP per utilizzare il server MCP Cloud SQL, utilizza le seguenti informazioni per connetterti a un server MCP remoto nel tuo programma host o nella tua applicazione AI. Ti viene chiesto di inserire i dettagli del server, come nome e URL.

Per il server MCP remoto Cloud SQL, inserisci quanto segue in base alle esigenze:

  • Nome server: server Cloud SQL MCP
  • URL server o Endpoint: https://sqladmin.googleapis.com/mcp
  • Trasporto: HTTP
  • Dettagli di autenticazione: a seconda di come vuoi autenticarti, puoi inserire le tue Google Cloud credenziali, l'ID client e il client secret OAuth oppure un'identità e le credenziali dell'agente.

Per indicazioni più generali, consulta le seguenti risorse:

Autenticazione e autorizzazione

I server Cloud SQL MCP utilizzano il protocollo OAuth 2.0 con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione. Tutte le identitàGoogle Cloud sono supportate per l'autenticazione ai server MCP.

Il server MCP remoto Cloud SQL non accetta chiavi API.

Consigliamo di creare un'identità separata per gli agenti che utilizzano gli strumenti MCP in modo che l'accesso alle risorse possa essere controllato e monitorato. Per saperne di più sull'autenticazione, consulta Autenticarsi sui server MCP.

Ambiti OAuth MCP di Cloud SQL

OAuth 2.0 utilizza ambiti e credenziali per determinare se un principal autenticato è autorizzato a eseguire un'azione specifica su una risorsa. Per saperne di più sugli ambiti OAuth 2.0 in Google, leggi Utilizzare OAuth 2.0 per accedere alle API di Google.

Cloud SQL ha i seguenti ambiti OAuth dello strumento MCP:

URI dell'ambito per gcloud CLI Descrizione
https://www.googleapis.com/auth/cloud-platform Crea, aggiorna ed elenca le risorse Cloud SQL, tra cui istanze e utenti del database. Importa dati ed esegui query SQL sulle istanze Cloud SQL.

Potrebbero essere necessari ambiti aggiuntivi per le risorse a cui si accede durante una chiamata allo strumento. Per visualizzare un elenco degli ambiti richiesti per Cloud SQL, consulta API Cloud SQL Admin.

Strumenti disponibili

  • clone_instance: crea un'istanza Cloud SQL come clone dell'istanza di origine.
  • create_instance: avvia la creazione di un'istanza Cloud SQL.
  • create_user: crea un utente del database per un'istanza Cloud SQL.
  • execute_sql: esegue qualsiasi istruzione SQL valida (DDL, DCL, DQL, DML) su un'istanza Cloud SQL.
  • get_instance: recupera i dettagli di un'istanza Cloud SQL.
  • get_operation: recupera lo stato di un'operazione a lunga esecuzione in Cloud SQL.
  • list_instances: elenca tutte le istanze Cloud SQL in un progetto.
  • list_users: elenca tutti gli utenti del database per un'istanza Cloud SQL.
  • import_data: importa i dati in un'istanza Cloud SQL da Cloud Storage.
  • update_instance: aggiorna le impostazioni supportate di un'istanza Cloud SQL.
  • update_user: aggiorna un utente del database per un'istanza Cloud SQL.

Per visualizzare ulteriori dettagli sugli strumenti MCP disponibili e le relative descrizioni per il server MCP remoto Cloud SQL, consulta il riferimento a Cloud SQL MCP.

Strumenti per le liste

Utilizza lo strumento di controllo MCP per elencare gli strumenti o invia una richiesta HTTP tools/list direttamente al server MCP remoto di Cloud SQL. Il metodo tools/list non richiede l'autenticazione.

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Eseguire istruzioni SQL

Per eseguire istruzioni SQL, l'istanza Cloud SQL deve soddisfare i seguenti requisiti:

Se l'istanza non è configurata per ALLOW_DATA_API, utilizza lo strumento update_instance per aggiornare la configurazione dell'istanza.

Esempi di casi d'uso

Di seguito sono riportati alcuni casi d'uso di esempio per il server Cloud SQL MCP:

Sviluppo di applicazioni web

Un caso d'uso di esempio potrebbe essere lo sviluppo rapido di applicazioni web e il provisioning di istanze Cloud SQL come database di origine. In questo caso d'uso, l'utilizzo del server Cloud SQL MCP ti consente di creare un nuovo database e popolarlo con i dati iniziali per un nuovo progetto utilizzando il linguaggio naturale.

Prompt di esempio:

"Create a new MySQL development instance and set up a table called products."

Workflow:

Il workflow per la configurazione di un'applicazione web potrebbe essere il seguente:

  • Provisioning: l'agente chiama lo strumento create_instance per creare una nuova istanza Cloud SQL con specifiche delle dimensioni dell'ambiente di sviluppo.

  • Verifica: l'agente utilizza lo strumento get_operation per eseguire il polling dello stato dell'operazione di creazione dell'istanza.

  • Connessione: al termine dell'operazione, l'agente utilizza lo strumento get_instance per recuperare i metadati di connessione dell'istanza.

  • Configurazione dello schema: quando è pronto, l'agente utilizza execute_sql per eseguire l'istruzione SQL CREATE TABLE products.

  • Inserimento dei dati: l'agente utilizza di nuovo execute_sql per inserire i dati iniziali (DML) nella tabella appena creata.

  • Inserimento dei dati: quando è pronto, l'agente utilizza import_data per importare un file di dati dei prodotti da Cloud Storage.

