El estándar del Protocolo de contexto del modelo (MCP) estandariza la forma en que los modelos de lenguaje grandes (LLM) y las aplicaciones o los agentes de IA se conectan a fuentes de datos externas. Los servidores de MCP te permiten usar sus herramientas, recursos y mensajes para realizar acciones y obtener datos actualizados de su servicio de backend.
Por lo general, los servidores MCP locales se ejecutan en tu máquina local y usan los flujos de entrada y salida estándar (stdio) para la comunicación entre los servicios en el mismo dispositivo. Si bien los servidores de MCP locales suelen comunicarse con servicios locales, también se pueden usar para llamar a servicios o fuentes de datos que no se ejecutan en la máquina local. Por ejemplo, un servidor MCP local que se ejecuta en la máquina o la máquina virtual de un agente puede llamar a las APIs de Cloud Storage.
Puedes usar el servidor MCP local de Cloud Storage por los siguientes motivos:
- Debes compilar una herramienta personalizada.
- No tienes permiso para habilitar ni usar el servidor de MCP en tu proyecto.
Para obtener más información sobre cómo usar nuestro servidor de MCP local, visita este repositorio de GitHub.
Los servidores de MCP remotos se ejecutan en la infraestructura del servicio y ofrecen un extremo HTTP a las aplicaciones de IA para la comunicación entre el cliente de MCP de IA y el servidor de MCP. El servidor de MCP de Cloud Storage es un servidor de MCP remoto con un extremo HTTP. Para obtener más información sobre la arquitectura de MCP, consulta Arquitectura de MCP.
En este documento, se describe cómo usar el servidor de MCP de Cloud Storage para conectarse a Cloud Storage desde aplicaciones basadas en IA, como Gemini CLI, el modo de agente en Gemini Code Assist, Claude Code o en aplicaciones basadas en IA que estés desarrollando.
Con el servidor de MCP de Cloud Storage, puedes usar aplicaciones y agentes de IA para realizar las siguientes tareas:
- Crea buckets.
- Recupera los metadatos del objeto.
- Leer y escribir datos de objetos
- Enumera buckets y objetos.
Servidores de MCP remotos y de Google Cloud Google
Los servidores de MCP remotos de Google y Google Cloud tienen las siguientes funciones y beneficios:- Descubrimiento simplificado y centralizado
- Extremos HTTP administrados globales o regionales
- Autorización detallada
- Seguridad opcional de instrucciones y respuestas con la protección de Model Armor
- Registro de auditoría centralizado
Para obtener información sobre otros servidores de MCP y sobre los controles de seguridad y administración disponibles para los servidores de MCP de Google Cloud, consulta la descripción general de los servidores de MCP de Google Cloud.
Limitaciones
El servidor de MCP de Cloud Storage tiene las siguientes limitaciones:
Tipos de archivo: Las operaciones de lectura para el análisis de contenido se restringen a archivos de texto, PDF y de imagen; las operaciones de escritura se restringen a archivos de texto.
Tamaño del archivo: Máximo de 8 MiB para operaciones de lectura y escritura
Endpoint: Solo extremo global.
Para obtener información detallada sobre las cuotas y los límites que se aplican al servidor de MCP de Cloud Storage, consulta Cuotas y límites.
Antes de comenzar
- Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Instala Google Cloud CLI.
-
Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Instala Google Cloud CLI.
-
Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init
Roles obligatorios
Para obtener los permisos que necesitas para usar el servidor de MCP de Cloud Storage, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que quieres usar el servidor de MCP de Cloud Storage:
-
Realiza llamadas a la herramienta de MCP:
Usuario de la herramienta de MCP (
roles/mcp.toolUser) -
Enumerar objetos, leer objetos y su contenido, o bien obtener los metadatos de un objeto:
Visualizador de objetos de Storage (
roles/storage.objectViewer) -
Escribe contenido en un objeto:
Creador de objetos de almacenamiento (
roles/storage.objectCreator) -
Crear y enumerar buckets:
Administrador de Storage (
roles/storage.admin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para usar el servidor de MCP de Cloud Storage. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para usar el servidor de MCP de Cloud Storage:
-
Realiza llamadas a la herramienta de MCP:
mcp.tools.call -
Objetos de la lista:
storage.objects.list -
Leer objetos y su contenido o obtener los metadatos de un objeto:
storage.objects.get -
Escribe contenido en un objeto:
storage.objects.create -
Enumera buckets:
storage.buckets.list -
Crea buckets:
storage.buckets.create
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Autenticación y autorización
El servidor MCP remoto de Cloud Storage usa el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.
