Utiliser le serveur MCP distant Resource Manager

Ce document explique comment utiliser le serveur MCP (Model Context Protocol) distant de Resource Manager pour vous connecter à des applications d'IA, y compris Gemini CLI, ChatGPT, Claude et les applications personnalisées que vous développez. Le serveur MCP distant de Resource Manager vous permet de rechercher et d'identifier tous les Google Cloud projets auxquels vous disposez des autorisations nécessaires pour accéder, ce qui vous permet de disposer des identifiants corrects avant de tenter des configurations de ressources plus spécifiques.

L'outil renvoie une liste structurée contenant l'ID du projet, le numéro du projet et l'état du cycle de vie du projet. Le serveur MCP distant de Resource Manager est activé lorsque vous activez l'API Resource Manager.

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et prompts pour effectuer des actions et obtenir des données mises à jour à partir de leur service backend.

Quelle est la différence entre les serveurs MCP locaux et distants ?

Serveurs MCP locaux

S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.

Serveurs MCP distants

S'exécutent sur l'infrastructure du service et proposent un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez la section Architecture MCP.

Serveurs MCP Google et Google Cloud distants

• Découverte centralisée et simplifiée
• Points de terminaison HTTP mondiaux ou régionaux gérés
• Autorisations précises
• Sécurité facultative des prompts et des réponses avec la protection Model Armor
• Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez la présentation des serveurs MCP Google Cloud.

Avant de commencer

Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud Resource Manager API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisezla en exécutant la commande suivante :

gcloud init

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud Resource Manager API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisezla en exécutant la commande suivante :

gcloud init

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Authentification et autorisation

Les serveurs MCP de Resource Manager utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes Google Cloud les identités sont compatibles avec l'authentification auprès des serveurs MCP.

Le serveur MCP de Resource Manager n'accepte pas les clés API pour l'authentification.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent des outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l' authentification, consultez la section S'authentifier auprès des serveurs MCP.

Habilitations OAuth du serveur MCP de Resource Manager

OAuth 2.0 utilise des habilitations et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les habilitations OAuth 2.0 chez Google, consultez la section Utiliser OAuth 2.0 pour accéder aux API Google.

Resource Manager dispose des habilitations OAuth suivantes pour les outils MCP :

Des habilitations supplémentaires peuvent être requises sur les ressources auxquelles vous accédez lors d'un appel d'outil. Pour afficher la liste des habilitations requises pour Resource Manager, consultez la section API Resource Manager.

Configurer un client MCP pour utiliser le serveur MCP de Resource Manager

Les applications et agents d'IA, tels que Claude ou Antigravity, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Si votre application ne figure pas dans les consignes spécifiques au client, vous pouvez utiliser les informations suivantes pour vous connecter à la plupart des applications.

Dans votre application d'IA, recherchez un moyen d'ajouter ou de vous connecter à un serveur MCP distant. Pour le serveur MCP de Resource Manager, saisissez les informations suivantes, si nécessaire :

• Nom du serveur : serveur MCP de Resource Manager
• URL du serveur ou Point de terminaison : https://cloudresourcemanager.googleapis.com/mcp
• Transport: HTTP
• Informations d'authentification : selon la méthode d'authentification souhaitée, vous pouvez saisir vos Google Cloud identifiants, votre ID client OAuth et votre code secret, ou une identité et des identifiants d'agent. Pour en savoir plus sur l' authentification, consultez la section S'authentifier auprès des serveurs MCP.
• Habilitation OAuth : l'habilitation OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP de Resource Manager.

Pour obtenir des conseils spécifiques à l'application sur la configuration et la connexion au serveur MCP, consultez la section Conseils spécifiques au client.

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

• Se connecter à des serveurs MCP distants.
• Configurer MCP dans une application d'IA.

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP de Resource Manager, consultez la documentation de référence sur le serveur MCP de Resource Manager.

Lister les outils

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une tools/list requête HTTP directement au serveur MCP distant de Resource Manager. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemples de cas d'utilisation

L'outil search_projects du serveur MCP distant de Resource Manager permet aux agents d'IA de découvrir et d'identifier de manière dynamique tous les Google Cloud projets auxquels vous disposez des autorisations nécessaires pour accéder, afin qu'ils puissent exécuter des commandes dans d'autres outils.

L'outil renvoie une liste structurée contenant l'ID du projet, le numéro du projet et l'état du cycle de vie du projet. Voici des exemples de cas d'utilisation du serveur MCP de Resource Manager :

• Inventaire des ressources et audits d'accessibilité : listez et résumez les projets cloud actifs auxquels vous avez accès.

  Prompt de l'utilisateur : "List all my active Google Cloud projects."

  Action de l'agent : l'agent envoie une requête de recherche au serveur MCP pour récupérer et afficher une liste récapitulative de tous les projets actifs sous vos identifiants.

• Recherches ciblées basées sur le parent : récupérez les projets situés dans un dossier ou une organisation spécifique pour limiter la portée d'une requête.

  Prompt de l'utilisateur : "Find all projects under Folder 223."

  Action de l'agent : l'agent exécute un appel d'outil avec la requête parent:folders/223 pour renvoyer une liste de projets dans cette limite administrative.

• Résolution implicite du contexte : lorsque vous demandez des informations sur une ressource sans fournir d'ID de projet spécifique, l'agent peut résoudre le contexte automatiquement.

  Prompt de l'utilisateur : "Check the status of my 'payment-processor' service."

  Action de l'agent : l'agent reconnaît qu'un project_id est manquant pour l'outil Cloud Run. Il utilise l'outil search_projects pour rechercher les projets dont le nom contient payment, identifie les projets probables (tels que payment-prod-123) et vous demande de confirmer avant de continuer.

• Découverte spécifique à l'environnement : vous pouvez trouver des projets filtrés par des environnements ou des structures organisationnelles spécifiques sans quitter l'interface de chat.

  Prompt de l'utilisateur : "Which projects do I have access to in the staging environment?"

  Action de l'agent : l'agent effectue une opération de recherche pour tous les projets libellés ou nommés staging que vous êtes autorisé à afficher, et renvoie les ID de projet spécifiques.

Personnaliser le comportement du LLM

L'outil search_projects est polyvalent, mais les LLM ne savent pas toujours quand interroger votre Google Cloud hiérarchie. Pour appeler l'outil dans des scénarios spécifiques, fournissez un contexte personnalisé dans un fichier Markdown, par exemple ~/.gemini/GEMINI.md ou un fichier AGENTS.md au niveau du projet.

Contrôler l'utilisation de MCP avec des règles de refus IAM

Les règles de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP distants. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des éléments suivants :

• Le compte principal
• Les propriétés de l'outil, telles que la lecture seule
• L'ID client OAuth de l'application

Pour en savoir plus, consultez la section Contrôler l'utilisation de MCP avec Identity and Access Management.

Étape suivante

• Consultez la documentation de référence sur le serveur MCP de Resource Manager.
• En savoir plus sur les serveurs MCP Google Cloud.