Skip to main content

Disabling or limiting GitHub Actions for your organization

Organization owners can disable, enable, and limit GitHub Actions for an organization.

About GitHub Actions permissions for your organization

By default, GitHub Actions is enabled on all repositories and organizations. You can choose to disable GitHub Actions or limit it to actions and reusable workflows in your organization. For more information about GitHub Actions, see "About GitHub Actions."

You can enable GitHub Actions for all repositories in your organization. Cuando habilitas GitHub Actions, los flujos de trabajo pueden ejecutar acciones y flujos de trabajo reutilizables que se encuentran en tu repositorio y en cualquier otro repositorio público. You can disable GitHub Actions for all repositories in your organization. Cuando inhabilitas a GitHub Actions, no se ejecuta ningún flujo de trabajo en tu repositorio.

Alternatively, you can enable GitHub Actions for all repositories in your organization but limit the actions and reusable workflows a workflow can run.

Managing GitHub Actions permissions for your organization

You can choose to disable GitHub Actions for all repositories in your organization, or only allow specific repositories. You can also limit the use of public actions and reusable workflows, so that people can only use local actions and reusable workflows that exist in your organization.

Note: You might not be able to manage these settings if your organization is managed by an enterprise that has overriding policy. For more information, see "Enforcing policies for GitHub Actions in your enterprise."

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil

  2. Junto a la organización, haga clic en Settings. El botón de configuración

  3. In the left sidebar, click Actions, then click General.

  4. Under "Policies", select an option.

    Si eliges Permitir OWNER y seleccionar acciones que no sean OWNER y flujos de trabajo reutilizables, se permiten acciones y flujos de trabajo reutilizables en tu organización y hay opciones adicionales para permitir otras acciones específicas y flujos de trabajo reutilizables. Para obtener más información, consulta "Habilitación de la ejecución de acciones seleccionadas y flujos de trabajo reutilizables".

    Al permitir acciones y flujos de trabajo reutilizables solo en tuorganización, la directiva bloquea todo el acceso a las acciones que crea GitHub. Por ejemplo, no se podría acceder a la acción actions/checkout.

    Set actions policy for this organization

  5. Click Save.

Habilitación de la ejecución de acciones seleccionadas y flujos de trabajo reutilizables

Al elegir Permitir OWNER y seleccionar acciones que no sean OWNER y flujos de trabajo reutilizables, se permiten acciones locales y flujos de trabajo reutilizables y hay opciones adicionales para permitir otras acciones específicas y flujos de trabajo reutilizables:

  • Permitir las acciones que crea GitHub: Puedes permitir que los flujos de trabajo utilicen todas las acciones que haya creado GitHub. Las acciones que crea GitHub se encuentran en las organizaciones actions y github. Para más información, consulta las organizaciones actions y github.

  • Permitir las acciones de Marketplace de creadores verificados: Puedes permitir que los flujos de trabajo usen todas las acciones de GitHub Marketplace creadas por creadores verificados. Cuando GitHub haya verificado al creador de la acción como una organización asociada, se mostrará la insignia de junto a la acción en GitHub Marketplace.

  • Permitir las acciones especificadas y los flujos de trabajo reutilizables: Puedes restringir los flujos de trabajo para que utilicen acciones y flujos de trabajo reutilizables en organizaciones y repositorios concretos.

    Para restringir el acceso a etiquetas específicas o confirmar los SHA de una acción o un flujo de trabajo reutilizable, usa la misma sintaxis que se usa en el flujo de trabajo para seleccionar la acción o el flujo de trabajo reutilizable.

    • Para una acción, la sintaxis es <OWNER>/<REPO>@<TAG OR SHA>. Por ejemplo, usa actions/javascript-action@v1.0.1 para seleccionar una etiqueta o actions/javascript-action@172239021f7ba04fe7327647b213799853a9eb89 para seleccionar un SHA. Para obtener más información, consulta "Búsqueda y personalización de acciones".
    • Para un flujo de trabajo reutilizable, la sintaxis es <OWNER>/<REPO>/<PATH>/<FILENAME>@<TAG OR SHA>. Por ejemplo, octo-org/another-repo/.github/workflows/workflow.yml@v1. Para obtener más información, consulta "Reutilización de flujos de trabajo".

