本页面上的部分或全部信息可能不适用于 Cloud de Confiance by S3NS。如需了解详情，请参阅与 Google Cloud 的区别。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

了解如何使用 BigQuery Migration Service MCP 服务器

本文档介绍了如何使用 BigQuery 远程 Model Context Protocol (MCP) 服务器与 AI 应用（包括 Gemini CLI、ChatGPT、Claude 和您正在开发的自定义应用）建立连接。您可以使用 BigQuery Migration Service Model Context Protocol (MCP) 服务器执行以下任务：将 SQL 查询转换为 GoogleSQL 语法、从 SQL 输入查询生成 DDL 语句，以及获取 SQL 转换的说明。启用 BigQuery API 后，系统会启用 BigQuery 远程 MCP 服务器。

Model Context Protocol (MCP) 规范了大语言模型 (LLM) 和 AI 应用或智能体与外部数据源的连接方式。借助 MCP 服务器，您可以使用其工具、资源和提示来执行操作，并从其后端服务获取更新后的数据。

本地 MCP 服务器通常在本地机器上运行，并使用标准输入和输出流 (stdio) 在同一设备上的服务之间进行通信。MCP 服务器在服务的基础设施上运行，并向 AI 应用提供 HTTPS 端点，以便在 AI MCP 客户端和 MCP 服务器之间进行通信。如需详细了解 MCP 架构，请参阅 MCP 架构。

Google 和 Cloud de Confiance by S3NS MCP 服务器具有以下功能和优势：

简化、集中式发现
托管式全球或区域 HTTPS 端点
细粒度授权
使用 Model Armor 保护提示和回答（可选）
集中式审核日志记录

如需了解其他 MCP 服务器，以及 Google Cloud MCP 服务器可用的安全和治理控制措施，请参阅 Google Cloud MCP 服务器概览。

准备工作

In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
- Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.
Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
启用 BigQuery Migration Service API。
启用 API 所需的角色
如需启用 API，您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin)，该角色包含 serviceusage.services.enable 权限。了解如何授予角色。
启用 API

所需角色

如需获得启用 BigQuery Migration Service MCP 服务器所需的权限，请让您的管理员向您授予要在其中启用 BigQuery Migration Service MCP 服务器的项目中的以下 IAM 角色：

进行 MCP 工具调用： MCP Tool User (roles/mcp.toolUser)
使用 BigQuery Migration Service: Migration Workflow Editor (roles/bigquerymigration.editor)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

这些预定义角色包含启用 BigQuery Migration Service MCP 服务器所需的权限。如需查看所需的确切权限，请展开所需权限部分：

所需权限

启用 BigQuery Migration Service MCP 服务器需要以下权限：

进行 MCP 工具调用： mcp.tools.call
使用 BigQuery Migration Service：
- bigquerymigration.workflows.create
- bigquerymigration.workflows.get
- bigquerymigration.workflows.list
- bigquerymigration.workflows.delete
- bigquerymigration.subtasks.get
- bigquerymigration.subtasks.list

您也可以使用自定义角色或其他预定义角色来获取这些权限。

根据任务的不同，可能需要额外的 BigQuery Migration Service 权限。如需了解 BigQuery Migration Service 角色和权限，请参阅 BigQuery Migration Service 角色和权限。

身份验证和授权

BigQuery Migration Service MCP 服务器使用 OAuth 2.0 协议和 Identity and Access Management (IAM) 进行身份验证和授权。支持所有 Cloud de Confiance by S3NS 身份用于向 MCP 服务器进行身份验证。

BigQuery Migration Service MCP 服务器不接受 API 密钥。

BigQuery Migration Service MCP OAuth 范围

OAuth 2.0 使用范围和凭证来确定经过身份验证的主账号是否有权对资源执行特定操作。如需详细了解 Google 的 OAuth 2.0 范围，请参阅使用 OAuth 2.0 访问 Google API。

BigQuery Migration Service 具有以下 MCP 工具 OAuth 范围：

gcloud CLI 的范围 URI	说明
`https://www.googleapis.com/auth/bigquerymigration`	查看和管理您在 BigQuery Migration Service 中的工作流，以及查看您 Google 账号的邮箱。
`https://www.googleapis.com/auth/devstorage.read_only`	此范围是读取 Cloud Storage 中的数据的查询转换所必需的。

在工具调用期间访问的资源可能需要额外的范围。

配置 MCP 客户端以使用 BigQuery Migration Service MCP 服务器

Claude 或 Antigravity 等 AI 应用和智能体可以实例化连接到单个 MCP 服务器的 MCP 客户端。一个 AI 应用可以有多个连接到不同 MCP 服务器的客户端。如果您的应用未列在特定于客户端的指南中，则可以使用以下信息从大多数应用进行连接。

在 AI 应用中，寻找添加或连接到远程 MCP 服务器的方式。对于 BigQuery Migration Service MCP 服务器，请根据需要输入以下信息：

