Utiliser le serveur MCP Cloud Storage

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Les serveurs MCP locaux s'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil. Bien que les serveurs MCP locaux communiquent souvent avec les services locaux, ils peuvent également être utilisés pour appeler des services ou des sources de données qui ne s'exécutent pas sur la machine locale. Par exemple, un serveur MCP local exécuté sur la machine ou la machine virtuelle d'un agent peut appeler les API Cloud Storage.

Vous pouvez utiliser le serveur MCP local Cloud Storage pour les raisons suivantes :

  • Vous devez créer un outil personnalisé.
  • Vous ne disposez pas des autorisations nécessaires pour activer ou utiliser le serveur MCP dans votre projet.

Pour en savoir plus sur l'utilisation de notre serveur MCP local, consultez ce dépôt GitHub.

Les serveurs MCP distants s'exécutent sur l'infrastructure du service et proposent un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Le serveur MCP Cloud Storage est un serveur MCP distant avec un point de terminaison HTTP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Ce document explique comment utiliser le serveur MCP Cloud Storage pour se connecter à Cloud Storage à partir d'applications d'IA telles que la CLI Gemini, le mode agent dans Gemini Code Assist, Claude Code ou dans les applications d'IA que vous développez.

Avec le serveur MCP Cloud Storage, vous pouvez utiliser des applications et des agents d'IA pour effectuer les tâches suivantes :

  • Créez des buckets.
  • Récupérez les métadonnées d'un objet.
  • Lire et écrire des données d'objet.
  • Obtenir la liste des buckets et des objets
Le serveur MCP distant Cloud Storage est activé lorsque vous activez l'API Cloud Storage. Pour désactiver le serveur MCP Cloud Storage, vous devez désactiver l'API Cloud Storage. Pour savoir comment désactiver l'API Cloud Storage, consultez Désactiver un service.

Google et les serveurs MCP distants Google Cloud

Les serveurs MCP Google et Google Cloud distants présentent les fonctionnalités et avantages suivants :

  • Découverte simplifiée et centralisée
  • Points de terminaison HTTP mondiaux ou régionaux gérés
  • Autorisations précises
  • Sécurité facultative des requêtes et des réponses avec la protection Model Armor
  • Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.

Limites

Le serveur MCP Cloud Storage présente les limites suivantes :

  • Types de fichiers : les opérations de lecture pour l'analyse de contenu sont limitées aux fichiers texte, PDF et image. Les opérations d'écriture sont limitées aux fichiers texte.

  • Taille du fichier : 8 Mio maximum pour les opérations de lecture et d'écriture.

  • Point de terminaison : point de terminaison global uniquement.

Pour en savoir plus sur les quotas et les limites applicables au serveur MCP Cloud Storage, consultez Quotas et limites.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Installez la Google Cloud CLI.

  5. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  6. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. Installez la Google Cloud CLI.

  10. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  11. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP Cloud Storage, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur MCP Cloud Storage :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP Cloud Storage. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser le serveur MCP Cloud Storage :

  • Effectuer des appels d'outils MCP : mcp.tools.call
  • Lister les objets : storage.objects.list
  • Lire les objets et leur contenu ou obtenir les métadonnées d'un objet : storage.objects.get
  • Écrire du contenu dans un objet : storage.objects.create
  • Répertorier les buckets : storage.buckets.list
  • Créez des buckets : storage.buckets.create

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Authentification et autorisation

Le serveur MCP distant Cloud Storage utilise le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP Cloud Storage n'accepte pas les clés API pour l'authentification, car toutes les requêtes nécessitent une autorisation Identity and Access Management (IAM).

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Champs d'application OAuth MCP Cloud Storage

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

Cloud Storage dispose des champs d'application OAuth suivants pour l'outil MCP :

URI du champ d'application pour gcloud CLI Description
https://www.googleapis.com/auth/storage.read-only Octroie un accès ne permettant que de lire les données.
https://www.googleapis.com/auth/storage.read-write Octroie un accès permettant de lire et de modifier les données.

Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles l'outil accède lors d'un appel. Pour afficher la liste des niveaux d'accès requis pour Cloud Storage, consultez API Cloud Storage. Si votre agent interagit avec d'autres services Google Cloud dans le cadre de son workflow, tels que BigQuery ou Storage Insights, il a besoin des niveaux d'accès OAuth appropriés pour ces services en plus des niveaux d'accès Cloud Storage.

