Управление доступом к крупным средствам выполнения

Управление доступом к более крупным запускам

Группы средств выполнения используются для управления тем, какие репозитории могут выполнять задания в крупное средство выполнения. Необходимо управлять доступом к группе с каждого уровня иерархии управления в зависимости от того, где вы определили крупное средство выполнения:

• Runners на корпоративном уровне: данных, многократно используемыхs.actions.about-enterprise-level-runner-groups %}
• Бегуны на уровне организации: данных, многократно используемых.actions.about-organization-level-runner-groups %}

Например, на следующей схеме указана группа средств выполнения с именем grp-ubuntu-24.04-16core на уровне предприятия. Прежде чем репозиторий с именем octo-repo может использовать средства выполнения в группе, необходимо сначала настроить группу на корпоративном уровне, чтобы разрешить доступ к octo-org организации. Затем необходимо настроить группу на уровне организации, чтобы разрешить доступ к octo-repo.

Создание группы средств выполнения для организации

Все организации имеют единую группу средств выполнения по умолчанию. Организации владельцы могут создавать дополнительные группы запуска на уровне организации.

Если во время регистрации группа не указана, в группу по умолчанию автоматически добавляются средства выполнения. Позже средство выполнения можно переместить из группы по умолчанию в настраиваемую группу.

Сведения о создании группы runner с помощью REST API см. в разделе REST API endpoints для GitHub Actions.

1. На GitHubперейдите на главную страницу организации.

2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку " Выполнить группы".

4. В разделе "Группы средств выполнения" щелкните Создать группу средств выполнения.

5. Введите имя для вашей группы средств выполнения.

6. Назначьте политику для доступа к репозиторию.

   Группу запуска можно настроить для доступа к определенному списку репозиториев или ко всем репозиториям в организации. По умолчанию только частные репозитории могут получить доступ к runner в группе runner, но вы можете переопределить это. Этот параметр нельзя переопределить, если настройка группы запуска организации, к которой предоставлен общий доступ предприятия.

7. Назначьте политику доступа для рабочих процессов.

   Группу средств выполнения можно сделать доступной для определенного списка рабочих процессов или для всех рабочих процессов. Этот параметр нельзя переопределить, если вы настраиваете группу средств выполнения в организации, которая используется совместно в предприятии. Указывая, какой рабочий процесс может получить доступ к группе средств выполнения, необходимо использовать полный путь к рабочему процессу, включая имя и владельца репозитория, а также нужно прикрепить рабочий процесс к ветви, тегу или полному значению SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@refs/tags/v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@refs/heads/main.

   Рекомендуется полностью квалифицировать неоднозначные ссылки. Например, вместо предоставления main в качестве ссылки укажите refs/heads/main.

   Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах. Группы запуска, принадлежащие организации, не могут получить доступ к рабочим процессам из другой организации в организации; Вместо этого необходимо создать группу runner, принадлежащей предприятиям. 1. Нажмите кнопку "Создать группу", чтобы создать группу и применить политику.

Создание группы средств выполнения для предприятия

Предприятия могут добавлять свои средства выполнения в группы для управления доступом. Предприятия могут создавать группы бегуней, доступные для определенных организаций в корпоративной учетной записи или для конкретных рабочих процессов. Владельцы организации могут назначить дополнительный подробный репозиторий или рабочий процесс политики доступа к группам запуска предприятия. Сведения о создании группы средств выполнения с помощью REST API см. в описании корпоративных конечных точек предприятия в разделе REST API GitHub Actions.

Если во время регистрации группа не указана, в группу по умолчанию автоматически добавляются средства выполнения. Позже средство выполнения можно переместить из группы по умолчанию в настраиваемую группу.

При создании группы необходимо выбрать политику, которая определяет, какие организации имеют доступ к группе средств выполнения.

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.

3. В разделе " Policies", нажмите кнопку "Действия".

4. Перейдите на вкладку Группы средств выполнения тестов.

5. Нажмите кнопку Создать группу средств выполнения тестов.

6. В поле "Имя группы" введите имя группы средств выполнения тестов.

7. Чтобы выбрать политику доступа к организации, выберите раскрывающееся меню "Доступ к организации" и выберите политику. Группу средств выполнения можно настроить так, чтобы она была доступна для организаций из определенного списка или для всех организаций предприятия.

