Отключение или ограничение GitHub Actions для вашей организации

Сведения о разрешениях GitHub Actions для вашей организации

По умолчанию после включения GitHub Actions для GitHub Enterprise Server, он включен для всех репозиториев и организаций. Вы можете отключить GitHub Actions или ограничить его действиями в enterprise. Дополнительные сведения о GitHub Actionsсм. в разделе Написание рабочих процессов.

Вы можете включить GitHub Actions для всех репозиториев в организации. Если включить GitHub Actions, рабочие процессы могут выполнять действия в репозитории и любой другой public или internal репозитория. Вы можете отключить GitHub Actions для всех репозиториев в организации. При отключении GitHub Actions рабочие процессы в репозитории не выполняются.

Кроме того, можно включить GitHub Actions для всех репозиториев в организации, но при этом ограничить действия , которые могут выполняться рабочим процессом.

Управление разрешениями GitHub Actions для организации

Вы можете отключить GitHub Actions для всех репозиториев в вашей организации или разрешить только для определенных репозиториев. Вы также можете ограничить использование общедоступных действий, чтобы пользователи могли использовать только локальные действия в enterprise.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе "Политики" выберите параметр.

   Если выбрать Allow select actions, действия в пределах enterprise разрешены, и существуют дополнительные параметры для разрешения других конкретных действий. Дополнительные сведения см. в разделе "Разрешить выбор действий для выполнения.

   Если включить закрепление действий на полную длину фиксации SHA, все действия должны быть закреплены на полной длине фиксации SHA для использования. Это включает действия из enterprise и действия, созданные GitHub. Дополнительные сведения см. в разделе Справочник по безопасному использованию.

6. Нажмите кнопку Сохранить.

Разрешение выполнения выбранных действий

При выборе Allow select actions разрешаются локальные действия. Для разрешения других конкретных действий доступны дополнительные параметры:

• Разрешить действия, созданные с помощью GitHub: все действия, созданные с помощью GitHub, можно разрешить использовать рабочими процессами. Действия, созданные с помощью GitHub, находятся в actions и в организациях github. Дополнительные сведения см. в actions и организациях github.

• Разрешить действия Marketplace проверенным создателям: Этот параметр доступен, если у вас есть GitHub Connect включено и настроено с помощью GitHub Actions. Дополнительные сведения см. в разделе Включение автоматического доступа к GitHub.com действиям с помощью GitHub Connect. Можно разрешить все действия GitHub Marketplace , созданные проверенными создателями, которые будут использоваться рабочими процессами. Когда GitHub проверит автора действия в качестве партнерской организации, рядом с действием в GitHub Marketplace появится значок .

• Разрешить или block указанные действия: можно ограничить рабочие процессы для использования действий в определенных организациях и репозиториях. Указанные действия нельзя задать более 1000.

  Чтобы ограничить доступ к определенным тегам или зафиксировать SHA действия, используйте синтаксис для выбора действия в рабочих процессах.

  • Для действия используется синтаксис OWNER/REPOSITORY@TAG-OR-SHA. Например, используйте actions/javascript-action@v1.0.1, чтобы выбрать тег или actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f для выбора SHA. Дополнительные сведения см. в разделе Использование стандартных блоков в рабочем процессе.

  Подстановочный знак * можно использовать для сопоставления шаблонов. Например, чтобы разрешить все действия в организациях, начинающихся на space-org, можно указать space-org*/*. Чтобы разрешить все действия в репозиториях, начинающихся на octocat, можно использовать */octocat**@*. Дополнительные сведения об использовании подстановочного * знака см. в разделе Синтаксис рабочего процесса для GitHub Actions.

  Используется , для разделения шаблонов. Например, чтобы разрешить все действия из и octocat``octokit организаций, можно указать octocat/*, octokit/*.

  Используйте ! префикс для блокировки шаблонов. Например, чтобы разрешить все действия из space-org организации, но заблокировать определенное действие, например space-org/action, можно указать space-org/*, !space-org/action@*. По умолчанию разрешены только действия в списке. Чтобы разрешить все действия и блокировать определенные действия, можно указать *, !space-org/action@*.

В этой процедуре показано, как добавить в список определенные действия в список.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе "Политики" выберите Allow select actions и добавьте в список необходимые действия.

6. Нажмите кнопку Сохранить.

Ограничение использования локальных модулей выполнения

Нет никакой гарантии, что локальные модули выполнения для GitHub будут размещаться на временных виртуальных машинах. В результате они могут быть скомпрометированы ненадежным кодом в рабочем процессе.

Аналогичным образом, любой пользователь, который может вилировать репозиторий и открыть запрос на вытягивание (как правило, те, кто имеет доступ на чтение к репозиторию), может скомпрометировать локальную среду выполнения, включая получение доступа к секретам и GITHUB_TOKEN тем, что в зависимости от его параметров может предоставить доступ на запись в репозиторий. Хотя рабочие процессы могут контролировать доступ к секретам окружения с помощью окружений и обязательных проверок, эти рабочие процессы не запускаются в изолированном окружении и по-прежнему подвержены тем же рискам при запуске в средстве выполнения тестов локального размещения.

По этим и другим причинам вы можете запретить пользователям создавать локальные модули выполнения на уровне репозитория.

Если репозиторий уже имеет локальные модули выполнения при отключении их использования, они будут перечислены с состоянием "Отключено", и они не будут назначены новым заданиям рабочего процесса.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе "Runners" используйте раскрывающееся меню, чтобы выбрать предпочитаемый параметр:

   • Все репозитории — локальные модули выполнения можно использовать для любого репозитория в вашей организации.
   • Выбранные репозитории — локальные средства выполнения можно использовать только для выбранных репозиториев.

