Usar o servidor MCP remoto do Cloud SQL

O Protocolo de Contexto de Modelo (MCP) padroniza a maneira como os aplicativos de IA se conectam a fontes de dados externas usando servidores e ferramentas do MCP.

Este documento descreve como usar o servidor remoto do Protocolo de Contexto de Modelo (MCP, na sigla em inglês) do Cloud SQL para se conectar ao Cloud SQL para MySQL em aplicativos de IA, como a CLI do Gemini, o modo agente no Gemini Code Assist, o Claude Code ou em aplicativos de IA que você está desenvolvendo.

O servidor MCP remoto do Cloud SQL e outros servidores MCP remotos Google Cloud têm os seguintes recursos e benefícios:

  • Descoberta simplificada e centralizada.
  • Endpoints HTTP globais ou regionais gerenciados.
  • Autorização detalhada.
  • Segurança opcional de comandos e respostas com a proteção do Model Armor.
  • Registro de auditoria centralizado.

Os servidores MCP remotos são gerenciados pelo Google e oferecem mais controles de segurança e governança em comparação com os servidores MCP locais fornecidos pela Caixa de ferramentas MCP do Cloud SQL para MySQL para bancos de dados. Para mais informações sobre outros servidores MCP remotos e sobre os controles de segurança e governança disponíveis para o MCP, consulte Visão geral dos servidores MCP.Google Cloud

As seções a seguir se aplicam apenas ao servidor MCP remoto do Cloud SQL para MySQL.

Antes de começar

  1. Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Instale a CLI gcloud.

  5. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  6. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. Instale a CLI gcloud.

  10. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  11. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

Funções exigidas

Para receber as permissões necessárias para ativar e usar o servidor MCP remoto do Cloud SQL, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você quer ativar e usar o servidor MCP remoto do Cloud SQL:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para ativar e usar o servidor MCP remoto do Cloud SQL. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para ativar e usar o servidor MCP remoto do Cloud SQL:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Faça chamadas de ferramentas do MCP: mcp.tools.call
  • Clonar uma instância do Cloud SQL: cloudsql.instances.clone
  • Crie uma instância do Cloud SQL: cloudsql.instances.create
  • Crie um usuário do Cloud SQL: cloudsql.users.create
  • Execute consultas SQL em uma instância do Cloud SQL:
    • cloudsql.instances.executeSql
    • cloudsql.instances.login
  • Receber uma instância do Cloud SQL: cloudsql.instances.get
  • Receber uma operação de instância do Cloud SQL: cloudsql.instances.get
  • Importar dados para uma instância do Cloud SQL: cloudsql.instances.import
  • Listar instâncias do Cloud SQL em um projeto: cloudsql.instances.list
  • Listar usuários do Cloud SQL: cloudsql.users.list
  • Atualize uma instância do Cloud SQL: cloudsql.instances.update
  • Atualizar um usuário do Cloud SQL: cloudsql.users.update

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ativar ou desativar o servidor MCP do Cloud SQL

É possível ativar o servidor MCP do Cloud SQL em um projeto com o comando gcloud beta services mcp enable.

Ativar o servidor MCP do Cloud SQL em um projeto

Para ativar o servidor MCP do Cloud SQL no seu projetoGoogle Cloud , execute o seguinte comando:

gcloud beta services mcp enable sqladmin.googleapis.com \
    --project=PROJECT_ID

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud .

Depois de executar o comando, o servidor MCP remoto do Cloud SQL será ativado.

Se o serviço do Cloud SQL não estiver ativado para seu projetoGoogle Cloud , você vai precisar ativar o serviço antes de ativar o servidor MCP remoto do Cloud SQL.

Se você estiver usando projetos diferentes para suas credenciais de cliente, como chaves de conta de serviço, ID do cliente OAuth ou chaves de API, e para hospedar seus recursos, habilite o serviço do Cloud SQL e o servidor MCP remoto do Cloud SQL nos dois projetos.

Desativar o servidor MCP do Cloud SQL em um projeto

Para desativar o servidor MCP do Cloud SQL no seu projetoGoogle Cloud , execute o seguinte comando:

gcloud beta services mcp disable sqladmin.googleapis.com \
    --project=PROJECT_ID

O servidor MCP do Cloud SQL está desativado para uso no projeto Google Cloud .

