Cloud SQL リモート MCP サーバーを使用する

Model Context Protocol(MCP)は、MCP サーバーとツールを使用して AI アプリケーションが外部のデータソースに接続する方法を標準化します。

このドキュメントでは、Cloud SQL リモート Model Context Protocol(MCP)サーバーを使用して、Gemini CLI、Gemini Code Assist のエージェント モード、Claude Code などの AI アプリケーション、または開発中の AI アプリケーションから Cloud SQL for MySQL に接続する方法について説明します。

Cloud SQL リモート MCP サーバーとその他の Google Cloud リモート MCP サーバーには、次の機能とメリットがあります。

  • 簡素化された一元的な検出。
  • マネージド グローバルまたはリージョン HTTP エンドポイント。
  • きめ細かい認可。
  • Model Armor 保護によるプロンプトとレスポンスのセキュリティ(オプション)。
  • 一元的な監査ロギング。

リモート MCP サーバーは Google によって管理され、Cloud SQL for MySQL MCP Toolbox for Databases によって提供されるローカル MCP サーバーと比較して、セキュリティとガバナンスの制御が強化されています。他のリモート MCP サーバーと、MCP で使用可能なセキュリティとガバナンスの制御の詳細については、Google Cloud MCP サーバーの概要をご覧ください。

次のセクションは、Cloud SQL for MySQL リモート MCP サーバーにのみ適用されます。

始める前に

  1. Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. gcloud CLIインストールします。

  5. 外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  6. gcloud CLI を初期化するには、次のコマンドを実行します。

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. gcloud CLIインストールします。

  10. 外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  11. gcloud CLI を初期化するには、次のコマンドを実行します。

    gcloud init

必要なロール

Cloud SQL リモート MCP サーバーを有効にして使用するために必要な権限を取得するには、リモート Cloud SQL MCP サーバーを有効にして使用するプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには、Cloud SQL リモート MCP サーバーを有効にして使用するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

Cloud SQL リモート MCP サーバーを有効にして使用するには、次の権限が必要です。

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • MCP ツール呼び出しを行う: mcp.tools.call
  • Cloud SQL インスタンスのクローンを作成します。 cloudsql.instances.clone
  • Cloud SQL インスタンスを作成します。 cloudsql.instances.create
  • Cloud SQL ユーザーを作成します。 cloudsql.users.create
  • Cloud SQL インスタンスで SQL クエリを実行する:
    • cloudsql.instances.executeSql
    • cloudsql.instances.login
  • Cloud SQL インスタンスを取得します。 cloudsql.instances.get
  • Cloud SQL インスタンス オペレーションを取得します。 cloudsql.instances.get
  • Cloud SQL インスタンスにデータをインポートします。 cloudsql.instances.import
  • プロジェクト内の Cloud SQL インスタンスを一覧表示します。 cloudsql.instances.list
  • Cloud SQL ユーザーを一覧表示します。 cloudsql.users.list
  • Cloud SQL インスタンスを更新します。 cloudsql.instances.update
  • Cloud SQL ユーザーを更新します。 cloudsql.users.update

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

Cloud SQL MCP サーバーを有効または無効にする

プロジェクトで Cloud SQL MCP サーバーを有効にするには、gcloud beta services mcp enable コマンドを使用します。

プロジェクトで Cloud SQL MCP サーバーを有効にする

Google Cloud プロジェクトで Cloud SQL MCP サーバーを有効にするには、次のコマンドを実行します。

gcloud beta services mcp enable sqladmin.googleapis.com \
    --project=PROJECT_ID

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクト ID。

コマンドを実行すると、Cloud SQL リモート MCP サーバーが有効になります。

Google Cloud プロジェクトで Cloud SQL サービスが有効になっていない場合は、Cloud SQL リモート MCP サーバーを有効にする前に、このサービスを有効にするよう求められます。

サービス アカウント キー、OAuth クライアント ID、API キーなどのクライアント認証情報と、リソースのホスティングに異なるプロジェクトを使用している場合は、両方のプロジェクトで Cloud SQL サービスと Cloud SQL リモート MCP サーバーを有効にする必要があります。

プロジェクトで Cloud SQL MCP サーバーを無効にする

Google Cloud プロジェクトで Cloud SQL MCP サーバーを無効にするには、次のコマンドを実行します。

gcloud beta services mcp disable sqladmin.googleapis.com \
    --project=PROJECT_ID

