Skip to main content

Controlling access to larger runners

You can use policies to limit access to ejecutor más grandes that have been added to an organization or enterprise.

La característica ejecutor más grande está actualmente en versión beta para organizaciones y empresas que usan los planes GitHub Team o GitHub Enterprise Cloud y está sujeto a cambios. Para solicitar acceso a la versión beta, visita la página de registro.

About runner groups

Los grupos de ejecutores se utilizan para controlar el acceso a los ejecutores a nivel de empresas y organizaciones. Los propietarios de la empresa pueden configurar directivas de acceso que controlen qué organizaciones y flujos de trabajo de una empresa tienen acceso al grupo de ejecutores. Los propietarios de las organizaciones pueden configurar directivas de acceso que controlen qué repositorios y flujos de trabajo de una organización tienen acceso al grupo de ejecutores.

Cuando un propietario de empresa otorga un acceso a un grupo de ejecutores, los propietarios de organizaciones pueden verlo listado en los ajustes del ejecutor auto-hospedado de la organización. Los propietarios de la organización pueden entonces asignar directivas de acceso adicionales y detalladas para los repositorios y flujos de trabajo al grupo de ejecutores de la empresa.

Cuando se crean nuevos ejecutores, se asignan automáticamente al grupo predeterminado. Los ejecutores solo pueden estar en un grupo a la vez. Puedes mover los ejecutores del grupo predeterminado a otro grupo. Para obtener más información, consulta "Cambiar un ejecutor a un grupo".

Default group for ejecutor más grandes

Organizations and enterprises with access to ejecutor más grandes will automatically receive a default runner group called "Default Larger Runners" that includes 4 runners of varying sizes. The runners in this group are pre-configured and ready for immediate use. In order to use the runners in this group, you will need to add the label corresponding to the runner of your choice to your workflow file. See the table below for labels. For more information on how to use labels, see "Running jobs on your runner."

Default Runners

DescriptionLabelImage
4-cores Ubuntu Runnerubuntu-latest-4-coresUbuntu - Latest
8-cores Ubuntu Runnerubuntu-latest-8-coresUbuntu - Latest
16-cores Ubuntu Runnerubuntu-latest-16-coresUbuntu - Latest
8-cores Windows Runnerwindows-latest-8-coresWindows Server - Latest

The default ejecutor más grande group is created at the billing entity level. If your organization is part of an enterprise account, the group will be managed on the enterprise level. If your organization does not fall under an enterprise, the group is managed on the organization level.

You will not be billed for these runners until you use them in your workflows. Once these runners are used, billing works as it normally does. For more information on billing, see "Using ejecutor más grandes."

The default access for a ejecutor más grande group at the enterprise level is set to automatically share with all organizations in the enterprise, but not all repositories. Organization admins will need to share the default ejecutor más grande group with each repository separately. For ejecutor más grande groups at the organization level, the default access is set to automatically share the group with all repositories. For more information on how to change access policies, and where to view the default ejecutor más grande group, see "Changing the access policy of a runner group."

Creating a runner group for an organization

Advertencia: If you are using a Fixed IP range, we recommend that you only use ejecutor más grandes with private repositories. Forks of your repository can potentially run dangerous code on your ejecutor más grande by creating a pull request that executes the code in a workflow.

All organizations have a single default runner group. Organizations within an enterprise account can create additional groups. Organization admins can allow individual repositories access to a runner group. For information about how to create a runner group with the REST API, see "Self-hosted runner groups."

Runners are automatically assigned to the default group when created, and can only be members of one group at a time. You can move a runner from the default group to any group you create.

When creating a group, you must choose a policy that defines which repositories and workflows have access to the runner group.

