Menggunakan server MCP Cloud Storage

Standar Model Context Protocol (MCP) menstandardisasi cara model bahasa besar (LLM) dan aplikasi atau agen AI terhubung ke sumber data eksternal. Server MCP memungkinkan Anda menggunakan alat, resource, dan perintahnya untuk melakukan tindakan dan mendapatkan data terbaru dari layanan backend-nya.

Server MCP lokal biasanya berjalan di komputer lokal Anda dan menggunakan input dan output stream (stdio) standar untuk komunikasi antar-layanan di perangkat yang sama. Meskipun server MCP lokal sering berkomunikasi dengan layanan lokal, server ini juga dapat digunakan untuk memanggil layanan atau sumber data yang tidak berjalan di mesin lokal. Misalnya, server MCP lokal yang berjalan di mesin atau virtual machine agen dapat memanggil Cloud Storage API.

Anda dapat menggunakan server MCP lokal Cloud Storage karena alasan berikut:

  • Anda perlu membuat alat kustom.
  • Anda tidak memiliki izin untuk mengaktifkan atau menggunakan server MCP dalam project Anda.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan server MCP lokal kami, buka repositori GitHub ini.

Server MCP jarak jauh berjalan di infrastruktur layanan dan menawarkan endpoint HTTP ke aplikasi AI untuk komunikasi antara klien MCP AI dan server MCP. Server MCP Cloud Storage adalah server MCP jarak jauh dengan endpoint HTTP. Untuk mengetahui informasi selengkapnya tentang arsitektur MCP, lihat Arsitektur MCP.

Dokumen ini menjelaskan cara menggunakan server MCP Cloud Storage untuk terhubung ke Cloud Storage dari aplikasi AI seperti Gemini CLI, mode agen di Gemini Code Assist, Claude Code, atau di aplikasi AI yang Anda kembangkan.

Dengan server MCP Cloud Storage, Anda dapat menggunakan aplikasi dan agen AI untuk melakukan tugas berikut:

  • Buat bucket.
  • Mengambil metadata objek.
  • Membaca dan menulis data objek.
  • Mencantumkan bucket dan objek.
Server MCP jarak jauh Cloud Storage diaktifkan saat Anda mengaktifkan Cloud Storage API. Untuk menonaktifkan server MCP Cloud Storage, Anda harus menonaktifkan Cloud Storage API. Untuk mengetahui informasi tentang cara menonaktifkan Cloud Storage API, lihat Menonaktifkan layanan.

Server MCP jarak jauh dan Google Cloud Google

Server MCP jarak jauh Google dan Google Cloud memiliki fitur dan manfaat berikut:

  • Penemuan yang disederhanakan dan terpusat
  • Endpoint HTTP global atau regional yang dikelola
  • Otorisasi terperinci
  • Keamanan perintah dan respons opsional dengan perlindungan Model Armor
  • Logging audit terpusat

Untuk mengetahui informasi tentang server MCP lainnya dan informasi tentang kontrol keamanan dan tata kelola yang tersedia untuk server MCP Google Cloud, lihat Ringkasan server MCP Google Cloud.

Batasan

Server MCP Cloud Storage memiliki batasan berikut:

  • Jenis file: Operasi baca untuk analisis konten dibatasi pada file teks, PDF, dan gambar; operasi tulis dibatasi pada file teks.

  • Ukuran file: Maksimum 8 MiB untuk operasi baca dan tulis.

  • Endpoint: Hanya endpoint global.

Untuk mengetahui informasi mendetail tentang kuota dan batas yang berlaku untuk server MCP Cloud Storage, lihat Kuota dan batas.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Instal Google Cloud CLI.

  5. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  6. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. Instal Google Cloud CLI.

  10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  11. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk menggunakan server MCP Cloud Storage, minta administrator Anda untuk memberi Anda peran IAM berikut pada project tempat Anda ingin menggunakan server MCP Cloud Storage:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan server MCP Cloud Storage. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan server MCP Cloud Storage:

  • Melakukan panggilan alat MCP: mcp.tools.call
  • Mencantumkan objek: storage.objects.list
  • Membaca objek dan isinya atau mendapatkan metadata objek: storage.objects.get
  • Menulis konten ke objek: storage.objects.create
  • Mencantumkan bucket: storage.buckets.list
  • Buat bucket: storage.buckets.create

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Autentikasi dan otorisasi

Server MCP jarak jauh Cloud Storage menggunakan protokol OAuth 2.0 dengan Identity and Access Management (IAM) untuk autentikasi dan otorisasi. Semua Google Cloud identitas didukung untuk autentikasi ke server MCP.