Google Cloud プロジェクトでの Cloud SQL MCP サーバーの使用が無効になっています。

Cloud SQL MCP サーバーを使用するように MCP クライアントを構成する

Claude や Gemini CLI などのホスト プログラムは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。ホスト プログラムには、さまざまな MCP サーバーに接続する複数のクライアントを設定できます。リモート MCP サーバーに接続するには、MCP クライアントが少なくともリモート MCP サーバーの URL を認識している必要があります。

次の手順に沿って、リモートの Cloud SQL MCP サーバーに接続するように MCP クライアントを構成します。

Gemini CLI

Cloud SQL リモート MCP サーバーを Gemini CLI に追加するには、拡張機能として構成します。

  1. 次の場所に拡張機能ファイルを作成します。 ~/.gemini/extensions/EXT_NAME/gemini-extension.json。ここで、~/ はホーム ディレクトリ、EXT_NAME は拡張機能に付ける名前です。

  2. 次の内容を拡張機能ファイルに保存します。

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Cloud SQL MCP Server": {
              "httpUrl": "https://sqladmin.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. 拡張機能ファイルを保存します。

  4. Gemini CLI を起動します。

            gemini

  5. /mcp を実行して、構成済みの MCP サーバーとそのツールを表示します。

    レスポンスは次の例のようになります。

            Configured MCP servers:
        🟢 Cloud SQL MCP Server (from sqladmin )
          - list_instances
          - get_instance
          - clone_instance
          - create_instance
          - update_instance
          - execute_sql
          - import_data
          - create_user
          - update_user
          - list_users
          - get_operation

リモート MCP サーバーを Gemini CLI で使用する準備が整いました。

Claude.ai

Claude.ai で Google サーバーと Google Cloud MCP サーバーを構成するには、Claude Enterprise、Pro、Max、または Team プランが必要です。料金については、Claude の料金をご覧ください。

Google またはリモート MCP サーバーを Claude.ai に追加するには、OAuth クライアント ID と OAuth クライアント シークレットを使用してカスタム コネクタを構成します。 Google Cloud

OAuth 2.0 クライアント ID とシークレットを作成する

  1. Google Cloud コンソールで、[Google Auth Platform] > [クライアント] > [クライアントの作成] に移動します。

    [クライアントの作成] に移動

    プロジェクトが選択されていない場合は、プロジェクトの作成を求めるメッセージが表示されます。

  2. [アプリケーションの種類] リストで、[ウェブ アプリケーション] をクリックします。

  3. [名前] フィールドに、アプリケーションの名前を入力します。

  4. [承認済みのリダイレクト URI] セクションで、[+ URI を追加] をクリックし、[URI] フィールドに https://claude.ai/api/mcp/auth_callback を追加します。

  5. [作成] をクリックします。クライアントが作成されます。クライアント ID にアクセスするには、 Google Cloud コンソールで [Google Auth Platform] > [クライアント] に移動します。

  6. [OAuth 2.0 クライアント ID] リストで、クライアント名を選択します。

  7. [クライアント シークレット] セクションで、[クライアント シークレット] をコピーして安全な場所に保存します。コピーできるのは 1 回のみです。紛失した場合は、シークレットを削除して新しいシークレットを作成します。

Claude.ai でカスタム コネクタを作成する

使用している Claude プランの手順に沿って操作します。

Enterprise と Team

  1. Claude.ai で、[Admin settings > Connectors] に移動します。

  2. [カスタム コネクタを追加] をクリックします。

  3. [カスタム コネクタを追加] ダイアログで、次の情報を入力します。

    • サーバー名: サーバーの人が読める名前。
    • リモート MCP サーバーの URL: https://sqladmin.googleapis.com/mcp

  4. [詳細設定] メニューを開き、次の情報を入力します。

    • OAuth クライアント ID: 作成した OAuth 2.0 クライアント ID。
    • OAuth クライアント シークレット: OAuth 2.0 クライアントのシークレット。シークレットを取得するには、Google Auth Platform > クライアントに移動し、作成した OAuth クライアント ID を選択します。[クライアント シークレット] セクションで、[クライアント シークレット] をクリックしてコピーします。

  5. [追加] をクリックします。

    カスタム コネクタが作成されます。

  6. [ツール] メニューを開き、コネクタを有効にします。

    Claude.ai は MCP サーバーを使用できます。

Pro と Max

  1. Claude.ai で、[設定] > [コネクタ] に移動します。

  2. [カスタム コネクタを追加] をクリックします。

  3. [カスタム コネクタを追加] ダイアログで、次の情報を入力します。

    • サーバー名: サーバーの人が読める名前。
    • リモート MCP サーバーの URL: https://sqladmin.googleapis.com/mcp

