Gestión de Identidad y Acceso
Aprende cómo configurar la autenticación de usuarios, autorización y controles de acceso para Claude Code en tu organización.
Métodos de autenticación
Configurar Claude Code requiere acceso a los modelos de Anthropic. Para equipos, puedes configurar el acceso a Claude Code de una de tres maneras:
- API de Anthropic a través de la Consola de Anthropic
- Amazon Bedrock
- Google Vertex AI
Autenticación de API de Anthropic
Para configurar el acceso a Claude Code para tu equipo a través de la API de Anthropic:
- Usa tu cuenta existente de la Consola de Anthropic o crea una nueva cuenta de la Consola de Anthropic
- Puedes agregar usuarios a través de cualquiera de los métodos siguientes:
- Invitar usuarios en lote desde dentro de la Consola (Consola -> Configuración -> Miembros -> Invitar)
- Configurar SSO
- Al invitar usuarios, necesitan uno de los siguientes roles:
- El rol “Claude Code” significa que los usuarios solo pueden crear claves API de Claude Code
- El rol “Developer” significa que los usuarios pueden crear cualquier tipo de clave API
- Cada usuario invitado necesita completar estos pasos:
- Aceptar la invitación de la Consola
- Verificar los requisitos del sistema
- Instalar Claude Code
- Iniciar sesión con las credenciales de la cuenta de la Consola
Autenticación de proveedor de nube
Para configurar el acceso a Claude Code para tu equipo a través de Bedrock o Vertex:
- Sigue la documentación de Bedrock o la documentación de Vertex
- Distribuye las variables de entorno e instrucciones para generar credenciales de nube a tus usuarios. Lee más sobre cómo gestionar la configuración aquí.
- Los usuarios pueden instalar Claude Code
Control de acceso y permisos
Soportamos permisos de grano fino para que puedas especificar exactamente qué se le permite hacer al agente (por ejemplo, ejecutar pruebas, ejecutar linter) y qué no se le permite hacer (por ejemplo, actualizar infraestructura de nube). Estas configuraciones de permisos pueden ser registradas en el control de versiones y distribuidas a todos los desarrolladores en tu organización, así como personalizadas por desarrolladores individuales.
Sistema de permisos
Claude Code usa un sistema de permisos por niveles para equilibrar poder y seguridad:
| Tipo de Herramienta | Ejemplo | Aprobación Requerida | Comportamiento “Sí, no preguntar de nuevo” |
|---|---|---|---|
| Solo lectura | Lecturas de archivos, LS, Grep | No | N/A |
| Comandos Bash | Ejecución de shell | Sí | Permanentemente por directorio de proyecto y comando |
| Modificación de Archivos | Editar/escribir archivos | Sí | Hasta el final de la sesión |
Configuración de permisos
Puedes ver y gestionar los permisos de herramientas de Claude Code con /permissions. Esta interfaz de usuario lista todas las reglas de permisos y el archivo settings.json del cual provienen.
- Las reglas Allow permitirán a Claude Code usar la herramienta especificada sin aprobación manual adicional.
- Las reglas Deny impedirán a Claude Code usar la herramienta especificada. Las reglas de denegación tienen precedencia sobre las reglas de permiso.
Las reglas de permisos usan el formato: Tool(especificador-opcional)
Una regla que es solo el nombre de la herramienta coincide con cualquier uso de esa herramienta. Por ejemplo, agregar Bash a la lista de reglas de permiso permitiría a Claude Code usar la herramienta Bash sin requerir aprobación del usuario.
Reglas de permisos específicas de herramientas
Algunas herramientas usan el especificador opcional para controles de permisos más detallados. Por ejemplo, una regla de permiso con Bash(git diff:*) permitiría comandos Bash que comiencen con git diff. Las siguientes herramientas soportan reglas de permisos con especificadores:
Bash
Bash(npm run build)Coincide con el comando Bash exactonpm run buildBash(npm run test:*)Coincide con comandos Bash que comienzan connpm run test.
Claude Code está consciente de los operadores de shell (como &&) por lo que una regla de coincidencia de prefijo como Bash(safe-cmd:*) no le dará permiso para ejecutar el comando safe-cmd && other-cmd
Read & Edit
Las reglas Edit se aplican a todas las herramientas integradas que editan archivos. Claude hará un esfuerzo de buena fe para aplicar reglas Read a todas las herramientas integradas que leen archivos como Grep, Glob y LS.
Las reglas Read & Edit siguen la especificación gitignore. Los patrones se resuelven relativos al directorio que contiene .claude/settings.json. Para referenciar una ruta absoluta, usa //. Para una ruta relativa a tu directorio home, usa ~/.
Edit(docs/**)Coincide con ediciones a archivos en el directoriodocsde tu proyectoRead(~/.zshrc)Coincide con lecturas a tu archivo~/.zshrcEdit(//tmp/scratch.txt)Coincide con ediciones a/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Coincide con solicitudes de fetch a example.com
MCP
mcp__puppeteerCoincide con cualquier herramienta proporcionada por el servidorpuppeteer(nombre configurado en Claude Code)mcp__puppeteer__puppeteer_navigateCoincide con la herramientapuppeteer_navigateproporcionada por el servidorpuppeteer
Configuraciones de política gestionada empresarial
Para despliegues empresariales de Claude Code, soportamos configuraciones de política gestionada empresarial que tienen precedencia sobre las configuraciones de usuario y proyecto. Esto permite a los administradores del sistema hacer cumplir políticas de seguridad que los usuarios no pueden anular.
Los administradores del sistema pueden desplegar políticas a:
- macOS:
/Library/Application Support/ClaudeCode/policies.json - Linux y Windows (vía WSL):
/etc/claude-code/policies.json
Estos archivos de política siguen el mismo formato que los archivos de configuración regulares pero no pueden ser anulados por configuraciones de usuario o proyecto. Esto asegura políticas de seguridad consistentes a través de tu organización.
Precedencia de configuraciones
Cuando existen múltiples fuentes de configuración, se aplican en el siguiente orden (de mayor a menor precedencia):
- Políticas empresariales
- Argumentos de línea de comandos
- Configuraciones de proyecto local (
.claude/settings.local.json) - Configuraciones de proyecto compartido (
.claude/settings.json) - Configuraciones de usuario (
~/.claude/settings.json)
Esta jerarquía asegura que las políticas organizacionales siempre se hagan cumplir mientras aún permite flexibilidad a nivel de proyecto y usuario donde sea apropiado.
Gestión de credenciales
Claude Code soporta autenticación vía credenciales de Claude.ai, credenciales de API de Anthropic, Autenticación de Bedrock y Autenticación de Vertex. En macOS, las claves API, tokens OAuth y otras credenciales se almacenan en el Llavero de macOS encriptado. Alternativamente, la configuración apiKeyHelper puede establecerse a un script de shell que devuelve una clave API. Por defecto, este helper se llama después de 5 minutos o en respuesta HTTP 401; especificar la variable de entorno CLAUDE_CODE_API_KEY_HELPER_TTL_MS define un intervalo de actualización personalizado.