El servidor de MCP de Cloud Storage no acepta claves de API para la autenticación, ya que todas las solicitudes requieren autorización de Identity and Access Management (IAM).
Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.
Permisos de OAuth de MCP de Cloud Storage
OAuth 2.0 usa permisos y credenciales para determinar si un principal autenticado está autorizado a realizar una acción específica en un recurso. Si deseas obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Usa OAuth 2.0 para acceder a las APIs de Google.
Cloud Storage tiene los siguientes permisos de OAuth de la herramienta de MCP:
| URI del alcance para gcloud CLI | Descripción |
|---|---|
https://www.googleapis.com/auth/storage.read-only |
Solo permite el acceso de lectura a los datos. |
https://www.googleapis.com/auth/storage.read-write |
Permite el acceso para leer y modificar datos. |
Es posible que se requieran alcances adicionales en los recursos a los que se accede durante una llamada a la herramienta. Para ver una lista de los permisos requeridos para Cloud Storage, consulta la API de Cloud Storage. Si tu agente interactúa con otros Google Cloud servicios como parte de su flujo de trabajo, como BigQuery o Storage Insights, requiere los permisos de OAuth adecuados para esos servicios, además de los permisos de Cloud Storage.
Configura un cliente de MCP para que use el servidor de MCP de Cloud Storage
Las aplicaciones y los agentes de IA, como Claude o Gemini CLI, pueden crear instancias de un cliente de MCP que se conecta a un solo servidor de MCP. Una aplicación de IA puede tener varios clientes que se conectan a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer la URL del servidor de MCP remoto.
En tu aplicación de IA, busca una forma de conectarte a un servidor de MCP remoto. Se te pedirá que ingreses detalles sobre el servidor, como su nombre y URL.
Para el servidor de MCP de Cloud Storage, ingresa lo siguiente según sea necesario:
- Nombre del servidor: Servidor de MCP de Cloud Storage
- URL del servidor o Extremo:
https://storage.googleapis.com/mcp - Transporte: HTTP
- Detalles de autenticación: Según cómo desees autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID y secreto de cliente de OAuth, o bien la identidad y las credenciales de un agente. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.
- Permiso de OAuth: Uno de los permisos que se indican en este documento que deseas usar cuando te conectes al servidor de MCP de Cloud Storage.
Para obtener orientación específica del host sobre cómo configurar y conectarse al servidor de MCP, consulta lo siguiente:
Para obtener orientación más general, consulta los siguientes recursos:
Herramientas disponibles
Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de Cloud Storage, consulta la referencia de MCP de Cloud Storage. Para ver esquemas y ejemplos, consulta el repositorio de GitHub de MCP de Cloud Storage.
Herramientas de lista
Usa el inspector de MCP para enumerar herramientas o envía una solicitud HTTP tools/list directamente al servidor de MCP de Cloud Storage. El método tools/list no requiere autenticación.
POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list"
}
Llama a una herramienta
Para llamar a una herramienta específica, usa el método tools/call y proporciona el nombre de la herramienta y los argumentos necesarios en el objeto params. En el siguiente ejemplo, se muestra cómo llamar a la herramienta list_buckets para el proyecto my-project:
POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
Authorization: Bearer OAUTH2_TOKEN
{
"jsonrpc": "2.0",
"method": "tools/call",
"id": "123e4567-e89b-12d3-a456-426614174000",
"params": {
"name": "list_buckets",
"arguments": {
"projectId": "my-project"
}
}
}
Ejemplos de casos de uso
A continuación, se incluyen ejemplos de casos de uso del servidor de MCP de Cloud Storage.
Administra el contenido y las campañas de venta minorista
Un caso de uso de ejemplo del servidor de MCP de Cloud Storage es ayudar al agente de marketing de un comercio minorista a crear y administrar fichas de productos y campañas promocionales. El servidor MCP de Cloud Storage te permite enumerar, leer y escribir objetos, y crear buckets para almacenar recursos de productos y campañas con lenguaje natural.
