在企业帐户中实施 GitHub Actions 策略

企业所有者可以对企业帐户禁用、启用和限制 GitHub Actions。

企业帐户可用于 GitHub Enterprise Cloud 和 GitHub Enterprise Server。 更多信息请参阅“关于企业帐户”。

关于企业帐户的 GitHub Actions 权限

默认情况下,在企业帐户拥有的所有组织中启用 GitHub Actions。 您可以选择对企业账户拥有的所有组织禁用 GitHub Actions,或只对指定的组织启用。 您还可以限制公共操作的使用,以使人们只能使用您的组织中存在的本地操作。

有关 GitHub Actions 的更多信息,请参阅“关于 GitHub Actions”。

管理企业帐户的 GitHub Actions 权限

您可以禁用企业的所有工作流程,或者设置策略来配置哪些操作可用于组织中。

如果您选择 Allow select actions(允许选择操作),则允许本地操作,并且还有允许其他特定操作的其他选项。 更多信息请参阅“允许特定操作运行”。

如果只允许本地操作,则策略会阻止对 GitHub 创建的操作的所有访问。 例如,actions/checkout 不可访问。

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your enterprises(您的企业)GitHub 上个人资料照片下拉菜单中的"Your enterprises(您的企业)"

  2. 在企业列表中,单击您想要查看的企业。 企业列表中的企业名称

  3. 在企业账户侧边栏中,单击 Policies(政策)企业帐户侧边栏中的 Policies(政策)选项卡

  4. 在“ Policies(政策)”下,单击 Actions(操作)

  5. 在“Policies(策略)”下选择选项。

    您可以在您的企业中选择哪些组织可以使用 GitHub Actions,并且可以限制对公共操作的访问。

    启用、禁用或限制此企业帐户的操作

  6. 单击 Save(保存)

允许特定操作运行

选择 Allow select actions(允许选择操作)时,允许本地操作,并且还有允许其他特定操作的其他选项。

  • 允许 GitHub 创建的操作: 您可以允许 GitHub 创建的所有操作用于工作流程。 Actions created by GitHub are located in the actions and github organizations. For more information, see the actions and github organizations.

  • Allow Marketplace actions by verified creators: You can allow all GitHub Marketplace actions created by verified creators to be used by workflows. When GitHub has verified the creator of the action as a partner organization, the badge is displayed next to the action in GitHub Marketplace.

  • Allow specified actions(允许指定的操作):您可以限制工作流程使用特定组织和仓库中的操作。

    要限制对操作中特定标记或提交 SHA 的访问,请使用工作流程中使用的 <OWNER>/<REPO>@<TAG OR SHA> 语法来选择操作。 例如,使用 actions/javascript-action@v1.0.1 选择标记,或使用 actions/javascript-action@172239021f7ba04fe7327647b213799853a9eb89 选择 SHA。 更多信息请参阅“查找和自定义操作”。

    您可以使用 * 通配符来匹配模式。 例如,要允许以 space-org 开头的组织中的所有操作,您可以指定 space-org*/*。 要在仓库中添加以 octocat 开头的所有操作,可以使用 */octocat*@*。 有关使用 * 通配符的更多信息,请参阅“GitHub Actions 的工作流程语法”。

    注: Allow specified actions(允许指定的操作)仅可用于具有 GitHub Free、GitHub Pro、组织的 GitHub Free 或 GitHub Team 计划的公共仓库。

此过程演示如何向允许列表添加特定操作。

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your enterprises(您的企业)GitHub 上个人资料照片下拉菜单中的"Your enterprises(您的企业)"

  2. 在企业列表中,单击您想要查看的企业。 企业列表中的企业名称

  3. 在企业账户侧边栏中,单击 Policies(政策)企业帐户侧边栏中的 Policies(政策)选项卡

  4. 在“ Policies(政策)”下,单击 Actions(操作)

  5. Policies(策略)下,选择 Allow select actions(允许选择操作)并将所需操作添加到列表中。 添加操作到允许列表

配置公共复刻工作流程所需的批准

任何人都可以复刻公共仓库,然后提交建议更改仓库 GitHub Actions 工作流程的拉取请求。 虽然来自复刻的工作流程无法访问敏感数据(如密钥),但如果出于滥用目的进行修改,可能会让维护者感到烦恼。

为了帮助防止这种情况,某些外部贡献者向公共仓库提出的关于拉取请求的工作流程不会自动运行,可能需要先批准。 默认情况下,所有首次贡献者都需要批准才能运行工作流程。

Note: Workflows triggered by pull_request_target events are run in the context of the base branch. Since the base branch is considered trusted, workflows triggered by these events will always run, regardless of approval settings.

