自定义组织角色的权限

你可以通过自定义组织角色控制对组织设置和存储库的访问权限。

谁可以使用此功能?

Organizations on GitHub Enterprise Cloud and GitHub Enterprise Server

在本文中

数据可复用.组织.自定义组织角色简介 %}

可以在组织的设置中创建和分配自定义组织角色。 你还可以使用 REST API 管理自定义角色。 请参阅“管理自定义组织角色”。

组合组织和存储库权限

也可以创建包含存储库权限的自定义组织角色。 存储库权限适用于组织中当前和未来的所有存储库。

有多种方式可以组合存储库和组织的权限。

  • 你可以创建包含组织设置权限的角色、用于存储库访问的基础角色,或同时包含两者的角色。
  • 如果添加用于存储库访问的基础角色,还可以包含额外的存储库权限。 没有基础存储库角色的情况下,无法添加存储库权限。

如果没有存储库权限或基础存储库角色,该组织角色不会授予对任何存储库的访问权限。

注意

向自定义组织角色添加存储库权限目前处于 公共预览版 阶段,可能会有变动。

要授予对组织中特定存储库的访问权限,可以创建自定义存储库角色。 请参阅“关于自定义存储库角色”。

组织访问权限

当你在自定义组织角色中包含某个权限时,任何拥有此角色的用户都将有权通过 web 浏览器和 API 来访问相应设置。 在浏览器的组织设置中,用户将只能看到它们可以访问的页面。

组织权限不授予对任何存储库的读取、写入或管理员权限。 某些权限可能会隐式授予存储库元数据的可见性,如下表所示。

行标题 %}

许可说明详细信息
管理自定义组织角色创建、查看、更新和删除组织自定义组织角色的访问权限。 此权限不允许用户分配自定义角色。
          [AUTOTITLE](/organizations/managing-peoples-access-to-your-organization-with-roles/managing-custom-organization-roles) |

| 查看组织角色 | 查看组织的自定义组织角色的访问权限。 | 管理自定义组织角色 | | 管理自定义存储库角色 | 创建、查看、更新和删除组织的自定义存储库角色的访问权限。 | 管理组织的自定义存储库角色 | | 查看自定义存储库角色 | 查看组织的自定义存储库角色的访问权限。 | 管理组织的自定义存储库角色 | | 管理组织挂钩 | 有权注册和管理组织的挂钩 具有此权限的用户将能够查看 Webhook 有效负载,该负载可能包含组织中存储库的元数据。 | 用于组织 Webhooks 的 REST API 接口节点 | | | | 在组织层级编辑自定义属性值 | 有权为组织中的所有存储库设置自定义属性值。 | 管理组织中存储库的自定义属性 | | 管理组织的自定义属性定义 | 有权为组织创建和编辑自定义属性定义。 | 管理组织中存储库的自定义属性 | | | | 管理组织引用更新规则和规则集 | 有权在组织级别管理规则集并查看规则集见解。 | 管理您组织存储库的规则集 | | | | 查看组织审核日志 | 有权访问组织的审核日志。 审核日志可能包含组织中存储库的元数据。 | 查看贵组织的审核日志 | | 管理组织 Actions 策略 | 有权管理“Actions 常规”设置页面上的所有设置(自托管运行器设置除外)。 | 禁用或限制组织的 GitHub Actions | | 管理组织 Actions 机密 | 有权创建和管理 Actions 组织机密。 | 在 GitHub Actions 中使用机密 | | 管理组织 Actions 变量 | 有权创建和管理 Actions 组织变量。 | 在变量中存储信息 | | 管理组织托管运行器自定义映像 | 有权为组织创建和管理自定义映像。 | GitHub 托管的运行程序 | | 管理组织运行器和运行器组 | 有权创建和管理GitHub托管的运行程序、自承载运行程序和运行程序组,并控制可以创建自承载运行程序的位置。 | GitHub 托管的运行程序

自托管运行程序 | | | | 查看组织托管运行器自定义镜像 | 查看组织的自定义图像。 | GitHub 托管的运行程序 | | | | 审查和管理 secret scanning 绕过请求 | 审查和管理组织的 secret scanning 绕过请求。 | 关于推送保护的委派绕过 | | | | | | | | 忽略 code scanning 警报解除请求 | 忽略针对贵组织的 code scanning 警报解除请求。 | 为代码扫描启用委派的警报消除 | | 审查 code scanning 警报解除请求 | 审查和管理针对贵组织的 code scanning 警报解除请求。 | 为代码扫描启用委派的警报消除 | | 查看 code scanning 警报解除请求 | 查看针对贵组织的 code scanning 警报解除请求。 | 为代码扫描启用委派的警报消除 | | | | | | |

结束行标题 %}

存储库访问的基础角色

基础存储库角色决定了自定义角色中包含的初始权限集。 存储库访问权限适用于组织中当前和未来的所有存储库。

基础存储库角色包括:

  •         **读取:** 授予对组织中所有存储库的读取权限。

  •         **写入:** 授予对组织中所有存储库的写入权限。

  •         **会审:** 授予对组织中所有存储库的会审权限。

  •         **维护:** 授予对组织中所有存储库的维护权限。

  •         **管理员:** 授予对组织中所有存储库的管理员权限。

存储库访问的额外权限

选择基础存储库角色后,可以为自定义组织角色选择额外的权限。

仅当额外权限未包含在基础存储库角色中时,才能选择该权限。 例如,如果基础角色提供对存储库的写入权限,那么“关闭拉取请求”权限已包含在基础角色中。

讨论

  • 创建讨论类别
  • 编辑讨论类别
  • 删除讨论类别
  • 标记或取消标记讨论答案
  • 隐藏或取消隐藏讨论评论
  • 将问题转化为讨论

有关详细信息,请参阅“GitHub Discussions 文档”。

议题和拉取请求

  • 分配或删除用户
  • 添加或删除标签

问题

  • 关闭问题
  • 重新打开已关闭的问题
  • 删除问题
  • 将问题标记为重复问题

合并队列

  • 请求单独合并
  • 跳转到队列的前面

有关详细信息,请参阅“管理合并队列”。

拉取请求

  • 关闭拉取请求
  • 重新打开已关闭的拉取请求
  • 请求拉取请求审查

存储库

  • 设置里程碑
  • 管理 Wiki 设置
  • 获取项目设置
  • 管理拉取请求合并设置
  • 管理 GitHub Pages 设置(请参阅 为您的 GitHub Pages 网站配置发布源
  • 管理 web 挂钩
  • 管理部署密钥
  • 编辑存储库元数据
  • 设置社交预览
  • 将提交推送到受保护的分支
    • 基本角色必须是 write
    • 分支保护规则仍将适用
  • 创建受保护的标记
  • 删除受保护的标记
  • 绕过分支保护
  • 编辑仓库规则

安全性

  • 查看 code scanning 警告
  • 关闭或重新打开 code scanning 警报
  • 删除 code scanning 警告
  • 查看 Dependabot alerts
  • 关闭或重新打开 Dependabot alerts
  • 查看 secret scanning 告警
  • 关闭、重新打开或分配 secret scanning 警报

不同级别访问的优先顺序

数据重用.组织.不同级别的优先顺序 %}