שימוש בשרת MCP של Cloud Storage

Model Context Protocol‏ (MCP) הוא תקן שמאפשר למודלים גדולים של שפה (LLM) ולאפליקציות או לסוכני AI להתחבר למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.

שרתי MCP מקומיים פועלים בדרך כלל במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר. שרתי MCP מקומיים מתקשרים בדרך כלל עם שירותים מקומיים, אבל אפשר להשתמש בהם גם כדי לקרוא לשירותים או למקורות נתונים שלא פועלים במחשב המקומי. לדוגמה, שרת MCP מקומי שפועל במכונה של סוכן או במכונה וירטואלית יכול לקרוא ל-Cloud Storage APIs.

יכול להיות שתשתמשו בשרת MCP מקומי של Cloud Storage מהסיבות הבאות:

  • צריך ליצור כלי בהתאמה אישית.
  • אין לכם הרשאות להפעיל את שרת ה-MCP או להשתמש בו בפרויקט.

כדי ללמוד איך להשתמש בשרת MCP מקומי, אפשר לעיין במאמר חיבור מודלים של שפה גדולה (LLM) ל-Cloud Storage באמצעות MCP.

שרתי MCP מרוחקים פועלים בתשתית של השירות ומציעים נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-AI MCP לבין שרת ה-MCP. שרת ה-MCP של Cloud Storage הוא שרת MCP מרוחק עם נקודת קצה HTTP. מידע נוסף על ארכיטקטורת ה-MCP זמין במאמר ארכיטקטורת ה-MCP.

במאמר הזה מוסבר איך להשתמש בשרת Cloud Storage MCP כדי להתחבר ל-Cloud Storage מאפליקציות מבוססות-AI כמו Gemini CLI, מצב סוכן ב-Gemini Code Assist,‏ Claude Code או באפליקציות מבוססות-AI שאתם מפתחים.

בעזרת שרת ה-MCP של Cloud Storage, אתם יכולים להשתמש באפליקציות ובסוכני AI כדי לבצע את המשימות הבאות:

  • יצירה ומחיקה של קטגוריות.
  • אחזור מטא-נתונים של אובייקט.
  • קריאה ומחיקה של נתוני אובייקטים וכתיבה של תוכן טקסט.
  • הצגת רשימה של קטגוריות ואובייקטים.
שרת ה-MCP המרוחק של Cloud Storage מופעל כשמפעילים את Cloud Storage API. כדי להשבית את שרת ה-MCP של Cloud Storage, צריך להשבית את Cloud Storage API. מידע על השבתה של Cloud Storage API מופיע במאמר השבתה של שירות.

‫Google ושרתי MCP מרוחקים Google Cloud

לשרתי MCP של Google ושרתי MCP מרוחקים יש את התכונות והיתרונות הבאים: Google Cloud

  • גילוי פשוט ומרכזי
  • נקודות קצה (endpoints) מנוהלות של HTTP ברמה הגלובלית או האזורית
  • הרשאות פרטניות
  • אבטחת הנחיות ותשובות אופציונלית באמצעות הגנה מוגברת על המודל
  • רישום מרכזי ביומן הביקורת

מידע על שרתי MCP אחרים ועל אמצעי אבטחה ובקרה שזמינים לשרתי MCP של Google Cloud מופיע במאמר סקירה כללית על שרתי MCP של Google Cloud.

מגבלות

לשרת ה-MCP של Cloud Storage יש את המגבלות הבאות:

  • סוגי קבצים: פעולות קריאה תומכות בקובצי טקסט ובקובצים בינאריים (כמו קובצי PDF, תמונות, אודיו וסרטונים). פעולות כתיבה מוגבלות לקובצי טקסט.

  • גודל הקובץ: מקסימום 8MiB לפעולות קריאה וכתיבה.

  • נקודת קצה (endpoint): נקודת קצה גלובלית בלבד.

מידע מפורט על מכסות ומגבלות שחלות על שרת ה-MCP של Cloud Storage זמין במאמר מכסות ומגבלות.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. התקינו את ה-CLI של Google Cloud.

  5. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  6. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. התקינו את ה-CLI של Google Cloud.

