Métodos de autenticação

Configurar o Claude Code requer acesso aos modelos da Anthropic. Para equipes, você pode configurar o acesso ao Claude Code de uma das três maneiras:
  • Claude API via Claude Console
  • Amazon Bedrock
  • Google Vertex AI

Autenticação da Claude API

Para configurar o acesso ao Claude Code para sua equipe via Claude API:
  1. Use sua conta existente do Claude Console ou crie uma nova conta do Claude Console
  2. Você pode adicionar usuários através de qualquer um dos métodos abaixo:
    • Convidar usuários em massa de dentro do Console (Console -> Settings -> Members -> Invite)
    • Configurar SSO
  3. Ao convidar usuários, eles precisam de uma das seguintes funções:
    • A função “Claude Code” significa que os usuários só podem criar chaves de API do Claude Code
    • A função “Developer” significa que os usuários podem criar qualquer tipo de chave de API
  4. Cada usuário convidado precisa completar estas etapas:

Autenticação do provedor de nuvem

Para configurar o acesso ao Claude Code para sua equipe via Bedrock ou Vertex:
  1. Siga a documentação do Bedrock ou documentação do Vertex
  2. Distribua as variáveis de ambiente e instruções para gerar credenciais de nuvem para seus usuários. Leia mais sobre como gerenciar configuração aqui.
  3. Os usuários podem instalar Claude Code

Controle de acesso e permissões

Suportamos permissões granulares para que você possa especificar exatamente o que o agente tem permissão para fazer (ex: executar testes, executar linter) e o que não tem permissão para fazer (ex: atualizar infraestrutura de nuvem). Essas configurações de permissão podem ser incluídas no controle de versão e distribuídas para todos os desenvolvedores em sua organização, bem como personalizadas por desenvolvedores individuais.

Sistema de permissões

O Claude Code usa um sistema de permissões em camadas para equilibrar poder e segurança:
Tipo de FerramentaExemploAprovação NecessáriaComportamento “Sim, não pergunte novamente”
Somente leituraLeitura de arquivos, LS, GrepNãoN/A
Comandos BashExecução de shellSimPermanentemente por diretório de projeto e comando
Modificação de ArquivoEditar/escrever arquivosSimAté o fim da sessão

Configurando permissões

Você pode visualizar e gerenciar as permissões de ferramentas do Claude Code com /permissions. Esta UI lista todas as regras de permissão e o arquivo settings.json de onde elas são originadas.
  • Regras Allow permitirão que o Claude Code use a ferramenta especificada sem aprovação manual adicional.
  • Regras Ask perguntarão ao usuário para confirmação sempre que o Claude Code tentar usar a ferramenta especificada. Regras Ask têm precedência sobre regras allow.
  • Regras Deny impedirão que o Claude Code use a ferramenta especificada. Regras Deny têm precedência sobre regras allow e ask.
  • Diretórios adicionais estendem o acesso de arquivo do Claude para diretórios além do diretório de trabalho inicial.
  • Modo padrão controla o comportamento de permissão do Claude ao encontrar novas solicitações.
Regras de permissão usam o formato: Tool ou Tool(especificador-opcional) Uma regra que é apenas o nome da ferramenta corresponde a qualquer uso dessa ferramenta. Por exemplo, adicionar Bash à lista de regras allow permitiria que o Claude Code use a ferramenta Bash sem exigir aprovação do usuário.

Modos de permissão

O Claude Code suporta vários modos de permissão que podem ser definidos como defaultMode em arquivos de configurações:
ModoDescrição
defaultComportamento padrão - solicita permissão no primeiro uso de cada ferramenta
acceptEditsAceita automaticamente permissões de edição de arquivo para a sessão
planModo Plano - Claude pode analisar mas não modificar arquivos ou executar comandos
bypassPermissionsPula todos os prompts de permissão (requer ambiente seguro - veja aviso abaixo)

Diretórios de trabalho

Por padrão, Claude tem acesso a arquivos no diretório onde foi iniciado. Você pode estender este acesso:
  • Durante a inicialização: Use o argumento CLI --add-dir <path>
  • Durante a sessão: Use o comando slash /add-dir
  • Configuração persistente: Adicione a additionalDirectories em arquivos de configurações
Arquivos em diretórios adicionais seguem as mesmas regras de permissão que o diretório de trabalho original - eles se tornam legíveis sem prompts, e permissões de edição de arquivo seguem o modo de permissão atual.