8. Назначьте политику доступа для рабочих процессов.

   Группу средств выполнения можно сделать доступной для определенного списка рабочих процессов или для всех рабочих процессов. Этот параметр нельзя переопределить, если вы настраиваете группу средств выполнения в организации, которая используется совместно в предприятии. Указывая, какой рабочий процесс может получить доступ к группе средств выполнения, необходимо использовать полный путь к рабочему процессу, включая имя и владельца репозитория, а также нужно прикрепить рабочий процесс к ветви, тегу или полному значению SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@refs/tags/v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@refs/heads/main.

   Рекомендуется полностью квалифицировать неоднозначные ссылки. Например, вместо предоставления main в качестве ссылки укажите refs/heads/main.

   Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах.

9. Нажмите Сохранить группу, чтобы создать группу и применить политику.

Изменение того, какие организации могут получить доступ к группе запуска

Для групп запуска в организации можно изменить, какие организации в организации могут получить доступ к группе запуска.

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.

3. В разделе " Policies", нажмите кнопку "Действия".

4. Перейдите на вкладку Группы средств выполнения тестов.

5. В разделе "Доступ к организации" используйте раскрывающееся меню, чтобы выбрать выбранные организации.

   1. Справа от раскрывающегося меню щелкните .
   2. В всплывающем окну установите флажки для выбора организаций, которые могут использовать эту группу runner.

6. Нажмите кнопку Сохранить группу.

Изменение того, какие репозитории могут получить доступ к группе runner

Для групп запуска в организации можно изменить, какие репозитории в организации могут получить доступ к группе runner.

1. Перейдите на главную страницу организации, где находятся группы бегуна.

2. Щелкните Settings.

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку " Выполнить группы".

4. В списке групп щелкните группу средств выполнения, которую требуется настроить.

5. В разделе "Доступ к репозиторию" используйте раскрывающееся меню, чтобы выбрать выбранные репозитории.

   1. Справа от раскрывающегося меню щелкните .
   2. Во всплывающем окну установите флажки для выбора репозиториев, которые могут получить доступ к этой группе runner.

6. Нажмите кнопку Сохранить группу.

Изменение того, какие рабочие процессы могут получить доступ к группе запуска

Вы можете настроить группу средств выполнения для запуска только выбранных рабочих процессов или всех рабочих процессов. Например, этот параметр можно использовать для защиты секретов, хранящихся в средствах выполнения, или для стандартизации рабочих процессов развертывания путем разрешения группе средств выполнения запускать только определенный повторно используемый рабочий процесс. Этот параметр нельзя переопределить, если вы настраиваете группу средств выполнения организации, которая совместно используется в предприятии.

• Изменение рабочих процессов, к которым можно получить доступ к группе запуска организации
• Изменение рабочих процессов, к которым может получить доступ к группе запуска предприятия

Изменение рабочих процессов, к которым можно получить доступ к группе запуска организации

1. Перейдите на главную страницу организации, где находятся группы бегуна.

2. Щелкните Settings.

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку " Выполнить группы".

4. В списке групп щелкните группу средств выполнения, которую требуется настроить.

5. В разделе Доступ к рабочему процессу щелкните раскрывающееся меню и нажмите пункт Выбранные рабочие процессы.

6. Щелкните .

7. Введите разделенный запятыми список рабочих процессов, которые могут получить доступ к группе средств выполнения. Используйте полный путь, включающий имя и владельца репозитория. Закрепите рабочий процесс в ветви, теге или полном SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах.

   Группы средств выполнения, принадлежащие организации, не могут получать доступ к рабочим процессам из другой организации в предприятии; вместо этого необходимо создать группу средств выполнения, принадлежащую предприятию.

8. Нажмите кнопку Сохранить.

Изменение рабочих процессов, к которым может получить доступ к группе запуска предприятия

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.

3. В разделе " Policies", нажмите кнопку "Действия".

4. Перейдите на вкладку Группы средств выполнения тестов.

5. В списке групп щелкните группу средств выполнения, которую требуется настроить.

6. В разделе Доступ к рабочему процессу щелкните раскрывающееся меню и нажмите пункт Выбранные рабочие процессы.

7. Щелкните .

