Métodos de autenticación
Configurar Claude Code requiere acceso a modelos de Anthropic. Para equipos, puedes configurar el acceso a Claude Code de una de tres formas:
- Claude API a través de la Consola Claude
- Amazon Bedrock
- Google Vertex AI
Autenticación de Claude API
Para configurar el acceso a Claude Code para tu equipo a través de Claude API:
- Usa tu cuenta existente de Consola Claude o crea una nueva cuenta de Consola Claude
- Puedes agregar usuarios a través de cualquiera de los métodos siguientes:
- Invitar usuarios en masa desde dentro de la Consola (Consola -> Configuración -> Miembros -> Invitar)
- Configurar SSO
- Al invitar usuarios, necesitan uno de los siguientes roles:
- El rol “Claude Code” significa que los usuarios solo pueden crear claves de API de Claude Code
- El rol “Developer” significa que los usuarios pueden crear cualquier tipo de clave de API
- Cada usuario invitado necesita completar estos pasos:
Autenticación del proveedor de nube
Para configurar el acceso a Claude Code para tu equipo a través de Bedrock o Vertex:
- Sigue la documentación de Bedrock o la documentación de Vertex
- Distribuye las variables de entorno e instrucciones para generar credenciales de nube a tus usuarios. Lee más sobre cómo gestionar la configuración aquí.
- Los usuarios pueden instalar Claude Code
Control de acceso y permisos
Soportamos permisos granulares para que puedas especificar exactamente qué puede hacer el agente (por ejemplo, ejecutar pruebas, ejecutar linter) y qué no puede hacer (por ejemplo, actualizar infraestructura en la nube). Estos ajustes de permisos pueden verificarse en el control de versiones y distribuirse a todos los desarrolladores en tu organización, así como personalizarse por desarrolladores individuales.
Sistema de permisos
Claude Code utiliza un sistema de permisos escalonado para equilibrar poder y seguridad:
| Tipo de Herramienta | Ejemplo | Se Requiere Aprobación | Comportamiento de “Sí, no preguntar de nuevo” |
|---|
| Solo lectura | Lecturas de archivo, LS, Grep | No | N/A |
| Comandos Bash | Ejecución de shell | Sí | Permanentemente por directorio de proyecto y comando |
| Modificación de Archivo | Editar/escribir archivos | Sí | Hasta el final de la sesión |
Configuración de permisos
Puedes ver y gestionar los permisos de herramientas de Claude Code con /permissions. Esta interfaz de usuario enumera todas las reglas de permisos y el archivo settings.json del que se obtienen.
- Las reglas Allow permitirán que Claude Code use la herramienta especificada sin aprobación manual adicional.
- Las reglas Ask pedirán confirmación al usuario cada vez que Claude Code intente usar la herramienta especificada. Las reglas Ask tienen precedencia sobre las reglas Allow.
- Las reglas Deny evitarán que Claude Code use la herramienta especificada. Las reglas Deny tienen precedencia sobre las reglas Allow y Ask.
- Directorios adicionales extienden el acceso de archivos de Claude a directorios más allá del directorio de trabajo inicial.
- Modo predeterminado controla el comportamiento de permisos de Claude cuando encuentra nuevas solicitudes.
Las reglas de permisos usan el formato: Tool o Tool(optional-specifier)
Una regla que es solo el nombre de la herramienta coincide con cualquier uso de esa herramienta. Por ejemplo, agregar Bash a la lista de reglas de permitir permitiría que Claude Code use la herramienta Bash sin requerir aprobación del usuario.
Modos de permisos
Claude Code soporta varios modos de permisos que pueden establecerse como defaultMode en archivos de configuración:
| Modo | Descripción |
|---|
default | Comportamiento estándar - solicita permiso en el primer uso de cada herramienta |
acceptEdits | Acepta automáticamente permisos de edición de archivo para la sesión |
plan | Modo Plan - Claude puede analizar pero no modificar archivos o ejecutar comandos |
bypassPermissions | Omite todos los avisos de permisos (requiere entorno seguro - ver advertencia a continuación) |
Directorios de trabajo
Por defecto, Claude tiene acceso a archivos en el directorio donde fue lanzado. Puedes extender este acceso:
- Durante el inicio: Usa el argumento CLI
--add-dir <path>
- Durante la sesión: Usa el comando de barra
/add-dir
- Configuración persistente: Agrega a
additionalDirectories en archivos de configuración
Los archivos en directorios adicionales siguen las mismas reglas de permisos que el directorio de trabajo original - se vuelven legibles sin avisos, y los permisos de edición de archivo siguen el modo de permisos actual.
