Skip to main content

Disabling or limiting GitHub Actions for your organization

Organization owners can disable, enable, and limit GitHub Actions for an organization.

About GitHub Actions permissions for your organization

By default, after GitHub Actions is enabled on your enterprise, it is enabled on all repositories and organizations. You can choose to disable GitHub Actions or limit it to actions in your enterprise. For more information about GitHub Actions, see "About GitHub Actions."

You can enable GitHub Actions for all repositories in your organization. 启用 GitHub Actions 时,工作流能够运行位于存储库中的操作,以及任何其他内部存储库。 You can disable GitHub Actions for all repositories in your organization. 禁用 GitHub Actions 时,仓库中不会运行任何工作流程。

Alternatively, you can enable GitHub Actions for all repositories in your organization but limit the actions a workflow can run.

Managing GitHub Actions permissions for your organization

You can choose to disable GitHub Actions for all repositories in your organization, or only allow specific repositories. You can also limit the use of public actions, so that people can only use local actions that exist in your enterprise.

Note: You might not be able to manage these settings if your organization is managed by an enterprise that has overriding policy. For more information, see "Enforcing policies for GitHub Actions in your enterprise."

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the left sidebar, click Actions.

  4. Under "Policies", select an option.

    如果选择 允许选择操作,则允许企业内的操作,并且还有允许其他特定操作的其他选项。 有关详细信息,请参阅“允许选择操作来运行”。

    本地到企业的操作

    Set actions policy for this organization

  5. Click Save.

允许选择操作以运行

如果选择 允许选择操作,则允许本地操作,并且还允许其他特定操作的其他选项:

  • 允许 GitHub 创建的操作: 可以允许工作流使用 GitHub 创建的所有操作。 GitHub 创建的操作位于 actionsgithub 组织中。 有关详细信息,请参阅 actionsgithub 组织。

  • 允许经过验证的创建者执行的 Marketplace 操作:如果已启用 GitHub Connect 并配置了 GitHub Actions,则此选项可用。 有关详细信息,请参阅“使用 GitHub Connect 启用对 GitHub.com 操作的自动访问。”可以允许工作流使用由经过验证的创建者创建的所有 GitHub Marketplace 操作。 如果 GitHub 验证该操作的创建者为合作伙伴组织, 徽章将显示在 GitHub Marketplace 中的操作旁边。

  • 允许指定的操作:可以限制工作流使用特定组织和存储库中的操作。

    若要限制对操作的特定标记或提交 SHA 的访问,请使用工作流中使用的相同语法来选择操作。

    • 对于操作,语法为 <OWNER>/<REPO>@<TAG OR SHA>。 例如,使用 actions/javascript-action@v1.0.1 选择标记或使用 actions/javascript-action@172239021f7ba04fe7327647b213799853a9eb89 选择 SHA。 有关详细信息,请参阅“查找和自定义操作”。

    可以使用 * 通配符来匹配模式。 例如,若要允许以 space-org 开头的组织中的所有操作,可以指定 space-org*/*。 若要允许以 octocat 开头的存储库中的所有操作,可以使用 */octocat**@*。 有关使用 * 通配符的详细信息,请参阅“GitHub 操作的工作流语法”。

此过程演示如何将特定操作添加到允许列表。

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  2. 在组织旁边,单击“设置”。 设置按钮

  3. In the left sidebar, click Actions.

  4. Under "Policies", select 允许选择操作 and add your required actions to the list.

    Add actions to the allow list

  5. Click Save.

Setting the permissions of the GITHUB_TOKEN for your organization

可以设置授予 GITHUB_TOKEN 的默认权限。 有关 GITHUB_TOKEN 的详细信息,请参阅“自动令牌身份验证”。 你可以选择一组有限的权限作为默认项或应用权限设置。

You can set the default permissions for the GITHUB_TOKEN in the settings for your organization or your repositories. If you select a restrictive option as the default in your organization settings, the same option is selected in the settings for repositories within your organization, and the permissive option is disabled. If your organization belongs to a GitHub Enterprise account and a more restrictive default has been selected in the enterprise settings, you won't be able to select the more permissive default in your organization settings.

任何拥有存储库写入权限的人都可以通过编辑工作流文件中的 permissions 键来修改授予 GITHUB_TOKEN 的权限,或者根据需要添加或删除权限。 有关详细信息,请参阅 permissions

Configuring the default GITHUB_TOKEN permissions

  1. 在 GitHub AE 的右上角,单击你的头像照片,然后单击“你的个人资料”。 个人资料照片

  2. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中

  3. 在组织旁边,单击“设置”。 设置按钮

  4. In the left sidebar, click Actions.

  5. Under "Workflow permissions", choose whether you want the GITHUB_TOKEN to have read and write access for all scopes, or just read access for the contents scope.

    Set GITHUB_TOKEN permissions for this organization

  6. Click Save to apply the settings.