Server MCP Cloud Storage tidak menerima kunci API untuk autentikasi karena semua permintaan memerlukan otorisasi Identity and Access Management (IAM).

Sebaiknya Anda membuat identitas terpisah untuk agen yang menggunakan alat MCP agar akses ke resource dapat dikontrol dan dipantau. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

Cakupan OAuth MCP Cloud Storage

OAuth 2.0 menggunakan cakupan dan kredensial untuk menentukan apakah akun utama terautentikasi diizinkan untuk melakukan tindakan tertentu pada resource. Untuk mengetahui informasi selengkapnya tentang cakupan OAuth 2.0 di Google, baca Menggunakan OAuth 2.0 untuk mengakses Google API.

Cloud Storage memiliki cakupan OAuth alat MCP berikut:

URI cakupan untuk gcloud CLI Deskripsi
https://www.googleapis.com/auth/storage.read-only Hanya mengizinkan akses untuk membaca data.
https://www.googleapis.com/auth/storage.read-write Mengizinkan akses untuk membaca dan mengubah data.

Cakupan tambahan mungkin diperlukan pada resource yang diakses selama panggilan alat. Untuk melihat daftar cakupan yang diperlukan untuk Cloud Storage, lihat Cloud Storage API. Jika agen Anda berinteraksi dengan layanan Google Cloud lain sebagai bagian dari alur kerjanya, seperti BigQuery atau Storage Insights, agen tersebut memerlukan cakupan OAuth yang sesuai untuk layanan tersebut selain cakupan Cloud Storage.

Mengonfigurasi klien MCP untuk menggunakan server MCP Cloud Storage

Aplikasi dan agen AI, seperti Claude atau Gemini CLI, dapat membuat instance klien MCP yang terhubung ke satu server MCP. Aplikasi AI dapat memiliki beberapa klien yang terhubung ke server MCP yang berbeda. Untuk terhubung ke server MCP jarak jauh, klien MCP harus mengetahui URL server MCP jarak jauh.

Di aplikasi AI Anda, cari cara untuk terhubung ke server MCP jarak jauh. Anda akan diminta untuk memasukkan detail tentang server, seperti nama dan URL-nya.

Untuk server MCP Cloud Storage, masukkan perintah berikut sesuai kebutuhan:

  • Nama server: Server MCP Cloud Storage
  • URL Server atau Endpoint: https://storage.googleapis.com/mcp
  • Transportasi: HTTP
  • Detail autentikasi: Bergantung pada cara autentikasi yang Anda inginkan, Anda dapat memasukkan Google Cloud kredensial, ID Klien OAuth dan rahasia, atau identitas dan kredensial agen. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.
  • Cakupan OAuth: Salah satu cakupan yang tercantum dalam dokumen ini yang ingin Anda gunakan saat terhubung ke server MCP Cloud Storage.

Untuk panduan khusus host tentang cara menyiapkan dan menghubungkan ke server MCP, lihat artikel berikut:

Untuk panduan umum lainnya, lihat referensi berikut:

Alat yang tersedia

Untuk melihat detail alat MCP yang tersedia dan deskripsinya untuk server MCP Cloud Storage, lihat referensi MCP Cloud Storage. Untuk mengetahui skema dan contoh, lihat repositori GitHub MCP Cloud Storage.

Alat daftar

Gunakan pemeriksa MCP untuk mencantumkan alat, atau kirim permintaan HTTP tools/list langsung ke server MCP Cloud Storage. Metode tools/list tidak memerlukan autentikasi.

POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list"
}

Memanggil alat

Untuk memanggil alat tertentu, gunakan metode tools/call dan berikan nama alat dan argumen yang diperlukan dalam objek params. Contoh berikut menunjukkan cara memanggil alat list_buckets untuk project my-project:

POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
Authorization: Bearer OAUTH2_TOKEN

{
  "jsonrpc": "2.0",
  "method": "tools/call",
  "id": "123e4567-e89b-12d3-a456-426614174000",
  "params": {
    "name": "list_buckets",
    "arguments": {
      "projectId": "my-project"
    }
  }
}

Contoh kasus penggunaan

Berikut adalah contoh kasus penggunaan untuk server MCP Cloud Storage.

Mengelola konten dan kampanye retail

Contoh kasus penggunaan untuk server MCP Cloud Storage adalah membantu agen pemasaran retailer membuat dan mengelola listingan produk dan kampanye promosi. Server MCP Cloud Storage memungkinkan Anda membuat daftar, membaca, dan menulis objek, serta membuat bucket untuk menyimpan aset produk dan kampanye menggunakan bahasa alami.