  10. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  11. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

    gcloud init

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לשימוש בשרת Cloud Storage MCP, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט שבו אתם רוצים להשתמש בשרת Cloud Storage MCP:

  • ביצוע קריאות לכלי MCP: משתמש בכלי MCP (roles/mcp.toolUser)
  • הצגת רשימה של אובייקטים, קריאת אובייקטים והתוכן שלהם או אחזור המטא-נתונים של אובייקט: הצגת אובייקטים של אחסון (roles/storage.objectViewer)
  • כתיבת תוכן לאובייקט: יצירת אובייקטים של אחסון (roles/storage.objectCreator)
  • מחיקת אובייקטים: משתמש באובייקטים באחסון (roles/storage.objectUser) או אדמין של אובייקטים באחסון (roles/storage.objectAdmin)
  • ליצור, לרשום או למחוק מאגרי מידע: אדמין אחסון (roles/storage.admin)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש מכילים את ההרשאות שנדרשות לשימוש בשרת ה-MCP של Cloud Storage. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי להשתמש בשרת Cloud Storage MCP, נדרשות ההרשאות הבאות:

  • ביצוע קריאות לכלי ה-MCP: mcp.tools.call
  • הצגת רשימה של אובייקטים: storage.objects.list
  • קריאת אובייקטים והתוכן שלהם או אחזור המטא-נתונים של אובייקט: storage.objects.get
  • כתיבת תוכן לאובייקט: storage.objects.create
  • מחיקת אובייקטים: storage.objects.delete
  • הצגת רשימה של קטגוריות: storage.buckets.list
  • יצירת קטגוריות: storage.buckets.create
  • מחיקת קטגוריות: storage.buckets.delete

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

אימות והרשאה

שרת ה-MCP המרוחק של Cloud Storage משתמש בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולהרשאה. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.

שרת ה-MCP של Cloud Storage לא מקבל מפתחות API לאימות, כי כל הבקשות דורשות הרשאה של ניהול זהויות והרשאות גישה (IAM).

אנחנו ממליצים ליצור זהות נפרדת לסוכנים שמשתמשים בכלים של MCP, כדי שיהיה אפשר לשלוט בגישה למשאבים ולעקוב אחריה. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.

היקפי ההרשאות של OAuth ב-Cloud Storage MCP

ב-OAuth 2.0 משתמשים בהיקפי הרשאות ובפרטי כניסה כדי לקבוע אם לגורם מאומת מסוים יש הרשאה לבצע פעולה ספציפית במשאב. מידע נוסף על היקפי OAuth 2.0 ב-Google זמין במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.

לכלי ה-MCP של Cloud Storage יש את היקפי ההרשאות הבאים של OAuth:

היקף URI ל-CLI של gcloud תיאור
https://www.googleapis.com/auth/devstorage.read_only היקף ההרשאות הזה מאפשר גישה רק לקריאת נתונים.
https://www.googleapis.com/auth/devstorage.read_write היקף ההרשאות הזה מאפשר לקרוא ולשנות נתונים.

יכול להיות שיידרשו היקפי הרשאות נוספים במשאבים שאליהם ניגשים במהלך הפעלת כלי. רשימת ההיקפים הנדרשים ל-Cloud Storage מופיעה במאמר Cloud Storage API. אם הסוכן שלכם מקיים אינטראקציה עם שירותים אחרים של Google Cloud Google כחלק מתהליך העבודה שלו, כמו BigQuery או Storage Insights, הוא צריך את היקפי ההרשאות המתאימים של OAuth לשירותים האלה, בנוסף להיקפי ההרשאות של Cloud Storage.

הגדרת לקוח MCP לשימוש בשרת MCP של Cloud Storage

אפליקציות וסוכנים מבוססי-AI, כמו Claude או Antigravity, יכולים ליצור מופע של לקוח MCP שמתחבר לשרת MCP יחיד. לאפליקציית AI יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. אם האפליקציה שלכם לא מופיעה בהנחיות הספציפיות ללקוח, תוכלו להשתמש במידע הבא כדי להתחבר מרוב האפליקציות.

