모델 컨텍스트 프로토콜(MCP)은 대규모 언어 모델 (LLM)과 AI 애플리케이션 또는 에이전트가 외부 데이터 소스에 연결되는 방식을 표준화합니다. MCP 서버를 사용하면 도구, 리소스, 프롬프트를 사용하여 백엔드 서비스에서 작업을 실행하고 업데이트된 데이터를 가져올 수 있습니다.
로컬 MCP 서버는 일반적으로 로컬 머신에서 실행되며 동일한 기기의 서비스 간 통신을 위해 표준 입력 및 출력 스트림 (stdio)을 사용합니다. 로컬 MCP 서버는 로컬 서비스와 통신하는 경우가 많지만 로컬 머신에서 실행되지 않는 서비스나 데이터 소스를 호출하는 데도 사용할 수 있습니다. 예를 들어 에이전트의 머신이나 가상 머신에서 실행되는 로컬 MCP 서버는 Cloud Storage API를 호출할 수 있습니다.
다음과 같은 이유로 Cloud Storage 로컬 MCP 서버를 사용할 수 있습니다.
- 맞춤 도구를 빌드해야 합니다.
- 프로젝트에서 MCP 서버를 사용 설정하거나 사용할 권한이 없습니다.
로컬 MCP 서버 사용 방법에 대한 자세한 내용은 이 GitHub 저장소를 참고하세요.
원격 MCP 서버는 서비스의 인프라에서 실행되며 AI MCP 클라이언트와 MCP 서버 간의 통신을 위해 AI 애플리케이션에 HTTP 엔드포인트를 제공합니다. Cloud Storage MCP 서버는 HTTP 엔드포인트가 있는 원격 MCP 서버입니다. MCP 아키텍처에 대한 자세한 내용은 MCP 아키텍처를 참고하세요.
이 문서에서는 Cloud Storage MCP 서버를 사용하여 Gemini CLI, Gemini Code Assist의 에이전트 모드, Claude Code 또는 개발 중인 AI 애플리케이션과 같은 AI 애플리케이션에서 Cloud Storage에 연결하는 방법을 설명합니다.
Cloud Storage MCP 서버를 사용하면 AI 애플리케이션과 에이전트를 사용하여 다음 작업을 수행할 수 있습니다.
- 버킷을 만듭니다.
- 객체 메타데이터를 가져옵니다.
- 객체 데이터를 읽고 씁니다.
- 버킷 및 객체를 나열합니다.
Google 및 Google Cloud 원격 MCP 서버
Google 및 Google Cloud 원격 MCP 서버에는 다음과 같은 기능과 이점이 있습니다.- 간소화된 중앙 집중식 검색
- 관리형 전역 또는 리전 HTTP 엔드포인트
- 세부적인 승인
- Model Armor 보호를 사용한 선택적 프롬프트 및 응답 보안
- 중앙 집중식 감사 로깅
다른 MCP 서버에 대한 정보와 Google Cloud MCP 서버에 사용할 수 있는 보안 및 거버넌스 제어에 대한 정보는 Google Cloud MCP 서버 개요를 참고하세요.
제한사항
Cloud Storage MCP 서버에는 다음과 같은 제한사항이 있습니다.
파일 형식: 콘텐츠 분석을 위한 읽기 작업은 텍스트, PDF, 이미지 파일로 제한되며 쓰기 작업은 텍스트 파일로 제한됩니다.
파일 크기: 읽기 및 쓰기 작업의 경우 최대 8MiB
엔드포인트: 전역 엔드포인트만 해당합니다.
Cloud Storage MCP 서버에 적용되는 할당량 및 한도에 대한 자세한 내용은 할당량 및 한도를 참고하세요.
시작하기 전에
- Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Google Cloud CLI를 설치합니다.
-
외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.
-
gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다.
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Google Cloud CLI를 설치합니다.
-
외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.
