Note
Actualmente los ejecutores hospedados por GitHub no se admiten en GitHub Enterprise Server. Puede ver más información sobre la compatibilidad futura planeada en GitHub public roadmap.
Acerca de los secretos
Los secretos te permiten almacenar información confidencial en tu organización, repositorio o entornos de repositorio. Los secretos son variables que se crean para usarlas en los flujos de trabajo de GitHub Actions en una organización, repositorio o entorno de repositorio.
GitHub Actions solo puede leer un secreto si incluye explícitamente el secreto en un flujo de trabajo.
Nombrar tus secretos
Tip
Para ayudarte a garantizar que GitHub redacta tus secretos en los registros correctamente, evita utilizar datos estructurados como los valores de los secretos.
Las siguientes reglas aplican a los nombres secretos:
- Solo puede contener caracteres alfanuméricos (
[a-z],[A-Z],[0-9]) o caracteres de subrayado (_). No se permiten espacios. - No debe comenzar con el prefijo
GITHUB_. - No puede iniciar con un número.
- No distingue mayúsculas de minúsculas.
- Debe ser único para el repositorio, la organización o la empresa donde se crean.
Si existe un secreto con el mismo nombre en varios niveles, tiene preferencia el del nivel más bajo. Por ejemplo, si un secreto a nivel de organización tiene el mismo nombre que un secreto a nivel de repositorio, entonces el secreto a nivel de repositorio tomará precedencia. De forma similar, si una organización, repositorio y ambiente tienen u secreto con el mismo nombre, el que esté a nivel de ambiente tomará precedencia.
Uso de los secretos en flujos de trabajo
Warning
Si se ha usado un secreto en un trabajo de flujo de trabajo, GitHub redacta automáticamente los secretos impresos en el registro. Debe evitar imprimir secretos en el registro intencionadamente.
Los secretos a nivel organizacional te permiten compartir secretos entre repositorios múltiples, lo cual reduce la necesidad de crear secretos duplicados. El actualizar un secreto de organización en una ubicación también garantiza que el cambio tome efecto en todos los flujos de trabajo del repositorio que lo utilicen.
En el caso de los secretos de entorno, puedes habilitar los revisores necesarios para controlar el acceso a los secretos. Un job de flujo de trabajo no puede acceder a los secretos del ambiente hasta que los revisores requeridos le otorguen aprobación.
Para hacer que un secreto esté disponible para una acción, debes configurar el secreto como variable de entrada o de entorno en tu archivo de flujo de trabajo. Revisa el archivo README de la acción para saber qué variables de entrada y de entorno espera la acción. Consulta Sintaxis del flujo de trabajo para GitHub Actions.
Los secretos de organización y de repositorio se leen cuando una ejecución de flujo de trabajo está en cola y los secretos de ambiente se leen cuando un job que referencia el ambiente comienza.
Limitar permisos de credenciales
Cuando generes credenciales, te recomendamos que otorgues los mínimos permisos posibles. Por ejemplo, en lugar de usar credenciales personales, use claves de implementación o una cuenta de servicio. Considera otorgar permisos de solo lectura si eso es todo lo que se necesita, y limita el acceso lo máximo posible.
Al generar un personal access token (classic), seleccione los ámbitos más mínimos necesarios. Al generar un fine-grained personal access token, seleccione los permisos mínimos y el acceso al repositorio necesarios.
En lugar de usar un personal access token, considere la posibilidad de usar un GitHub App, que usa permisos específicos y tokens de corta duración, similar a un fine-grained personal access token. A diferencia de un personal access token, una GitHub App no está vinculada a un usuario, por lo que el flujo de trabajo seguirá funcionando incluso si el usuario que instaló la aplicación deja la organización. Para más información, consulta Realización de solicitudes de API autenticadas con una aplicación de GitHub en un flujo de trabajo de Acciones de GitHub.