Configurer un client MCP pour utiliser le serveur MCP Cloud Storage

Les applications et agents d'IA, tels que Claude ou Gemini CLI, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître l'URL du serveur MCP distant.

Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP Cloud Storage, saisissez les informations suivantes, le cas échéant :

  • Nom du serveur : serveur MCP Cloud Storage
  • URL du serveur ou point de terminaison : https://storage.googleapis.com/mcp
  • Transport : HTTP
  • Informations d'authentification : selon la méthode d'authentification que vous souhaitez utiliser, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
  • Champ d'application OAuth : l'un des champs d'application listés dans ce document que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP Cloud Storage.

Pour obtenir des conseils spécifiques à l'hôte sur la configuration et la connexion au serveur MCP, consultez les articles suivants :

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Cloud Storage, consultez la référence MCP Cloud Storage. Pour consulter des schémas et des exemples, accédez au dépôt GitHub MCP Cloud Storage.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP Cloud Storage. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list"
}

Appeler un outil

Pour appeler un outil spécifique, utilisez la méthode tools/call et fournissez le nom de l'outil ainsi que les arguments nécessaires dans l'objet params. L'exemple suivant montre comment appeler l'outil list_buckets pour le projet my-project :

POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
Authorization: Bearer OAUTH2_TOKEN

{
  "jsonrpc": "2.0",
  "method": "tools/call",
  "id": "123e4567-e89b-12d3-a456-426614174000",
  "params": {
    "name": "list_buckets",
    "arguments": {
      "projectId": "my-project"
    }
  }
}

Exemples de cas d'utilisation

Voici des exemples de cas d'utilisation du serveur MCP Cloud Storage.

Gérer les contenus et les campagnes retail

Un exemple d'utilisation du serveur MCP Cloud Storage consiste à aider l'agent marketing d'un marchand à créer et à gérer des fiches produit et des campagnes promotionnelles. Le serveur MCP Cloud Storage vous permet de lister, de lire et d'écrire des objets, et de créer des buckets pour stocker les composants de produits et de campagnes en utilisant le langage naturel.

Exemple de requête :

"Crée une fiche produit pour le SKU-123 à l'aide des composants du bucket product-images, puis crée un bucket appelé campaign-q3-assets et génère et enregistre des images de bannières dans ce bucket."

Workflow : le workflow de création de fiches produit et de campagnes peut se présenter comme suit :

  • Lister les éléments : l'agent utilise list_objects pour trouver toutes les images du nouveau produit dans un bucket Cloud Storage dédié.
  • Récupérer du contenu : l'agent utilise read_object pour accéder aux composants produit (jusqu'à 8 Mio) et récupère également les descriptions de produits à partir d'un système de gestion des informations produit (PIM) à l'aide d'un autre outil.
  • Générer une fiche : l'agent génère un brouillon de la fiche produit, y compris le texte marketing et les liens vers les images et les vidéos.
  • Créer un bucket de campagne : l'agent utilise create_bucket pour créer un bucket pour les composants de la campagne.
  • Enregistrer les composants de la campagne : l'agent génère des composants de campagne (des bannières, par exemple) et utilise write_text pour les enregistrer dans le nouveau bucket "campaigns" (campagnes). La taille de chaque élément doit être inférieure à 8 Mio.

Analysez les données financières

Un exemple d'utilisation du serveur MCP Cloud Storage consiste à aider les gestionnaires de portefeuille à obtenir des insights à partir de rapports financiers et d'enregistrements audio d'appels de traders avec des clients. Le serveur MCP Cloud Storage aide l'agent à identifier et à télécharger les documents pertinents, puis à les transmettre à un LLM pour analyse.

Exemple de requête :

"Quels sont les principaux points à retenir de la dernière conférence téléphonique sur les résultats d'ExampleCorp ? Comment cela se compare-t-il au sentiment exprimé dans leurs trois derniers rapports financiers ?"

