Skip to main content

Managing allowed IP addresses for your organization

You can restrict access to your organization's private assets by configuring a list of IP addresses that are allowed to connect.

Who can use this feature

Organization owners can manage allowed IP addresses for an organization.

About allowed IP addresses

You can restrict access to private organization assets by configuring an allow list for specific IP addresses. 例如,您可以只允许从您办公室网络的 IP 地址访问。 IP 地址的允许列表将阻止不在允许列表中的任何 IP 地址通过 Web、API、Git 访问专用资源。

Note: Only organizations that use GitHub Enterprise Cloud can use IP allow lists. 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。

您可以使用 CIDR 表示法批准访问单个 IP 地址或地址范围。 有关详细信息,请参阅维基百科上的”CIDR 表示法”。

要执行 IP 允许列表,必须先将 IP 地址添加到列表,然后启用 IP 允许列表。 在完成列表后,可以检查列表中任何已启用条目是否允许使用特定 IP 地址。

您必须先添加当前 IP 地址或匹配范围,然后才能启用 IP 允许列表。

If you set up an allow list you can also choose to automatically add to your allow list any IP addresses configured for GitHub Apps that you install in your organization. The creator of a GitHub App can configure an allow list for their application, specifying the IP addresses at which the application runs. By inheriting their allow list into yours, you avoid connection requests from the application being refused. For more information, see "Allowing access by GitHub Apps."

You can also configure allowed IP addresses at the enterprise account level, and the entries in the enterprise account's allow list are inherited by all the organizations owned by the enterprise. 组织所有者可以向其组织的允许列表添加其他条目,但他们无法管理从企业帐户的允许列表继承的条目,企业所有者也无法管理添加到组织的允许列表的条目。 For more information, see "Enforcing policies for security settings in your enterprise."

Adding an allowed IP address

可以通过添加每个包含 IP 地址或地址范围的条目来创建 IP 允许列表。 在添加完条目后,可以检查列表中任何已启用条目是否允许使用特定 IP 地址。

在列表限制对企业中由组织拥有的专用资产的访问之前,还必须启用允许的 IP 地址。

注意:GitHub 正在逐步推出对 IPv6 的支持。 随着 GitHub 服务继续添加 IPv6 支持,我们将开始识别 GitHub 用户的 IPv6 地址。 若要防止可能的访问中断,请确保将任何所需的 IPv6 地址添加到 IP 允许列表。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the "Security" section of the sidebar, click Authentication security.

  4. 在“IP 允许列表”部分的底部,输入 IP 地址或 CIDR 表示法中的地址范围。 用于添加 IP 地址的关键字段

  5. (可选)输入允许的 IP 地址或范围的说明。 用于添加 IP 地址名称的关键字段

  6. 单击 “添加”。 “添加允许的 IP 地址”按钮

  7. (可选)检查列表中是否有任何已启用条目允许使用特定 IP 地址。 有关详细信息,请参阅“检查是否允许使用 IP 地址”。

Enabling allowed IP addresses

创建 IP 允许列表后,可以启用允许的 IP 地址。 启用允许的 IP 地址时,GitHub 会立即强制实施 IP 允许列表中的任何已启用条目。

在启用你的 IP 允许列表之前,可以检查你的允许列表是否允许来自特定 IP 地址的连接。 有关详细信息,请参阅“检查是否允许使用 IP 地址”。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the "Security" section of the sidebar, click Authentication security.

  4. Under "IP allow list", select Enable IP allow list. Checkbox to allow IP addresses

  5. Click Save.

Allowing access by GitHub Apps

If you're using an allow list, you can also choose to automatically add to your allow list any IP addresses configured for GitHub Apps that you install in your organization.

如果你在允许列表设置中选择“为已安装的 GitHub 应用程序启用 IP 允许列表配置”,则来自已安装 GitHub Apps 的 IP 地址将添加到你的允许列表中。 不管您的允许列表目前是否启用,都会发生这种情况。 如果您安装 GitHub App,然后该应用程序的创建者更改其允许列表中的地址,则允许列表会自动更新这些更改。

您可以通过查看描述字段来识别从 GitHub Apps 自动添加的 IP 地址。 这些 IP 地址的描述是:“由 NAME GitHub App管理”。 与手动添加的地址不同,您无法编辑、删除或禁用从 GitHub Apps 自动添加的 IP 地址。

注意: GitHub App IP 允许列表中的地址仅影响 GitHub App 安装提出的请求。 将 GitHub App 的 IP 地址自动添加到组织的允许列表中不允许访问从该 IP 地址连接的 GitHub Enterprise Cloud 用户。

For more information about how to create an allow list for a GitHub App you have created, see "Managing allowed IP addresses for a GitHub App."

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the "Security" section of the sidebar, click Authentication security.

  4. Under "IP allow list", select Enable IP allow list configuration for installed GitHub Apps. Checkbox to allow GitHub App IP addresses

  5. Click Save.

Editing an allowed IP address

可以在 IP 允许列表中编辑条目。 如果编辑已启用的条目,则更改会立即实施。

在编辑完条目后,可以检查在启用你的允许列表后,你的允许列表是否允许来自特定 IP 地址的连接。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the "Security" section of the sidebar, click Authentication security.

  4. 在“IP 允许列表”下,在你要编辑的条目右侧,单击“编辑”。 编辑允许的 IP 地址按钮

  5. 以 CIDR 表示法输入 IP 地址或地址范围。 用于添加 IP 地址的关键字段

  6. 输入允许的 IP 地址或范围的说明。 添加 IP 地址名称的关键字段

  7. Click Update.

  8. (可选)检查列表中是否有任何已启用条目允许使用特定 IP 地址。 有关详细信息,请参阅“检查是否允许使用 IP 地址”。

Checking if an IP address is permitted

可以检查 IP 允许列表中是否有任何已启用条目允许使用特定 IP 地址(即使列表当前未启用)。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the "Security" section of the sidebar, click Authentication security.

  4. 在“检查 IP 地址”下,输入 IP 地址。 “检查 IP 地址”文本字段的屏幕截图

Deleting an allowed IP address

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the "Security" section of the sidebar, click Authentication security.

  4. 在“IP 允许列表”下,单击要删除的条目右侧的“删除”。 “删除允许的 IP 地址”按钮

  5. 要永久删除该条目,请单击“是,删除此 IP 允许列表条目”。 永久删除 IP 允许列表条目按钮

Using GitHub Actions with an IP allow list

警告:如果你使用 IP 允许列表并且还想使用 GitHub Actions,则必须使用自托管的运行器或具有静态 IP 地址范围的 GitHub 托管的大型运行器。 有关详细信息,请参阅“托管你自己的运行器”或“使用大型运行器”。

若要允许自托管或大型托管运行器与 GitHub 通信,请将你的运行器的 IP 地址或 IP 地址范围添加到你为企业配置的 IP 允许列表中。