Contoh perintah:

"Buat listingan produk untuk SKU-123 menggunakan aset dari bucket product-images, lalu buat bucket baru bernama campaign-q3-assets, serta buat dan simpan gambar banner ke dalamnya."

Alur kerja: Alur kerja untuk membuat listingan produk dan kampanye mungkin terlihat seperti berikut:

  • Mencantumkan aset: Agen menggunakan list_objects untuk menemukan semua gambar produk baru dalam bucket Cloud Storage khusus.
  • Mengambil konten: Agen menggunakan read_object untuk mengakses aset produk (hingga berukuran 8 MiB), dan juga mengambil deskripsi produk dari sistem pengelolaan informasi produk (PIM) menggunakan alat lain.
  • Buat listingan: Agen membuat draf listingan produk, termasuk teks pemasaran dan link ke gambar dan video.
  • Buat bucket kampanye: Agen menggunakan create_bucket untuk membuat bucket baru bagi aset kampanye.
  • Menyimpan aset kampanye: Agen membuat aset kampanye (misalnya, banner) dan menggunakan write_text untuk menyimpannya ke bucket "kampanye" baru. Ukuran setiap aset tidak boleh lebih dari 8 MiB.

Menganalisis data keuangan

Contoh kasus penggunaan server MCP Cloud Storage adalah membantu pengelola portofolio mendapatkan insight dari laporan keuangan dan rekaman audio panggilan trader dengan klien. Server MCP Cloud Storage membantu agen mengidentifikasi dan mendownload dokumen yang relevan serta meneruskannya ke LLM untuk dianalisis.

Contoh perintah:

"Apa poin penting dari panggilan konferensi pendapatan terbaru ExampleCorp, dan bagaimana perbandingannya dengan sentimen dalam tiga laporan keuangan terakhir mereka?"

Alur kerja: Alur kerja untuk menganalisis dokumen keuangan mungkin terlihat seperti berikut:

  • Mengidentifikasi dokumen: Agen mengekstrak kata kunci dari pertanyaan pengguna untuk mengidentifikasi bucket atau awalan yang relevan, misalnya, earnings-calls/ExampleCorp/ atau financial-reports/ExampleCorp/ dan menggunakan list_objects untuk menemukan transkrip audio dan laporan keuangan yang relevan.
  • Download konten: Agen menggunakan read_text atau read_object untuk mendownload konten file yang diidentifikasi, hingga 8 MiB per file.
  • Menganalisis dan merespons: Agen meneruskan konten ke LLM untuk merangkum temuan, membandingkan sentimen, dan menyintesis jawaban atas pertanyaan pengguna. Jika diperlukan, alat lain seperti BigQuery dapat digunakan untuk analisis yang lebih mendalam.

Menilai risiko vendor

Contoh kasus penggunaan untuk server MCP Cloud Storage adalah membantu mengotomatiskan proses penilaian risiko vendor awal untuk tim pengelolaan risiko bank. Server MCP Cloud Storage memungkinkan agen AI mengambil dan menganalisis dokumen yang dikirimkan vendor untuk mengidentifikasi potensi risiko menggunakan bahasa alami.

Contoh perintah:

"Nilai vendor "Example Inc." dengan meninjau kuesioner keamanan dan sertifikat kepatuhan terbaru mereka di bucket vendor-docs. Buat ringkasan potensi risiko berdasarkan kebijakan kami dan simpan laporan."

Alur kerja: Alur kerja untuk menilai risiko vendor mungkin terlihat seperti berikut:

  • Menemukan dokumen: Agen menggunakan alat list_objects untuk menemukan folder vendor di bucket Cloud Storage yang dikhususkan untuk dokumen vendor.
  • Mendownload dokumen: Agen menggunakan read_object untuk mendownload semua dokumen yang relevan, seperti kuesioner keamanan, sertifikat kepatuhan, dan laporan keuangan, hingga 8 MiB per file.
  • Menganalisis dokumen: Agen menganalisis konten dokumen ini, mungkin menggunakan alat lain untuk mengekstrak teks, untuk mencari tanda bahaya atau informasi yang hilang berdasarkan kebijakan risiko bank.
  • Kompilasi dan simpan laporan: Agen mengompilasi laporan ringkasan temuannya dan menggunakan write_text untuk menyimpannya ke folder vendor di Cloud Storage agar dapat ditinjau oleh penilai risiko.

Konfigurasi keamanan dan keselamatan opsional

MCP memperkenalkan risiko dan pertimbangan keamanan baru karena berbagai tindakan yang dapat Anda lakukan dengan alat MCP. Untuk meminimalkan dan mengelola risiko ini,Google Cloud menawarkan setelan default dan kebijakan yang dapat disesuaikan untuk mengontrol penggunaan alat MCP di organisasi atau project Google CloudAnda.