Instrucción de ejemplo:
"Crea una ficha de producto para el SKU-123 con recursos del bucket product-images y, luego, crea un bucket nuevo llamado campaign-q3-assets, y genera y guarda imágenes de banner en él".
Flujo de trabajo: El flujo de trabajo para crear fichas de productos y campañas podría verse de la siguiente manera:
- List assets: El agente usa
list_objectspara encontrar todas las imágenes del producto nuevo en un bucket dedicado de Cloud Storage. - Recuperar contenido: El agente usa
read_objectpara acceder a los recursos del producto (de hasta 8 MiB de tamaño) y también recupera las descripciones de los productos de un sistema de administración de información de productos (PIM) con otra herramienta. - Generar ficha: El agente genera un borrador de la ficha del producto, que incluye texto de marketing y vínculos a las imágenes y los videos.
- Create campaign bucket: El agente usa
create_bucketpara crear un bucket nuevo para los recursos de la campaña. - Guardar recursos de la campaña: El agente genera recursos de la campaña (por ejemplo, banners) y usa
write_textpara guardarlos en el nuevo bucket "campaigns". El tamaño de cada recurso debe ser inferior a 8 MiB.
Analiza datos financieros
Un caso de uso de ejemplo del servidor de MCP de Cloud Storage es ayudar a los administradores de cartera a obtener información a partir de informes financieros y grabaciones de audio de llamadas de operadores con clientes. El servidor de MCP de Cloud Storage ayuda al agente a identificar y descargar documentos relevantes, y a pasarlos a un LLM para su análisis.
Instrucción de ejemplo:
¿Cuáles fueron las conclusiones clave de la reunión de informe de ganancias más reciente de EjemploCorp y cómo se comparan con el sentimiento de sus últimos tres informes financieros?
Flujo de trabajo: El flujo de trabajo para analizar documentos financieros podría verse de la siguiente manera:
- Identificar documentos: El agente extrae palabras clave de la pregunta del usuario para identificar buckets o segmentos relevantes, por ejemplo,
earnings-calls/ExampleCorp/ofinancial-reports/ExampleCorp/, y usalist_objectspara encontrar transcripciones de audio e informes financieros pertinentes. - Descargar contenido: El agente usa
read_textoread_objectpara descargar el contenido de los archivos identificados, hasta 8 MiB por archivo. - Analizar y responder: El agente pasa el contenido a un LLM para resumir los hallazgos, comparar el sentimiento y sintetizar una respuesta a la pregunta del usuario. Si es necesario, se pueden usar otras herramientas, como BigQuery, para realizar análisis más detallados.
Evalúa el riesgo del proveedor
Un caso de uso de ejemplo del servidor de MCP de Cloud Storage es ayudar a automatizar el proceso inicial de evaluación de riesgos de proveedores para el equipo de administración de riesgos de un banco. El servidor de MCP de Cloud Storage permite que el agente de IA recupere y analice documentos que envían los proveedores para identificar posibles riesgos con lenguaje natural.
Instrucción de ejemplo:
"Evalúa al proveedor "Example Inc." revisando su cuestionario de seguridad y certificado de cumplimiento más recientes en el bucket de vendor-docs. Resume los posibles riesgos según nuestras políticas y guarda el informe".
Flujo de trabajo: El flujo de trabajo para evaluar el riesgo del proveedor podría verse de la siguiente manera:
- Buscar documentos: El agente usa la herramienta
list_objectspara encontrar la carpeta del proveedor en un bucket de Cloud Storage dedicado a los documentos del proveedor. - Descargar documentos: El agente usa
read_objectpara descargar todos los documentos pertinentes, como cuestionarios de seguridad, certificados de cumplimiento y estados financieros, hasta 8 MiB por archivo. - Analizar documentos: El agente analiza el contenido de estos documentos, posiblemente con otras herramientas para extraer texto, buscar indicadores de riesgo o información faltante según las políticas de riesgo del banco.
- Compila y guarda el informe: El agente compila un informe de resumen de sus hallazgos y usa
write_textpara guardarlo en la carpeta del proveedor en Cloud Storage para que el asesor de riesgos lo revise.