-
gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다.
gcloud init
필요한 역할
Cloud Storage MCP 서버를 사용하는 데 필요한 권한을 얻으려면 관리자에게 Cloud Storage MCP 서버를 사용할 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
MCP 도구 호출:
MCP 도구 사용자 (
roles/mcp.toolUser) -
객체 나열, 객체 및 콘텐츠 읽기 또는 객체의 메타데이터 가져오기:
스토리지 객체 뷰어 (
roles/storage.objectViewer) -
객체에 콘텐츠 쓰기:
스토리지 객체 생성자 (
roles/storage.objectCreator) -
버킷 생성 및 버킷 나열:
스토리지 관리자 (
roles/storage.admin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 Cloud Storage MCP 서버를 사용하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
Cloud Storage MCP 서버를 사용하려면 다음 권한이 필요합니다.
-
MCP 도구 호출:
mcp.tools.call -
객체 나열:
storage.objects.list -
객체 및 콘텐츠를 읽거나 객체의 메타데이터를 가져옵니다.
storage.objects.get -
객체에 콘텐츠 쓰기:
storage.objects.create -
버킷 나열:
storage.buckets.list -
버킷 만들기:
storage.buckets.create
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
인증 및 승인
Cloud Storage 원격 MCP 서버는 인증 및 승인에 Identity and Access Management (IAM)와 함께 OAuth 2.0 프로토콜을 사용합니다. 모든 Google Cloud ID는 MCP 서버에 대한 인증에 지원됩니다.
모든 요청에 Identity and Access Management (IAM) 승인이 필요하므로 Cloud Storage MCP 서버는 인증을 위한 API 키를 허용하지 않습니다.
리소스에 대한 액세스를 제어하고 모니터링할 수 있도록 MCP 도구를 사용하는 상담사를 위한 별도의 ID를 만드는 것이 좋습니다. 인증에 대한 자세한 내용은 MCP 서버에 인증을 참고하세요.
Cloud Storage MCP OAuth 범위
OAuth 2.0은 범위와 사용자 인증 정보를 사용하여 인증된 주 구성원이 리소스에 대해 특정 작업을 수행할 권한이 있는지 확인합니다. Google의 OAuth 2.0 범위에 대한 자세한 내용은 OAuth 2.0을 사용하여 Google API에 액세스하기를 참고하세요.
Cloud Storage에는 다음과 같은 MCP 도구 OAuth 범위가 있습니다.
| gcloud CLI의 범위 URI | 설명 |
|---|---|
https://www.googleapis.com/auth/storage.read-only |
데이터 읽기 액세스 권한만 허용합니다. |
https://www.googleapis.com/auth/storage.read-write |
데이터를 읽고 수정할 수 있는 액세스 권한을 허용합니다. |
도구 호출 중에 액세스하는 리소스에 추가 범위가 필요할 수 있습니다. Cloud Storage에 필요한 범위 목록을 보려면 Cloud Storage API를 참고하세요. 에이전트가 워크플로의 일부로 BigQuery 또는 Storage Insights와 같은 다른 Google Cloud 서비스와 상호작용하는 경우 Cloud Storage 범위 외에도 해당 서비스에 적합한 OAuth 범위가 필요합니다.
Cloud Storage MCP 서버를 사용하도록 MCP 클라이언트 구성
Claude 또는 Gemini CLI와 같은 AI 애플리케이션과 에이전트는 단일 MCP 서버에 연결되는 MCP 클라이언트를 인스턴스화할 수 있습니다. AI 애플리케이션에는 서로 다른 MCP 서버에 연결되는 여러 클라이언트가 있을 수 있습니다. 원격 MCP 서버에 연결하려면 MCP 클라이언트가 원격 MCP 서버의 URL을 알아야 합니다.
AI 애플리케이션에서 원격 MCP 서버에 연결하는 방법을 찾습니다. 이름, URL 등 서버에 관한 세부정보를 입력하라는 메시지가 표시됩니다.
Cloud Storage MCP 서버의 경우 필요에 따라 다음을 입력합니다.
