Usa el servidor de MCP remoto del Administrador de recursos

En este documento, se muestra cómo usar el servidor remoto del Protocolo de contexto del modelo (MCP) de Resource Manager para conectarse con aplicaciones de IA, como la CLI de Gemini, ChatGPT, Claude y las aplicaciones personalizadas que desarrolles. El servidor MCP remoto de Resource Manager te permite buscar e identificar todos los proyectos Google Cloud a los que tienes los permisos necesarios para acceder, lo que garantiza que tengas los identificadores correctos antes de intentar configuraciones de recursos más específicas.

La herramienta devuelve una lista estructurada que contiene el ID del proyecto, el número y el estado del ciclo de vida del proyecto. El servidor de MCP remoto de Resource Manager se habilita cuando habilitas la API de Resource Manager.

El estándar del Protocolo de contexto del modelo (MCP) estandariza la forma en que los modelos de lenguaje grandes (LLM) y las aplicaciones o los agentes de IA se conectan a fuentes de datos externas. Los servidores de MCP te permiten usar sus herramientas, recursos y mensajes para realizar acciones y obtener datos actualizados de su servicio de backend.

¿Cuál es la diferencia entre los servidores de MCP locales y remotos?

Servidores de MCP locales
Por lo general, se ejecutan en tu máquina local y usan los flujos de entrada y salida estándar (stdio) para la comunicación entre servicios en el mismo dispositivo.
Servidores de MCP remotos
Se ejecutan en la infraestructura del servicio y ofrecen un extremo HTTP a las aplicaciones de IA para la comunicación entre el cliente de MCP de IA y el servidor de MCP. Para obtener más información sobre la arquitectura de MCP, consulta Arquitectura de MCP.

Servidores de MCP remotos y de Google Cloud Google

Los servidores de MCP remotos de Google y Google Cloud tienen las siguientes funciones y beneficios:

  • Descubrimiento simplificado y centralizado
  • Extremos HTTP administrados globales o regionales
  • Autorización detallada
  • Seguridad opcional de instrucciones y respuestas con protección de Model Armor
  • Registro de auditoría centralizado

Para obtener información sobre otros servidores de MCP y sobre los controles de seguridad y administración disponibles para los servidores de MCP de Google Cloud, consulta la descripción general de los servidores de MCP de Google Cloud.

Antes de comenzar

    Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Instala Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando: 

    gcloud init

    Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    Instala Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando: 

    gcloud init

    Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Autenticación y autorización

El servidor MCP remoto de Resource Manager usa el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

Los servidores de MCP de Resource Manager usan el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

El servidor MCP de Resource Manager no acepta claves de API para la autenticación.

Te recomendamos que crees una identidad separada para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.

Alcances de OAuth de MCP de Resource Manager

OAuth 2.0 usa permisos y credenciales para determinar si una entidad principal autenticada está autorizada para realizar una acción específica en un recurso. Para obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Usa OAuth 2.0 para acceder a las APIs de Google.

Resource Manager tiene los siguientes permisos de OAuth de la herramienta de MCP:

URI del alcance para gcloud CLI Descripción
https://www.googleapis.com/auth/cloudresourcemanager.read-only Solo permite el acceso de lectura a los datos.
https://www.googleapis.com/auth/cloudresourcemanager.read-write Permite el acceso para leer y modificar datos.

Es posible que se requieran permisos adicionales en los recursos a los que se accede durante una llamada a la herramienta. Para ver una lista de los permisos requeridos para Resource Manager, consulta la API de Resource Manager.

Configura un cliente de MCP para que use el servidor de MCP de Resource Manager

Las aplicaciones y los agentes de IA, como Claude o Antigravity, pueden crear instancias de un cliente de MCP que se conecta a un solo servidor de MCP. Una aplicación de IA puede tener varios clientes que se conectan a diferentes servidores de MCP. Si tu aplicación no aparece en la guía específica para el cliente, puedes usar la siguiente información para conectarte desde la mayoría de las aplicaciones.