服务器名称：BigQuery Migration Service MCP 服务器
服务器网址 或端点：bigquerymigration.googleapis.com/mcp
传输：HTTP
身份验证详细信息：您的 Cloud de Confiance by S3NS 凭证、您的 OAuth 客户端 ID 和密钥，或代理身份和凭证

您选择哪些身份验证详细信息取决于您想要如何进行身份验证。如需了解详情，请参阅向 MCP 服务器进行身份验证。

以下是 Gemini CLI 的示例配置：

{
  "name": "BQMS-MCP",
  "version": "1.0.0",
  "mcpServers": {
    "BigQueryMigration": {
      "httpUrl": "https://bigquerymigration.googleapis.com/mcp",
      "authProviderType": "google_credentials",
      "oauth": {
        "scopes": [
          "https://www.googleapis.com/auth/bigquerymigration",
          "https://www.googleapis.com/auth/devstorage.read_only"
        ]
      },
      "timeout": 30000,
      "headers": {
        "x-goog-user-project": "PROJECT_ID"
      }
    }
  }
}

如需了解有关设置和连接到 MCP 服务器的应用专用指南，请参阅特定于客户端的指南。

如需查看更通用的指导，请参阅以下资源：

可用的工具

如需查看 BigQuery Migration Service MCP 服务器的可用 MCP 工具的详细信息及其说明，请参阅BigQuery Migration Service MCP 参考文档。

列出工具

使用 MCP 检查器列出工具，或直接向 BigQuery Migration Service MCP 服务器发送 tools/list HTTP 请求。tools/list 方法不需要进行身份验证。

POST /mcp HTTP/1.1
Host: bigquerymigration.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

示例应用场景

以下是 BigQuery Migration Service MCP 服务器的示例应用场景：

使用带有 IDE 的 MCP 客户端，将查询文件转换为 GoogleSQL 语法。
使用不带 IDE 的 MCP 客户端，将指定的查询转换为 GoogleSQL 语法。
评估翻译质量。
获取 SQL 转换的说明。
为指定的查询生成 DDL 语句。

示例提示

您可以使用以下示例提示来创建和管理 BigQuery Migration Service 资源：

转换此 FILENAME 中的 DIALECT 查询。使用 PROJECT_ID 和 LOCATION。将输出和转换日志保留到单独的目录中。

使用此提示时，MCP 客户端会调用 translate_query 工具来转换指定文件中的查询。MCP 客户端会定期调用 get_translation 工具来获取结果。转换完成后，客户端会将输出写入输出目录，并将日志写入日志目录。
将此查询从 DIALECT 转换为：QUERY。使用 PROJECT_ID 和 LOCATION。

使用此提示时，MCP 客户端会调用 translate_query 工具来转换指定的查询，并显示转换结果。
评估翻译质量。

使用此提示时，MCP 客户端会读取并检查转换日志，并显示转换问题的摘要以及建议的后续步骤。

解释转换。

使用此提示时，MCP 客户端会调用 explain_translation 工具来获取转换的说明。如果转换日志包含 RelationNotFound 或 AttributeNotFound 错误，MCP 客户端应建议您创建元数据软件包。如果您无法生成元数据，可以发送请求 DDL 语句的提示。

示例响应如下所示：

The translated code converts Teradata-specific features into their
BigQuery equivalents. Here's a breakdown of the key changes:
* `MACRO` to `PROCEDURE`: The `YourMacroName` macro was converted
into a BigQuery stored procedure because
BigQuery doesn't support macros.
* `SELECT INTO` to `SET`:
  * For setting multiple `OUT` parameters in `YourStoredProcedureName`, the
    `SELECT ... INTO` is changed to `SET (...) = (SELECT STRUCT(...))`.
  * For single variable assignment in `YourOtherProcedureName`,
    `SELECT ... INTO` is replaced by `SET variable = (SELECT ...)` which is
    the standard in BigQuery.
* Atomic Operations to `MERGE: The BEGIN REQUEST ... END REQUEST` blocks in
  the `ProcedureA`, `ProcedureB`, and `ProcedureC` procedures,
  which perform atomic "update or insert" operations, are translated into
  standard SQL `MERGE` statements. This is the correct and modern way to
  handle this logic in BigQuery.