Eseguire query su un database utilizzando il linguaggio naturale

Puoi eseguire query su un database Cloud SQL, aggiornare i record e apportare aggiornamenti dello schema utilizzando il linguaggio naturale.

Prompt di esempio:

"Add a `stock_count` column to the inventory table."

Workflow: il workflow per eseguire query su un database con il linguaggio naturale potrebbe essere il seguente.

  • Migrazione dello schema: l'agente chiama execute_sql per eseguire un'istruzione ALTER TABLE e aggiunge la nuova colonna stock_count allo schema del database.

  • Convalida: l'agente utilizza get_instance per confermare che l'aggiornamento dell'istanza è stato completato correttamente.

Prompt di esempio:

"Show me a list of shoes that are priced above $100 from the inventory table."

Workflow:

  • Esecuzione della query: l'agente chiama execute_sql per eseguire l'istruzione SQL che recupera i dati.

Limitazioni

Il server MCP remoto Cloud SQL presenta le seguenti limitazioni:

  • Lo strumento create_user non supporta la creazione di un utente con autenticazione integrata con una password.
  • Se lo strumento execute_sql restituisce una risposta superiore a 10 MB, la risposta verrà troncata.
  • Quando utilizzi lo strumento execute_sql, le query eseguite per più di 30 secondi possono scadere.

Configurazioni di sicurezza facoltative

Google Cloud offre un'integrazione con Model Armor per i server MCP remoti per aiutarti a utilizzare gli strumenti MCP in modo sicuro. Per saperne di più sulla sicurezza e sulla governance di MCP, consulta Sicurezza e protezione dell'AI.

Model Armor

Model Armor è un servizio Google Cloud progettato per migliorare la sicurezza delle tue applicazioni AI. Funziona controllando in modo proattivo i prompt e le risposte degli LLM, proteggendo da vari rischi e supportando pratiche di AI responsabile. Che tu stia eseguendo il deployment dell'AI nel tuo ambiente cloud o su provider cloud esterni, Model Armor può aiutarti a prevenire input dannosi, verificare la sicurezza dei contenuti, proteggere i dati sensibili, mantenere la conformità e applicare le tue norme di sicurezza dell'AI in modo coerente nel tuo panorama AI diversificato.

Model Armor è disponibile solo in località regionali specifiche. Se Model Armor è attivato per un progetto e una chiamata a quel progetto proviene da una regione non supportata, Model Armor effettua una chiamata tra regioni diverse. Per maggiori informazioni, vedi Località di Model Armor.

Abilita Model Armor

Prima di poter utilizzare Model Armor, devi abilitare le API Model Armor.

Console

  1. Abilita l'API Model Armor.

    Ruoli richiesti per abilitare le API

    Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (roles/serviceusage.serviceUsageAdmin), che include l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

    Abilitare l'API

  2. Seleziona il progetto in cui vuoi attivare Model Armor.

gcloud

Prima di iniziare, segui questi passaggi utilizzando gcloud CLI con l'API Model Armor:

  1. Nella console Google Cloud , attiva Cloud Shell.

    Attiva Cloud Shell

    Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con la gcloud CLI già installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

  2. Esegui questo comando per impostare l'endpoint API per il servizio Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Sostituisci LOCATION con la regione in cui vuoi utilizzare Model Armor.

Configurare la protezione per Google e Google Cloud server MCP remoti

Per proteggere le chiamate e le risposte dello strumento MCP, puoi utilizzare le impostazioni di base di Model Armor. Un'impostazione di base definisce i filtri di sicurezza minimi che vengono applicati a tutto il progetto. Questa configurazione applica un insieme coerente di filtri a tutte le chiamate e le risposte degli strumenti MCP all'interno del progetto.

Configura un'impostazione di base di Model Armor con la sanificazione MCP attivata. Per saperne di più, consulta Configurare le impostazioni di base di Model Armor.

Vedi il seguente comando di esempio:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Sostituisci PROJECT_ID con l'ID progetto Google Cloud .

Tieni presente le seguenti impostazioni:

  • INSPECT_AND_BLOCK: il tipo di applicazione che ispeziona i contenuti per il server MCP di Google e blocca i prompt e le risposte che corrispondono ai filtri.
  • ENABLED: l'impostazione che attiva un filtro o l'applicazione.
  • MEDIUM_AND_ABOVE: il livello di confidenza per le impostazioni del filtro AI responsabile - Pericoloso. Puoi modificare questa impostazione, anche se valori più bassi potrebbero generare più falsi positivi. Per saperne di più, consulta Livelli di confidenza di Model Armor.

Disattivare l'analisi del traffico MCP con Model Armor

Se vuoi interrompere la scansione del traffico Google MCP con Model Armor, esegui questo comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Sostituisci PROJECT_ID con l'ID progetto Google Cloud .

Model Armor non eseguirà la scansione del traffico MCP nel progetto.

Controllare l'utilizzo di MCP con i criteri di negazione IAM

I criteri di negazione di Identity and Access Management (IAM) ti aiutano a proteggere Google Cloud i server MCP remoti. Configura queste policy per bloccare l'accesso indesiderato allo strumento MCP.

Ad esempio, puoi negare o consentire l'accesso in base a:

  • Il preside
  • Proprietà degli strumenti come di sola lettura
  • L'ID client OAuth dell'applicazione

Per saperne di più, consulta Controllare l'utilizzo di MCP con Identity and Access Management.

Passaggi successivi