    Puedes usar el carácter comodín * para buscar coincidencias con patrones. Por ejemplo, para permitir todas las acciones y los flujos de trabajo reutilizables en las organizaciones que comienzan con space-org, puedes especificar space-org*/*. Para permitir todas las acciones y los flujos de trabajo reutilizables en los repositorios que empiezan con octocat, puedes usar */octocat**@*. Para obtener más información sobre el uso del carácter comodín *, consulta "Sintaxis de flujo de trabajo para Acciones de GitHub".

    Nota: La opción Permitir las acciones especificadas y los flujos de trabajo reutilizables solo está disponible en los repositorios públicos con el plan GitHub Free, GitHub Pro, GitHub Free para organizaciones o GitHub Team.

Este procedimiento muestra cómo agregar acciones específicas y flujos de trabajo reutilizables a la lista de permitidos.

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil

  2. Junto a la organización, haga clic en Settings. El botón de configuración

  3. In the left sidebar, click Actions, then click General.

  4. Under "Policies", select Permitir OWNER y seleccionar acciones que no sean OWNER y flujos de trabajo reutilizables and add your required actions and reusable workflows to the list.

    Add actions and reusable workflows to the allow list

  5. Click Save.

Configuring required approval for workflows from public forks

Cualquiera puede bifurcar un repositorio público y luego emitir una solicitud de cambios que proponga cambios en los flujos de trabajo de GitHub Actions del mismo. Aunque los flujos de trabajo de las bifurcaciones no tienen acceso a datos sensibles tales como los secretos, pueden ser molestos para los mantenedores si se modifican para fines de abuso.

Para ayudar a prevenir esto, los flujos de trabajo sobre las solicitudes de cambio en los repositorios públicos de algunos contribuyentes no se ejecutarán automáticamente y podrían necesitar aprobarse primero. Predeterminadamente, todos los contribuyentes de primera vez necesitan aprobación para ejecutar flujos de trabajo.

Nota: Los flujos de trabajo desencadenados por eventos pull_request_target se ejecutan en el contexto de la rama base. Ya que la rama base se considera como confiable, los flujos de trabajo que activen estos eventos siempre se ejecutarán, sin importar los ajustes de aprobaciones.

You can configure this behavior for an organization using the procedure below. Modifying this setting overrides the configuration set at the enterprise level.

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil

  2. Junto a la organización, haga clic en Settings. El botón de configuración

  3. In the left sidebar, click Actions, then click General.

  4. En Bifurcar flujos de trabajo de solicitud de incorporación de cambios de colaboradores externos, selecciona tu opción. Las opciones se listan desde la menos hasta la más restrictiva.

    Configurar la aprobación para los flujos de trabajo desde las bifurcaciones públicas

  5. Haz clic en Guardar para aplicar los valores.

Para obtener más información sobre la aprobación de ejecuciones de flujo de trabajo a las que se aplica esta directiva, consulte "Aprobar ejecuciones de flujo de trabajo desde bifurcaciones públicas".

Enabling workflows for private repository forks

Si se basa en el uso de bifurcaciones de sus repositorios privados, puede configurar las directivas que controlan cómo los usuarios pueden ejecutar flujos de trabajo en los eventos de pull_request. Ya que están disponibles únicamente para repositorios privados , puedes configurar estos ajustes de política para organizaciones o repositorios.

If a policy is disabled for an organization, it cannot be enabled for repositories. If an organization enables a policy, the policy can be disabled for individual repositories.