为此输入查询生成 DDL。

MCP 客户端会调用 generate_ddl_suggestion 工具来启动建议作业。客户端通过调用 fetch_ddl_suggestion 工具来获取建议结果。当建议可用时，MCP 客户端会显示该建议。

如果 DDL 语句正确，您可以发送提示，将生成的 DDL 语句添加到查询前面，以提高转换质量。
将生成的 DDL 语句添加到输入查询前面，然后重新转换。

使用此提示时，MCP 客户端会将 DDL 语句添加到原始输入查询前面，并调用 translate_query 工具。客户端会调用 get_translation 工具来获取转换。新的查询转换和日志会在可用时保留。

如果生成的 DDL 语句正确，则应解决所有 RelationNotFound 或 AttributeNotFound 错误，从而提高转换质量。

在提示中，替换以下内容：

DIALECT：您要转换的 SQL 查询的方言。
QUERY：您要转换的查询。
FILENAME：包含您要转换的查询的文件。
PROJECT_NUMBER：您的 Cloud de Confiance by S3NS 项目编号。
LOCATION： SQL 转换器的位置。

可选的安全配置

由于 MCP 工具可执行各种操作，因此 MCP 会引发新的安全风险和注意事项。为了最大限度地降低这些风险并进行管理， Cloud de Confiance by S3NS 提供了默认设置和可自定义的政策，用于控制 MCP 工具在您的 Cloud de Confiance by S3NS 组织或项目中的使用。

如需详细了解 MCP 安全性和治理，请参阅 AI 安全性。

使用 Model Armor

Model Armor 是一项旨在增强 AI 应用安全性和安全性的 Cloud de Confiance by S3NS 服务。它通过主动筛选 LLM 提示和回答来防范各种风险，并支持 Responsible AI 实践。无论您是在云环境还是外部云服务提供商中部署 AI，Model Armor 都能帮助您防止恶意输入、验证内容安全性、保护敏感数据、保持合规性，并在各种 AI 环境中以一致的方式实施 AI 安全政策。

如果启用了 Model Armor 且启用了日志记录，Model Armor 会记录整个载荷。这可能会在日志中公开敏感信息。

启用 Model Armor

您必须先启用 Model Armor API，然后才能使用 Model Armor。

控制台

启用 Model Armor API。
启用 API 所需的角色
如需启用 API，您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin)，该角色包含 serviceusage.services.enable 权限。了解如何授予角色。
启用 API
选择要启用 Model Armor 的项目。

gcloud

在开始之前，请使用 Google Cloud CLI 和 Model Armor API 按照以下步骤操作：

安装 Google Cloud CLI，然后使用联合身份登录 gcloud CLI。登录后，运行以下命令来初始化 Google Cloud CLI：
```
gcloud init
```
运行以下命令，为 Model Armor 服务设置 API 端点。
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
将 LOCATION 替换为您要使用 Model Armor 的区域。

为 Google 和 Cloud de Confiance by S3NS 远程 MCP 服务器配置保护

为了帮助保护 MCP 工具调用和响应，您可以使用 Model Armor 下限设置。下限设置定义了适用于整个项目的最低安全过滤条件。此配置将一组一致的过滤条件应用于项目中的所有 MCP 工具调用和响应。

设置启用了 MCP 清理的 Model Armor 下限设置。如需了解详情，请参阅配置 Model Armor 下限设置。

请参阅以下示例命令：

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

将 PROJECT_ID 替换为您的 Cloud de Confiance 项目 ID。

请注意以下设置：

INSPECT_AND_BLOCK：强制执行类型，用于检查 Google MCP 服务器的内容，并屏蔽与过滤条件匹配的提示和响应。
ENABLED：用于启用过滤条件或强制执行的设置。
MEDIUM_AND_ABOVE：Responsible AI - Dangerous 过滤条件设置的置信度。您可以修改此设置，但较低的值可能会导致更多误报。如需了解详情，请参阅 Model Armor 置信度。

禁止使用 Model Armor 扫描 MCP 流量

如需阻止 Model Armor 根据项目的下限设置自动扫描与 Google MCP 服务器之间的流量，请运行以下命令：

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

将 PROJECT_ID 替换为 Cloud de Confiance 项目 ID。Model Armor 不会自动将此项目的下限设置中定义的规则应用于任何 Google MCP 服务器流量。

Model Armor 下限设置和常规配置可能会影响 MCP 以外的其他内容。由于 Model Armor 与 Vertex AI 等服务集成，因此您对下限设置所做的任何更改都可能会影响所有集成服务（而不仅仅是 MCP）的流量扫描和安全行为。

使用 IAM 拒绝政策控制 MCP 的使用

Identity and Access Management (IAM) 拒绝政策有助于保护 Cloud de Confiance by S3NS 远程 MCP 服务器。配置这些政策以阻止不必要的 MCP 工具访问。

例如，您可以根据以下内容拒绝或允许访问：

主账号
工具属性（例如只读）
应用的 OAuth 客户端 ID

如需了解详情，请参阅使用 Identity and Access Management 控制 MCP 的使用。

配额和限制

BigQuery Migration Service MCP 服务器没有自己的配额。您可以对 MCP 服务器进行的调用次数没有限制。

您仍然需要遵守 MCP 服务器工具调用的 API 强制执行的配额。如需了解详情，请参阅配额和限制页面上的 BigQuery Migration Service API 。