Skip to main content

Contrôle de l’accès aux exécuteurs plus grands

Vous pouvez utiliser des stratégies pour limiter l’accès aux exécuteur plus grand qui ont été ajoutés à une organisation ou à une entreprise.

Qui peut utiliser cette fonctionnalité

Les Exécuteur de plus grande taille sont uniquement disponibles pour les organisations et les entreprises qui utilisent les plans GitHub Team ou GitHub Enterprise Cloud.

Remarque : les informations et les instructions de cet article ne s’appliquent qu’aux exécuteur plus grands avec les systèmes d’exploitation Linux et Windows.

À propos des groupes d’exécuteurs

Pour contrôler l'accès aux runners au niveau de l'organisation niveau, les organisations utilisant le plan GitHub Team peuvent utiliser des groupes de runners.

Les groupes d’exécuteurs sont utilisés pour collecter des ensembles d’exécuteurs et créer une limite de sécurité autour d’eux. Vous pouvez ensuite décider quelles organisations ou dépôts sont autorisés à exécuter des travaux sur ces ensembles de machines. Les propriétaires d'organisations peuvent configurer des politiques d'accès qui contrôlent quels référentiels d'une organisation ont accès au groupe runner.

Lorsque vous octroyez l’accès à un groupe d’exécuteurs, vous pouvez voir le groupe d’exécuteurs répertorié dans les paramètres des exécuteurs de l’organisation. Vous pouvez éventuellement attribuer au groupe d’exécuteurs des stratégies d’accès supplémentaires au référentiel.

Quand de nouveaux exécuteurs sont créés, ils sont automatiquement affectés au groupe par défaut, sauf spécification contraire. Les exécuteurs peuvent appartenir à un seul groupe à la fois. Vous pouvez déplacer des exécuteurs d’un groupe d’exécuteurs vers un autre. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Pour plus d’informations sur la façon de router des travaux vers des exécuteurs d’un groupe spécifique, consultez « Choix de l’exécuteur pour un travail ».

Gestion de l’accès aux exécuteurs

Remarque : Avant que vos workflows ne puissent envoyer des travaux aux exécuteur plus grand, vous devez d’abord configurer des autorisations pour le groupe d’exécuteurs. Pour plus d’informations, consultez les sections suivantes.

Les groupes d’exécuteurs sont utilisés pour contrôler les dépôts qui peuvent exécuter des travaux sur vos exécuteur plus grand. Vous devez gérer l’accès au groupe depuis chaque niveau de la hiérarchie de gestion, selon l’emplacement où vous avez défini le exécuteur plus grand :

  • Exécuteurs au niveau de l’entreprise : Par défaut, les dépôts d’une organisation n’ont pas accès aux groupes d’exécuteurs de niveau entreprise. Pour donner aux référentiels l'accès aux groupes d'exécution d'entreprise, les propriétaires de l'organisation doivent configurer chaque groupe d'exécution d'entreprise et choisir les référentiels qui y ont accès.
  • Exécuteurs au niveau de l’organisation : Par défaut, tous les dépôts d’une organisation reçoivent l’autorisation d’accès aux groupes d’exécuteurs de niveau organisation. Pour limiter l'accès aux référentiels, les propriétaires d'organisation doivent configurer les groupes de gestionnaires d'organisation et choisir les référentiels auxquels ils ont accès.

Par exemple, le schéma suivant comporte un groupe d’exécuteurs nommé grp-ubuntu-20.04-16core au niveau de l’entreprise. Avant que le dépôt nommé octo-repo puisse utiliser les exécuteurs du groupe, vous devez d’abord configurer le groupe au niveau de l’entreprise pour autoriser l’accès à l’organisation octo-org. Vous devez ensuite configurer le groupe au niveau de l’organisation pour autoriser l’accès à octo-repo.

Diagramme montrant un verrou entre un groupe d’exécuteurs au niveau de l’entreprise et une organisation, et entre l’organisation et deux dépôts appartenant à l’organisation.

