禁用或限制组织的 GitHub Actions

Note

GitHub Enterprise Server 目前不支持 GitHub 托管的运行器。可以在 GitHub public roadmap 上查看有关未来支持计划的更多信息。

关于组织的 GitHub Actions 权限

默认情况下，在 GitHub Enterprise Server 上启用 GitHub Actions 之后，它会在所有存储库和组织上启用。可以选择禁用 GitHub Actions 或将其限制为企业中的操作。有关 GitHub Actions 的详细信息，请参阅“写入工作流”。

您可以对组织中的所有仓库启用 GitHub Actions。启用 GitHub Actions 时，工作流能够运行位于您的存储库或任何其他公共或内部存储库中的操作。你可以对组织中的所有存储库禁用 GitHub Actions。禁用 GitHub Actions 时，仓库中不会运行任何工作流程。

或者，可以对组织中的所有存储库启用 GitHub Actions，但限制工作流可以运行的操作。

管理组织的 GitHub Actions 权限

可以选择对组织中的所有存储库禁用 GitHub Actions，或仅允许特定存储库。还可以限制公共操作的使用，让用户只能使用企业中现有的本地操作。

Note

如果组织由具有替代策略的企业管理，则可能无法管理这些设置。有关详细信息，请参阅“在企业中为 GitHub Actions 实施策略”。

在 GitHub 的右上角，选择个人资料照片，然后单击“你的组织”。
在组织旁边，单击“设置”。
在左侧边栏中，单击 “操作”，然后单击“常规” 。
在“Policies（策略）”下，选择一个选项。

如果选择允许选择操作____，则允许企业内的操作，并且还有允许其他特定操作的其他选项。有关详细信息，请参阅允许选择操作来运行。

本地到企业的操作
单击“ 保存”。

允许选择操作以运行

如果选择允许选择操作____，则允许本地操作，并且还允许其他特定操作的其他选项：

Note

如果你的组织有覆盖策略或由具有覆盖策略的企业帐户管理，则可能无法管理这些设置。有关详细信息，请参阅“禁用或限制组织的 GitHub Actions”或“在企业中为 GitHub Actions 实施策略”。

允许 GitHub 创建的操作： 可以允许工作流使用 GitHub 创建的所有操作。 GitHub 创建的操作位于 actions 和 github 组织中。有关详细信息，请参阅 actions 和 github 组织。
允许经过验证的创建者执行的 Marketplace 操作：如果已启用 GitHub Connect 并配置了 GitHub Actions，则此选项可用。**** 有关详细信息，请参阅“使用 GitHub Connect 启用对 GitHub.com 操作的自动访问”。可以允许工作流使用由经过验证的创建者创建的所有 GitHub Marketplace 操作。如果 GitHub 验证该操作的创建者为合作伙伴组织，徽章将显示在 GitHub Marketplace 中的操作旁边。
允许指定的操作：可以限制工作流使用特定组织和存储库中的操作。设置时，指定的操作数不能超过 1000。

若要限制对操作的特定标记或提交 SHA 的访问，请使用工作流中使用的相同语法来选择操作。
- 对于操作，语法为 OWNER/REPOSITORY@TAG-OR-SHA。例如，使用 actions/javascript-action@v1.0.1 选择标记或使用 actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f 选择 SHA。有关详细信息，请参阅“在工作流中使用预编写的构建基块”。
可以使用 * 通配符来匹配模式。例如，若要允许以 space-org 开头的组织中的所有操作，可以指定 space-org*/*。若要允许以 octocat 开头的存储库中的所有操作，可以使用 */octocat**@*。有关使用 * 通配符的详细信息，请参阅“GitHub Actions 的工作流语法”。

使用 , 分隔模式。例如，要允许使用 octocat 和 octokit，可以指定 octocat/*, octokit/*。

此过程演示如何将特定操作添加到允许列表。

在 GitHub 的右上角，选择个人资料照片，然后单击“你的组织”。
在组织旁边，单击“设置”。
在左侧边栏中，单击 “操作”，然后单击“常规” 。
在“策略”下，选择允许选择操作____ 并向列表添加所需操作。
单击“ 保存”。

限制自托管运行器的使用

GitHub 的自托管运行器不一定会被托管到无威胁的临时虚拟机上。因此，工作流中不受信任的代码可能会危及它们。

同样，任何可以创建存储库分支并打开拉取请求的人（通常是那些对存储库具有读取访问权限的人）都能够损害自托管运行器环境，包括获得对机密和 GITHUB_TOKEN 的访问权限，根据其设置，可以授予对存储库的写入权限。尽管工作流程可以通过使用环境和必需的审查来控制对环境密钥的访问，但是这些工作流程不是在隔离的环境中运行，在自托管运行程器上运行时仍然容易遭受相同的风险。

