認証方法

Claude Codeの設定にはAnthropicモデルへのアクセスが必要です。チームの場合、Claude Codeアクセスを以下の3つの方法のいずれかで設定できます:

  • Anthropic Console経由のAnthropic API
  • Amazon Bedrock
  • Google Vertex AI

Anthropic API認証

Anthropic API経由でチームのClaude Codeアクセスを設定するには:

  1. 既存のAnthropic Consoleアカウントを使用するか、新しいAnthropic Consoleアカウントを作成します
  2. 以下のいずれかの方法でユーザーを追加できます:
    • Console内からユーザーを一括招待(Console -> Settings -> Members -> Invite)
    • SSOを設定
  3. ユーザーを招待する際、以下のいずれかの役割が必要です:
    • 「Claude Code」役割は、ユーザーがClaude Code APIキーのみを作成できることを意味します
    • 「Developer」役割は、ユーザーがあらゆる種類のAPIキーを作成できることを意味します
  4. 招待された各ユーザーは以下の手順を完了する必要があります:

クラウドプロバイダー認証

BedrockまたはVertex経由でチームのClaude Codeアクセスを設定するには:

  1. BedrockドキュメントまたはVertexドキュメントに従います
  2. 環境変数とクラウド認証情報生成の手順をユーザーに配布します。設定の管理方法についてはこちらをお読みください。
  3. ユーザーはClaude Codeをインストールできます

アクセス制御と権限

エージェントが実行を許可されること(例:テストの実行、リンターの実行)と許可されないこと(例:クラウドインフラストラクチャの更新)を正確に指定できるよう、きめ細かい権限をサポートしています。これらの権限設定はバージョン管理にチェックインして組織内のすべての開発者に配布でき、個々の開発者がカスタマイズすることも可能です。

権限システム

Claude Codeは、パワーと安全性のバランスを取るために階層化された権限システムを使用します:

ツールタイプ承認が必要「はい、再度尋ねない」の動作
読み取り専用ファイル読み取り、LS、GrepいいえN/A
Bashコマンドシェル実行はいプロジェクトディレクトリとコマンドごとに永続的
ファイル変更ファイルの編集/書き込みはいセッション終了まで

権限の設定

/permissionsでClaude Codeのツール権限を表示・管理できます。このUIはすべての権限ルールとそれらの取得元であるsettings.jsonファイルを一覧表示します。

  • Allowルールは、Claude Codeが指定されたツールを手動承認なしで使用することを許可します。
  • Denyルールは、Claude Codeが指定されたツールを使用することを防ぎます。Denyルールはallowルールより優先されます。
  • Additional directoriesは、Claudeのファイルアクセスを初期作業ディレクトリを超えたディレクトリに拡張します。
  • Default modeは、新しいリクエストに遭遇した際のClaudeの権限動作を制御します。

権限ルールは次の形式を使用します:Tool(optional-specifier)

ツール名のみのルールは、そのツールのあらゆる使用にマッチします。例えば、allowルールのリストにBashを追加すると、Claude CodeがBashツールをユーザー承認なしで使用できるようになります。

権限モード

Claude Codeは、設定ファイルdefaultModeとして設定できるいくつかの権限モードをサポートしています:

モード説明
default標準動作 - 各ツールの初回使用時に権限を求めます
acceptEditsセッション中のファイル編集権限を自動的に受け入れます
planプランモード - Claudeは分析できますが、ファイルの変更やコマンドの実行はできません
bypassPermissionsすべての権限プロンプトをスキップします(安全な環境が必要 - 以下の警告を参照)

作業ディレクトリ

デフォルトでは、Claudeは起動されたディレクトリ内のファイルにアクセスできます。このアクセスを拡張できます:

  • 起動時--add-dir <path> CLIアーギュメントを使用
  • セッション中/add-dirスラッシュコマンドを使用
  • 永続的な設定設定ファイルadditionalDirectoriesに追加

追加ディレクトリ内のファイルは、元の作業ディレクトリと同じ権限ルールに従います - プロンプトなしで読み取り可能になり、ファイル編集権限は現在の権限モードに従います。

