Управление идентификацией и доступом
Узнайте, как настроить аутентификацию пользователей, авторизацию и контроль доступа для Claude Code в вашей организации.
Методы аутентификации
Настройка Claude Code требует доступа к моделям Anthropic. Для команд вы можете настроить доступ к Claude Code одним из трех способов:
- Anthropic API через Anthropic Console
- Amazon Bedrock
- Google Vertex AI
Аутентификация Anthropic API
Чтобы настроить доступ к Claude Code для вашей команды через Anthropic API:
- Используйте существующую учетную запись Anthropic Console или создайте новую учетную запись Anthropic Console
- Вы можете добавить пользователей любым из следующих способов:
- Массовое приглашение пользователей из Console (Console -> Settings -> Members -> Invite)
- Настройка SSO
- При приглашении пользователей им нужна одна из следующих ролей:
- Роль “Claude Code” означает, что пользователи могут создавать только API-ключи Claude Code
- Роль “Developer” означает, что пользователи могут создавать любые типы API-ключей
- Каждый приглашенный пользователь должен выполнить следующие шаги:
- Принять приглашение Console
- Проверить системные требования
- Установить Claude Code
- Войти в систему с учетными данными Console
Аутентификация облачного провайдера
Чтобы настроить доступ к Claude Code для вашей команды через Bedrock или Vertex:
- Следуйте документации Bedrock или документации Vertex
- Распространите переменные окружения и инструкции по генерации облачных учетных данных среди ваших пользователей. Узнайте больше о том, как управлять конфигурацией здесь.
- Пользователи могут установить Claude Code
Контроль доступа и разрешения
Мы поддерживаем детализированные разрешения, чтобы вы могли точно указать, что агенту разрешено делать (например, запускать тесты, запускать линтер) и что ему не разрешено делать (например, обновлять облачную инфраструктуру). Эти настройки разрешений могут быть зафиксированы в системе контроля версий и распространены среди всех разработчиков в вашей организации, а также настроены отдельными разработчиками.
Система разрешений
Claude Code использует многоуровневую систему разрешений для баланса мощности и безопасности:
Тип инструмента | Пример | Требуется одобрение | Поведение “Да, больше не спрашивать” |
---|---|---|---|
Только чтение | Чтение файлов, LS, Grep | Нет | Н/Д |
Bash-команды | Выполнение shell | Да | Постоянно для каталога проекта и команды |
Изменение файлов | Редактирование/запись файлов | Да | До конца сессии |
Настройка разрешений
Вы можете просматривать и управлять разрешениями инструментов Claude Code с помощью /permissions
. Этот интерфейс перечисляет все правила разрешений и файл settings.json, из которого они получены.
- Правила Allow позволят Claude Code использовать указанный инструмент без дальнейшего ручного одобрения.
- Правила Ask будут запрашивать подтверждение у пользователя всякий раз, когда Claude Code пытается использовать указанный инструмент. Правила Ask имеют приоритет над правилами allow.
- Правила Deny предотвратят использование Claude Code указанного инструмента. Правила Deny имеют приоритет над правилами allow и ask.
- Дополнительные каталоги расширяют доступ Claude к файлам в каталогах за пределами начального рабочего каталога.
- Режим по умолчанию контролирует поведение разрешений Claude при встрече новых запросов.
Правила разрешений используют формат: Tool
или Tool(optional-specifier)
Правило, которое является только именем инструмента, соответствует любому использованию этого инструмента. Например, добавление Bash
в список правил allow позволит Claude Code использовать инструмент Bash без требования одобрения пользователя.
Режимы разрешений
Claude Code поддерживает несколько режимов разрешений, которые могут быть установлены как defaultMode
в файлах настроек:
Режим | Описание |
---|---|
default | Стандартное поведение - запрашивает разрешение при первом использовании каждого инструмента |
acceptEdits | Автоматически принимает разрешения на редактирование файлов для сессии |
plan | Режим планирования - Claude может анализировать, но не изменять файлы или выполнять команды |
bypassPermissions | Пропускает все запросы разрешений (требует безопасной среды - см. предупреждение ниже) |
Рабочие каталоги
По умолчанию Claude имеет доступ к файлам в каталоге, где он был запущен. Вы можете расширить этот доступ:
- При запуске: Используйте аргумент CLI
--add-dir <path>
- Во время сессии: Используйте slash-команду
/add-dir
- Постоянная конфигурация: Добавьте в
additionalDirectories
в файлах настроек
Файлы в дополнительных каталогах следуют тем же правилам разрешений, что и исходный рабочий каталог - они становятся читаемыми без запросов, а разрешения на редактирование файлов следуют текущему режиму разрешений.
