Gestión de Identidad y Acceso
Aprende cómo configurar la autenticación de usuarios, autorización y controles de acceso para Claude Code en tu organización.
Métodos de autenticación
Configurar Claude Code requiere acceso a los modelos de Anthropic. Para equipos, puedes configurar el acceso a Claude Code de una de tres maneras:
- API de Anthropic a través de la Consola de Anthropic
- Amazon Bedrock
- Google Vertex AI
Autenticación de API de Anthropic
Para configurar el acceso a Claude Code para tu equipo a través de la API de Anthropic:
- Usa tu cuenta existente de la Consola de Anthropic o crea una nueva cuenta de la Consola de Anthropic
- Puedes agregar usuarios a través de cualquiera de los métodos siguientes:
- Invitar usuarios en lote desde la Consola (Consola -> Configuración -> Miembros -> Invitar)
- Configurar SSO
- Al invitar usuarios, necesitan uno de los siguientes roles:
- El rol “Claude Code” significa que los usuarios solo pueden crear claves de API de Claude Code
- El rol “Developer” significa que los usuarios pueden crear cualquier tipo de clave de API
- Cada usuario invitado necesita completar estos pasos:
- Aceptar la invitación de la Consola
- Verificar los requisitos del sistema
- Instalar Claude Code
- Iniciar sesión con las credenciales de la cuenta de la Consola
Autenticación de proveedor de nube
Para configurar el acceso a Claude Code para tu equipo a través de Bedrock o Vertex:
- Sigue la documentación de Bedrock o la documentación de Vertex
- Distribuye las variables de entorno e instrucciones para generar credenciales de nube a tus usuarios. Lee más sobre cómo gestionar la configuración aquí.
- Los usuarios pueden instalar Claude Code
Control de acceso y permisos
Soportamos permisos de grano fino para que puedas especificar exactamente qué se le permite hacer al agente (ej. ejecutar pruebas, ejecutar linter) y qué no se le permite hacer (ej. actualizar infraestructura de nube). Estas configuraciones de permisos pueden ser registradas en el control de versiones y distribuidas a todos los desarrolladores en tu organización, así como personalizadas por desarrolladores individuales.
Sistema de permisos
Claude Code usa un sistema de permisos por niveles para equilibrar poder y seguridad:
| Tipo de Herramienta | Ejemplo | Aprobación Requerida | Comportamiento “Sí, no preguntar de nuevo” |
|---|---|---|---|
| Solo lectura | Lecturas de archivos, LS, Grep | No | N/A |
| Comandos Bash | Ejecución de shell | Sí | Permanentemente por directorio de proyecto y comando |
| Modificación de Archivos | Editar/escribir archivos | Sí | Hasta el final de la sesión |
Configuración de permisos
Puedes ver y gestionar los permisos de herramientas de Claude Code con /permissions. Esta interfaz lista todas las reglas de permisos y el archivo settings.json del cual provienen.
- Las reglas Allow permitirán a Claude Code usar la herramienta especificada sin aprobación manual adicional.
- Las reglas Ask pedirán confirmación al usuario cada vez que Claude Code trate de usar la herramienta especificada. Las reglas Ask tienen precedencia sobre las reglas allow.
- Las reglas Deny impedirán que Claude Code use la herramienta especificada. Las reglas Deny tienen precedencia sobre las reglas allow y ask.
- Directorios adicionales extienden el acceso de archivos de Claude a directorios más allá del directorio de trabajo inicial.
- Modo predeterminado controla el comportamiento de permisos de Claude al encontrar nuevas solicitudes.
Las reglas de permisos usan el formato: Tool o Tool(especificador-opcional)
Una regla que es solo el nombre de la herramienta coincide con cualquier uso de esa herramienta. Por ejemplo, agregar Bash a la lista de reglas allow permitiría a Claude Code usar la herramienta Bash sin requerir aprobación del usuario.
Modos de permisos
Claude Code soporta varios modos de permisos que pueden ser establecidos como el defaultMode en archivos de configuración:
| Modo | Descripción |
|---|---|
default | Comportamiento estándar - solicita permiso en el primer uso de cada herramienta |
acceptEdits | Acepta automáticamente permisos de edición de archivos para la sesión |
plan | Modo plan - Claude puede analizar pero no modificar archivos o ejecutar comandos |
bypassPermissions | Omite todas las solicitudes de permisos (requiere entorno seguro - ver advertencia abajo) |
Directorios de trabajo
Por defecto, Claude tiene acceso a archivos en el directorio donde fue lanzado. Puedes extender este acceso:
- Durante el inicio: Usa el argumento CLI
--add-dir <path> - Durante la sesión: Usa el comando slash
/add-dir - Configuración persistente: Agregar a
additionalDirectoriesen archivos de configuración
Los archivos en directorios adicionales siguen las mismas reglas de permisos que el directorio de trabajo original - se vuelven legibles sin solicitudes, y los permisos de edición de archivos siguen el modo de permisos actual.