Configurar um cliente MCP para usar o servidor MCP do Cloud SQL

Programas host, como o Claude ou a CLI do Gemini, podem instanciar clientes MCP que se conectam a um único servidor MCP. Um programa host pode ter vários clientes que se conectam a servidores MCP diferentes. Para se conectar a um servidor MCP remoto, o cliente MCP precisa saber, no mínimo, o URL do servidor MCP remoto.

Use as instruções a seguir para configurar clientes do MCP e se conectar ao servidor remoto do MCP do Cloud SQL.

CLI do Gemini

Para adicionar um servidor MCP remoto do Cloud SQL à CLI do Gemini, configure-o como uma extensão.

  1. Crie um arquivo de extensão no seguinte local: ~/.gemini/extensions/EXT_NAME/gemini-extension.json, em que ~/ é seu diretório inicial e EXT_NAME é o nome que você quer dar à extensão.

  2. Salve o conteúdo a seguir no arquivo de extensão:

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Cloud SQL MCP Server": {
              "httpUrl": "https://sqladmin.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. Salve o arquivo de extensões.

  4. Inicie a CLI do Gemini:

            gemini

  5. Execute /mcp para conferir o servidor MCP configurado e as ferramentas dele.

    O resultado parecido com este:

            Configured MCP servers:
        🟢 Cloud SQL MCP Server (from sqladmin )
          - list_instances
          - get_instance
          - clone_instance
          - create_instance
          - update_instance
          - execute_sql
          - import_data
          - create_user
          - update_user
          - list_users
          - get_operation

O servidor MCP remoto está pronto para uso na CLI do Gemini.

Claude.ai

Você precisa ter o plano Claude Enterprise, Pro, Max ou Team para configurar os servidores do Google e do Google Cloud MCP no Claude.ai. Para informações sobre preços, consulte Preços do Claude.

Para adicionar um servidor MCP remoto do Google ou do Google Cloud ao Claude.ai, configure um conector personalizado com um ID do cliente OAuth e uma chave secreta do cliente OAuth:

Criar um ID do cliente e uma chave secreta do OAuth 2.0

  1. No console do Google Cloud , acesse Plataforma de autenticação do Google > Clientes > Criar cliente.

    Acesse "Criar cliente"

    Se você não tiver um projeto selecionado, será solicitado a criar um.

  2. Na lista Tipo de aplicativo, selecione Aplicativo da Web.

  3. No campo Nome, insira um nome para o aplicativo.

  4. Na seção URIs de redirecionamento autorizados, clique em + Adicionar URI e adicione https://claude.ai/api/mcp/auth_callback no campo URIs.

  5. Clique em Criar. O cliente é criado. Para acessar o ID do cliente, acesse Plataforma de autenticação do Google > Clientes no console Google Cloud .

  6. Na lista IDs de cliente OAuth 2.0, selecione o nome do cliente.

  7. Na seção Chaves secretas do cliente, copie a Chave secreta do cliente e salve-a em um local seguro. Você só pode copiar uma vez. Se você perder a chave, exclua a chave secreta e crie outra.

Criar um conector personalizado no Claude.ai

Siga as instruções do plano do Claude que você está usando:

Enterprise e Team

  1. No Claude.ai, acesse Configurações de administrador > Conectores.

  2. Clique em Adicionar conector personalizado.

  3. Na caixa de diálogo Adicionar conector personalizado, insira o seguinte:

    • Nome do servidor: um nome legível para o servidor.
    • URL do servidor MCP remoto: https://sqladmin.googleapis.com/mcp

  4. Abra o menu Configurações avançadas e insira o seguinte:

    • ID do cliente OAuth: o ID do cliente OAuth 2.0 que você criou.
    • Chave secreta do cliente OAuth: a chave secreta do seu cliente OAuth 2.0. Para recuperar o segredo, acesse Plataforma de autenticação do Google > Clientes e selecione o ID do cliente OAuth que você criou. Na seção Chaves secretas do cliente, clique para copiar a Chave secreta do cliente.

  5. Clique em Adicionar.

    O conector personalizado é criado.

  6. Abra o menu Ferramentas e ative o conector.

    O Claude.ai pode usar o servidor MCP.