Workflow : le workflow d'analyse des documents financiers peut se présenter comme suit :

  • Identifier des documents : l'agent extrait les mots clés de la question de l'utilisateur pour identifier les buckets ou préfixes pertinents, par exemple earnings-calls/ExampleCorp/ ou financial-reports/ExampleCorp/, et utilise list_objects pour trouver les transcriptions audio et les rapports financiers pertinents.
  • Télécharger du contenu : l'agent utilise read_text ou read_object pour télécharger le contenu des fichiers identifiés, jusqu'à 8 Mio par fichier.
  • Analyser et répondre : l'agent transmet le contenu à un LLM pour résumer les résultats, comparer les sentiments et synthétiser une réponse à la question de l'utilisateur. Si nécessaire, d'autres outils comme BigQuery peuvent être utilisés pour une analyse plus approfondie.

Évaluer les risques liés aux fournisseurs

Un exemple de cas d'utilisation du serveur MCP Cloud Storage consiste à automatiser le processus d'évaluation initiale des risques liés aux fournisseurs pour l'équipe de gestion des risques d'une banque. Le serveur MCP Cloud Storage permet à l'agent d'IA d'extraire et d'analyser les documents que les fournisseurs envoient pour identifier les risques potentiels à l'aide du langage naturel.

Exemple de requête :

"Évalue le fournisseur "Example Inc." en examinant son dernier questionnaire de sécurité et son certificat de conformité dans le bucket vendor-docs. Résume tous les risques potentiels en fonction de nos règles et enregistre le rapport."

Workflow : le workflow d'évaluation des risques liés aux fournisseurs peut ressembler à ceci :

  • Rechercher des documents : l'agent utilise l'outil list_objects pour trouver le dossier du fournisseur dans un bucket Cloud Storage dédié aux documents des fournisseurs.
  • Télécharger des documents : l'agent utilise read_object pour télécharger tous les documents pertinents, tels que les questionnaires de sécurité, les certificats de conformité et les états financiers, jusqu'à 8 Mio par fichier.
  • Analyser des documents : l'agent analyse le contenu de ces documents, éventuellement à l'aide d'autres outils pour extraire du texte, rechercher des signaux d'alerte ou des informations manquantes en fonction des règles de la banque en matière de risques.
  • Compiler et enregistrer le rapport : l'agent compile un rapport récapitulatif de ses conclusions et utilise write_text pour l'enregistrer dans le dossier du fournisseur dans Cloud Storage, afin que l'évaluateur des risques puisse l'examiner.

Configurations de sécurité et de protection facultatives

Le MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou votre projet Google Cloud.

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Utiliser Model Armor

Model Armor est un serviceGoogle Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, ce qui permet de se protéger contre divers risques et de favoriser des pratiques d'IA responsables. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de services cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à assurer la conformité et à appliquer vos règles de sécurité et de protection de l'IA de manière cohérente dans votre environnement d'IA diversifié.

Model Armor n'est disponible que dans certaines régions. Si Model Armor est activé pour un projet et qu'un appel à ce projet provient d'une région non prise en charge, Model Armor n'est pas appelé et l'appel est envoyé sans analyse par Model Armor. Pour en savoir plus, consultez Emplacements de Model Armor.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Console

  1. Activer l'API Model Armor

    Rôles requis pour activer les API

    Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

    Activer l'API

  2. Sélectionnez le projet dans lequel vous souhaitez activer Model Armor.

gcloud

Avant de commencer, suivez ces étapes à l'aide de la Google Cloud CLI avec l'API Model Armor :

  1. Dans la console Google Cloud , activez Cloud Shell.

    Activer Cloud Shell

    En bas de la console Google Cloud , une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.

  2. Exécutez la commande suivante pour définir le point de terminaison de l'API pour le service Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Remplacez LOCATION par la région dans laquelle vous souhaitez utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger les appels et les réponses de votre outil MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.

Consultez l'exemple de commande suivant :

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Notez les paramètres suivants :

  • INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.
  • ENABLED : paramètre qui active un filtre ou une application forcée.
  • MEDIUM_AND_ABOVE : niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Niveaux de confiance de Model Armor.

Désactiver l'analyse du trafic MCP avec Model Armor

Si vous souhaitez arrêter d'analyser le trafic Google MCP avec Model Armor, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Model Armor n'analysera pas le trafic MCP dans le projet.

Contrôler l'utilisation du MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

  • Le compte principal
  • Propriétés de l'outil, comme la lecture seule
  • ID client OAuth de l'application

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.

Étapes suivantes