Reglas de permisos específicas de herramientas
Algunas herramientas soportan controles de permisos más granulares:
Bash
Bash(npm run build)Coincide con el comando Bash exactonpm run buildBash(npm run test:*)Coincide con comandos Bash que comienzan connpm run test.
Claude Code está consciente de los operadores de shell (como &&) por lo que una regla de coincidencia de prefijo como Bash(safe-cmd:*) no le dará permiso para ejecutar el comando safe-cmd && other-cmd
Read & Edit
Las reglas Edit se aplican a todas las herramientas integradas que editan archivos. Claude hará un mejor esfuerzo para aplicar reglas Read a todas las herramientas integradas que leen archivos como Grep, Glob, y LS.
Las reglas Read & Edit siguen ambas la especificación gitignore. Los patrones se resuelven relativos al directorio que contiene .claude/settings.json. Para referenciar una ruta absoluta, usa //. Para una ruta relativa a tu directorio home, usa ~/.
Edit(docs/**)Coincide con ediciones a archivos en el directoriodocsde tu proyectoRead(~/.zshrc)Coincide con lecturas a tu archivo~/.zshrcEdit(//tmp/scratch.txt)Coincide con ediciones a/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Coincide con solicitudes de fetch a example.com
MCP
mcp__puppeteerCoincide con cualquier herramienta proporcionada por el servidorpuppeteer(nombre configurado en Claude Code)mcp__puppeteer__puppeteer_navigateCoincide con la herramientapuppeteer_navigateproporcionada por el servidorpuppeteer
A diferencia de otros tipos de permisos, los permisos MCP NO soportan comodines (*).
Para aprobar todas las herramientas de un servidor MCP:
- ✅ Usa:
mcp__github(aprueba TODAS las herramientas de GitHub) - ❌ No uses:
mcp__github__*(los comodines no están soportados)
Para aprobar solo herramientas específicas, lista cada una:
- ✅ Usa:
mcp__github__get_issue - ✅ Usa:
mcp__github__list_issues
Control de permisos adicional con hooks
Los hooks de Claude Code proporcionan una manera de registrar comandos de shell personalizados para realizar evaluación de permisos en tiempo de ejecución. Cuando Claude Code hace una llamada de herramienta, los hooks PreToolUse se ejecutan antes de que el sistema de permisos se ejecute, y la salida del hook puede determinar si aprobar o denegar la llamada de herramienta en lugar del sistema de permisos.
Configuraciones de política gestionada empresarial
Para despliegues empresariales de Claude Code, soportamos configuraciones de política gestionada empresarial que tienen precedencia sobre las configuraciones de usuario y proyecto. Esto permite a los administradores del sistema hacer cumplir políticas de seguridad que los usuarios no pueden anular.
Los administradores del sistema pueden desplegar políticas a:
- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json - Linux y WSL:
/etc/claude-code/managed-settings.json - Windows:
C:\ProgramData\ClaudeCode\managed-settings.json
Estos archivos de política siguen el mismo formato que los archivos de configuración regulares pero no pueden ser anulados por configuraciones de usuario o proyecto. Esto asegura políticas de seguridad consistentes a través de tu organización.
Precedencia de configuraciones
Cuando existen múltiples fuentes de configuraciones, se aplican en el siguiente orden (de mayor a menor precedencia):
- Políticas empresariales
- Argumentos de línea de comandos
- Configuraciones de proyecto local (
.claude/settings.local.json) - Configuraciones de proyecto compartidas (
.claude/settings.json) - Configuraciones de usuario (
~/.claude/settings.json)
Esta jerarquía asegura que las políticas organizacionales siempre se hagan cumplir mientras aún permite flexibilidad en los niveles de proyecto y usuario donde sea apropiado.
Gestión de credenciales
Claude Code gestiona de manera segura tus credenciales de autenticación:
- Ubicación de almacenamiento: En macOS, las claves de API, tokens OAuth, y otras credenciales se almacenan en el Keychain encriptado de macOS.
- Tipos de autenticación soportados: Credenciales de Claude.ai, credenciales de API de Anthropic, Autenticación de Bedrock, y Autenticación de Vertex.
- Scripts de credenciales personalizados: La configuración
apiKeyHelperpuede ser configurada para ejecutar un script de shell que devuelve una clave de API. - Intervalos de actualización: Por defecto,
apiKeyHelperes llamado después de 5 minutos o en respuesta HTTP 401. Establece la variable de entornoCLAUDE_CODE_API_KEY_HELPER_TTL_MSpara intervalos de actualización personalizados.