Administración del acceso a los ejecutores autohospedados mediante grupos

Puedes utilizar directivas para limitar el acceso a los ejecutores auto-hospedados que se hayan agregado a una organización.

¿Quién puede utilizar esta característica?

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team or GitHub Free plans can create and manage additional runner groups using self-hosted runners.

En este artículo

Acerca de grupos de ejecutores

Para controlar el acceso a los ejecutores de los niveles de organización Las organizaciones que usan el plan GitHub Team pueden emplear grupos de ejecutores. Los grupos de ejecutores se usan para recopilar conjuntos de ejecutores y crear un límite de seguridad en torno a ellos.

Cuando concedes acceso a un grupo de ejecutores, puedes ver este grupo en una lista en la configuración del ejecutor de la organización. Opcionalmente, puedes asignar directivas de acceso adicionales y detalladas para los repositorios al grupo de ejecutores.

Cuando se crean nuevos ejecutores, se asignan automáticamente al grupo predeterminado, salvo que se especifique lo contrario. Los ejecutores solo pueden estar en un grupo a la vez. Puedes mover ejecutores de un grupo de ejecutores a otro. Para más información, consulta Traslado de un ejecutor a un grupo.

Para obtener información sobre cómo enrutar trabajos a los ejecutores de un grupo específico, consulta Elegir un ejecutor para un job.

Crear un grupo de ejecutores auto-hospedados para una organización

Advertencia

Te recomendamos que solo utilices los ejecutores auto-hospedados con los repositorios privados. Esto se debe a que las bifurcaciones de tu repositorio público podrían ejecutar un código peligroso en tu máquina de ejecutor auto-hospedado al crear una solicitud de cambios que excluya el código en un flujo de trabajo.

Para más información, consulta Fortalecimiento de seguridad para GitHub Actions.

Nota:

Al crear un grupo de ejecutores, debes elegir una directiva que defina qué repositorios tienen acceso a dicho grupo. Para cambiar qué repositorios y flujos de trabajo pueden acceder al grupo de ejecutores, los propietarios de la organización pueden establecer una directiva para la organización. Para más información, consulta Requerir políticas para las GitHub Actions en tu empresa.

Todas las organizaciones tienen un solo grupo predeterminado de ejecutores. Los propietarios de la organización que usan el plan GitHub Team pueden crear grupos de ejecutores de nivel de organización adicionales.

Si no se especifica ningún grupo durante el proceso de registro, los ejecutores se agregan automáticamente al grupo predeterminado. Más tarde puedes mover el ejecutor del grupo predeterminado a cualquier grupo que crees. Para más información, consulta Traslado de un ejecutor a un grupo.

Para obtener información sobre cómo crear un grupo de ejecutores con la API de REST, consulta Terminales de REST para la API de Acciones de GitHub.

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.

  4. En la sección "Runner groups", haga clic en New runner group.

  5. Ingresa un nombre para tu grupo ejecutor.

  6. Asigne una directiva para el acceso al repositorio.

    Puede configurar un grupo de ejecutores para que sea accesible para una lista específica de repositorios o para todos los repositorios de la organización. De forma predeterminada, solo los repositorios privados pueden acceder a los ejecutores de un grupo de ejecutores, pero puede invalidarlo. Esta configuración no puede anularse si se configura un grupo de ejecutores de la organización que haya compartido una empresa.

  7. Haz clic en Crear grupo para crear el grupo y aplicar la política.

Cambio de los repositorios que pueden acceder a un grupo de ejecutores

Advertencia

Te recomendamos que solo utilices los ejecutores auto-hospedados con los repositorios privados. Esto se debe a que las bifurcaciones de tu repositorio público podrían ejecutar un código peligroso en tu máquina de ejecutor auto-hospedado al crear una solicitud de cambios que excluya el código en un flujo de trabajo.

Para más información, consulta Fortalecimiento de seguridad para GitHub Actions.

En el caso de los grupos de ejecutores de una organización, puedes cambiar los repositorios de la organización que pueden acceder a un grupo de ejecutores.

  1. Ve a la página principal de la organización donde se encuentran tus grupos de ejecutores.

  2. Haz clic en Settings.

  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.

  4. En la lista de grupos, haz clic en el grupo de ejecutores que te gustaría configurar.

  5. En "Acceso al repositorio", use el menú desplegable para hacer clic en Repositorios seleccionados.

    1. A la derecha del menú desplegable, haz clic en .
    2. En el elemento emergente, usa las casillas para seleccionar repositorios que puedan acceder a este grupo de ejecutores.

  6. Haga clic en Guardar grupo.

Cambiar el nombre de un grupo de ejectuores

  1. Ve a la página principal de la organización donde se encuentran tus grupos de ejecutores.
  2. Haz clic en Settings.
  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.
  4. En la lista de grupos, haz clic en el grupo de ejecutores que te gustaría configurar.
  5. Escriba el nuevo nombre del grupo de ejecutores en el campo de texto en "Nombre del grupo".
  6. Haga clic en Save(Guardar).

Agregar ejecutores auto-hospedados a un grupo automáticamente

Puedes utilizar el script de configuración para agregar automáticamente un nuevo ejecutor a un grupo. Por ejemplo, este comando registra un nuevo ejecutor y usa el --runnergroup parámetro para agregarlo a un grupo denominado rg-runnergroup.

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

El comando fallará si el grupo de ejecutores no existe:

Could not find any self-hosted runner group named "rg-runnergroup".

Mover un ejecutor auto-hospedado a un grupo

Si no especificas un grupo de ejecutores durante el proceso de registro, tus nuevos ejecutores se asignarán automáticamente al grupo predeterminado y después se moverán a otro grupo.

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Acciones y, después, en Ejecutores.

  4. En la lista de "Ejecutores", haz clic en aquél que quieras configurar.

  5. Seleccione la lista desplegable Runner group.

  6. En "Mover el ejecutor al grupo", elige un grupo destino para el ejecutor.

Eliminar un grupo de ejecutores auto-hospedados

Para quitar un grupo de ejecutores, primero debes mover o quitar todos los ejecutores del grupo.

  1. Ve a la página principal de la organización donde se encuentran tus grupos de ejecutores.
  2. Haz clic en Settings.
  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.
  4. En la lista de grupos, a la derecha del grupo que quieras borrar, haz clic en .
  5. Para eliminar el grupo, haga clic en Remove group.
  6. Revise las indicaciones de confirmación y haga clic en Remove this runner group.