Regras de permissão específicas de ferramenta

Algumas ferramentas suportam controles de permissão mais granulares: Bash
  • Bash(npm run build) Corresponde ao comando Bash exato npm run build
  • Bash(npm run test:*) Corresponde a comandos Bash que começam com npm run test
  • Bash(curl http://site.com/:*) Corresponde a comandos curl que começam exatamente com curl http://site.com/
O Claude Code está ciente de operadores de shell (como &&) então uma regra de correspondência de prefixo como Bash(safe-cmd:*) não dará permissão para executar o comando safe-cmd && other-cmd
Limitações importantes dos padrões de permissão Bash:
  1. Esta ferramenta usa correspondências de prefixo, não regex ou padrões glob
  2. O curinga :* só funciona no final de um padrão para corresponder a qualquer continuação
  3. Padrões como Bash(curl http://github.com/:*) podem ser contornados de muitas maneiras:
    • Opções antes da URL: curl -X GET http://github.com/... não corresponderá
    • Protocolo diferente: curl https://github.com/... não corresponderá
    • Redirecionamentos: curl -L http://bit.ly/xyz (redireciona para github)
    • Variáveis: URL=http://github.com && curl $URL não corresponderá
    • Espaços extras: curl http://github.com não corresponderá
Para filtragem de URL mais confiável, considere:
  • Usar a ferramenta WebFetch com permissão WebFetch(domain:github.com)
  • Instruir o Claude Code sobre seus padrões curl permitidos via CLAUDE.md
  • Usar hooks para validação de permissão personalizada
Read & Edit Regras Edit se aplicam a todas as ferramentas integradas que editam arquivos. Claude fará uma tentativa de melhor esforço para aplicar regras Read a todas as ferramentas integradas que leem arquivos como Grep, Glob e LS. Regras Read & Edit seguem a especificação gitignore com quatro tipos de padrão distintos:
PadrãoSignificadoExemploCorresponde
//pathCaminho absoluto da raiz do sistema de arquivosRead(//Users/alice/secrets/**)/Users/alice/secrets/**
~/pathCaminho do diretório homeRead(~/Documents/*.pdf)/Users/alice/Documents/*.pdf
/pathCaminho relativo ao arquivo de configuraçõesEdit(/src/**/*.ts)<caminho do arquivo de configurações>/src/**/*.ts
path ou ./pathCaminho relativo ao diretório atualRead(*.env)<cwd>/*.env
Um padrão como /Users/alice/file NÃO é um caminho absoluto - é relativo ao seu arquivo de configurações! Use //Users/alice/file para caminhos absolutos.
  • Edit(/docs/**) - Edições em <projeto>/docs/ (NÃO /docs/!)
  • Read(~/.zshrc) - Lê o .zshrc do seu diretório home
  • Edit(//tmp/scratch.txt) - Edita o caminho absoluto /tmp/scratch.txt
  • Read(src/**) - Lê de <diretório-atual>/src/
WebFetch
  • WebFetch(domain:example.com) Corresponde a solicitações de fetch para example.com
MCP
  • mcp__puppeteer Corresponde a qualquer ferramenta fornecida pelo servidor puppeteer (nome configurado no Claude Code)
  • mcp__puppeteer__puppeteer_navigate Corresponde à ferramenta puppeteer_navigate fornecida pelo servidor puppeteer
Ao contrário de outros tipos de permissão, permissões MCP NÃO suportam curingas (*).Para aprovar todas as ferramentas de um servidor MCP:
  • ✅ Use: mcp__github (aprova TODAS as ferramentas GitHub)
  • ❌ Não use: mcp__github__* (curingas não são suportados)
Para aprovar apenas ferramentas específicas, liste cada uma:
  • ✅ Use: mcp__github__get_issue
  • ✅ Use: mcp__github__list_issues

Controle de permissão adicional com hooks

Hooks do Claude Code fornecem uma maneira de registrar comandos shell personalizados para realizar avaliação de permissão em tempo de execução. Quando o Claude Code faz uma chamada de ferramenta, hooks PreToolUse executam antes do sistema de permissões executar, e a saída do hook pode determinar se deve aprovar ou negar a chamada da ferramenta no lugar do sistema de permissões.

Configurações de política gerenciada empresarial

Para implantações empresariais do Claude Code, suportamos configurações de política gerenciada empresarial que têm precedência sobre configurações de usuário e projeto. Isso permite que administradores de sistema imponham políticas de segurança que os usuários não podem sobrescrever. Administradores de sistema podem implantar políticas para:
  • macOS: /Library/Application Support/ClaudeCode/managed-settings.json
  • Linux e WSL: /etc/claude-code/managed-settings.json
  • Windows: C:\ProgramData\ClaudeCode\managed-settings.json
Esses arquivos de política seguem o mesmo formato que arquivos de configurações regulares, mas não podem ser sobrescritos por configurações de usuário ou projeto. Isso garante políticas de segurança consistentes em toda sua organização.

Precedência de configurações

Quando múltiplas fontes de configurações existem, elas são aplicadas na seguinte ordem (maior para menor precedência):
  1. Políticas empresariais
  2. Argumentos de linha de comando
  3. Configurações de projeto local (.claude/settings.local.json)
  4. Configurações de projeto compartilhado (.claude/settings.json)
  5. Configurações de usuário (~/.claude/settings.json)
Esta hierarquia garante que políticas organizacionais sejam sempre aplicadas enquanto ainda permite flexibilidade nos níveis de projeto e usuário onde apropriado.

Gerenciamento de credenciais

O Claude Code gerencia com segurança suas credenciais de autenticação:
  • Local de armazenamento: No macOS, chaves de API, tokens OAuth e outras credenciais são armazenadas no Keychain criptografado do macOS.
  • Tipos de autenticação suportados: Credenciais Claude.ai, credenciais Claude API, Bedrock Auth e Vertex Auth.
  • Scripts de credencial personalizados: A configuração apiKeyHelper pode ser configurada para executar um script shell que retorna uma chave de API.
  • Intervalos de atualização: Por padrão, apiKeyHelper é chamado após 5 minutos ou em resposta HTTP 401. Defina a variável de ambiente CLAUDE_CODE_API_KEY_HELPER_TTL_MS para intervalos de atualização personalizados.