Правила разрешений для конкретных инструментов
Некоторые инструменты поддерживают более детализированный контроль разрешений:
Bash
Bash(npm run build)
Соответствует точной Bash-командеnpm run build
Bash(npm run test:*)
Соответствует Bash-командам, начинающимся сnpm run test
.
Claude Code знает о shell-операторах (таких как &&
), поэтому правило соответствия префикса, такое как Bash(safe-cmd:*)
, не даст ему разрешение на выполнение команды safe-cmd && other-cmd
Read & Edit
Правила Edit
применяются ко всем встроенным инструментам, которые редактируют файлы. Claude приложит максимальные усилия для применения правил Read
ко всем встроенным инструментам, которые читают файлы, таким как Grep, Glob и LS.
Правила Read & Edit следуют спецификации gitignore. Шаблоны разрешаются относительно каталога, содержащего .claude/settings.json
. Для ссылки на абсолютный путь используйте //
. Для пути относительно вашего домашнего каталога используйте ~/
.
Edit(docs/**)
Соответствует редактированию файлов в каталогеdocs
вашего проектаRead(~/.zshrc)
Соответствует чтению вашего файла~/.zshrc
Edit(//tmp/scratch.txt)
Соответствует редактированию/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)
Соответствует запросам fetch к example.com
MCP
mcp__puppeteer
Соответствует любому инструменту, предоставляемому серверомpuppeteer
(имя настроено в Claude Code)mcp__puppeteer__puppeteer_navigate
Соответствует инструментуpuppeteer_navigate
, предоставляемому серверомpuppeteer
В отличие от других типов разрешений, разрешения MCP НЕ поддерживают подстановочные знаки (*
).
Чтобы одобрить все инструменты с MCP-сервера:
- ✅ Используйте:
mcp__github
(одобряет ВСЕ инструменты GitHub) - ❌ Не используйте:
mcp__github__*
(подстановочные знаки не поддерживаются)
Чтобы одобрить только конкретные инструменты, перечислите каждый:
- ✅ Используйте:
mcp__github__get_issue
- ✅ Используйте:
mcp__github__list_issues
Дополнительный контроль разрешений с помощью хуков
Хуки Claude Code предоставляют способ регистрации пользовательских shell-команд для выполнения оценки разрешений во время выполнения. Когда Claude Code делает вызов инструмента, хуки PreToolUse выполняются до запуска системы разрешений, и вывод хука может определить, одобрить или отклонить вызов инструмента вместо системы разрешений.
Настройки управляемой политики предприятия
Для корпоративных развертываний Claude Code мы поддерживаем настройки управляемой политики предприятия, которые имеют приоритет над пользовательскими и проектными настройками. Это позволяет системным администраторам обеспечивать соблюдение политик безопасности, которые пользователи не могут переопределить.
Системные администраторы могут развертывать политики в:
- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json
- Linux и WSL:
/etc/claude-code/managed-settings.json
- Windows:
C:\ProgramData\ClaudeCode\managed-settings.json
Эти файлы политик следуют тому же формату, что и обычные файлы настроек, но не могут быть переопределены пользовательскими или проектными настройками. Это обеспечивает последовательные политики безопасности во всей вашей организации.
Приоритет настроек
Когда существует несколько источников настроек, они применяются в следующем порядке (от наивысшего к наименьшему приоритету):
- Корпоративные политики
- Аргументы командной строки
- Локальные настройки проекта (
.claude/settings.local.json
) - Общие настройки проекта (
.claude/settings.json
) - Пользовательские настройки (
~/.claude/settings.json
)
Эта иерархия обеспечивает постоянное соблюдение организационных политик, при этом позволяя гибкость на уровне проекта и пользователя там, где это уместно.
Управление учетными данными
Claude Code безопасно управляет вашими учетными данными аутентификации:
- Место хранения: В macOS API-ключи, OAuth-токены и другие учетные данные хранятся в зашифрованной связке ключей macOS.
- Поддерживаемые типы аутентификации: Учетные данные Claude.ai, учетные данные Anthropic API, Bedrock Auth и Vertex Auth.
- Пользовательские скрипты учетных данных: Настройка
apiKeyHelper
может быть настроена для запуска shell-скрипта, который возвращает API-ключ. - Интервалы обновления: По умолчанию
apiKeyHelper
вызывается через 5 минут или при HTTP 401 ответе. Установите переменную окруженияCLAUDE_CODE_API_KEY_HELPER_TTL_MS
для пользовательских интервалов обновления.