Untuk mengetahui informasi selengkapnya tentang keamanan dan tata kelola MCP, lihat Keamanan dan keselamatan AI.

Menggunakan Model Armor

Model Armor adalah layanan Google Cloud yang dirancang untuk meningkatkan keamanan dan keselamatan aplikasi AI Anda. Model Armor bekerja dengan menyaring perintah dan respons LLM secara proaktif, melindungi dari berbagai risiko, dan mendukung praktik AI yang bertanggung jawab. Baik Anda men-deploy AI di lingkungan cloud Anda, atau di penyedia cloud eksternal, Model Armor dapat membantu Anda mencegah input berbahaya, memverifikasi keamanan konten, melindungi data sensitif, menjaga kepatuhan, dan menerapkan kebijakan keamanan dan keselamatan AI Anda secara konsisten di seluruh lanskap AI Anda yang beragam.

Jika Model Armor diaktifkan dengan logging diaktifkan, Model Armor akan mencatat seluruh payload. Hal ini dapat mengekspos informasi sensitif dalam log Anda.

Mengaktifkan Model Armor

Anda harus mengaktifkan Model Armor API sebelum dapat menggunakan Model Armor.

Konsol

  1. Aktifkan Model Armor API.

    Peran yang diperlukan untuk mengaktifkan API

    Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

    Mengaktifkan API

  2. Pilih project tempat Anda ingin mengaktifkan Model Armor.

gcloud

Sebelum memulai, ikuti langkah-langkah berikut menggunakan Google Cloud CLI dengan Model Armor API:

  1. Di konsol Google Cloud , aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.

  2. Jalankan perintah berikut untuk menetapkan endpoint API bagi layanan Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ganti LOCATION dengan region tempat Anda ingin menggunakan Model Armor.

Mengonfigurasi perlindungan untuk server MCP jarak jauh dan Google Cloud Google

Untuk membantu melindungi panggilan dan respons alat MCP, Anda dapat menggunakan setelan batas bawah Model Armor. Setelan minimum menentukan filter keamanan minimum yang berlaku di seluruh project. Konfigurasi ini menerapkan serangkaian filter yang konsisten ke semua panggilan dan respons alat MCP dalam project.

Siapkan setelan minimum Model Armor dengan pengamanan MCP diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan batas bawah Model Armor.

Lihat contoh perintah berikut:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ganti PROJECT_ID dengan project ID Google Cloud Anda.

Perhatikan setelan berikut:

  • INSPECT_AND_BLOCK: Jenis penegakan yang memeriksa konten untuk server MCP Google dan memblokir perintah dan respons yang cocok dengan filter.
  • ENABLED: Setelan yang mengaktifkan filter atau penerapan.
  • MEDIUM_AND_ABOVE: Tingkat keyakinan untuk setelan filter Responsible AI - Berbahaya. Anda dapat mengubah setelan ini, meskipun nilai yang lebih rendah dapat menghasilkan lebih banyak positif palsu. Untuk mengetahui informasi selengkapnya, lihat Tingkat keyakinan Model Armor.

Menonaktifkan pemindaian traffic MCP dengan Model Armor

Untuk menghentikan Model Armor memindai traffic secara otomatis ke dan dari server MCP Google berdasarkan setelan batas bawah project, jalankan perintah berikut:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ganti PROJECT_ID dengan ID project Google Cloud . Model Armor tidak otomatis menerapkan aturan yang ditentukan dalam setelan batas bawah project ini ke traffic server MCP Google.

Setelan minimum Model Armor dan konfigurasi umum dapat memengaruhi lebih dari sekadar MCP. Karena Model Armor terintegrasi dengan layanan seperti Platform Agen, setiap perubahan yang Anda lakukan pada setelan batas bawah dapat memengaruhi pemindaian traffic dan perilaku keamanan di semua layanan terintegrasi, bukan hanya MCP.

Mengontrol penggunaan MCP dengan kebijakan penolakan IAM

Kebijakan penolakan Identity and Access Management (IAM) membantu Anda mengamankan server MCP jarak jauh Google Cloud . Konfigurasi kebijakan ini untuk memblokir akses alat MCP yang tidak diinginkan.

Misalnya, Anda dapat menolak atau mengizinkan akses berdasarkan:

  • Kepala sekolah
  • Properti alat seperti hanya baca
  • Client ID OAuth aplikasi

Untuk mengetahui informasi selengkapnya, lihat Mengontrol penggunaan MCP dengan Identity and Access Management.

Langkah berikutnya