身份與存取管理
了解如何為您的組織配置 Claude Code 的使用者驗證、授權和存取控制。
驗證方法
設定 Claude Code 需要存取 Anthropic 模型。對於團隊,您可以透過以下三種方式之一設定 Claude Code 存取:
- 透過 Anthropic Console 的 Anthropic API
- Amazon Bedrock
- Google Vertex AI
Anthropic API 驗證
透過 Anthropic API 為您的團隊設定 Claude Code 存取:
- 使用您現有的 Anthropic Console 帳戶或建立新的 Anthropic Console 帳戶
- 您可以透過以下任一方法新增使用者:
- 從 Console 內批量邀請使用者(Console -> Settings -> Members -> Invite)
- 設定 SSO
- 邀請使用者時,他們需要以下角色之一:
- “Claude Code” 角色表示使用者只能建立 Claude Code API 金鑰
- “Developer” 角色表示使用者可以建立任何類型的 API 金鑰
- 每個受邀使用者需要完成以下步驟:
- 接受 Console 邀請
- 檢查系統需求
- 安裝 Claude Code
- 使用 Console 帳戶憑證登入
雲端提供商驗證
透過 Bedrock 或 Vertex 為您的團隊設定 Claude Code 存取:
- 遵循 Bedrock 文件 或 Vertex 文件
- 將環境變數和產生雲端憑證的指示分發給您的使用者。閱讀更多關於如何在此處管理配置。
- 使用者可以安裝 Claude Code
存取控制和權限
我們支援細粒度權限,讓您能夠精確指定代理程式被允許執行的操作(例如執行測試、執行 linter)以及不被允許執行的操作(例如更新雲端基礎設施)。這些權限設定可以檢入版本控制並分發給組織中的所有開發人員,也可以由個別開發人員自訂。
權限系統
Claude Code 使用分層權限系統來平衡功能和安全性:
| 工具類型 | 範例 | 需要批准 | ”是,不要再詢問” 行為 |
|---|---|---|---|
| 唯讀 | 檔案讀取、LS、Grep | 否 | 不適用 |
| Bash 命令 | Shell 執行 | 是 | 每個專案目錄和命令永久生效 |
| 檔案修改 | 編輯/寫入檔案 | 是 | 直到會話結束 |
配置權限
您可以使用 /permissions 檢視和管理 Claude Code 的工具權限。此 UI 列出所有權限規則和它們來源的 settings.json 檔案。
- 允許 規則將允許 Claude Code 使用指定的工具而無需進一步的手動批准。
- 拒絕 規則將阻止 Claude Code 使用指定的工具。拒絕規則優先於允許規則。
權限規則使用格式:Tool(optional-specifier)
僅為工具名稱的規則匹配該工具的任何使用。例如,將 Bash 新增到允許規則清單中將允許 Claude Code 使用 Bash 工具而無需使用者批准。
工具特定權限規則
某些工具使用可選指定符進行更細粒度的權限控制。例如,帶有 Bash(git diff:*) 的允許規則將允許以 git diff 開頭的 Bash 命令。以下工具支援帶有指定符的權限規則:
Bash
Bash(npm run build)匹配確切的 Bash 命令npm run buildBash(npm run test:*)匹配以npm run test開頭的 Bash 命令。
Claude Code 了解 shell 運算子(如 &&),因此像 Bash(safe-cmd:*) 這樣的前綴匹配規則不會給它執行命令 safe-cmd && other-cmd 的權限
Read & Edit
Edit 規則適用於所有編輯檔案的內建工具。Claude 將盡力嘗試將 Read 規則應用於所有讀取檔案的內建工具,如 Grep、Glob 和 LS。
Read & Edit 規則都遵循 gitignore 規範。模式相對於包含 .claude/settings.json 的目錄解析。要引用絕對路徑,請使用 //。對於相對於您主目錄的路徑,請使用 ~/。
Edit(docs/**)匹配對專案docs目錄中檔案的編輯Read(~/.zshrc)匹配對您的~/.zshrc檔案的讀取Edit(//tmp/scratch.txt)匹配對/tmp/scratch.txt的編輯
WebFetch
WebFetch(domain:example.com)匹配對 example.com 的獲取請求
MCP
mcp__puppeteer匹配由puppeteer伺服器提供的任何工具(在 Claude Code 中配置的名稱)mcp__puppeteer__puppeteer_navigate匹配由puppeteer伺服器提供的puppeteer_navigate工具
企業管理政策設定
對於 Claude Code 的企業部署,我們支援企業管理政策設定,這些設定優先於使用者和專案設定。這允許系統管理員強制執行使用者無法覆蓋的安全政策。
系統管理員可以將政策部署到:
- macOS:
/Library/Application Support/ClaudeCode/policies.json - Linux 和 Windows(透過 WSL):
/etc/claude-code/policies.json
這些政策檔案遵循與常規設定檔案相同的格式,但不能被使用者或專案設定覆蓋。這確保了整個組織的一致安全政策。
設定優先順序
當存在多個設定來源時,它們按以下順序應用(從最高到最低優先順序):
- 企業政策
- 命令列參數
- 本地專案設定(
.claude/settings.local.json) - 共享專案設定(
.claude/settings.json) - 使用者設定(
~/.claude/settings.json)
此層次結構確保組織政策始終得到執行,同時在適當的情況下仍允許專案和使用者層級的靈活性。
憑證管理
Claude Code 支援透過 Claude.ai 憑證、Anthropic API 憑證、Bedrock Auth 和 Vertex Auth 進行驗證。在 macOS 上,API 金鑰、OAuth 權杖和其他憑證儲存在加密的 macOS Keychain 中。或者,可以將設定 apiKeyHelper 設定為返回 API 金鑰的 shell 腳本。預設情況下,此助手在 5 分鐘後或在 HTTP 401 回應時被呼叫;指定環境變數 CLAUDE_CODE_API_KEY_HELPER_TTL_MS 定義自訂重新整理間隔。