באפליקציית ה-AI, מחפשים דרך להוסיף או להתחבר לשרת MCP מרוחק. בשרת ה-MCP של Cloud Storage, מזינים את הפרטים הבאים לפי הצורך:

  • שם השרת: שרת Cloud Storage MCP
  • כתובת URL של השרת או נקודת קצה: https://storage.googleapis.com/storage/mcp
  • Transport: HTTP
  • פרטי אימות: בהתאם לשיטת האימות שבה רוצים להשתמש, אפשר להזין את Google Cloud פרטי הכניסה, את מזהה הלקוח וסוד הלקוח של OAuth, או את הזהות ופרטי הכניסה של סוכן. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.
  • היקף OAuth: אחד מההיקפים שמפורטים במסמך הזה שרוצים להשתמש בהם כשמתחברים לשרת ה-MCP של Cloud Storage.

הנחיות ספציפיות לאפליקציות לגבי הגדרה וחיבור לשרת MCP מפורטות במאמר הנחיות ספציפיות ללקוחות.

הנחיות כלליות נוספות זמינות במקורות המידע הבאים:

כלים זמינים

כדי לראות את הפרטים של כלי ה-MCP הזמינים והתיאורים שלהם לשרת ה-MCP של Cloud Storage, אפשר לעיין בהפניה ל-MCP של Cloud Storage. סכימות ודוגמאות אפשר למצוא במאגר GitHub של Cloud Storage MCP.

כלים ליצירת רשימות

אפשר להשתמש בכלי הבדיקה של MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP tools/list ישירות לשרת MCP של Cloud Storage. בשיטה tools/list לא נדרש אימות.

POST /storage/mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list"
}

קריאה לכלי

כדי להפעיל כלי ספציפי, משתמשים ב-method‏ tools/call ומספקים את שם הכלי ואת הארגומנטים הנדרשים באובייקט params. בדוגמה הבאה מוצגת קריאה לכלי list_buckets עבור הפרויקט my-project:

POST /storage/mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
Authorization: Bearer OAUTH2_TOKEN

{
  "jsonrpc": "2.0",
  "method": "tools/call",
  "id": "123e4567-e89b-12d3-a456-426614174000",
  "params": {
    "name": "list_buckets",
    "arguments": {
      "projectId": "my-project"
    }
  }
}

תרחישים לדוגמה

ריכזנו כאן דוגמאות לתרחישי שימוש בשרת Cloud Storage MCP.

ניהול תוכן וקמפיינים של מוצרי קמעונאות

מקרה שימוש לדוגמה בשרת ה-MCP של Cloud Storage הוא סיוע לסוכן שיווק של קמעונאי ביצירה ובניהול של כרטיסי מוצר וקמפיינים שיווקיים. שרת ה-MCP של Cloud Storage מאפשר לכם להשתמש בשפה טבעית כדי להציג ברשימה, לקרוא ולכתוב אובייקטים, וליצור קטגוריות לאחסון נכסי מוצרים וקמפיינים.

הנחיה לדוגמה:

"תצור כרטיס מוצר למק"ט 123 באמצעות נכסים מהבאקט product-images, ואז תיצור באקט חדש בשם campaign-q3-assets ותפיק ותשמור בו תמונות באנר".

תהליך העבודה: תהליך העבודה ליצירת כרטיסי מוצר וקמפיינים יכול להיראות כך:

  • הצגת רשימת נכסים: הסוכן משתמש ב-list_objects כדי למצוא את כל התמונות של המוצר החדש בקטגוריה ייעודית של Cloud Storage.
  • אחזור תוכן: הסוכן משתמש ב-read_object כדי לגשת לנכסי מוצר (בגודל של עד 8MB), וגם מאחזר תיאורי מוצרים ממערכת לניהול מידע על מוצרים (PIM) באמצעות כלי אחר.
  • יצירת כרטיס מוצר: הסוכן יוצר טיוטה של כרטיס המוצר, כולל טקסט שיווקי וקישורים לתמונות ולסרטונים.
  • יצירת מאגר נכסים של קמפיין: הסוכן משתמש ב-create_bucket כדי ליצור מאגר נכסים חדש לקמפיין.
  • שמירת נכסי הקמפיין: הסוכן יוצר טקסט שיווקי ושומר אותו באמצעות write_text בדלי החדש 'קמפיינים'. גודל העותק צריך להיות פחות מ-8MB.

ניתוח נתונים פיננסיים

תרחיש לדוגמה לשימוש בשרת Cloud Storage MCP הוא עזרה למנהלי תיקי השקעות להפיק תובנות מדוחות פיננסיים ומקלטות אודיו של שיחות בין סוחרים ללקוחות. שרת ה-MCP של Cloud Storage עוזר לסוכן לזהות ולהוריד מסמכים רלוונטיים ולהעביר אותם למודל LLM לצורך ניתוח.