Reglas de permisos específicas de herramientas
Algunas herramientas soportan controles de permisos más granulares:
Bash
Bash(npm run build) Coincide con el comando Bash exacto npm run buildBash(npm run test:*) Coincide con comandos Bash que comienzan con npm run testBash(curl http://site.com/:*) Coincide con comandos curl que comienzan exactamente con curl http://site.com/
Claude Code es consciente de los operadores de shell (como &&) por lo que una regla de coincidencia de prefijo como Bash(safe-cmd:*) no le dará permiso para ejecutar el comando safe-cmd && other-cmd
Limitaciones importantes de los patrones de permisos de Bash:
- Esta herramienta utiliza coincidencias de prefijo, no patrones regex o glob
- El comodín
:* solo funciona al final de un patrón para coincidir con cualquier continuación
- Patrones como
Bash(curl http://github.com/:*) pueden ser eludidos de muchas formas:
- Opciones antes de URL:
curl -X GET http://github.com/... no coincidirá
- Protocolo diferente:
curl https://github.com/... no coincidirá
- Redirecciones:
curl -L http://bit.ly/xyz (redirige a github)
- Variables:
URL=http://github.com && curl $URL no coincidirá
- Espacios adicionales:
curl http://github.com no coincidirá
Para un filtrado de URL más confiable, considera:
- Usar la herramienta WebFetch con permiso
WebFetch(domain:github.com)
- Instruir a Claude Code sobre tus patrones de curl permitidos a través de CLAUDE.md
- Usar hooks para validación de permisos personalizada
Edit se aplican a todas las herramientas integradas que editan archivos. Claude hará un esfuerzo de mejor intento para aplicar reglas Read a todas las herramientas integradas que leen archivos como Grep, Glob y LS.
Las reglas Read & Edit siguen la especificación gitignore con cuatro tipos de patrones distintos:
| Patrón | Significado | Ejemplo | Coincide |
|---|
//path | Ruta absoluta desde la raíz del sistema de archivos | Read(//Users/alice/secrets/**) | /Users/alice/secrets/** |
~/path | Ruta desde el directorio home | Read(~/Documents/*.pdf) | /Users/alice/Documents/*.pdf |
/path | Ruta relativa al archivo de configuración | Edit(/src/**/*.ts) | <ruta del archivo de configuración>/src/**/*.ts |
path o ./path | Ruta relativa al directorio actual | Read(*.env) | <cwd>/*.env |
Un patrón como /Users/alice/file NO es una ruta absoluta - ¡es relativa a tu archivo de configuración! Usa //Users/alice/file para rutas absolutas.
Edit(/docs/**) - Edita en <proyecto>/docs/ (¡NO /docs/!)Read(~/.zshrc) - Lee el .zshrc de tu directorio homeEdit(//tmp/scratch.txt) - Edita la ruta absoluta /tmp/scratch.txtRead(src/**) - Lee desde <directorio-actual>/src/
WebFetch
WebFetch(domain:example.com) Coincide con solicitudes de fetch a example.com
MCP
mcp__puppeteer Coincide con cualquier herramienta proporcionada por el servidor puppeteer (nombre configurado en Claude Code)mcp__puppeteer__puppeteer_navigate Coincide con la herramienta puppeteer_navigate proporcionada por el servidor puppeteer
A diferencia de otros tipos de permisos, los permisos de MCP NO soportan comodines (*).Para aprobar todas las herramientas de un servidor MCP:
- ✅ Usa:
mcp__github (aprueba TODAS las herramientas de GitHub)
- ❌ No uses:
mcp__github__* (los comodines no son soportados)
Para aprobar solo herramientas específicas, enumera cada una:
- ✅ Usa:
mcp__github__get_issue
- ✅ Usa:
mcp__github__list_issues
Control de permisos adicional con hooks
Los hooks de Claude Code proporcionan una forma de registrar comandos de shell personalizados para realizar evaluación de permisos en tiempo de ejecución. Cuando Claude Code realiza una llamada de herramienta, los hooks PreToolUse se ejecutan antes de que se ejecute el sistema de permisos, y la salida del hook puede determinar si se aprueba o se deniega la llamada de herramienta en lugar del sistema de permisos.
Configuración de política gestionada por empresa
Para implementaciones empresariales de Claude Code, soportamos configuraciones de política gestionadas por empresa que tienen precedencia sobre la configuración de usuario y proyecto. Esto permite que los administradores del sistema apliquen políticas de seguridad que los usuarios no pueden anular.
Los administradores del sistema pueden implementar políticas en:
- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json
- Linux y WSL:
/etc/claude-code/managed-settings.json
- Windows:
C:\ProgramData\ClaudeCode\managed-settings.json
Estos archivos de política siguen el mismo formato que los archivos de configuración regulares pero no pueden ser anulados por la configuración de usuario o proyecto. Esto asegura políticas de seguridad consistentes en toda tu organización.
Precedencia de configuración
Cuando existen múltiples fuentes de configuración, se aplican en el siguiente orden (precedencia de mayor a menor):
- Políticas empresariales
- Argumentos de línea de comandos
- Configuración de proyecto local (
.claude/settings.local.json)
- Configuración de proyecto compartido (
.claude/settings.json)
- Configuración de usuario (
~/.claude/settings.json)
Esta jerarquía asegura que las políticas organizacionales siempre se apliquen mientras aún se permite flexibilidad en los niveles de proyecto y usuario donde sea apropiado.
Gestión de credenciales
Claude Code gestiona de forma segura tus credenciales de autenticación:
- Ubicación de almacenamiento: En macOS, las claves de API, tokens de OAuth y otras credenciales se almacenan en el Keychain de macOS encriptado.
- Tipos de autenticación soportados: Credenciales de Claude.ai, credenciales de Claude API, Bedrock Auth y Vertex Auth.
- Scripts de credenciales personalizados: La configuración
apiKeyHelper puede configurarse para ejecutar un script de shell que devuelva una clave de API.
- Intervalos de actualización: Por defecto,
apiKeyHelper se llama después de 5 minutos o en respuesta HTTP 401. Establece la variable de entorno CLAUDE_CODE_API_KEY_HELPER_TTL_MS para intervalos de actualización personalizados.