8. Введите разделенный запятыми список рабочих процессов, которые могут получить доступ к группе средств выполнения. Используйте полный путь, включающий имя и владельца репозитория. Закрепите рабочий процесс в ветви, теге или полном SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах.

   Группы средств выполнения, принадлежащие организации, не могут получать доступ к рабочим процессам из другой организации в предприятии; вместо этого необходимо создать группу средств выполнения, принадлежащую предприятию.

9. Нажмите кнопку Сохранить.

Настройка доступа к частной сети для более крупных runners

Вы можете использовать GitHubразмещенных в виртуальной сети Azure. Это позволяет использовать GitHubуправляемой инфраструктурой для CI/CD, обеспечивая полный контроль над сетевыми политиками запуска. Дополнительные сведения о виртуальной сети Azure см. в статье "Что такое Azure виртуальная сеть?" в документации По Azure.

Если вы настроили enterprise или организации для подключения к виртуальной сети Azure, вы можете предоставить группам запуска доступ к виртуальной сети. Дополнительные сведения см. в разделе Частные сети с бегунами, размещёнными на GitHub.

Изменение имени группы средств выполнения

Группы запуска можно переименовать на уровне предприятия и организации.

• Изменение имени группы запуска организации
• Изменение имени группы запуска предприятия

Изменение имени группы запуска организации

1. Перейдите на главную страницу организации, где находятся группы бегуна.
2. Щелкните Settings.
3. На левой боковой панели щелкните Actions, а затем нажмите кнопку " Выполнить группы".
4. В списке групп щелкните группу средств выполнения, которую требуется настроить.
5. Введите новое имя группы runner в текстовом поле в разделе "Имя группы".
6. Нажмите кнопку Сохранить.

Изменение имени группы запуска предприятия

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.
3. В разделе " Policies", нажмите кнопку "Действия".
4. Перейдите на вкладку Группы средств выполнения тестов.
5. В списке групп щелкните группу средств выполнения, которую требуется настроить.
6. Введите новое имя группы runner в текстовом поле в разделе "Имя группы".
7. Нажмите кнопку Сохранить.

Перемещение средства выполнения в группу

Если вы не укажете группу средств выполнения во время регистрации, новые средства выполнения автоматически назначаются группе по умолчанию, а затем их можно переместить в другую группу.

• Перемещение бегущего по организации в группу
• Перемещение бегуна предприятия в группу

Перемещение бегущего по организации в группу

1. На GitHubперейдите на главную страницу организации.

2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Runners".

4. В списке "Средства выполнения" щелкните средство выполнения, которое вы хотите настроить.

5. Выберите раскрывающийся список Группы средств выполнения.

6. В разделе "Переместить средство выполнения в группу" выберите целевую группу для средства выполнения.

Перемещение бегуна предприятия в группу

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.
3. В разделе " Policies", нажмите кнопку "Действия".
4. Перейдите на вкладку Средства выполнения тестов.
5. В списке "Средства выполнения" щелкните средство выполнения, которое вы хотите настроить.
6. Выберите раскрывающийся список Группы средств выполнения.
7. В разделе "Переместить средство выполнения в группу" выберите целевую группу для средства выполнения.

Удаление группы средств выполнения

Чтобы удалить группу runner, необходимо сначала переместить или удалить все бегуники из группы.

• Удаление группы бегуна из организации
• Удаление группы runner из предприятия

Удаление группы бегуна из организации

1. Перейдите на главную страницу организации, где находятся группы бегуна.
2. Щелкните Settings.
3. На левой боковой панели щелкните Actions, а затем нажмите кнопку " Выполнить группы".
4. В списке групп справа от группы, которую хотите удалить, щелкните .
5. Чтобы удалить эту группу, нажмите Удалить группу.
6. Просмотрите запросы на подтверждение и нажмите Удалить эту группу средств выполнения.

Удаление группы runner из предприятия

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.
3. В разделе " Policies", нажмите кнопку "Действия".
4. Перейдите на вкладку Группы средств выполнения тестов.
5. В списке групп справа от группы, которую хотите удалить, щелкните .
6. Чтобы удалить эту группу, нажмите Удалить группу.
7. Просмотрите запросы на подтверждение и нажмите Удалить эту группу средств выполнения.