  • Ejecutar flujos de trabajo desde solicitudes de incorporación de cambios de bifurcación: permite a los usuarios ejecutar flujos de trabajo desde solicitudes de incorporación de cambios de bifurcación, utilizando un GITHUB_TOKEN con permiso de solo lectura y sin acceso a secretos.
  • Enviar tokens de escritura a flujos de trabajo desde solicitudes de incorporación de cambios: permite que las solicitudes de incorporación de cambios de bifurcaciones usen un GITHUB_TOKEN con permiso de escritura.
  • Enviar secretos a flujos de trabajo desde solicitudes de incorporación de cambios: hace que todos los secretos estén disponibles para la solicitud de incorporación de cambios.
  • Requerir aprobación para flujos de trabajo de solicitud de incorporación de cambios de bifurcación: las ejecuciones de flujo de trabajo en solicitudes de incorporación de cambios de colaboradores sin permiso de escritura requerirá la aprobación de alguien con permiso de escritura antes de que se ejecuten.

Configuring the private fork policy for an organization

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil

  2. Junto a la organización, haga clic en Settings. El botón de configuración

  3. In the left sidebar, click Actions, then click General.

  4. En Fork pull request workflows (Bifurcar flujos de trabajo de solicitud de incorporación de cambios), seleccione las opciones. Por ejemplo: Habilitación, deshabilitación o limitación de acciones para este repositorio

  5. Haga clic en Save (Guardar) para aplicar los valores.

Setting the permissions of the GITHUB_TOKEN for your organization

Puedes establecer los permisos predeterminados concedidos al GITHUB_TOKEN. Para obtener más información sobre el GITHUB_TOKEN, consulta Autenticación de token automática. Puedes elegir un conjunto restringido de permisos como valor predeterminado o aplicar la configuración permisiva.

You can set the default permissions for the GITHUB_TOKEN in the settings for your organization or your repositories. If you select a restrictive option as the default in your organization settings, the same option is selected in the settings for repositories within your organization, and the permissive option is disabled. If your organization belongs to a GitHub Enterprise account and a more restrictive default has been selected in the enterprise settings, you won't be able to select the more permissive default in your organization settings.

Cualquiera con acceso de escritura en un repositorio puede modificar los permisos que se han otorgado a GITHUB_TOKEN, y agregar o quitar el acceso según sea necesario, si editan la clave permissions en el archivo de flujo de trabajo. Para más información, vea permissions.

Configuring the default GITHUB_TOKEN permissions

By default, when you create a new organization, GITHUB_TOKEN only has read access for the contents scope.

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your profile (Su perfil). Foto de perfil

  2. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil

  3. Junto a la organización, haga clic en Settings. El botón de configuración

  4. In the left sidebar, click Actions, then click General.

  5. Under "Workflow permissions", choose whether you want the GITHUB_TOKEN to have read and write access for all scopes, or just read access for the contents scope.

    Set GITHUB_TOKEN permissions for this organization

  6. Click Save to apply the settings.

Preventing GitHub Actions from creating or approving pull requests

Puedes elegir si permitir o impedir que los flujos de trabajo de GitHub Actions creen o aprueben las solicitudes de incorporación de cambios.

By default, when you create a new organization, workflows are not allowed to create or approve pull requests.

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your profile (Su perfil). Foto de perfil

  2. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil

  3. Junto a la organización, haga clic en Settings. El botón de configuración

  4. In the left sidebar, click Actions, then click General.

  5. Under "Workflow permissions", use the Allow GitHub Actions to create and approve pull requests setting to configure whether GITHUB_TOKEN can create and approve pull requests.

    Set GITHUB_TOKEN pull request approval permission for this organization

  6. Click Save to apply the settings.

Managing GitHub Actions cache storage for your organization

Organization administrators can view GitHub Actions cache storage for all repositories in the organization.

Viewing GitHub Actions cache storage by repository

For each repository in your organization, you can see how much cache storage a repository is using, the number of active caches, and if a repository is near the total cache size limit. For more information about the cache usage and eviction process, see "Caching dependencies to speed up workflows."

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your profile (Su perfil). Foto de perfil
  2. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil
  3. Junto a la organización, haga clic en Settings. El botón de configuración
  4. In the left sidebar, click Actions, then click Caches.
  5. Review the list of repositories for information about their GitHub Actions caches. You can click on a repository name to see more detail about the repository's caches.