  1. On GitHub.com, navigate to the main page of the organization.

  2. Debajo del nombre de la organización, haga clic en Settings. Botón de configuración de la organización

  3. In the left sidebar, click Actions, then click Runner groups.

  4. In the "Runner groups" section, click New runner group.

  5. Enter a name for your runner group.

  6. Asigne una directiva para el acceso al repositorio.

    Puedes configurar un grupo de ejecutores para que sea accesible a una lista específica de repositorios o a todos ellos en la organización. Predeterminadamente, solo los repositorios privados pueden acceder a los ejecutores en un grupo ejecutor. Pero esto se puede anular. Esta configuración no puede anularse si se configura un grupo ejecutor de la organización que haya compartido una empresa.

  7. Asigne una directiva para el acceso al flujo de trabajo.

    Puede configurar un grupo de ejecutores a fin de que sea accesible para una lista específica de flujos de trabajo o para todos los flujos de trabajo. Este valor no se puede invalidar si configura un grupo de ejecutores de una organización que haya compartido una empresa. Si especifica qué flujo de trabajo puede acceder al grupo de ejecutores, debe usar la ruta completa del flujo de trabajo, incluido el nombre y el propietario del repositorio, y debe anclar el flujo de trabajo a una rama, etiqueta o SHA completo. Por ejemplo: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Solo los trabajos que se definan directamente dentro de los flujos de trabajo seleccionados tendrán acceso al grupo de ejecutores. Organization-owned runner groups cannot access workflows from a different organization in the enterprise; instead, you must create an enterprise-owned runner group.

  8. Click Create group to create the group and apply the policy.

Creating a runner group for an enterprise

Advertencia: If you are using a Fixed IP range, we recommend that you only use ejecutor más grandes with private repositories. Forks of your repository can potentially run dangerous code on your ejecutor más grande by creating a pull request that executes the code in a workflow.

Las empresas pueden agregar sus ejecutores a grupos para su administración de accesos. Las empresas pueden crear grupos de ejecutores que son accesibles para organizaciones específicas en la cuenta empresarial o para flujos de trabajo específicos. Los propietarios de la organización pueden entonces asignar directivas de acceso adicionales y detalladas para los repositorios o flujos de trabajo a los grupos de ejecutores de la empresa. Para obtener más información sobre cómo crear un grupo de ejecutores con la API de REST, consulte los puntos de conexión de la empresa en la API de REST de GitHub Actions.

Los ejecutores se asignan automáticamente al grupo predeterminado cuando se crean y solo pueden ser miembros de un grupo a la vez. Puedes asignar el ejecutor a un grupo específico durante el proceso de registro o puedes moverlo después desde el grupo predeterminado a un grupo personalizado.

Cuando creas un grupo, debes elegir la política que defina qué organizaciones tienen acceso al grupo de ejecutores.

  1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises. "Your enterprises" en el menú desplegable de la imagen de perfil en GitHub Enterprise Cloud

  2. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de sus empresas

  3. En la barra lateral de la empresa, haz clic en Directivas. Pestaña Directivas en la barra lateral de la cuenta de empresa

  4. En " Directivas", haz clic en Acciones.

  5. Haga clic en la pestaña Runner groups.

  6. Click New runner group.

  7. Under "Group name", type a name for your runner group.

  8. Para elegir una directiva para el acceso de la organización, seleccione la lista desplegable Organization access y haga clic en una directiva. Puedes configurar un grupo de ejecutores para que sea accesible a una lista de organizaciones específica o a todas las organizaciones en la empresa.

    Opciones para agregar grupos de ejecutores

  9. Asigne una directiva para el acceso al flujo de trabajo.

    Puede configurar un grupo de ejecutores a fin de que sea accesible para una lista específica de flujos de trabajo o para todos los flujos de trabajo. Este valor no se puede invalidar si configura un grupo de ejecutores de una organización que haya compartido una empresa. Si especifica qué flujo de trabajo puede acceder al grupo de ejecutores, debe usar la ruta completa del flujo de trabajo, incluido el nombre y el propietario del repositorio, y debe anclar el flujo de trabajo a una rama, etiqueta o SHA completo. Por ejemplo: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Solo los trabajos que se definan directamente dentro de los flujos de trabajo seleccionados tendrán acceso al grupo de ejecutores.

