使用 Cloud Storage MCP 伺服器

Model Context Protocol (MCP) 可將大型語言模型 (LLM) 和 AI 應用程式/代理程式與外部資料來源的連線方式標準化。MCP 伺服器可讓您使用工具、資源和提示,從後端服務採取行動及取得更新資料。

本機 MCP 伺服器通常在本機執行,並使用標準輸入和輸出串流 (stdio),在同一部裝置上的服務之間進行通訊。本機 MCP 伺服器通常會與本機服務通訊,但也可以用來呼叫未在本機執行的服務或資料來源。舉例來說,在代理程式的電腦或虛擬機器上執行的本機 MCP 伺服器,可以呼叫 Cloud Storage API。

您可能會基於下列原因使用 Cloud Storage 本機 MCP 伺服器:

  • 您需要建構自訂工具。
  • 您沒有權限在專案中啟用或使用 MCP 伺服器。

如要進一步瞭解如何使用本機 MCP 伺服器,請造訪這個 GitHub 存放區

遠端 MCP 伺服器會在服務的基礎架構上執行,並為 AI 應用程式提供 HTTP 端點,供 AI MCP 用戶端與 MCP 伺服器通訊。Cloud Storage MCP 伺服器是具有 HTTP 端點的遠端 MCP 伺服器。如要進一步瞭解 MCP 架構,請參閱 MCP 架構

本文說明如何使用 Cloud Storage MCP 伺服器,從 Gemini CLI、Gemini Code Assist 的代理程式模式、Claude Code 或您開發的 AI 應用程式等 AI 應用程式連線至 Cloud Storage。

有了 Cloud Storage MCP 伺服器,您可以使用 AI 應用程式和代理程式執行下列工作:

  • 建立值區。
  • 擷取物件中繼資料。
  • 讀取及寫入物件資料。
  • 列出值區和物件。
啟用 Cloud Storage API 時,系統會啟用 Cloud Storage 遠端 MCP 伺服器。如要停用 Cloud Storage MCP 伺服器,請停用 Cloud Storage API。如要瞭解如何停用 Cloud Storage API,請參閱「停用服務」。

Google 和 Google Cloud 遠端 MCP 伺服器

Google 和 Google Cloud 遠端 MCP 伺服器具備下列功能和優點:

  • 簡化集中式探索作業
  • 代管全域或區域 HTTP 端點
  • 精細授權
  • (選用) 使用 Model Armor 保護提示詞和回覆
  • 集中式稽核記錄

如要瞭解其他 MCP 伺服器,以及 Google Cloud MCP 伺服器適用的安全性與控管措施,請參閱 Google Cloud MCP 伺服器總覽

限制

Cloud Storage MCP 伺服器有下列限制:

  • 檔案類型:內容分析的讀取作業僅限文字、PDF 和圖片檔;寫入作業僅限文字檔。

  • 檔案大小:讀取和寫入作業的大小上限為 8 MiB。

  • 端點:僅限全域端點。

如要進一步瞭解 Cloud Storage MCP 伺服器的配額和限制,請參閱配額和限制

事前準備

  1. 登入 Google Cloud 帳戶。如果您是 Google Cloud新手,歡迎 建立帳戶,親自評估產品在實際工作環境中的成效。新客戶還能獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. 安裝 Google Cloud CLI。

  5. 若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI

  6. 執行下列指令,初始化 gcloud CLI:

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. 安裝 Google Cloud CLI。

  10. 若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI

  11. 執行下列指令,初始化 gcloud CLI:

    gcloud init

必要的角色

如要取得使用 Cloud Storage MCP 伺服器所需的權限,請要求管理員在您要使用 Cloud Storage MCP 伺服器的專案中,授予下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

這些預先定義的角色具備使用 Cloud Storage MCP 伺服器所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:

所需權限

如要使用 Cloud Storage MCP 伺服器,必須具備下列權限:

  • 呼叫 MCP 工具: mcp.tools.call
  • 列出物件: storage.objects.list
  • 讀取物件及其內容,或取得物件的中繼資料: storage.objects.get
  • 將內容寫入物件: storage.objects.create
  • 列出 bucket: storage.buckets.list
  • 建立 bucket: storage.buckets.create

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

驗證及授權

Cloud Storage 遠端 MCP 伺服器會使用 OAuth 2.0 通訊協定搭配 Identity and Access Management (IAM) 進行驗證和授權。所有Google Cloud 身分皆支援 MCP 伺服器的驗證。

Cloud Storage MCP 伺服器不接受 API 金鑰進行驗證,因為所有要求都需要 Identity and Access Management (IAM) 授權。

建議您為使用 MCP 工具的代理商建立個別身分,以便控管及監控資源存取權。如要進一步瞭解驗證,請參閱「向 MCP 伺服器進行驗證」。

Cloud Storage MCP OAuth 範圍

OAuth 2.0 會使用範圍和憑證,判斷經過驗證的主體是否獲得授權,可對資源執行特定動作。如要進一步瞭解 Google 的 OAuth 2.0 範圍,請參閱「使用 OAuth 2.0 存取 Google API」。

Cloud Storage 具有下列 MCP 工具 OAuth 範圍:

gcloud CLI 的範圍 URI 說明
https://www.googleapis.com/auth/storage.read-only 僅允許讀取資料的權限。
https://www.googleapis.com/auth/storage.read-write 有權讀取及修改資料。

在工具呼叫期間存取的資源可能需要其他範圍。如要查看 Cloud Storage 必要的範圍清單,請參閱「Cloud Storage API」。如果代理程式在工作流程中與其他服務 (例如 BigQuery 或儲存空間分析) 互動,除了 Cloud Storage 範圍外,還需要這些服務的適當 OAuth 範圍。 Google Cloud

設定 MCP 用戶端,以使用 Cloud Storage MCP 伺服器

AI 應用程式和代理 (例如 Claude 或 Gemini CLI) 可以例項化 MCP 用戶端,連線至單一 MCP 伺服器。AI 應用程式可有多個連線至不同 MCP 伺服器的用戶端。如要連線至遠端 MCP 伺服器,MCP 用戶端必須知道遠端 MCP 伺服器的網址。

在 AI 應用程式中,尋找連線至遠端 MCP 伺服器的方法。系統會提示你輸入伺服器的詳細資料,例如名稱和網址。

如果是 Cloud Storage MCP 伺服器,請視需要輸入下列內容:

  • 伺服器名稱:Cloud Storage MCP 伺服器
  • 伺服器網址端點https://storage.googleapis.com/mcp
  • 傳輸:HTTP
  • 驗證詳細資料:視驗證方式而定,您可以輸入 Google Cloud 憑證、OAuth 用戶端 ID 和密鑰,或是代理程式身分和憑證。如要進一步瞭解驗證,請參閱「向 MCP 伺服器進行驗證」。
  • OAuth 範圍本文件列出的範圍之一,您要連線至 Cloud Storage MCP 伺服器時使用。

如需設定及連線至 MCP 伺服器的特定主機指南,請參閱下列內容:

如需更多一般指引,請參閱下列資源:

可用的工具

如要查看 Cloud Storage MCP 伺服器可用的 MCP 工具詳細資料和說明,請參閱 Cloud Storage MCP 參考資料。如需結構定義和範例,請參閱 Cloud Storage MCP GitHub 存放區

列出工具

使用 MCP 檢查器列出工具,或直接將 tools/list HTTP 要求傳送至 Cloud Storage MCP 伺服器。tools/list 方法不需要驗證。

POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list"
}

呼叫工具

如要呼叫特定工具,請使用 tools/call 方法,並在 params 物件中提供工具名稱和必要引數。以下範例說明如何為專案 my-project 呼叫 list_buckets 工具:

POST /mcp HTTP/1.1
Host: storage.googleapis.com
Content-Type: application/json
Authorization: Bearer OAUTH2_TOKEN