  4. [詳細設定] メニューを開き、次の情報を入力します。

    • OAuth クライアント ID: 作成した OAuth 2.0 クライアント ID。
    • OAuth クライアント シークレット: OAuth 2.0 クライアントのシークレット。シークレットを取得するには、Google Auth Platform > クライアントに移動し、作成した OAuth クライアント ID を選択します。[クライアント シークレット] セクションで、[クライアント シークレット] をクリックしてコピーします。

  5. [追加] をクリックします。

    カスタム コネクタが作成されます。

  6. [ツール] メニューを開き、コネクタを有効にします。

    Claude.ai は MCP サーバーを使用できます。

ChatGPT

ChatGPT で Google と Cloud SQL MCP サーバーを使用するには、ChatGPT Business サブスクリプションが必要です。

Google または Cloud SQL のリモート MCP サーバーを ChatGPT に追加するには、Google OAuth 2.0 クライアント ID とシークレットを作成し、ChatGPT にアプリとして MCP サーバーを追加します。

OAuth 2.0 クライアント ID とシークレットを作成する

  1. Google Cloud コンソールで、[Google Auth Platform] > [クライアント] > [クライアントの作成] に移動します。

    [クライアントの作成] に移動

    プロジェクトが選択されていない場合は、プロジェクトの作成を求めるメッセージが表示されます。

  2. [アプリケーションの種類] リストで、[ウェブ アプリケーション] をクリックします。

  3. [名前] フィールドに、アプリケーションの名前を入力します。

  4. [承認済みの JavaScript 生成元] セクションで、[+ URI を追加] をクリックし、[URI] フィールドに https://chatgpt.com を追加します。

  5. [承認済みのリダイレクト URI] セクションで、[+ URI を追加] をクリックし、[URI] フィールドに https://chatgpt.com/connector_platform_oauth_redirect を追加します。

  6. [作成] をクリックします。クライアントが作成されます。クライアント ID にアクセスするには、 Google Cloud コンソールで [Google Auth Platform] > [クライアント] に移動します。

  7. [OAuth 2.0 クライアント ID] リストで、クライアント名を選択します。

  8. [クライアント シークレット] セクションで、クライアント シークレットをコピーして、安全な場所に保存します。コピーできるのは 1 回のみです。紛失した場合は、シークレットを削除して新しいシークレットを作成します。

ChatGPT にアプリとして MCP サーバーを追加する

  1. ChatGPT にログインします。
  2. デベロッパー モードをオンにします。
    1. ChatGPT でユーザー名をクリックしてプロフィール メニューを開き、[設定] を選択します。
    2. [設定] メニューで [アプリ] を選択し、[詳細設定] をクリックします。
    3. [詳細設定] で、[デベロッパー モード] 切り替えボタンをオンにします。
  3. [設定] > [アプリ] で、[アプリを作成] ボタンをクリックします。
  4. [新しいアプリ] ダイアログで、次の情報を入力します。
    • 名前: MCP サーバーの名前。
    • 説明: MCP サーバーの説明(省略可)。
    • MCP サーバーの URL: https://sqladmin.googleapis.com/mcp
    • 認証:
      • [認証] メニューで、[OAuth] を選択します。
      • [OAuth クライアント ID] フィールドに、Google OAuth クライアント ID を入力します。
      • [OAuth シークレット] フィールドに、Google OAuth クライアント シークレットを入力します。
    • MCP サーバーの使用に関連するリスクを理解していることを確認し、[作成] をクリックします。

MCP サーバーが [アプリ] メニューに表示され、チャット プロンプトで使用できるようになります。

MCP クライアントの一般的なガイダンス

MCP クライアントが Cloud SQL MCP サーバーを使用するように MCP クライアントを構成するに記載されていない場合は、次の情報を使用して、ホスト プログラムまたは AI アプリケーションのリモート MCP サーバーに接続します。サーバー名や URL などのサーバーの詳細情報を入力するよう求められます。

Cloud SQL リモート MCP サーバーの場合は、必要に応じて次の情報を入力します。

  • サーバー名: Cloud SQL MCP サーバー
  • サーバー URL またはエンドポイント: https://sqladmin.googleapis.com/mcp
  • トランスポート: HTTP
  • 認証の詳細: 認証方法に応じて、 Google Cloud 認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。

一般的なガイダンスについては、次のリソースをご覧ください。

認証と認可

Cloud SQL MCP サーバーは、認証と認可に Identity and Access Management(IAM)OAuth 2.0 プロトコルを使用します。MCP サーバーへの認証では、すべての Google Cloud ID がサポートされています。