הנחיה לדוגמה:

"What were the key takeaways from ExampleCorp's most recent earnings call, and how does that compare to the sentiment in their last three financial reports?"

תהליך העבודה: תהליך העבודה לניתוח מסמכים פיננסיים יכול להיראות כך:

  • זיהוי מסמכים: הסוכן מחלץ מילות מפתח מהשאלה של המשתמש כדי לזהות קטגוריות או קידומות רלוונטיות, למשל earnings-calls/ExampleCorp/ או financial-reports/ExampleCorp/, ומשתמש ב-list_objects כדי למצוא תמלילי אודיו ודוחות כספיים רלוונטיים.
  • הורדת תוכן: הסוכן משתמש ב-read_object כדי להוריד את התוכן של הקבצים שזוהו, עד 8MiB לכל קובץ.
  • ניתוח ותגובה: הסוכן מעביר את התוכן ל-LLM כדי לסכם את הממצאים, להשוות את הסנטימנט ולסנתז תשובה לשאלה של המשתמש. אם צריך, אפשר להשתמש בכלים אחרים כמו BigQuery כדי לבצע ניתוח מעמיק יותר.

הערכת הסיכון אצל הספק

דוגמה לתרחיש שימוש בשרת Cloud Storage MCP היא אוטומציה של תהליך הערכת הסיכונים הראשוני של ספקים עבור צוות ניהול הסיכונים של בנק. שרת ה-MCP של Cloud Storage מאפשר לסוכן ה-AI לאחזר ולנתח מסמכים שספקים שולחים כדי לזהות סיכונים פוטנציאליים באמצעות שפה טבעית.

הנחיה לדוגמה:

‫"Assess vendor "Example Inc." by reviewing their latest security questionnaire and compliance certificate in the vendor-docs bucket. תסכם את הסיכונים הפוטנציאליים בהתאם למדיניות שלנו ותשמור את הדוח".

תהליך העבודה: תהליך העבודה להערכת הסיכון של ספק יכול להיראות כך:

  • חיפוש מסמכים: הסוכן משתמש בכלי list_objects כדי למצוא את התיקייה של הספק בקטגוריה של Cloud Storage שמוקדשת למסמכים של הספק.
  • הורדת מסמכים: הסוכן משתמש ב-read_object כדי להוריד את כל המסמכים הרלוונטיים, כמו שאלונים בנושא אבטחה, אישורי תאימות ודוחות כספיים, עד 8MiB לכל קובץ.
  • ניתוח מסמכים: הסוכן מנתח את התוכן של המסמכים האלה, יכול להיות שהוא משתמש בכלים אחרים כדי לחלץ טקסט, כדי לחפש סימני אזהרה או מידע חסר על סמך מדיניות הסיכון של הבנק.
  • הכנת דוח ושמירתו: הסוכן מכין דוח סיכום של הממצאים שלו ומשתמש ב-write_text כדי לשמור אותו בתיקייה של הספק ב-Cloud Storage, כדי שמעריך הסיכונים יוכל לבדוק אותו.

הגדרות אבטחה ובטיחות אופציונליות

ה-MCP מציג סיכוני אבטחה חדשים ושיקולים חדשים בגלל המגוון הרחב של פעולות שאפשר לבצע באמצעות כלי ה-MCP. כדי למזער את הסיכונים האלה ולנהל אותם,Google Cloud מציע הגדרות ברירת מחדל ומדיניות שניתנת להתאמה אישית כדי לשלוט בשימוש בכלי MCP בארגון או בפרויקט שלכם ב- Google Cloud.

מידע נוסף על אבטחה וניהול של MCP זמין במאמר בנושא אבטחה ובטיחות של AI.

שימוש בהגנה מוגברת על המודל

Model Armor הואGoogle Cloud שירות שנועד לשפר את האבטחה והבטיחות של אפליקציות ה-AI שלכם. הכלי פועל על ידי סינון יזום של הנחיות ותשובות של מודלים גדולים של שפה (LLM), הגנה מפני סיכונים שונים ותמיכה בשיטות עבודה אחראיות של AI. בין אם אתם פורסים AI בסביבת הענן שלכם או אצל ספקי ענן חיצוניים, Model Armor יכול לעזור לכם למנוע קלט זדוני, לאמת את בטיחות התוכן, להגן על נתונים רגישים, לשמור על תאימות ולאכוף את מדיניות הבטיחות והאבטחה של ה-AI באופן עקבי בסביבת ה-AI המגוונת שלכם.