   ---

          ** Отключено. Не удается создать локальные модули выполнения на уровне репозитория.
   

6. Если выбрать выбранные репозитории:

   1. Щелкните .
   2. Установите флажки для репозиториев, для которых требуется разрешить локальные модули выполнения.
   3. Щелкните "Выбрать репозитории".

Включение рабочих процессов для частных вилок репозитория

Если вы используете вилки частных репозиториев, можно настроить политики для управления тем, как пользователи могут запускать рабочие процессы при наступлении событий pull_request. Доступно только для частных и внутренних репозиториев, эти параметры политики можно настроить для your enterprise, организаций или репозиториев.

Если политика отключена для предприятия, ее нельзя включить для организаций. Если политика отключена для организации, ее нельзя включить для репозиториев. Если организация включает политику, ее можно отключить для отдельных репозиториев.

• Выполнять рабочие процессы из запросов на включение внесенных изменений в вилке репозитория — позволяет пользователям запускать рабочие процессы из запросов на включение внесенных изменений в вилке репозитория с помощью GITHUB_TOKEN с разрешением только для чтения и без доступа к секретам.
• Отправлять маркеры записи в рабочие процессы из запросов на включение внесенных изменений — позволяет выполнять запросы на включение внесенных изменений в вилке репозитория для использования GITHUB_TOKEN с разрешением на запись.
• Отправлять секреты в рабочие процессы из запросов на включение внесенных изменений — делает доступными все секреты для запроса на включение внесенных изменений.
• Требовать утверждение для рабочих процессов запроса на вытягивание вилки . Рабочий процесс выполняется при запросах на вытягивание от участников совместной работы без разрешения на запись, для выполнения которых требуется утверждение от кого-либо с разрешением на запись.

Настройка политики частной вилки для организации

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе Рабочие процессы запроса на вытягивание выберите нужные параметры.

6. Нажмите Сохранить, чтобы применить настроенные параметры.

Настройка разрешений GITHUB_TOKEN для организации

Вы можете задать разрешения по умолчанию, предоставляемые параметру GITHUB_TOKEN. Дополнительные сведения см. в GITHUB_TOKENразделе Использование GITHUB_TOKEN для проверки подлинности в рабочих процессах. Вы можете выбрать ограниченный набор разрешений, принимаемые по умолчанию, или применить разрешающие параметры.

Вы можете задать разрешения по умолчанию для GITHUB_TOKEN в параметрах организаций или репозиториев. Если выбрать параметр с ограниченным доступом в качестве значения по умолчанию в параметрах организации, этот же параметр будет выбран в параметрах репозиториев в организации, а разрешительный параметр будет отключен. Если организация принадлежит к учетной записи GitHub Enterprise, а в параметрах предприятия выбрано значение по умолчанию с большими ограничениями, вы не сможете выбрать значение по умолчанию с меньшими ограничениями в параметрах организации.

Любой пользователь с доступом на запись в репозиторий может изменить разрешения, предоставленные GITHUB_TOKEN, добавляя или удаляя разрешения на доступ по мере необходимости путем редактирования ключа permissions в файле рабочего процесса. Дополнительные сведения см. в разделе permissions.

Настройка разрешений GITHUB_TOKEN по умолчанию

По умолчанию при создании новой организации параметр наследуется от того, что настроено в параметрах предприятия.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

6. В разделе "Разрешения рабочего процесса" выберите, требуется GITHUB_TOKEN ли иметь доступ на чтение и запись для всех разрешений (предупредный параметр) или просто доступ на чтение для contents и packages разрешений (ограниченный параметр).

7. Нажмите Сохранить, чтобы применить настроенные параметры.

Запрет GitHub Actions создавать или утверждать запросы на вытягивание

Вы можете разрешить или запретить рабочим процессам GitHub Actions создавать или утверждать запросы на вытягивание.

По умолчанию при создании новой организации рабочие процессы не могут создавать или утверждать запросы на вытягивание.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

6. В разделе «Разрешения рабочего процесса» используйте Allow GitHub Actions для создания и утверждения pull request чтобы настроить, может ли GITHUB_TOKEN создавать и одобрять pull request.

7. Нажмите Сохранить, чтобы применить настроенные параметры.

Управление хранилищем кэша GitHub Actions для вашей организации

Администраторы организации могут просматривать и управлять GitHub Actions кэша хранилища для всех репозиториев в организации.

Просмотр хранилища кэша GitHub Actions по репозиторию

Для каждого репозитория в организации можно узнать, сколько хранилища кэша используется репозиторий, количество активных кэшей и если репозиторий приближается к общему ограничению размера кэша. Дополнительные сведения об использовании кэша и процессе вытеснения см. в разделе Справочник по кэшированию зависимостей.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Кэши".

6. Просмотрите список репозиториев для получения сведений об их кэшах GitHub Actions. Вы можете щелкнуть имя репозитория, чтобы узнать больше о кэшах репозитория.

Настройка хранилища кэша GitHub Actions для организации

По умолчанию общее хранилище кэша, которое GitHub Actions используется во внешнем хранилище для GitHub ограничено не более 10 ГБ на репозиторий, а максимальный допустимый размер, который можно задать для репозитория, составляет 25 ГБ.

Можно настроить ограничение размера для кэшей GitHub Actions, которые будут применяться к каждому репозиторию в вашей организации. Ограничение размера кэша для организации не может превышать предельный размер кэша, заданный в корпоративной политике. Администраторы репозитория смогут задать меньшее ограничение в репозиториях.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

6. В разделе " Ограничение размера кэша" введите новое значение.

7. Нажмите Сохранить, чтобы применить изменения.