Pro e Max

  1. No Claude.ai, navegue até Configurações > Conectores.

  2. Clique em Adicionar conector personalizado.

  3. Na caixa de diálogo Adicionar conector personalizado, insira o seguinte:

    • Nome do servidor: um nome legível para o servidor.
    • URL do servidor MCP remoto: https://sqladmin.googleapis.com/mcp

  4. Abra o menu Configurações avançadas e insira o seguinte:

    • ID do cliente OAuth: o ID do cliente OAuth 2.0 que você criou.
    • Chave secreta do cliente OAuth: a chave secreta do seu cliente OAuth 2.0. Para recuperar o segredo, acesse Plataforma de autenticação do Google > Clientes e selecione o ID do cliente OAuth que você criou. Na seção Chaves secretas do cliente, clique para copiar a Chave secreta do cliente.

  5. Clique em Adicionar.

    O conector personalizado é criado.

  6. Abra o menu Ferramentas e ative o conector.

    O Claude.ai pode usar o servidor MCP.

ChatGPT

Você precisa ter uma assinatura do ChatGPT Business para usar os servidores MCP do Google e do Cloud SQL com o ChatGPT.

Para adicionar um servidor MCP remoto do Google ou do Cloud SQL ao ChatGPT, crie um ID do cliente e uma chave secreta do Google OAuth 2.0 e adicione o servidor MCP como um app no ChatGPT.

Criar um ID do cliente e uma chave secreta do OAuth 2.0

  1. No console do Google Cloud , acesse Plataforma de autenticação do Google > Clientes > Criar cliente.

    Acesse "Criar cliente"

    Se você não tiver um projeto selecionado, será solicitado a criar um.

  2. Na lista Tipo de aplicativo, selecione Aplicativo da Web.

  3. No campo Nome, insira um nome para o aplicativo.

  4. Na seção Origens JavaScript autorizadas, clique em + Adicionar URI e adicione https://chatgpt.com no campo URIs.

  5. Na seção URIs de redirecionamento autorizados, clique em + Adicionar URI e adicione https://chatgpt.com/connector_platform_oauth_redirect no campo URIs.

  6. Clique em Criar. O cliente é criado. Para acessar o ID do cliente, acesse Plataforma de autenticação do Google > Clientes no console Google Cloud .

  7. Na lista IDs de cliente OAuth 2.0, selecione o nome do cliente.

  8. Na seção Chaves secretas do cliente, copie a Chave secreta do cliente e salve-a em um local seguro. Você só pode copiar uma vez. Se você perder a chave, exclua a chave secreta e crie outra.

Adicionar o servidor MCP como um app no ChatGPT

  1. Faça login no ChatGPT.
  2. Ative o modo de desenvolvedor:
    1. No ChatGPT, clique no seu nome de usuário para abrir o menu de perfil e selecione Configurações.
    2. No menu "Configurações", selecione Apps e clique em Configurações avançadas.
    3. Em Configurações avançadas, clique na chave Modo de desenvolvedor para ativar.
  3. Em Configurações > Apps, clique no botão Criar app.
  4. Na caixa de diálogo Novo app, insira as seguintes informações:
    • Nome: o nome do servidor MCP.
    • Descrição: uma descrição opcional do servidor MCP.
    • URL do servidor MCP: https://sqladmin.googleapis.com/mcp
    • Autenticação:
      • No menu Autenticação, selecione OAuth.
      • No campo ID do cliente OAuth, insira seu ID do cliente OAuth do Google.
      • No campo chave secreta OAuth, insira a chave secreta do cliente OAuth do Google.
    • Confirme que você entende o risco associado ao uso do servidor MCP e clique em Criar.

O servidor MCP aparece no menu Apps e está pronto para uso com comandos de chat.

Orientação geral para clientes da MCP

Se o cliente MCP não estiver listado em Configurar um cliente MCP para usar o servidor MCP do Cloud SQL, use as informações a seguir para se conectar a um servidor MCP remoto no programa host ou no aplicativo de IA. Você vai precisar inserir detalhes sobre o servidor, como nome e URL.

Para o servidor remoto do MCP do Cloud SQL, insira o seguinte conforme necessário:

  • Nome do servidor: servidor MCP do Cloud SQL
  • URL do servidor ou Endpoint: https://sqladmin.googleapis.com/mcp
  • Transporte: HTTP
  • Detalhes da autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID do cliente e a chave secreta do OAuth ou uma identidade e credenciais do agente.

Para orientações mais gerais, consulte os seguintes recursos:

Autenticação e autorização

Os servidores MCP do Cloud SQL usam o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores MCP.

O servidor MCP remoto do Cloud SQL não aceita chaves de API.

Recomendamos criar uma identidade separada para agentes que usam ferramentas do MCP. Assim, é possível controlar e monitorar o acesso aos recursos. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.