Cloud SQL リモート MCP サーバーは API キーを受け入れません。

リソースへのアクセスを制御およびモニタリングできるように、MCP ツールを使用してエージェント用に別個の ID を作成することをおすすめします。認証の詳細については、MCP サーバーに対して認証するをご覧ください。

Cloud SQL MCP の OAuth スコープ

OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。Google の OAuth 2.0 スコープの詳細については、OAuth 2.0 を使用して Google API にアクセスするをご覧ください。

Cloud SQL には、次の MCP ツール OAuth スコープがあります。

gcloud CLI のスコープの URI 説明
https://www.googleapis.com/auth/cloud-platform インスタンスやデータベース ユーザーなどの Cloud SQL リソースを作成、更新、一覧表示します。Cloud SQL インスタンスにデータをインポートし、SQL クエリを実行します。

ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。Cloud SQL に必要なスコープの一覧を表示するには、Cloud SQL Admin API をご覧ください。

使用可能なツール

  • clone_instance: Cloud SQL インスタンスをソース インスタンスのクローンとして作成します。
  • create_instance: Cloud SQL インスタンスの作成を開始します。
  • create_user: Cloud SQL インスタンスのデータベース ユーザーを作成します。
  • execute_sql: Cloud SQL インスタンスで有効な SQL ステートメント(DDL、DCL、DQL、DML)を実行します。
  • get_instance: Cloud SQL インスタンスの詳細を取得します。
  • get_operation: Cloud SQL で実行時間の長いオペレーションのステータスを取得します。
  • list_instances: プロジェクト内のすべての Cloud SQL インスタンスを一覧表示します。
  • list_users: Cloud SQL インスタンスのすべてのデータベース ユーザーを一覧表示します。
  • import_data: Cloud Storage から Cloud SQL インスタンスにデータをインポートします。
  • update_instance: Cloud SQL インスタンスのサポートされている設定を更新します。
  • update_user: Cloud SQL インスタンスのデータベース ユーザーを更新します。

Cloud SQL リモート MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、Cloud SQL MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、tools/list HTTP リクエストを Cloud SQL リモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

SQL ステートメントの実行

SQL ステートメントを実行するには、Cloud SQL インスタンスが次の要件を満たしている必要があります。

インスタンスが ALLOW_DATA_API に構成されていない場合は、update_instance ツールを使用して、インスタンスの構成を更新します。

サンプルのユースケース

Cloud SQL MCP サーバーのユースケースの例を次に示します。

ウェブ アプリケーションの開発

ユースケースの例としては、ウェブ アプリケーションの迅速な開発や、ソース データベースとしての Cloud SQL インスタンスのプロビジョニングなどがあります。このユースケースでは、Cloud SQL MCP サーバーを使用すると、自然言語を使用して新しいプロジェクトの新しいデータベースを構築し、初期データを入力できます。

プロンプトの例:

"Create a new MySQL development instance and set up a table called products."

ワークフロー:

ウェブ アプリケーションの設定ワークフローは次のようになります。

  • プロビジョニング: エージェントは create_instance ツールを呼び出して、開発環境サイズの仕様で新しい Cloud SQL インスタンスを作成します。

  • 検証: エージェントは get_operation ツールを使用して、インスタンス作成オペレーションのステータスをポーリングします。

  • 接続: オペレーションが完了すると、エージェントは get_instance ツールを使用してインスタンス接続メタデータを取得します。

  • スキーマ設定: 準備が整うと、エージェントは execute_sql を使用して CREATE TABLE products SQL ステートメントを実行します。

  • データ シーディング: エージェントは execute_sql を再度使用して、初期シードデータ(DML)を新しく作成されたテーブルに挿入します。

  • データ シーディング: 準備ができたら、エージェントは import_data を使用して、プロダクトの Cloud Storage からデータファイルをインポートします。

自然言語を使用してデータベースにクエリを実行する

自然言語を使用して、Cloud SQL データベースのクエリ、レコードの更新、スキーマの更新を行うことができます。

プロンプトの例:

"Add a `stock_count` column to the inventory table."

ワークフロー: 自然言語でデータベースをクエリするワークフローは次のようになります。

  • スキーマの移行: エージェントが execute_sql を呼び出して ALTER TABLE ステートメントを実行し、新しい stock_count 列をデータベース スキーマに追加します。

  • 検証: エージェントは get_instance を使用して、インスタンスの更新が正常に完了したことを確認します。

プロンプトの例:

"Show me a list of shoes that are priced above $100 from the inventory table."