  10. Haga clic en Save group para crear el grupo y aplicar la directiva.

Uso de nombres únicos para grupos de ejecutores

GitHub Actions requiere que los nombres del grupo de ejecutores sean únicos a nivel de organización. Esto significa que una organización ya no podrá crear un grupo de ejecutores con el mismo nombre que uno de la empresa. Además, los usuarios verán un banner de advertencia en cualquier grupo de ejecutores que comparta el mismo nombre que un grupo de la empresa, que sugiere que se debe cambiar el nombre del grupo de la organización.

Para evitar ambigüedad, se producirá un error en un flujo de trabajo si hay grupos de ejecutores duplicados en la organización y en la empresa. Para solucionarlo, puedes cambiar el nombre de uno de los grupos de ejecutores de la organización o de la empresa, o bien actualizar el archivo de flujo de trabajo para agregar un prefijo al nombre del grupo de ejecutores:

  • org/ o organization/
  • ent/ o enterprise/

Ejemplo: Uso de prefijos para diferenciar grupos de ejecutores

Por ejemplo, si tienes un grupo de ejecutores denominado my-group en la organización y otro denominado my-group en la empresa, puedes actualizar el archivo de flujo de trabajo para usar org/my-group o ent/my-group para diferenciar entre los dos.

Usar org/:

runs-on:
  group: org/my-group
  labels: [ self-hosted, label-1 ]

Usar ent/:

runs-on:
  group: ent/my-group
  labels: [ self-hosted, label-1 ]

Changing the access policy of a runner group

Advertencia: If you are using a Fixed IP range, we recommend that you only use ejecutor más grandes with private repositories. Forks of your repository can potentially run dangerous code on your ejecutor más grande by creating a pull request that executes the code in a workflow.

For runner groups in an enterprise, you can change what organizations in the enterprise can access a runner group or restrict what workflows a runner group can run. For runner groups in an organization, you can change what repositories in the organization can access a runner group or restrict what workflows a runner group can run.

Changing what organizations or repositories can access a runner group

  1. Navega a donde se ubiquen tus grupos de ejecutores:

    • En una organización: vaya a la página principal y haga clic en Configuración.

    • Si usa un grupo de nivel de empresa:

      1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises. "Your enterprises" en el menú desplegable de la imagen de perfil en GitHub Enterprise Cloud

      2. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de sus empresas

  2. Navega a los ajustes de los "Grupos de ejecutores":

    • En una organización:

      1. In the left sidebar, click Actions, then click Runner groups.
    • Si usa un grupo de nivel de empresa:

      1. En la barra lateral de la empresa, haz clic en Directivas. Pestaña Directivas en la barra lateral de la cuenta de empresa 1. En " Directivas", haz clic en Acciones. 1. Haga clic en la pestaña Runner groups.
  3. En la lista de grupos, haz clic en el grupo de ejecutores que te gustaría configurar.

  4. For runner groups in an enterprise, under Organization access, modify what organizations can access the runner group. For runner groups in an organization, under Repository access, modify what repositories can access the runner group.

Changing what workflows can access a runner group

You can configure a runner group to run either selected workflows or all workflows. For example, you might use this setting to protect secrets that are stored on runners or to standardize deployment workflows by restricting a runner group to run only a specific reusable workflow. This setting cannot be overridden if you are configuring an organization's runner group that was shared by an enterprise.

  1. Navega a donde se ubiquen tus grupos de ejecutores:

    • En una organización: vaya a la página principal y haga clic en Configuración.

    • Si usa un grupo de nivel de empresa:

      1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises. "Your enterprises" en el menú desplegable de la imagen de perfil en GitHub Enterprise Cloud

      2. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de sus empresas

  2. Navega a los ajustes de los "Grupos de ejecutores":

    • En una organización:

      1. In the left sidebar, click Actions, then click Runner groups.
    • Si usa un grupo de nivel de empresa:

      1. En la barra lateral de la empresa, haz clic en Directivas. Pestaña Directivas en la barra lateral de la cuenta de empresa 1. En " Directivas", haz clic en Acciones. 1. Haga clic en la pestaña Runner groups.
  3. En la lista de grupos, haz clic en el grupo de ejecutores que te gustaría configurar.