Escopos do OAuth do MCP do Cloud SQL

O OAuth 2.0 usa escopos e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.

O Cloud SQL tem os seguintes escopos OAuth da ferramenta MCP:

URI de escopo para a CLI gcloud Descrição
https://www.googleapis.com/auth/cloud-platform Criar, atualizar e listar recursos do Cloud SQL, incluindo instâncias e usuários do banco de dados. Importar dados e executar consultas SQL em instâncias do Cloud SQL.

Outros escopos podem ser necessários nos recursos acessados durante uma chamada de ferramenta. Para conferir uma lista dos escopos necessários para o Cloud SQL, consulte a API Cloud SQL Admin.

Ferramentas disponíveis

  • clone_instance: cria uma instância do Cloud SQL como um clone da instância de origem.
  • create_instance: inicia a criação de uma instância do Cloud SQL.
  • create_user: cria um usuário de banco de dados para uma instância do Cloud SQL.
  • execute_sql: executa qualquer instrução SQL válida (DDL, DCL, DQL, DML) em uma instância do Cloud SQL.
  • get_instance: recebe os detalhes de uma instância do Cloud SQL.
  • get_operation: recebe o status de uma operação de longa duração no Cloud SQL.
  • list_instances: lista todas as instâncias do Cloud SQL em um projeto.
  • list_users: lista todos os usuários de banco de dados de uma instância do Cloud SQL.
  • import_data: importa dados para uma instância do Cloud SQL do Cloud Storage.
  • update_instance: atualiza as configurações compatíveis de uma instância do Cloud SQL.
  • update_user: atualiza um usuário de banco de dados para uma instância do Cloud SQL.

Para conferir mais detalhes sobre as ferramentas do MCP disponíveis e as descrições delas para o servidor MCP remoto do Cloud SQL, consulte a referência do MCP do Cloud SQL.

Ferramentas de lista

Use o inspetor do MCP para listar ferramentas ou envie uma solicitação HTTP tools/list diretamente ao servidor MCP remoto do Cloud SQL. O método tools/list não requer autenticação.

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Executar instruções SQL

Para executar instruções SQL, a instância do Cloud SQL precisa atender aos seguintes requisitos:

Se a instância não estiver configurada para ALLOW_DATA_API, use a ferramenta update_instance para atualizar a configuração da instância.

Exemplos de casos de uso

Confira alguns exemplos de casos de uso do servidor MCP do Cloud SQL:

Desenvolvimento de apps da Web

Um exemplo de caso de uso pode ser o desenvolvimento rápido de aplicativos da Web e o provisionamento de instâncias do Cloud SQL como banco de dados de origem. Nesse caso de uso, o servidor MCP do Cloud SQL permite criar um novo banco de dados e preenchê-lo com dados iniciais para um novo projeto usando linguagem natural.

Exemplo de comando:

"Create a new MySQL development instance and set up a table called products."

Fluxo de trabalho:

O fluxo de trabalho para configurar um aplicativo da Web pode ser semelhante a este:

  • Provisionamento: o agente chama a ferramenta create_instance para criar uma nova instância do Cloud SQL com especificações de tamanho de ambiente de desenvolvimento.

  • Verificação: o agente usa a ferramenta get_operation para pesquisar o status da operação de criação de instâncias.

  • Conexão: quando a operação é concluída, o agente usa a ferramenta get_instance para recuperar os metadados de conexão da instância.

  • Configuração do esquema: quando estiver tudo pronto, o agente usará o execute_sql para executar a instrução SQL CREATE TABLE products.

  • Início de dados: o agente usa execute_sql novamente para inserir dados iniciais de início (DML) na tabela recém-criada.

  • Início de dados: quando estiver pronto, o agente usará o import_data para importar um arquivo de dados do Cloud Storage de produtos.

Consultar um banco de dados usando linguagem natural

É possível consultar um banco de dados do Cloud SQL, atualizar registros e fazer atualizações de esquema usando linguagem natural.

Comando de exemplo:

"Add a `stock_count` column to the inventory table."

Fluxo de trabalho: o fluxo de trabalho para consultar um banco de dados com linguagem natural pode ser semelhante ao seguinte.

  • Migração de esquema: o agente chama execute_sql para executar uma instrução ALTER TABLE e adiciona a nova coluna stock_count ao esquema do banco de dados.

  • Validação: o agente usa get_instance para confirmar se a atualização da instância foi concluída.