{
  "jsonrpc": "2.0",
  "method": "tools/call",
  "id": "123e4567-e89b-12d3-a456-426614174000",
  "params": {
    "name": "list_buckets",
    "arguments": {
      "projectId": "my-project"
    }
  }
}

應用實例

以下是 Cloud Storage MCP 伺服器的應用實例。

管理零售內容和廣告活動

Cloud Storage MCP 伺服器的範例用途是協助零售商的行銷代理建立及管理產品資訊和宣傳活動。您可以使用自然語言,透過 Cloud Storage MCP 伺服器列出、讀取及寫入物件,並建立值區來儲存產品和廣告活動資產。

提示範例

「使用 product-images bucket 中的素材資源,為 SKU-123 建立產品資訊,然後建立名為 campaign-q3-assets 的新 bucket,並在其中生成及儲存橫幅圖片。」

工作流程:建立產品資訊和廣告活動的工作流程可能如下:

  • 列出資產:代理程式會使用 list_objects,在專屬的 Cloud Storage bucket 中找出新產品的所有圖片。
  • 擷取內容:代理程式使用 read_object 存取產品資產 (大小上限為 8 MiB),並使用其他工具從產品資訊管理 (PIM) 系統擷取產品說明。
  • 生成產品資訊:AI 代理會生成產品資訊草稿,包括行銷文案和圖片/影片連結。
  • 建立廣告活動 bucket:代理程式會使用 create_bucket 為廣告活動素材資源建立新的 bucket。
  • 儲存廣告活動素材資源:代理程式會產生廣告活動素材資源 (例如橫幅),並使用 write_text 將素材資源儲存到新的「廣告活動」儲存區。每個素材資源的大小不得超過 8 MiB。

分析財務資料

Cloud Storage MCP 伺服器的範例用途是協助投資組合管理員,從財務報表和交易員與客戶通話的錄音檔中取得洞察資料。Cloud Storage MCP 伺服器可協助代理程式識別及下載相關文件,並將文件傳送至 LLM 進行分析。

提示範例

請說明 ExampleCorp 最近一次的法人說明會重點,並與過去三份財務報表的情緒進行比較。

工作流程:分析財務文件的流程可能如下所示:

  • 找出文件:代理程式會從使用者的問題中擷取關鍵字,找出相關的 bucket 或前置字元,例如 earnings-calls/ExampleCorp/financial-reports/ExampleCorp/,並使用 list_objects 尋找相關的音訊轉錄稿和財務報表。
  • 下載內容:代理程式會使用 read_textread_object 下載所識別檔案的內容,每個檔案最多 8 MiB。
  • 分析及回覆:代理會將內容傳送至 LLM,以便摘要說明調查結果、比較情緒,並綜合出使用者問題的答案。如有需要,您可以使用 BigQuery 等其他工具進行深入分析。

評估供應商風險

Cloud Storage MCP 伺服器的範例用途,是協助銀行風險管理團隊自動執行初步的供應商風險評估程序。AI 代理可透過 Cloud Storage MCP 伺服器,擷取及分析供應商提交的文件,並使用自然語言找出潛在風險。

提示範例

「請評估供應商『Example Inc.』,方法是查看 vendor-docs bucket 中最新的安全問卷和法規遵循認證。根據我們的政策,總結任何潛在風險,然後儲存報告。

工作流程:評估供應商風險的工作流程可能如下:

  • 尋找文件:代理程式會使用 list_objects 工具,在專門存放供應商文件的 Cloud Storage 值區中,尋找供應商的資料夾。
  • 下載文件:代理程式會使用 read_object 下載所有相關文件,例如安全問卷、法規遵循認證和財務報表,每個檔案大小上限為 8 MiB。
  • 分析文件:代理程式會分析這些文件的內容,可能使用其他工具擷取文字,並根據銀行的風險政策尋找警訊或缺少的資訊。
  • 編譯及儲存報告:代理程式會編譯調查結果的摘要報告,並使用 write_text 將報告儲存至 Cloud Storage 中供應商的資料夾,供風險評估人員審查。