כשמפעילים את Model Armor עם הפעלת רישום ביומן, המערכת רושמת ביומן את כל מטען הנתונים. הפעולה הזו עלולה לחשוף מידע רגיש ביומני הרישום.

הפעלת הגנה מוגברת על המודל

כדי להשתמש ב-Model Armor, צריך להפעיל את ממשקי ה-API של Model Armor.

המסוף

  1. מפעילים את Model Armor API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של שימוש בשירות' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    להפעלת ה-API

  2. בוחרים את הפרויקט שבו רוצים להפעיל את Model Armor.

gcloud

לפני שמתחילים, צריך לבצע את השלבים הבאים באמצעות Google Cloud CLI עם Model Armor API:

  1. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

    בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

  2. מריצים את הפקודה הבאה כדי להגדיר את נקודת הקצה של ה-API לשירות Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    מחליפים את LOCATION באזור שבו רוצים להשתמש בהגנה מוגברת על המודל.

הגדרת הגנה לשרתי MCP של Google ושרתי MCP מרוחקים Google Cloud

כדי להגן על השיחות והתשובות של כלי ה-MCP, אפשר להשתמש בהגדרות של Model Armor. הגדרת רמת בסיס מגדירה את מסנני האבטחה המינימליים שחלים על הפרויקט. ההגדרה הזו מחילה קבוצה עקבית של מסננים על כל הקריאות והתשובות של כלי MCP בפרויקט.

הגדרת סף תחתון של הגנה מוגברת על המודל עם הפעלת ניקוי נתונים ב-MCP. מידע נוסף זמין במאמר בנושא הגדרת ערכי סף ב-Model Armor.

דוגמה לפקודה:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud .

שימו לב להגדרות הבאות:

  • INSPECT_AND_BLOCK: סוג האכיפה שבודק את התוכן בשרת MCP של Google וחוסם הנחיות ותשובות שתואמות למסננים.
  • ENABLED: ההגדרה שמפעילה מסנן או אכיפה.
  • MEDIUM_AND_ABOVE: רמת המהימנות של ההגדרות של המסנן 'שימוש אחראי ב-AI – מסוכן'. אפשר לשנות את ההגדרה הזו, אבל ערכים נמוכים יותר עלולים להוביל ליותר תוצאות חיוביות כוזבות. מידע נוסף זמין במאמר בנושא רמות הסמך של הגנה מוגברת על המודל.

השבתת סריקת תנועת MCP באמצעות Model Armor

כדי להפסיק את הסריקה האוטומטית של התנועה אל השרתים של Google MCP וממנה על ידי Model Armor, על סמך הגדרות הרצפה של הפרויקט, מריצים את הפקודה הבאה:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud . התכונה Model Armor לא מחילה באופן אוטומטי את הכללים שמוגדרים בהגדרות הרצפה של הפרויקט על תעבורה של שרת Google MCP.

ההגדרות של הסף התחתון של Model Armor וההגדרות הכלליות יכולות להשפיע על יותר דברים מאשר רק על MCP. ‫Model Armor משולב עם שירותים כמו Vertex AI, ולכן כל שינוי שתבצעו בהגדרות של רמת הרצפה יכול להשפיע על סריקת התנועה ועל התנהגויות הבטיחות בכל השירותים המשולבים, ולא רק ב-MCP.

שליטה בשימוש ב-MCP באמצעות כללי מדיניות דחייה ב-IAM

כללי מדיניות הדחייה של ניהול זהויות והרשאות גישה (IAM) עוזרים לכם לאבטח שרתי MCP מרוחקים. Google Cloud כדאי להגדיר את המדיניות הזו כדי לחסום גישה לא רצויה לכלי MCP.

לדוגמה, אתם יכולים לדחות או לאשר גישה על סמך:

  • הקרן
  • מאפייני כלי כמו קריאה בלבד
  • מזהה הלקוח ב-OAuth של האפליקציה

מידע נוסף זמין במאמר שליטה בשימוש ב-MCP באמצעות ניהול זהויות וגישה.

המאמרים הבאים