Création d’un groupe d’exécuteurs pour une organisation

Avertissement : Si vous utilisez une plage d’adresses IP fixe, nous vous recommandons d’utiliser uniquement des exécuteur plus grands avec des référentiels privés. Les duplications (forks) de votre dépôt peuvent exécuter du code potentiellement dangereux sur votre exécuteur plus grand en créant une demande de tirage qui exécute le code dans un workflow.

Toutes les organisations disposent d’un seul groupe d’exécuteurs par défaut. Les organisations qui utilisent le plan GitHub Team peuvent créer des groupes supplémentaires. Les administrateurs d’organisation peuvent autoriser l’accès aux dépôts individuels à un groupe d’exécuteurs. Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez « Actions ».

Si aucun groupe n’est spécifié pendant le processus d’inscription, les exécuteurs sont automatiquement ajoutés à un groupe par défaut. Vous pouvez déplacer ultérieurement l’exécuteur du groupe par défaut vers un groupe personnalisé. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Quand vous créez un groupe, vous devez choisir une stratégie qui définit les dépôts ayant accès au groupe d’exécuteurs.

  1. Sur GitHub.com, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

  4. Dans la section « Groupes d’exécuteurs », cliquez sur Nouveau groupe d’exécuteurs.

  5. Entrez un nom pour votre groupe d’exécuteurs.

  6. Affectez une stratégie d’accès au dépôt.

    Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de référentiels ou à tous les référentiels de l’organisation. Par défaut, seuls les référentiels privés peuvent accéder aux exécuteurs dans un groupe d’exécuteurs, mais vous pouvez remplacer cela. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation qui a été partagé par une grande entreprise.

  7. Cliquez sur Créer un groupe pour créer le groupe et appliquer la stratégie.

Changer les dépôts qui peuvent accéder à un groupe d’exécuteurs

Avertissement : Si vous utilisez une plage d’adresses IP fixe, nous vous recommandons d’utiliser uniquement des exécuteur plus grands avec des référentiels privés. Les duplications (forks) de votre dépôt peuvent exécuter du code potentiellement dangereux sur votre exécuteur plus grand en créant une demande de tirage qui exécute le code dans un workflow.

Pour les groupes d’exécuteurs d’une organisation, vous pouvez changer les dépôts qui peuvent accéder à un groupe d’exécuteurs.

  1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

  2. Cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

  4. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

  5. Sous « Accès au dépôt », utilisez le menu déroulant pour cliquer sur Organisations sélectionnées.

    1. À droite du menu déroulant, cliquez sur .
    2. Dans la fenêtre contextuelle, cochez les cases pour sélectionner les référentiels qui peuvent accéder à ce groupe d’exécuteurs.
  6. Cliquez sur Enregistrer le groupe.

Modification du nom d’un groupe d’exécuteurs

  1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

  2. Cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

  4. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

  5. Entrez le nom du nouveau groupe d’exécuteurs dans le champ de texte sous « Nom du groupe ».

  6. Cliquez sur Enregistrer.

Déplacement d’un exécuteur vers un groupe

Si vous ne spécifiez pas de groupe d’exécuteurs pendant le processus d’inscription, vos nouveaux exécuteurs sont automatiquement affectés au groupe par défaut et peuvent ensuite être déplacés vers un autre groupe.

  1. Sur GitHub.com, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Exécuteurs.

  4. Dans la liste « Exécuteurs », cliquez sur l’exécuteur que vous souhaitez configurer.

  5. Sélectionnez la liste déroulante Groupe d’exécuteurs.

  6. Dans « Déplacer l’exécuteur vers le groupe », choisissez un groupe de destination pour l’exécuteur.

Suppression d’un groupe d’exécuteurs

Pour pouvoir supprimer un groupe d’exécuteurs, vous devez d’abord déplacer ou supprimer tous les exécuteurs du groupe.

  1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

  2. Cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

  4. Dans la liste des groupes, à droite du groupe à supprimer, cliquez sur .

  5. Pour supprimer le groupe, cliquez sur Supprimer le groupe.

  6. Passez en revue les invites de confirmation, puis cliquez sur Supprimer ce groupe d’exécuteurs.