Controlling access to larger runners

En este artículo

You can use policies to limit access to ejecutor más grandes that have been added to an organization or enterprise.

Quién puede usar esta característica

Los Ejecutor más grande solo están disponibles para organizaciones y empresas que usan los planes GitHub Team o GitHub Enterprise Cloud.

About runner groups

Para controlar el acceso a los ejecutores de los niveles de organización Las organizaciones que usan el plan GitHub Team pueden emplear grupos de ejecutores.

Los grupos de ejecutores se usan para recopilar conjuntos de ejecutores y crear un límite de seguridad en torno a ellos. Después, puedes decidir qué organizaciones o repositorios pueden ejecutar trabajos en esos conjuntos de máquinas. Los propietarios de la organización pueden configurar directivas de acceso que controlen qué repositorios de una organización tienen acceso al grupo de ejecutores.

Cuando otorgas un acceso a un grupo de ejecutores, puedes ver este grupo en una lista en la configuración del ejecutor de la organización. Opcionalmente, puedes asignar directivas de acceso adicionales y detalladas para los repositorios al grupo de ejecutores.

Cuando se crean nuevos ejecutores, se asignan automáticamente al grupo predeterminado, salvo que se especifique lo contrario. Los ejecutores solo pueden estar en un grupo a la vez. Puedes mover ejecutores de un grupo de ejecutores a otro. Para obtener más información, consulta "Cambiar un ejecutor a un grupo".

Para obtener información sobre cómo enrutar trabajos a los ejecutores de un grupo específico, consulta "Elegir un ejecutor para un job".

Managing access to your runners

Note: Before your workflows can send jobs to ejecutor más grandes, you must first configure permissions for the runner group. See the following sections for more information.

Runner groups are used to control which repositories can run jobs on your ejecutor más grandes. You must manage access to the group from each level of the management hierarchy, depending on where you've defined the ejecutor más grande:

  • Runners at the enterprise level: De forma predeterminada, los repositorios de una organización no tienen acceso a grupos de ejecutores de nivel empresarial. Para conceder a los repositorios acceso a grupos de ejecutores de empresa, los propietarios de la organización deben configurar cada grupo de ejecutores de empresa y elegir qué repositorios tienen acceso.
  • Runners at the organization level: De forma predeterminada, a todos los repositorios de una organización se les concede acceso a los grupos de ejecutores de nivel de organización. Para restringir qué repositorios tienen acceso, los propietarios de la organización deben configurar los grupos de ejecutores de la organización y elegir qué repositorios tienen acceso.

For example, the following diagram has a runner group named grp-ubuntu-20.04-16core at the enterprise level. Before the repository named octo-repo can use the runners in the group, you must first configure the group at the enterprise level to allow access to the octo-org organization. You must then configure the group at the organization level to allow access to octo-repo.

Diagram that shows a lock between a runner group at the enterprise level and an organization, and between the organization and two repositories owned by the organization.

Creating a runner group for an organization

Advertencia: Si usas un intervalo IP fijo, te recomendamos que solo uses ejecutor más grande con repositorios privados. Las bifurcaciones de tu repositorio pueden ejecutar código potencialmente peligroso en tu ejecutor más grande creando una solicitud de extracción que ejecute el código en un flujo de trabajo.

Todas las organizaciones tienen un solo grupo predeterminado de ejecutores. Las organizaciones que usan el plan de GitHub Team pueden crear grupos adicionales. Los administradores de la organización pueden permitir el acceso de los repositorios individuales a un grupo de ejecutores. Para obtener información sobre cómo crear un grupo de ejecutores con la API de REST, consulta "Acciones".

Si no se especifica ningún grupo durante el proceso de registro, los ejecutores se agregan automáticamente a un grupo predeterminado. Más tarde puedes mover el ejecutor del grupo predeterminado a cualquier grupo que crees. Para obtener más información, consulta "Cambiar un ejecutor a un grupo".

Cuando creas un grupo, debes elegir una directiva que defina qué repositorios tienen acceso al grupo de ejecutores.

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de la barra de navegación horizontal de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.

  4. En la sección "Runner groups", haga clic en New runner group.

  5. Ingresa un nombre para tu grupo ejecutor.

  6. Asigne una directiva para el acceso al repositorio.

    Puedes configurar un grupo de ejecutores para que sea accesible a una lista específica de repositorios o a todos ellos en la organización. De manera predeterminada, solo los repositorios privados pueden acceder a los ejecutores en un grupo ejecutor. Pero esto se puede anular. Esta configuración no puede anularse si se configura un grupo ejecutor de la organización que haya compartido una empresa.

  7. Haz clic en Crear grupo para crear el grupo y aplicar la política.

Changing which repositories can access a runner group

Advertencia: Si usas un intervalo IP fijo, te recomendamos que solo uses ejecutor más grande con repositorios privados. Las bifurcaciones de tu repositorio pueden ejecutar código potencialmente peligroso en tu ejecutor más grande creando una solicitud de extracción que ejecute el código en un flujo de trabajo.

For runner groups in an organization, you can change what repositories in the organization can access a runner group.

  1. Ve a la página principal de la organización donde se encuentran tus grupos de ejecutores.

  2. Haga clic en Settings (Configuración).

  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.

  4. En la lista de grupos, haz clic en el grupo de ejecutores que te gustaría configurar.

  5. En "Acceso al repositorio", usa el menú desplegable para hacer clic en Organizaciones seleccionadas.

    1. A la derecha del menú desplegable, haz clic en .
    2. En el elemento emergente, usa las casillas para seleccionar repositorios que puedan acceder a este grupo de ejecutores.

  6. Haga clic en Guardar grupo.

Changing the name of a runner group

  1. Ve a la página principal de la organización donde se encuentran tus grupos de ejecutores.

  2. Haga clic en Settings (Configuración).

  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.

  4. En la lista de grupos, haz clic en el grupo de ejecutores que te gustaría configurar.

  5. Escriba el nuevo nombre del grupo de ejecutores en el campo de texto en "Nombre del grupo".

  6. Haga clic en Save(Guardar).

Moving a runner to a group

Si no especificas un grupo de ejecutores durante el proceso de registro, tus nuevos ejecutores se asignarán automáticamente al grupo predeterminado y después se moverán a otro grupo.

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de la barra de navegación horizontal de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Acciones y, después, en Ejecutores.

  4. En la lista de "Ejecutores", haz clic en aquél que quieras configurar.

  5. Seleccione la lista desplegable Runner group.

  6. En "Mover el ejecutor al grupo", elige un grupo destino para el ejecutor.

Removing a runner group

Para quitar un grupo de ejecutores, primero debes mover o quitar todos los ejecutores del grupo.

  1. Ve a la página principal de la organización donde se encuentran tus grupos de ejecutores.

  2. Haga clic en Settings (Configuración).

  3. En la barra lateral izquierda, haz clic en Acciones y, luego, en Grupos de ejecutores.

  4. En la lista de grupos, a la derecha del grupo que quieras borrar, haz clic en .

  5. Para eliminar el grupo, haga clic en Remove group.

  6. Revise las indicaciones de confirmación y haga clic en Remove this runner group.