Remote-MCP-Server von Resource Manager verwenden

In diesem Dokument wird beschrieben, wie Sie den Remote-MCP-Server (Model Context Protocol) von Resource Manager verwenden, um eine Verbindung zu KI-Anwendungen wie der Gemini CLI, ChatGPT, Claude und benutzerdefinierten Anwendungen herzustellen, die Sie entwickeln. Mit dem Remote-MCP-Server von Resource Manager können Sie nach allen Google Cloud Projekten suchen und diese identifizieren, auf die Sie die erforderlichen Berechtigungen haben. So haben Sie die richtigen Kennungen, bevor Sie versuchen, spezifischere Ressourcenkonfigurationen vorzunehmen.

Das Tool gibt eine strukturierte Liste mit der Projekt-ID, der Projektnummer und dem Lebenszyklusstatus des Projekts zurück. Der Remote-MCP-Server für Resource Manager wird aktiviert, wenn Sie die Resource Manager API aktivieren.

Das Model Context Protocol (MCP) standardisiert, wie Large Language Models (LLMs) und KI-Anwendungen oder ‑Agents eine Verbindung zu externen Datenquellen herstellen. Mit MCP-Servern können Sie die Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten vom Backend-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server
werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standard-Ein- und Ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.
Remote-MCP-Server
Wird auf der Infrastruktur des Dienstes ausgeführt und bietet einen HTTP-Endpunkt für KI-Anwendungen für die Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Google- und Google Cloud Remote-MCP-Server

Google- und Google Cloud Remote-MCP-Server bieten folgende Funktionen und Vorteile:

  • Einfache, zentrale Suche
  • Verwaltete globale oder regionale HTTP-Endpunkte
  • Detaillierte Autorisierung
  • Optionale Sicherheit für Prompts und Antworten mit Model Armor-Schutz
  • Zentralisiertes Audit-Logging

Informationen zu anderen MCP-Servern sowie zu Sicherheits- und Governance-Kontrollen, die für Google Cloud-MCP-Server verfügbar sind, finden Sie unter Google Cloud-MCP-Server – Übersicht.

Hinweis

    Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

    gcloud init

    Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

    gcloud init

    Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Authentifizierung und Autorisierung

Der Remote-MCP-Server von Resource Manager verwendet das OAuth 2.0-Protokoll mit Identity and Access Management (IAM) für die Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Resource Manager-MCP-Server verwenden das OAuth 2.0-Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Resource Manager MCP-Server akzeptiert keine API-Schlüssel für die Authentifizierung.

Wir empfehlen, eine separate Identität für Kundenservicemitarbeiter zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

OAuth-Bereiche für Resource Manager MCP

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifiziertes Hauptkonto autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Resource Manager hat die folgenden OAuth-Bereiche für MCP-Tools:

Bereichs-URI für die gcloud CLI Beschreibung
https://www.googleapis.com/auth/cloudresourcemanager.read-only Gewährt nur Lesezugriff auf Daten.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Ermöglicht den Zugriff zum Lesen und Ändern von Daten.

Möglicherweise sind zusätzliche Bereiche für die Ressourcen erforderlich, auf die während eines Tool-Aufrufs zugegriffen wird. Eine Liste der für Resource Manager erforderlichen Bereiche finden Sie unter Resource Manager API.

MCP-Client für die Verwendung des Resource Manager-MCP-Servers konfigurieren

KI-Anwendungen und ‑Agents wie Claude oder Antigravity können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die sich mit verschiedenen MCP-Servern verbinden. Wenn Ihre Anwendung nicht in der clientspezifischen Anleitung aufgeführt ist, können Sie die folgenden Informationen verwenden, um eine Verbindung von den meisten Anwendungen aus herzustellen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, einen Remote-MCP-Server hinzuzufügen oder eine Verbindung zu ihm herzustellen. Geben Sie für den Resource Manager-MCP-Server die folgenden Informationen nach Bedarf ein:

  • Servername: Resource Manager-MCP-Server
  • Server-URL oder Endpunkt: https://cloudresourcemanager.googleapis.com/mcp
  • Transport: HTTP
  • Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Google Cloud Anmeldedaten, Ihre OAuth-Client-ID und Ihren OAuth-Clientschlüssel oder eine Agent-Identität und Anmeldedaten eingeben. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.
  • OAuth-Bereich: Der OAuth 2.0-Bereich, den Sie beim Herstellen einer Verbindung zum Resource Manager MCP-Server verwenden möchten.