  4. Under Workflow access, select the dropdown menu and click Selected workflows.

  5. Click .

  6. Enter a comma separated list of the workflows that can access the runner group. Use the full path, including the repository name and owner. Pin the workflow to a branch, tag, or full SHA. For example: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Only jobs directly defined within the selected workflows will have access to the runner group.

    Organization-owned runner groups cannot access workflows from a different organization in the enterprise; instead, you must create an enterprise-owned runner group.

  7. Click Save.

Changing the name of a runner group

  1. Navega a donde se ubiquen tus grupos de ejecutores:

    • En una organización: vaya a la página principal y haga clic en Configuración.

    • Si usa un grupo de nivel de empresa:

      1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises. "Your enterprises" en el menú desplegable de la imagen de perfil en GitHub Enterprise Cloud

      2. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de sus empresas

  2. Navega a los ajustes de los "Grupos de ejecutores":

    • En una organización:

      1. In the left sidebar, click Actions, then click Runner groups.
    • Si usa un grupo de nivel de empresa:

      1. En la barra lateral de la empresa, haz clic en Directivas. Pestaña Directivas en la barra lateral de la cuenta de empresa 1. En " Directivas", haz clic en Acciones. 1. Haga clic en la pestaña Runner groups.
  3. En la lista de grupos, haz clic en el grupo de ejecutores que te gustaría configurar.

  4. Change the runner group name.

Moving a runner to a group

If you don't specify a runner group during the registration process, your new runners are automatically assigned to the default group, and can then be moved to another group.

  1. Navega a donde está registrado tu ejecutor:

    • En una organización: vaya a la página principal y haga clic en Settings (Configuración).

    • Si usa un ejecutor de nivel empresarial:

      1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises. "Your enterprises" en el menú desplegable de la imagen de perfil en GitHub Enterprise Cloud

      2. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de sus empresas

  2. Navega a los ajustes de GitHub Actions:

    • En una organización:

      1. In the left sidebar, click Actions, then click Runners.
    • Si usa un ejecutor de nivel empresarial:

      1. En la barra lateral de la empresa, haz clic en Directivas. Pestaña Directivas en la barra lateral de la cuenta de empresa 1. En " Directivas", haz clic en Acciones. 1. Haz clic en la pestaña Ejecutores.
  3. In the "Runners" list, click the runner that you want to configure.

  4. Select the Runner group drop-down.

  5. In "Move runner to group", choose a destination group for the runner.

Removing a runner group

Los ejecutores se devuelven automáticamente al grupo predeterminado cuando su grupo se elimina.

  1. Navega a donde se ubiquen tus grupos de ejecutores:

    • En una organización: vaya a la página principal y haga clic en Configuración.

    • Si usa un grupo de nivel de empresa:

      1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises. "Your enterprises" en el menú desplegable de la imagen de perfil en GitHub Enterprise Cloud

      2. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de sus empresas

  2. Navega a los ajustes de los "Grupos de ejecutores":

    • En una organización:

      1. In the left sidebar, click Actions, then click Runner groups.
    • Si usa un grupo de nivel de empresa:

      1. En la barra lateral de la empresa, haz clic en Directivas. Pestaña Directivas en la barra lateral de la cuenta de empresa 1. En " Directivas", haz clic en Acciones. 1. Haga clic en la pestaña Runner groups.
  3. En la lista de grupos, a la derecha del grupo que quieras borrar, haz clic en .

  4. Para eliminar el grupo, haga clic en Remove group.

  5. Revise las indicaciones de confirmación y haga clic en Remove this runner group. Los ejecutores que aún estén en este grupo se moverán automáticamente al grupo predeterminado, donde heredarán los permisos de acceso asignados a ese grupo.