ワークフロー:

  • クエリの実行: エージェントは execute_sql を呼び出して、データを取得する SQL ステートメントを実行します。

制限事項

Cloud SQL リモート MCP サーバーには、次の制限事項があります。

  • create_user ツールは、パスワードを使用して組み込み認証ユーザーを作成することをサポートしていません。
  • execute_sql ツールが 10 MB を超えるレスポンスを返すと、レスポンスは切り捨てられます。
  • execute_sql ツールを使用する場合、30 秒以上実行されるクエリはタイムアウトになることがあります。

セキュリティと安全に関するオプションの構成

Google Cloud は、リモート MCP サーバー用の Model Armor との統合を提供し、MCP ツールを安全に使用できるようにします。MCP のセキュリティとガバナンスの詳細については、AI のセキュリティと安全性をご覧ください。

Model Armor

Model Armor は、AI アプリケーションのセキュリティと安全性を強化するために設計されたGoogle Cloud サービスです。LLM のプロンプトとレスポンスを事前にスクリーニングすることで、さまざまなリスクから保護し、責任ある AI への取り組みをサポートします。AI を自社のクラウド環境と外部のクラウド プロバイダのいずれにデプロイする場合も、Model Armor は、悪意のある入力の防止、コンテンツの安全性の検証、機密データの保護、コンプライアンスの維持、多様な AI 環境全体での AI の安全性とセキュリティ ポリシーの一貫した適用に役立ちます。

Model Armor は、特定のリージョンのロケーションでのみ使用できます。プロジェクトで Model Armor が有効化されており、サポート対象外のリージョンからそのプロジェクトへの呼び出しが行われた場合、Model Armor はリージョン間の呼び出しを行います。詳細については、Model Armor のロケーションをご覧ください。

Model Armor を有効にする

Model Armor を使用するには、Model Armor API を有効にする必要があります。

コンソール

  1. Model Armor API を有効にします。

    API を有効にするために必要なロール

    API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。

    API の有効化

  2. Model Armor を有効にするプロジェクトを選択します。

gcloud

始める前に、gcloud CLI で Model Armor API を使用して、次の処理を行います。

  1. Google Cloud コンソールで Cloud Shell をアクティブにします。

    Cloud Shell をアクティブにする

    Google Cloud コンソールの下部にある Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。gcloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。

  2. 次のコマンドを実行して、Model Armor サービスの API エンドポイントを設定します。

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    LOCATION は、Model Armor を使用するリージョンに置き換えます。

Google と Google Cloud リモート MCP サーバーの保護を構成する

MCP ツール呼び出しとレスポンスを保護するには、Model Armor のフロア設定を使用します。フロア設定は、プロジェクト全体に適用される最小限のセキュリティ フィルタを定義します。この構成では、プロジェクト内のすべての MCP ツール呼び出しとレスポンスに一貫したフィルタセットが適用されます。

MCP のサニタイズを有効にして、Model Armor のフロア設定をセットアップします。詳細については、Model Armor のフロア設定を構成するをご覧ください。

次のコマンド例をご覧ください。

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

PROJECT_ID は、実際の Google Cloud プロジェクト ID に置き換えます。

次の設定に注意してください。

  • INSPECT_AND_BLOCK: Google MCP サーバーのコンテンツを検査し、フィルタに一致するプロンプトとレスポンスをブロックする適用タイプ。
  • ENABLED: フィルタまたは適用を有効にする設定。
  • MEDIUM_AND_ABOVE: 責任ある AI - 危険フィルタ設定の信頼度。この設定は変更できますが、値を小さくすると偽陽性が増える可能性があります。詳細については、Model Armor の信頼度をご覧ください。

Model Armor による MCP トラフィックのスキャンを無効にする

Model Armor による Google MCP トラフィックのスキャンを停止する場合は、次のコマンドを実行します。

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID は、 Google Cloud プロジェクト ID に置き換えます。

Model Armor はプロジェクト内の MCP トラフィックをスキャンしません。

IAM 拒否ポリシーで MCP の使用を制御する

Identity and Access Management(IAM)拒否ポリシーは、 Google Cloud リモート MCP サーバーの保護に役立ちます。これらのポリシーを構成して、不要な MCP ツールへのアクセスをブロックします。

たとえば、次の条件に基づいてアクセスを拒否または許可できます。

  • プリンシパル
  • 読み取り専用などのツールのプロパティ
  • アプリケーションの OAuth クライアント ID

詳細については、Identity and Access Management による MCP の使用の制御をご覧ください。

次のステップ