Configuraciones opcionales de seguridad
La MCP introduce nuevos riesgos y consideraciones de seguridad debido a la amplia variedad de acciones que puedes realizar con las herramientas de MCP. Para minimizar y administrar estos riesgos,Google Cloud ofrece parámetros de configuración predeterminados y políticas personalizables para controlar el uso de las herramientas de MCP en tu organización o proyecto deGoogle Cloud . Google Cloud
Para obtener más información sobre la seguridad y la administración de la MCP, consulta Seguridad y protección de la IA.
Usa Model Armor
Model Armor es unGoogle Cloud servicio diseñado para mejorar la seguridad de tus aplicaciones de IA. Funciona analizando de forma proactiva las instrucciones y respuestas de los LLM, lo que ayuda a proteger contra diversos riesgos y respalda las prácticas responsables de la IA. Ya sea que implementes la IA en tu entorno de nube o en proveedores externos de servicios en la nube, Model Armor puede ayudarte a evitar entradas maliciosas, verificar la seguridad del contenido, proteger los datos sensibles, respaldar el cumplimiento y aplicar tus políticas de seguridad y protección de la IA de manera coherente en todo tu diverso panorama de IA.
Model Armor solo está disponible en ubicaciones regionales específicas. Si Model Armor está habilitado para un proyecto y se realiza una llamada a ese proyecto desde una región no admitida, no se llama a Model Armor y la llamada se envía sin que Model Armor la analice. Para obtener más información, consulta Ubicaciones de Model Armor.
Habilita Model Armor
Para poder usar las APIs de Model Armor, debes habilitarlas.
Console
Habilitar la API de Model Armor
Roles necesarios para habilitar las APIs
Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin), que contiene el permisoserviceusage.services.enable. Obtén más información para otorgar roles.Elige el proyecto en el que quieres activar Model Armor.
gcloud
Antes de empezar, sigue estos pasos a través de la Google Cloud CLI con la API de Model Armor:
En la consola de Google Cloud , activa Cloud Shell.
En la parte inferior de la consola de Google Cloud , se inicia una sesión de Cloud Shell que muestra una ventana emergente con una línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.
-
Ejecuta el comando siguiente para configurar el extremo de API del servicio de Model Armor.
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
Reemplaza
LOCATIONpor la región en la que quieres usar Model Armor.
Configura la protección para los servidores de MCP remotos y de Google Cloud Google
Para proteger las llamadas y respuestas de las herramientas de MCP, puedes usar la configuración mínima de Model Armor. Un parámetro de configuración mínimo define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto coherente de filtros a todas las llamadas y respuestas de las herramientas de MCP dentro del proyecto.
Configura un ajuste mínimo de Model Armor con la limpieza de MCP habilitada. Para obtener más información, consulta Configura la configuración mínima de Model Armor.
Consulta el siguiente comando de ejemplo:
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'
Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud .
Ten en cuenta los siguientes parámetros de configuración:
INSPECT_AND_BLOCK: Es el tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las instrucciones y las respuestas que coinciden con los filtros.ENABLED: Es el parámetro de configuración que habilita un filtro o la aplicación.MEDIUM_AND_ABOVE: Es el nivel de confianza para la configuración del filtro de IA responsable: Peligroso. Puedes modificar este parámetro de configuración, aunque los valores más bajos pueden generar más falsos positivos. Para obtener más información, consulta Niveles de confianza de Model Armor.
Inhabilita el análisis del tráfico de MCP con Model Armor
Si deseas dejar de analizar el tráfico de MCP de Google con Model Armor, ejecuta el siguiente comando:
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--remove-integrated-services=GOOGLE_MCP_SERVER
Reemplaza PROJECT_ID por el ID del proyecto Google Cloud .
Model Armor no analizará el tráfico de MCP en el proyecto.
Controla el uso del MCP con políticas de IAM de rechazo
Las políticas de denegación de Identity and Access Management (IAM) te ayudan a proteger los Google Cloud servidores MCP remotos. Configura estas políticas para bloquear el acceso no deseado a las herramientas de MCP.
Por ejemplo, puedes rechazar o permitir el acceso según lo siguiente:
- La entidad principal
- Propiedades de la herramienta, como solo lectura
- ID de cliente de OAuth de la aplicación
Para obtener más información, consulta Controla el uso de MCP con Identity and Access Management.
¿Qué sigue?
- Lee la documentación de referencia de MCP de Cloud Storage.
- Obtén más información sobre los servidores de MCP de Google Cloud.