ツール固有の権限ルール

一部のツールは、より細かい権限制御のためにオプションの指定子を使用します。例えば、Bash(git diff:*)のallowルールは、git diffで始まるBashコマンドを許可します。以下のツールは指定子付きの権限ルールをサポートしています:

Bash

  • Bash(npm run build) 正確なBashコマンドnpm run buildにマッチします
  • Bash(npm run test:*) npm run testで始まるBashコマンドにマッチします。

Claude Codeはシェル演算子(&&など)を認識するため、Bash(safe-cmd:*)のようなプレフィックスマッチルールは、safe-cmd && other-cmdコマンドの実行権限を与えません

Read & Edit

Editルールは、ファイルを編集するすべての組み込みツールに適用されます。Claudeは、Grep、Glob、LSなどのファイルを読み取るすべての組み込みツールにReadルールを適用するよう最善の努力を行います。

ReadとEditルールは両方ともgitignore仕様に従います。パターンは.claude/settings.jsonを含むディレクトリを基準に解決されます。絶対パスを参照するには//を使用します。ホームディレクトリを基準とするパスには~/を使用します。

  • Edit(docs/**) プロジェクトのdocsディレクトリ内のファイルの編集にマッチします
  • Read(~/.zshrc) ~/.zshrcファイルの読み取りにマッチします
  • Edit(//tmp/scratch.txt) /tmp/scratch.txtの編集にマッチします

WebFetch

  • WebFetch(domain:example.com) example.comへのフェッチリクエストにマッチします

MCP

  • mcp__puppeteer puppeteerサーバーによって提供されるあらゆるツールにマッチします(Claude Codeで設定された名前)
  • mcp__puppeteer__puppeteer_navigate puppeteerサーバーによって提供されるpuppeteer_navigateツールにマッチします

エンタープライズ管理ポリシー設定

Claude Codeのエンタープライズ展開では、ユーザーとプロジェクト設定より優先されるエンタープライズ管理ポリシー設定をサポートしています。これにより、システム管理者はユーザーが上書きできないセキュリティポリシーを強制できます。

システム管理者は以下にポリシーを展開できます:

  • macOS/Library/Application Support/ClaudeCode/managed-settings.json
  • LinuxとWindows(WSL経由)/etc/claude-code/managed-settings.json

これらのポリシーファイルは通常の設定ファイルと同じ形式に従いますが、ユーザーやプロジェクト設定によって上書きできません。これにより、組織全体で一貫したセキュリティポリシーが確保されます。

設定の優先順位

複数の設定ソースが存在する場合、以下の順序で適用されます(優先度の高い順):

  1. エンタープライズポリシー
  2. コマンドライン引数
  3. ローカルプロジェクト設定(.claude/settings.local.json
  4. 共有プロジェクト設定(.claude/settings.json
  5. ユーザー設定(~/.claude/settings.json

この階層により、組織のポリシーが常に強制される一方で、適切な場合にはプロジェクトとユーザーレベルでの柔軟性も可能になります。

フックによる追加の権限制御

Claude Codeフックは、実行時に権限評価を実行するカスタムシェルコマンドを登録する方法を提供します。Claude Codeがツール呼び出しを行う際、PreToolUseフックは権限システムの実行前に実行され、フックの出力は権限システムの代わりにツール呼び出しを承認または拒否するかを決定できます。

認証情報管理

Claude CodeはClaude.ai認証情報、Anthropic API認証情報、Bedrock Auth、Vertex Authによる認証をサポートしています。macOSでは、APIキー、OAuthトークン、その他の認証情報は暗号化されたmacOS Keychainに保存されます。または、設定apiKeyHelperをAPIキーを返すシェルスクリプトに設定できます。デフォルトでは、このヘルパーは5分後またはHTTP 401レスポンス時に呼び出されます;環境変数CLAUDE_CODE_API_KEY_HELPER_TTL_MSを指定すると、カスタム更新間隔を定義できます。