Методы аутентификации

Настройка Claude Code требует доступа к моделям Anthropic. Для команд вы можете настроить доступ к Claude Code одним из трех способов:

  • Anthropic API через Anthropic Console
  • Amazon Bedrock
  • Google Vertex AI

Аутентификация Anthropic API

Чтобы настроить доступ к Claude Code для вашей команды через Anthropic API:

  1. Используйте существующую учетную запись Anthropic Console или создайте новую учетную запись Anthropic Console
  2. Вы можете добавить пользователей любым из следующих способов:
    • Массовое приглашение пользователей из Console (Console -> Settings -> Members -> Invite)
    • Настройка SSO
  3. При приглашении пользователей им нужна одна из следующих ролей:
    • Роль “Claude Code” означает, что пользователи могут создавать только API-ключи Claude Code
    • Роль “Developer” означает, что пользователи могут создавать любые типы API-ключей
  4. Каждый приглашенный пользователь должен выполнить следующие шаги:

Аутентификация облачного провайдера

Чтобы настроить доступ к Claude Code для вашей команды через Bedrock или Vertex:

  1. Следуйте документации Bedrock или документации Vertex
  2. Распространите переменные окружения и инструкции по генерации облачных учетных данных среди ваших пользователей. Узнайте больше о том, как управлять конфигурацией здесь.
  3. Пользователи могут установить Claude Code

Контроль доступа и разрешения

Мы поддерживаем детализированные разрешения, чтобы вы могли точно указать, что агенту разрешено делать (например, запускать тесты, запускать линтер) и что ему не разрешено делать (например, обновлять облачную инфраструктуру). Эти настройки разрешений могут быть зафиксированы в системе контроля версий и распространены среди всех разработчиков в вашей организации, а также настроены отдельными разработчиками.

Система разрешений

Claude Code использует многоуровневую систему разрешений для баланса мощности и безопасности:

Тип инструментаПримерТребуется одобрениеПоведение “Да, больше не спрашивать”
Только чтениеЧтение файлов, LS, GrepНетН/Д
Bash-командыВыполнение shellДаПостоянно для каталога проекта и команды
Изменение файловРедактирование/запись файловДаДо конца сессии

Настройка разрешений

Вы можете просматривать и управлять разрешениями инструментов Claude Code с помощью /permissions. Этот интерфейс перечисляет все правила разрешений и файл settings.json, из которого они получены.

  • Правила Allow позволят Claude Code использовать указанный инструмент без дополнительного ручного одобрения.
  • Правила Deny предотвратят использование Claude Code указанного инструмента. Правила Deny имеют приоритет над правилами Allow.

Правила разрешений используют формат: Tool(optional-specifier)

Правило, которое является только именем инструмента, соответствует любому использованию этого инструмента. Например, добавление Bash в список правил allow позволит Claude Code использовать инструмент Bash без требования одобрения пользователя.

Специфичные для инструментов правила разрешений

Некоторые инструменты используют дополнительный спецификатор для более детализированного контроля разрешений. Например, правило allow с Bash(git diff:*) позволит Bash-команды, которые начинаются с git diff. Следующие инструменты поддерживают правила разрешений со спецификаторами:

Bash

  • Bash(npm run build) Соответствует точной Bash-команде npm run build
  • Bash(npm run test:*) Соответствует Bash-командам, начинающимся с npm run test.

Claude Code знает о shell-операторах (таких как &&), поэтому правило соответствия префикса типа Bash(safe-cmd:*) не даст ему разрешение на выполнение команды safe-cmd && other-cmd

Read & Edit

Правила Edit применяются ко всем встроенным инструментам, которые редактируют файлы. Claude приложит максимальные усилия для применения правил Read ко всем встроенным инструментам, которые читают файлы, таким как Grep, Glob и LS.

Правила Read & Edit следуют спецификации gitignore. Шаблоны разрешаются относительно каталога, содержащего .claude/settings.json. Для ссылки на абсолютный путь используйте //. Для пути относительно вашего домашнего каталога используйте ~/.

  • Edit(docs/**) Соответствует редактированию файлов в каталоге docs вашего проекта
  • Read(~/.zshrc) Соответствует чтению вашего файла ~/.zshrc
  • Edit(//tmp/scratch.txt) Соответствует редактированию /tmp/scratch.txt

WebFetch

  • WebFetch(domain:example.com) Соответствует запросам fetch к example.com

MCP

  • mcp__puppeteer Соответствует любому инструменту, предоставляемому сервером puppeteer (имя настроено в Claude Code)
  • mcp__puppeteer__puppeteer_navigate Соответствует инструменту puppeteer_navigate, предоставляемому сервером puppeteer

Настройки корпоративной управляемой политики

Для корпоративных развертываний Claude Code мы поддерживаем настройки корпоративной управляемой политики, которые имеют приоритет над пользовательскими и проектными настройками. Это позволяет системным администраторам обеспечивать соблюдение политик безопасности, которые пользователи не могут переопределить.

Системные администраторы могут развертывать политики в:

  • macOS: /Library/Application Support/ClaudeCode/policies.json
  • Linux и Windows (через WSL): /etc/claude-code/policies.json

Эти файлы политик следуют тому же формату, что и обычные файлы настроек, но не могут быть переопределены пользовательскими или проектными настройками. Это обеспечивает последовательные политики безопасности в вашей организации.

Приоритет настроек

Когда существует несколько источников настроек, они применяются в следующем порядке (от высшего к низшему приоритету):

  1. Корпоративные политики
  2. Аргументы командной строки
  3. Локальные настройки проекта (.claude/settings.local.json)
  4. Общие настройки проекта (.claude/settings.json)
  5. Пользовательские настройки (~/.claude/settings.json)

Эта иерархия гарантирует, что организационные политики всегда соблюдаются, при этом все еще позволяя гибкость на уровне проекта и пользователя там, где это уместно.

Управление учетными данными

Claude Code поддерживает аутентификацию через учетные данные Claude.ai, учетные данные Anthropic API, Bedrock Auth и Vertex Auth. На macOS API-ключи, OAuth-токены и другие учетные данные хранятся в зашифрованной macOS Keychain. В качестве альтернативы настройка apiKeyHelper может быть установлена на shell-скрипт, который возвращает API-ключ. По умолчанию этот помощник вызывается через 5 минут или при HTTP 401 ответе; указание переменной окружения CLAUDE_CODE_API_KEY_HELPER_TTL_MS определяет пользовательский интервал обновления.