- 서버 이름: Cloud Storage MCP 서버
- 서버 URL 또는 엔드포인트:
https://storage.googleapis.com/mcp - 전송: HTTP
- 인증 세부정보: 인증 방법에 따라 Google Cloud 사용자 인증 정보, OAuth 클라이언트 ID 및 보안 비밀번호 또는 에이전트 ID 및 사용자 인증 정보를 입력할 수 있습니다. 인증에 대한 자세한 내용은 MCP 서버에 인증을 참고하세요.
- OAuth 범위: Cloud Storage MCP 서버에 연결할 때 사용할 이 문서에 나열된 범위 중 하나입니다.
MCP 서버 설정 및 연결에 관한 호스트별 안내는 다음을 참고하세요.
일반적인 안내는 다음 리소스를 참고하세요.
사용 가능한 도구
Cloud Storage MCP 서버에서 사용할 수 있는 MCP 도구의 세부정보와 설명을 보려면 Cloud Storage MCP 참조를 참고하세요. 스키마와 예시는 Cloud Storage MCP GitHub 저장소를 참고하세요.
목록 도구
MCP 인스펙터를 사용하여 도구를 나열하거나 tools/list HTTP 요청을 Cloud Storage MCP 서버로 직접 보냅니다. tools/list 메서드는 인증이 필요하지 않습니다.
POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list"
}
도구 호출
특정 도구를 호출하려면 tools/call 메서드를 사용하고 params 객체에 도구 이름과 필요한 인수를 제공합니다. 다음 예는 my-project 프로젝트에 대해 list_buckets 도구를 호출하는 방법을 보여줍니다.
POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
Authorization: Bearer OAUTH2_TOKEN
{
"jsonrpc": "2.0",
"method": "tools/call",
"id": "123e4567-e89b-12d3-a456-426614174000",
"params": {
"name": "list_buckets",
"arguments": {
"projectId": "my-project"
}
}
}
사용 사례
다음은 Cloud Storage MCP 서버의 사용 사례 예시입니다.
리테일 콘텐츠 및 캠페인 관리
Cloud Storage MCP 서버의 샘플 사용 사례는 소매업체의 마케팅 에이전트가 제품 등록정보와 프로모션 캠페인을 만들고 관리하도록 지원하는 것입니다. Cloud Storage MCP 서버를 사용하면 자연어를 사용하여 객체를 나열, 읽기, 쓰기하고 제품 및 캠페인 애셋을 저장할 버킷을 만들 수 있습니다.
샘플 프롬프트:
'product-images 버킷의 애셋을 사용하여 SKU-123의 제품 등록정보를 만든 다음 campaign-q3-assets라는 새 버킷을 만들고 배너 이미지를 생성하여 저장해 줘.'
워크플로: 제품 등록정보 및 캠페인 생성 워크플로는 다음과 같습니다.
- 애셋 나열: 에이전트는
list_objects를 사용하여 전용 Cloud Storage 버킷에서 새 제품의 모든 이미지를 찾습니다. - 콘텐츠 가져오기: 에이전트가
read_object를 사용하여 제품 애셋(최대 8MiB)에 액세스하고 다른 도구를 사용하여 제품 정보 관리 (PIM) 시스템에서 제품 설명을 가져옵니다. - 등록정보 생성: 에이전트가 마케팅 문구, 이미지 및 동영상 링크를 포함한 제품 등록정보 초안을 생성합니다.
- 캠페인 버킷 만들기: 에이전트가
create_bucket를 사용하여 캠페인 애셋의 새 버킷을 만듭니다. - 캠페인 애셋 저장: 에이전트가 캠페인 애셋 (예: 배너)을 생성하고
write_text를 사용하여 새 '캠페인' 버킷에 저장합니다. 각 애셋의 크기는 8MiB 미만이어야 합니다.
재무 데이터 분석
Cloud Storage MCP 서버의 샘플 사용 사례는 포트폴리오 관리자가 재무 보고서와 고객과의 트레이더 통화의 오디오 녹음 파일에서 유용한 정보를 얻을 수 있도록 지원하는 것입니다. Cloud Storage MCP 서버는 에이전트가 관련 문서를 식별하고 다운로드하여 분석을 위해 LLM에 전달하도록 지원합니다.
