Codex CLI『このセッションのみ承認』実践ガイド - 5分で安全な一時自動化¶
この記事の対象者
- Codex CLI基本操作を理解済みで
- セッション限定の承認効率化を求める開発者
この記事のポイント¶
- セッション開始時に1回承認し、完了まで自動実行
config.tomlを編集せず、コマンド実行時のみ適用- 作業終了後は通常モードへ自動復帰(設定残留リスクゼロ)
なぜこの問題が今重要か¶
既存の--full-auto記事は永続設定に焦点を当てており、「今回だけ承認をスキップしたい」という一時的ニーズには未対応。リファクタリングやテスト修正など、短時間で完結する作業での承認疲労が課題となっている。
解決ステップ概要¶
| ステップ | 内容 | 到達指標 |
|---|---|---|
| 1 | 対話開始時に承認モード指定 | プロンプト表示なし |
| 2 | 作業完了確認 | タスク終了 |
| 3 | 次回実行で通常モード復帰 | 承認プロンプト再表示 |
ステップ1: セッション限定承認の起動¶
最もシンプルな方法は-a never(承認なし)と-s workspace-write(書き込み範囲制限)の組み合わせです:
codex -a never -s workspace-write "テストファイルのエラーを全て修正"
動作詳細: - -a never: このセッション中の全ツール実行を自動承認 - -s workspace-write: ワークスペース内のみ書き込み可(システムファイル保護) - セッション終了後は設定が残らない(次回は通常の承認モード)
ステップ2: ネットワークアクセスが必要な場合¶
パッケージインストールやAPI呼び出しを含む作業では、ネットワーク許可を追加します:
codex -a never -s workspace-write \
-c 'sandbox_workspace_write.network_access=true' \
"依存関係を更新してマイグレーション実行"
推奨利用シーン: - npm/pip パッケージ更新 - リモートAPI連携テスト - 外部データソース取得
ステップ3: 完全自動化(デバッグ時のみ推奨)¶
システム全体への書き込みが必要な場合はdanger-full-accessを使用:
codex -a never -s danger-full-access \
"ログファイルを/var/logへ出力"
セキュリティ注意
danger-full-accessは通常の開発では非推奨。Docker内や専用VMでの実行を推奨します。
よくある落とし穴と対処¶
| 症状 | 原因 | 即時対処 |
|---|---|---|
| ネットワークエラーで停止 | -cフラグ未指定 | 上記ステップ2のコマンド使用 |
| システムファイルへの書き込み失敗 | サンドボックス制限 | 必要性を再検証→VM利用を検討 |
| 次回起動時も自動承認される | 環境変数が残留 | unset CODEX_APPROVAL_MODE実行 |
詳細設定(プロファイル利用)
頻繁に同じ設定を使う場合は`config.toml`に`[profiles.session-auto]`でプロファイル登録し、`codex --profile session-auto`で起動可能。ただし永続設定となるため、本記事の「一時性」メリットは失われる点に注意。詳細は[自動承認モード完全ガイド](./codex-cli-approval-modes-no-approval.md)参照。永続設定との使い分け¶
| シチュエーション | 推奨方法 | 理由 |
|---|---|---|
| 1日複数回の定型作業 | config.tomlプロファイル | 設定の再入力を削減 |
| 単発リファクタリング | 本記事の-a neverコマンド | 設定残留リスク回避 |
| CI/CD自動化 | --full-autoまたは環境変数 | 再現性と監査ログ |
次に読む¶
- Codex CLI 自動承認モード完全ガイド - 永続設定の詳細
- Codex CLI ベストプラクティス - セキュリティガイドライン