En tu aplicación de IA, busca una forma de agregar o conectarte a un servidor de MCP remoto. En el caso del servidor de MCP de Resource Manager, ingresa la siguiente información según sea necesario:

  • Nombre del servidor: Servidor de MCP de Resource Manager
  • URL del servidor o Extremo: https://cloudresourcemanager.googleapis.com/mcp
  • Transporte: HTTP
  • Detalles de autenticación: Según cómo desees autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID y secreto de cliente de OAuth, o bien la identidad y las credenciales de un agente. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.
  • Permiso de OAuth: Es el permiso de OAuth 2.0 que deseas usar cuando te conectes al servidor de MCP de Resource Manager.

Para obtener orientación específica de la aplicación sobre cómo configurar y conectarse al servidor de MCP, consulta Orientación específica del cliente.

Para obtener orientación más general, consulta los siguientes recursos:

Herramientas disponibles

Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de Resource Manager, consulta la referencia de MCP de Resource Manager.

Herramientas de lista

Usa el inspector de MCP para enumerar herramientas o envía una solicitud HTTP tools/list directamente al servidor de MCP remoto de Resource Manager. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejemplos de casos de uso

La herramienta search_projects en el servidor de MCP remoto de Resource Manager permite que los agentes de IA descubran e identifiquen de forma dinámica todos los proyectos Google Cloud a los que tienes los permisos necesarios para acceder, de modo que puedan ejecutar comandos en otras herramientas.

La herramienta devuelve una lista estructurada que contiene el ID del proyecto, el número y el estado del ciclo de vida del proyecto. A continuación, se muestran ejemplos de casos de uso del servidor de MCP de Resource Manager:

  • Inventario de recursos y auditorías de accesibilidad: Enumera y resume los proyectos activos en la nube a los que tienes acceso.

    Instrucción del usuario: "Enumera todos mis proyectos Google Cloud activos".

    Acción del agente: El agente envía una búsqueda al servidor de MCP para recuperar y mostrar una lista resumida de todos los proyectos activos con tus credenciales.

  • Búsquedas segmentadas basadas en el recurso superior: Recupera proyectos ubicados dentro de una carpeta u organización específica para acotar el alcance de una solicitud.

    Instrucción del usuario: "Busca todos los proyectos en la carpeta 223".

    Acción del agente: El agente ejecuta una llamada a herramienta con la búsqueda parent:folders/223 para devolver una lista de proyectos dentro de ese límite administrativo.

  • Resolución implícita del contexto: Cuando solicitas información sobre un recurso sin proporcionar un ID del proyecto específico, el agente puede resolver el contexto automáticamente.

    Instrucción del usuario: "Verifica el estado de mi servicio de 'procesador de pagos'".

    Acción del agente: El agente reconoce que falta un project_id para la herramienta de Cloud Run. Usa la herramienta search_projects para encontrar proyectos con payment en el nombre, identifica proyectos probables (como payment-prod-123) y te pide confirmación antes de continuar.

  • Descubrimiento específico del entorno: Puedes encontrar proyectos filtrados por entornos específicos o estructuras organizativas sin salir de la interfaz de chat.

    Instrucción del usuario: "¿A qué proyectos tengo acceso en el entorno de pruebas?"

    Acción del agente: El agente realiza una operación de búsqueda de todos los proyectos etiquetados o denominados staging que tienes permiso para ver y devuelve los IDs de proyecto específicos.

Personaliza el comportamiento del LLM

La herramienta search_projects es versátil, pero es posible que los LLM no siempre sepan cuándo consultar tu jerarquía de Google Cloud . Para llamar a la herramienta en situaciones específicas, proporciona contexto personalizado en un archivo Markdown, por ejemplo, ~/.gemini/GEMINI.md o un AGENTS.md a nivel del proyecto.

Controla el uso del MCP con políticas de IAM de rechazo

Las políticas de denegación de Identity and Access Management (IAM) te ayudan a proteger los Google Cloud servidores de MCP remotos. Configura estas políticas para bloquear el acceso no deseado a las herramientas de MCP.

Por ejemplo, puedes rechazar o permitir el acceso según lo siguiente:

  • La entidad principal
  • Propiedades de herramientas, como solo lectura
  • ID de cliente de OAuth de la aplicación

Para obtener más información, consulta Controla el uso del MCP con Identity and Access Management.

¿Qué sigue?