샘플 프롬프트:
ExampleCorp의 가장 최근 실적 발표에서 얻을 수 있는 핵심 정보는 무엇이며, 지난 3개의 재무 보고서의 분위기와 비교하면 어떤가요?
워크플로: 재무 문서를 분석하는 워크플로는 다음과 같을 수 있습니다.
- 문서 식별: 상담사는 사용자의 질문에서 키워드를 추출하여 관련 버킷 또는 접두사(예:
earnings-calls/ExampleCorp/또는financial-reports/ExampleCorp/)를 식별하고list_objects를 사용하여 관련 오디오 스크립트와 재무 보고서를 찾습니다. - 콘텐츠 다운로드: 에이전트가
read_text또는read_object를 사용하여 식별된 파일의 콘텐츠를 다운로드합니다(파일당 최대 8MiB). - 분석 및 응답: 에이전트는 콘텐츠를 LLM에 전달하여 결과를 요약하고, 감정을 비교하고, 사용자의 질문에 대한 답변을 합성합니다. 필요한 경우 BigQuery와 같은 다른 도구를 사용하여 더 심층적인 분석을 할 수 있습니다.
공급업체 위험 평가
Cloud Storage MCP 서버의 샘플 사용 사례는 은행의 위험 관리팀을 위해 초기 공급업체 위험 평가 프로세스를 자동화하는 데 도움이 되는 것입니다. Cloud Storage MCP 서버를 사용하면 AI 에이전트가 공급업체가 제출한 문서를 가져와 자연어를 사용하여 잠재적 위험을 식별할 수 있습니다.
샘플 프롬프트:
'vendor-docs 버킷에서 최신 보안 설문지와 규정 준수 인증서를 검토하여 'Example Inc.' 공급업체를 평가해 줘. 정책에 따라 잠재적 위험을 요약하고 보고서를 저장해 줘.
워크플로: 공급업체 위험 평가를 위한 워크플로는 다음과 같을 수 있습니다.
- 문서 찾기: 에이전트는
list_objects도구를 사용하여 공급업체 문서 전용 Cloud Storage 버킷에서 공급업체의 폴더를 찾습니다. - 문서 다운로드: 상담사는
read_object를 사용하여 보안 설문지, 규정 준수 인증서, 재무제표 등 관련 문서를 파일당 최대 8MiB까지 다운로드합니다. - 문서 분석: 에이전트는 이러한 문서의 콘텐츠를 분석합니다. 텍스트를 추출하거나 은행의 위험 정책에 따라 위험 신호 또는 누락된 정보를 찾기 위해 다른 도구를 사용할 수도 있습니다.
- 보고서 컴파일 및 저장: 에이전트가 발견한 사항의 요약 보고서를 컴파일하고
write_text를 사용하여 위험 평가자가 검토할 수 있도록 Cloud Storage의 공급업체 폴더에 저장합니다.
선택적 보안 및 안전 구성
MCP는 MCP 도구로 실행할 수 있는 다양한 작업으로 인해 새로운 보안 위험과 고려사항을 도입합니다. 이러한 위험을 최소화하고 관리하기 위해Google Cloud 에서는 조직 또는 프로젝트에서 MCP 도구 사용을 제어할 수 있는 기본 설정과 맞춤설정 가능한 정책을 제공합니다. Google Cloud
MCP 보안 및 거버넌스에 관한 자세한 내용은 AI 보안 및 안전을 참고하세요.
Model Armor 사용
Model Armor는 AI 애플리케이션의 보안과 안전을 강화하도록 설계된Google Cloud 서비스입니다. LLM 프롬프트와 대답을 선제적으로 검사하여 다양한 위험으로부터 보호하고 책임감 있는 AI 개발 관행을 지원합니다. 클라우드 환경에 AI를 배포하든 외부 클라우드 제공업체에 배포하든 Model Armor를 사용하면 악의적인 입력을 방지하고, 콘텐츠 안전을 검증하고, 민감한 정보를 보호하고, 규정 준수를 지원하고, 다양한 AI 환경 전반에서 AI 안전 및 보안 정책을 일관되게 적용할 수 있습니다.