You can configure this behavior for your enterprise using the procedure below.

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your enterprises(您的企业)GitHub 上个人资料照片下拉菜单中的"Your enterprises(您的企业)"

  2. 在企业列表中,单击您想要查看的企业。 企业列表中的企业名称

  3. 在企业账户侧边栏中,单击 Policies(政策)企业帐户侧边栏中的 Policies(政策)选项卡

  4. 在“ Policies(政策)”下,单击 Actions(操作)

  5. Fork pull request workflows from outside collaborators(从外部贡献者复刻拉取请求工作流程)下,选择您的选项。 选项按照从限制最少到限制最多的顺序列出。

    公共复刻工作流程批准设置

  6. 单击 Save(保存)以应用设置。

有关批准此政策适用的工作流程运行的更多信息,请参阅“批准公共复刻中的工作流程运行”。

为私有仓库复刻启用工作流程

如果您依赖于使用私有仓库的复刻,您可以配置策略来控制用户如何在 pull_request 事件上运行工作流程。 Available to private and internal repositories only, you can configure these policy settings for enterprises, organizations, or repositories. 对于企业,该策略将应用到所有组织中的所有仓库。

  • Run workflows from fork pull requests(从复刻拉取请求运行工作流程) - 允许用户使用具有只读权限、没有密码访问权限的 GITHUB_TOKEN从复刻拉取请求运行工作流程。
  • Send write tokens to workflows from pull requests(从拉取请求向工作流程发送写入令牌) - 允许从复刻拉取请求以使用具有写入权限的 GITHUB_TOKEN
  • Send secrets to workflows from pull requests(从拉取请求向工作流程发送密码) - 使所有密码可用于拉取请求。

为企业帐户配置私有复刻策略

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your enterprises(您的企业)GitHub 上个人资料照片下拉菜单中的"Your enterprises(您的企业)"

  2. 在企业列表中,单击您想要查看的企业。 企业列表中的企业名称

  3. 在企业账户侧边栏中,单击 Policies(政策)企业帐户侧边栏中的 Policies(政策)选项卡

  4. 在“ Policies(政策)”下,单击 Actions(操作)

  5. Fork pull request workflows(复刻拉取请求工作流程)下,选择您的选项。 例如: 启用、禁用或限制此仓库的操作

  6. 单击 Save(保存)以应用设置。

为您的企业设置 GITHUB_TOKENN 的权限

您可以设置授予 GITHUB_TOKEN 的默认权限。 有关 GITHUB_TOKEN 的更多信息,请参阅“工作流程中的身份验证”。 您可以选择一组有限的权限作为默认或权限设置。

您可以在企业、组织或仓库的设置中为 GITHUB_TOKEN 设置默认权限。 如果您在企业设置中选择受限制的选项为默认值,这将防止在组织或仓库设置中选择更多的允许设置。

任何拥有仓库写入权限的人都可以通过编辑工作流程文件中的 permissions 键来修改授予 GITHUB_TOKEN 的权限,或者根据需要添加或删除权限。 更多信息请参阅 permissions

配置默认 GITHUB_TOKENN 权限

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your enterprises(您的企业)GitHub 上个人资料照片下拉菜单中的"Your enterprises(您的企业)"

  2. 在企业列表中,单击您想要查看的企业。 企业列表中的企业名称

  3. 在企业账户侧边栏中,单击 Policies(政策)企业帐户侧边栏中的 Policies(政策)选项卡

  4. 在“ Policies(政策)”下,单击 Actions(操作)

  5. Workflow permissions(工作流程权限)下,选择您是否想要 GITHUB_TOKENN 读写所有范围限, 或者只读内容范围。 为此企业设置 GITHUB_TOKENN 权限

  6. 单击 Save(保存)以应用设置。

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。