選用的安全防護設定

由於 MCP 工具可執行各種動作,因此會帶來新的安全風險和考量。為盡量降低及管理這些風險,Google Cloud 提供預設設定和可自訂的政策,方便您控管機構或專案中 MCP 工具的使用情形。 Google Cloud

如要進一步瞭解 MCP 安全性和控管措施,請參閱這篇文章

使用 Model Armor

Model Armor 是一項Google Cloud 服務,旨在提高 AI 應用程式的安全性。這項功能會主動篩選 LLM 提示詞和回覆,協助防範各種風險,並支援負責任的 AI 做法。無論您是在雲端環境或外部雲端供應商部署 AI,Model Armor 都能協助您防範惡意輸入、驗證內容安全性、保護敏感資料、支援法規遵循,並在多元的 AI 環境中,持續強制執行 AI 安全防護政策。

Model Armor 僅適用於特定區域位置。如果專案已啟用 Model Armor,但對該專案的呼叫來自不支援的區域,系統就不會呼叫 Model Armor,而是直接傳送呼叫,不會經過 Model Armor 掃描。詳情請參閱Model Armor 位置

啟用 Model Armor

您必須先啟用 Model Armor API,才能使用 Model Armor。

控制台

  1. 啟用 Model Armor API。

    啟用 API 時所需的角色

    如要啟用 API,您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色

    啟用 API

  2. 選取要啟用 Model Armor 的專案。

gcloud

開始前,請使用 Google Cloud CLI 搭配 Model Armor API 執行下列步驟:

  1. 在 Google Cloud 控制台中啟用 Cloud Shell。

    啟用 Cloud Shell

    Google Cloud 主控台底部會開啟一個 Cloud Shell 工作階段,並顯示指令列提示。Cloud Shell 是已安裝 Google Cloud CLI 的殼層環境,並已針對您目前的專案設定好相關值。工作階段可能要幾秒鐘的時間才能初始化。

  2. 執行下列指令,為 Model Armor 服務設定 API 端點。

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    LOCATION 替換為要使用 Model Armor 的區域。

設定 Google 和 Google Cloud 遠端 MCP 伺服器的防護功能

如要保護 MCP 工具呼叫和回應,可以使用 Model Armor 底限設定。底限設定會定義專案適用的最低安全性篩選條件。這項設定會對專案中的所有 MCP 工具呼叫和回應套用一致的篩選器。

設定啟用 MCP 消毒功能的 Model Armor 底限設定。詳情請參閱「設定 Model Armor 底價」。

請參閱下列指令範例:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

PROJECT_ID 替換為 Google Cloud 專案 ID。

請注意下列設定:

  • INSPECT_AND_BLOCK:強制執行類型,可檢查 Google MCP 伺服器的內容,並封鎖符合篩選條件的提示和回覆。
  • ENABLED:啟用篩選器或強制執行的設定。
  • MEDIUM_AND_ABOVE:負責任的 AI 技術 - 危險篩選器設定的信心水準。您可以修改這項設定,但較低的值可能會導致更多誤判。詳情請參閱「Model Armor 信心水準」。

使用 Model Armor 停用掃描 MCP 流量

如要停止使用 Model Armor 掃描 Google MCP 流量,請執行下列指令:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID 替換為 Google Cloud 專案 ID。

Model Armor 不會掃描專案中的 MCP 流量。

使用 IAM 拒絕政策控管 MCP 使用情形

身分與存取權管理 (IAM) 拒絕政策可協助您保護遠端 MCP 伺服器。 Google Cloud 設定這些政策,封鎖不必要的 MCP 工具存取權。

舉例來說,您可以根據下列條件拒絕或允許存取:

  • 主體
  • 工具屬性 (例如唯讀)
  • 應用程式的 OAuth 用戶端 ID

詳情請參閱「使用 Identity and Access Management 控制 MCP 使用情形」。

後續步驟