Model Armor는 특정 지역 위치에서만 사용할 수 있습니다. 프로젝트에 Model Armor가 사용 설정되어 있고 지원되지 않는 지역에서 해당 프로젝트를 호출하는 경우 Model Armor가 호출되지 않으며 호출이 Model Armor의 검사 없이 전송됩니다. 자세한 내용은 Model Armor 위치를 참고하세요.
Model Armor 사용 설정
Model Armor를 사용하려면 먼저 Model Armor API를 사용 설정해야 합니다.
콘솔
Model Armor API를 사용 설정합니다.
API 사용 설정에 필요한 역할
API를 사용 설정하려면
serviceusage.services.enable권한이 포함된 서비스 사용량 관리자 IAM 역할(roles/serviceusage.serviceUsageAdmin)이 필요합니다. 역할 부여 방법 알아보기Model Armor를 활성화할 프로젝트를 선택합니다.
gcloud
시작하기 전에 Model Armor API와 함께 Google Cloud CLI를 사용하여 다음 단계를 따르세요.
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
-
다음 명령어를 실행하여 Model Armor 서비스의 API 엔드포인트를 설정합니다.
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
LOCATION을 Model Armor를 사용하려는 리전으로 바꿉니다.
Google 및 Google Cloud 원격 MCP 서버 보호 구성
MCP 도구 호출과 응답을 보호하려면 Model Armor 최소 기준 설정을 사용하세요. 최소 기준 설정은 프로젝트 전체에 적용되는 최소 보안 필터를 정의합니다. 이 구성은 프로젝트 내의 모든 MCP 도구 호출 및 응답에 일관된 필터 집합을 적용합니다.
MCP 삭제가 사용 설정된 Model Armor 최소 기준 설정을 설정합니다. 자세한 내용은 Model Armor 최소 기준 설정 구성을 참고하세요.
다음 명령어 예를 참고하세요.
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'
PROJECT_ID를 Google Cloud 프로젝트 ID로 바꿉니다.
다음 설정을 참고하세요.
INSPECT_AND_BLOCK: Google MCP 서버의 콘텐츠를 검사하고 필터와 일치하는 프롬프트와 응답을 차단하는 적용 유형입니다.ENABLED: 필터 또는 시행을 사용 설정하는 설정입니다.MEDIUM_AND_ABOVE: 책임감 있는 AI - 위험 필터 설정의 신뢰도 수준입니다. 이 설정을 수정할 수 있지만 값이 낮으면 거짓양성이 더 많이 발생할 수 있습니다. 자세한 내용은 Model Armor 신뢰도 수준을 참고하세요.
Model Armor로 MCP 트래픽 스캔 사용 중지
Model Armor로 Google MCP 트래픽 스캔을 중지하려면 다음 명령어를 실행하세요.
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--remove-integrated-services=GOOGLE_MCP_SERVER
PROJECT_ID를 Google Cloud 프로젝트 ID로 바꿉니다.
Model Armor는 프로젝트에서 MCP 트래픽을 검사하지 않습니다.
IAM 거부 정책으로 MCP 사용 제어
Identity and Access Management (IAM) 거부 정책을 사용하면 Google Cloud 원격 MCP 서버를 보호할 수 있습니다. 원치 않는 MCP 도구 액세스를 차단하도록 이러한 정책을 구성합니다.
예를 들어 다음을 기준으로 액세스를 거부하거나 허용할 수 있습니다.
- 주 구성원
- 읽기 전용과 같은 도구 속성
- 애플리케이션의 OAuth 클라이언트 ID
자세한 내용은 Identity and Access Management로 MCP 사용 제어를 참고하세요.
다음 단계
- Cloud Storage MCP 참고 문서를 읽어보세요.
- Google Cloud MCP 서버에 대해 자세히 알아보세요.