Anwendungsspezifische Anleitungen zum Einrichten und Herstellen einer Verbindung zum MCP-Server finden Sie unter Clientspezifische Anleitungen.

Allgemeine Informationen finden Sie in den folgenden Ressourcen:

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den Resource Manager-MCP-Server finden Sie in der Resource Manager-MCP-Referenz.

Tools für Listen

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list-HTTP-Anfrage direkt an den Remote-MCP-Server des Resource Managers. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Mit dem search_projects-Tool auf dem Remote-MCP-Server des Resource Managers können KI-Agents dynamisch alle Google Cloud Projekte ermitteln und identifizieren, auf die Sie die erforderlichen Berechtigungen haben, damit sie Befehle in anderen Tools ausführen können.

Das Tool gibt eine strukturierte Liste mit der Projekt-ID, der Projektnummer und dem Lebenszyklusstatus des Projekts zurück. Im Folgenden finden Sie einige Beispielanwendungsfälle für den Resource Manager-MCP-Server:

  • Ressourceninventar und Barrierefreiheitsprüfungen: Hier werden die aktiven Cloud-Projekte, auf die Sie Zugriff haben, aufgelistet und zusammengefasst.

    Nutzer-Prompt: „List all my active Google Cloud projects.“ (Liste alle meine aktiven Google Cloud Projekte auf.)

    Agent-Aktion: Der Agent sendet eine Suchanfrage an den MCP-Server, um eine zusammengefasste Liste aller aktiven Projekte unter Ihren Anmeldedaten abzurufen und anzuzeigen.

  • Zielgerichtete übergeordnete Suchen: Rufen Sie Projekte ab, die sich in einem bestimmten Ordner oder einer bestimmten Organisation befinden, um den Umfang einer Anfrage einzugrenzen.

    Nutzer-Prompt: „Finde alle Projekte im Ordner 223.“

    Agent-Aktion: Der Agent führt einen Tool-Aufruf mit der Anfrage parent:folders/223 aus, um eine Liste der Projekte innerhalb dieser administrativen Einheit zurückzugeben.

  • Implizite Kontextauflösung: Wenn Sie Informationen zu einer Ressource anfordern, ohne eine bestimmte Projekt-ID anzugeben, kann der Agent den Kontext automatisch auflösen.

    Nutzer-Prompt: „Check the status of my 'payment-processor' service.“ (Prüfe den Status meines Dienstes „payment-processor“.)

    Agent-Aktion: Der Agent erkennt, dass für das Cloud Run-Tool ein project_id fehlt. Dazu wird das Tool search_projects verwendet, um Projekte mit payment im Namen zu finden. Es werden wahrscheinliche Projekte wie payment-prod-123 identifiziert und Sie werden um Bestätigung gebeten, bevor fortgefahren wird.

  • Umgebungsspezifische Suche: Sie können Projekte filtern, die bestimmten Umgebungen oder Organisationsstrukturen entsprechen, ohne die Chatoberfläche zu verlassen.

    Nutzer-Prompt: „Auf welche Projekte habe ich in der Staging-Umgebung Zugriff?“

    Agent-Aktion: Der Agent führt einen Suchvorgang für alle Projekte mit dem Label oder Namen staging durch, für die Sie die Berechtigung zum Ansehen haben, und gibt die spezifischen Projekt-IDs zurück.

LLM-Verhalten anpassen

Das search_projects-Tool ist vielseitig, aber LLMs wissen möglicherweise nicht immer, wann sie Ihre Google Cloud Hierarchie abfragen sollen. Wenn Sie das Tool in bestimmten Szenarien aufrufen möchten, geben Sie benutzerdefinierten Kontext in einer Markdown-Datei an, z. B. ~/.gemini/GEMINI.md oder eine AGENTS.md auf Projektebene.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

IAM-Ablehnungsrichtlinien (Identity and Access Management) helfen Ihnen, Google Cloud Remote-MCP-Server zu schützen. Konfigurieren Sie diese Richtlinien, um unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien verweigern oder zulassen:

  • Das Hauptkonto
  • Tool-Eigenschaften wie „Schreibgeschützt“
  • Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter Verwendung von MCP mit Identity and Access Management steuern.

Nächste Schritte