出于这些和其他原因，你可能会决定阻止用户在存储库级别创建自托管运行器。

Note

如果组织属于企业，则存储库级别的自托管运行器创建可能已在企业范围的设置中被禁用。如果已执行此类禁用操作，则无法在组织设置中启用存储库级别的自托管运行器。有关详细信息，请参阅“在企业中为 GitHub Actions 实施策略”。

如果存储库在设置禁用自托管运行器时已有自托管运行器，则这些运行器将列为“已禁用”状态，且系统不会为它们分配任何新的工作流作业。

“运行器”列表的屏幕截图，其中显示了状态为“已禁用”的自托管运行器。

Note

禁止创建存储库级自托管运行器后，工作流仍可访问企业或组织级别的自托管运行器。

在 GitHub 的右上角，选择个人资料照片，然后单击“你的组织”。
在组织旁边，单击“设置”。
在左侧边栏中，单击 “操作”，然后单击“常规” 。
在“运行器”下，使用下拉菜单选择首选设置：
- 所有存储库 - 自托管运行器可用于组织中的任何存储库。
- 所选存储库 - 自托管运行器只能用于所选存储库。
- 已禁用 - 无法在存储库级别创建自托管运行器。
如果选择“所选存储库”：
1. 请单击“”。
2. 勾选要允许使用自托管运行器的存储库的复选框。
3. 单击“选择存储库”。

为私有仓库复刻启用工作流程

如果依赖于使用专用存储库的分支，你可以配置策略来控制用户如何在 pull_request 事件上运行工作流。适用于专用存储库和内部存储库，可以为你的企业、组织或存储库配置这些策略设置。

如果对企业禁用了某个策略，则无法对组织启用该策略。如果对组织禁用了某个策略，则无法对仓库启用该策略。如果组织启用了某个策略，则可以对个别仓库禁用该策略。

从分支拉取请求运行工作流 - 允许用户使用具有只读权限、没有密码访问权限的 GITHUB_TOKEN，从分支拉取请求运行工作流。
从拉取请求向工作流发送写入令牌 - 允许来自分支的拉取请求使用具有写入权限的 GITHUB_TOKEN。
从拉取请求向工作流发送机密 - 使所有机密都可用于拉取请求。
需要批准拉取请求分支工作流 - 如果工作流在没有写权限的协作者发出的拉取请求上运行，则需要获得具有写权限的人员的批准，然后才能运行。

为组织配置私有复刻策略

在 GitHub 的右上角，选择个人资料照片，然后单击“你的组织”。
在组织旁边，单击“设置”。
在左侧边栏中，单击 “操作”，然后单击“常规” 。
在“复刻拉取请求工作流”下，选择选项。
单击“保存”以应用设置。

为组织设置 `GITHUB_TOKEN` 的权限

可以设置授予 GITHUB_TOKEN 的默认权限。有关 GITHUB_TOKEN 的详细信息，请参阅自动令牌身份验证。你可以选择一组有限的权限作为默认项或应用权限设置。

可以在组织或存储库的设置中为 GITHUB_TOKEN 设置默认权限。如果你在组织设置中选择受限制的选项为默认值，那么在组织内的存储库设置中也会选择相同选项，并禁用允许选项。如果你的组织属于 GitHub Enterprise 帐户，并且在企业设置中选择了更受限制的默认值，则你将无法在组织设置中选择更宽松的默认值。

任何拥有存储库写入权限的人都可以通过编辑工作流文件中的 permissions 键来修改授予 GITHUB_TOKEN 的权限，或者根据需要添加或删除权限。有关详细信息，请参阅 permissions。

配置默认 `GITHUB_TOKEN` 权限

默认情况下，在创建新组织时，设置继承自企业设置中配置的内容。

在 GitHub 的右上角，单击个人资料照片，然后单击“你的个人资料”。
在 GitHub 的右上角，选择个人资料照片，然后单击“你的组织”。
在组织旁边，单击“设置”。
在左侧边栏中，单击 “操作”，然后单击“常规” 。
在“工作流权限”下，选择是要让 GITHUB_TOKEN 对所有权限具有读写访问权限（允许设置），还是仅对 contents 和 packages 权限具有读取访问权限（受限设置）。
单击“保存”以应用设置。