Comando de exemplo:

"Show me a list of shoes that are priced above $100 from the inventory table."

Fluxo de trabalho:

  • Execução de consultas: o agente chama execute_sql para executar a instrução SQL que recupera os dados.

Limitações

O servidor MCP remoto do Cloud SQL tem as seguintes limitações:

  • A ferramenta create_user não permite criar um usuário de autenticação integrada com uma senha.
  • Se a ferramenta execute_sql retornar uma resposta maior que 10 MB, ela será truncada.
  • Ao usar a ferramenta execute_sql, as consultas que são executadas por mais de 30 segundos podem expirar.

Configurações opcionais de segurança

OGoogle Cloud oferece uma integração com o Model Armor para servidores MCP remotos, ajudando você a usar as ferramentas do MCP com segurança. Para mais informações sobre segurança e governança do MCP, consulte Segurança e proteção de IA.

Model Armor

O Model Armor é um Google Cloud serviço projetado para aumentar a segurança dos seus aplicativos de IA. Ele funciona examinando de forma proativa comandos e respostas de LLMs, protegendo contra vários riscos e apoiando práticas de IA responsável. Se você estiver implantando IA no seu ambiente de nuvem ou em provedores de nuvem externos, o Model Armor pode ajudar a evitar entradas maliciosas, verificar a segurança do conteúdo, proteger dados sensíveis, manter a conformidade e aplicar suas políticas de segurança e proteção de IA de maneira consistente em todo o cenário diversificado de IA.

O Model Armor está disponível apenas em locais regionais específicos. Se o Model Armor estiver ativado para um projeto e uma chamada para esse projeto vier de uma região sem suporte, o Model Armor fará uma chamada entre regiões. Para mais informações, consulte Locais do Model Armor.

Ativar o Model Armor

É necessário ativar as APIs do Model Armor antes de usar o Model Armor.

Console

  1. Ativar a API Model Armor.

    Funções necessárias para ativar APIs

    Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

    Ativar a API

  2. Selecione o projeto em que você quer ativar o Model Armor.

gcloud

Antes de começar, siga estas etapas usando a CLI gcloud com a API Model Armor:

  1. No console do Google Cloud , ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte de baixo do console Google Cloud , uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI gcloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  2. Execute o comando a seguir para definir o endpoint de API do serviço Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Substitua LOCATION pela região em que você quer usar o Model Armor.

Configurar a proteção para servidores MCP remotos e do Google Google Cloud

Para proteger as chamadas e respostas da ferramenta MCP, use as configurações mínimas do Model Armor. Uma configuração mínima define os filtros de segurança mínimos que se aplicam a todo o projeto. Essa configuração aplica um conjunto consistente de filtros a todas as chamadas e respostas da ferramenta MCP no projeto.

Configure uma configuração de valor mínimo do Model Armor com a limpeza do MCP ativada. Para mais informações, consulte Configurar configurações mínimas do Model Armor.

Confira o exemplo de comando a seguir:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Substitua PROJECT_ID pelo ID do projeto Google Cloud .

Observe as seguintes configurações:

  • INSPECT_AND_BLOCK: o tipo de aplicação que inspeciona o conteúdo do servidor MCP do Google e bloqueia solicitações e respostas que correspondem aos filtros.
  • ENABLED: a configuração que ativa um filtro ou uma restrição.
  • MEDIUM_AND_ABOVE: o nível de confiança para as configurações do filtro de IA responsável - perigoso. É possível modificar essa configuração, mas valores mais baixos podem resultar em mais falsos positivos. Para mais informações, consulte Níveis de confiança do Model Armor.

Desativar a verificação do tráfego do MCP com o Model Armor

Se você quiser interromper a verificação do tráfego do Google MCP com o Model Armor, execute o seguinte comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Substitua PROJECT_ID pelo Google Cloud ID do projeto.

O Model Armor não vai verificar o tráfego da MCP no projeto.

Controlar o uso do MCP com políticas de negação do IAM

As políticas de negação do Identity and Access Management (IAM) ajudam a proteger Google Cloud servidores MCP remotos. Configure essas políticas para bloquear o acesso indesejado às ferramentas do MCP.

Por exemplo, é possível negar ou permitir o acesso com base em:

  • O diretor
  • Propriedades da ferramenta, como somente leitura
  • O ID do cliente OAuth do aplicativo

Para mais informações, consulte Controlar o uso do MCP com o Identity and Access Management.

A seguir