Contrôle de l’accès aux exécuteurs plus grands

À propos des groupes d’exécuteurs

Pour contrôler l'accès aux runners au niveau de l'organisation et/ou de l'entreprise, les propriétaires de l'entreprise et de l'organisation peuvent utiliser des groupes de runners.

Les groupes d’exécuteurs sont utilisés pour collecter des ensembles d’exécuteurs et créer une limite de sécurité autour d’eux. Vous pouvez ensuite décider quelles organisations ou dépôts sont autorisés à exécuter des travaux sur ces ensembles de machines. Les administrateurs d'entreprise peuvent configurer des politiques d'accès qui contrôlent quelles organisations et quels workflows d'une entreprise ont accès au groupe runner.

Lorsque vous octroyez l’accès à un groupe d’exécuteurs, vous pouvez voir le groupe d’exécuteurs répertorié dans les paramètres des exécuteurs de l’organisation. Vous pouvez éventuellement attribuer au groupe d’exécuteurs des stratégies d’accès supplémentaires au référentiel et aux workflows.

Quand de nouveaux exécuteurs sont créés, ils sont automatiquement affectés au groupe par défaut, sauf spécification contraire. Les exécuteurs peuvent appartenir à un seul groupe à la fois. Vous pouvez déplacer des exécuteurs d’un groupe d’exécuteurs vers un autre. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Pour plus d’informations sur la façon de router des travaux vers des exécuteurs d’un groupe spécifique, consultez « Choix de l’exécuteur pour un travail ».

Gestion de l’accès aux exécuteurs

Les groupes d’exécuteurs sont utilisés pour contrôler les dépôts qui peuvent exécuter des travaux sur vos exécuteur plus grand. Vous devez gérer l’accès au groupe depuis chaque niveau de la hiérarchie de gestion, selon l’emplacement où vous avez défini le exécuteur plus grand :

• Exécuteurs au niveau de l’entreprise : Par défaut, les dépôts d’une organisation n’ont pas accès aux groupes d’exécuteurs de niveau entreprise. Pour donner aux référentiels l'accès aux groupes d'exécution d'entreprise, les propriétaires de l'organisation doivent configurer chaque groupe d'exécution d'entreprise et choisir les référentiels qui y ont accès.
• Exécuteurs au niveau de l’organisation : Par défaut, tous les dépôts d’une organisation reçoivent l’autorisation d’accès aux groupes d’exécuteurs de niveau organisation. Pour limiter l'accès aux référentiels, les propriétaires d'organisation doivent configurer les groupes de gestionnaires d'organisation et choisir les référentiels auxquels ils ont accès.

Par exemple, le schéma suivant comporte un groupe d’exécuteurs nommé grp-ubuntu-20.04-16core au niveau de l’entreprise. Avant que le dépôt nommé octo-repo puisse utiliser les exécuteurs du groupe, vous devez d’abord configurer le groupe au niveau de l’entreprise pour autoriser l’accès à l’organisation octo-org. Vous devez ensuite configurer le groupe au niveau de l’organisation pour autoriser l’accès à octo-repo.

Création d’un groupe d’exécuteurs pour une organisation

Toutes les organisations disposent d’un seul groupe d’exécuteurs par défaut. Les organisations au sein d’un compte d'entreprise peuvent créer des groupes supplémentaires. Les administrateurs d’organisation peuvent autoriser l’accès aux dépôts individuels à un groupe d’exécuteurs. Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez « Actions ».

Si aucun groupe n’est spécifié pendant le processus d’inscription, les exécuteurs sont automatiquement ajoutés à un groupe par défaut. Vous pouvez déplacer ultérieurement l’exécuteur du groupe par défaut vers un groupe personnalisé. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Quand vous créez un groupe, vous devez choisir une stratégie qui définit les dépôts et les workflows ayant accès au groupe d’exécuteurs.

1. Sur GitHub.com, accédez à la page principale de l’organisation.

2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

   

3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

4. Dans la section « Groupes d’exécuteurs », cliquez sur Nouveau groupe d’exécuteurs.

5. Entrez un nom pour votre groupe d’exécuteurs.

6. Affectez une stratégie d’accès au dépôt.

   Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de référentiels ou à tous les référentiels de l’organisation. Par défaut, seuls les référentiels privés peuvent accéder aux exécuteurs dans un groupe d’exécuteurs, mais vous pouvez remplacer cela. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation qui a été partagé par une grande entreprise.

7. Affectez une stratégie d’accès au workflow.

   Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de workflows ou à tous les workflows. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation, qui a été partagé par une entreprise. Si vous spécifiez quel est le workflow qui peut accéder au groupe d’exécuteurs, vous devez utiliser le chemin complet du workflow, notamment le nom et le propriétaire du dépôt. De plus, vous devez épingler le workflow à une branche, une étiquette ou un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Seuls les travaux directement définis dans les workflows sélectionnés ont accès au groupe d’exécuteurs. Les groupes d’exécuteurs définis au niveau d’une organisation ne peuvent pas accéder aux workflows d’une autre organisation dans l’entreprise. Au lieu de cela, vous devez définir un groupe d’exécuteurs au niveau de la grande entreprise. 1. Cliquez sur Créer un groupe pour créer le groupe et appliquer la stratégie.

Création d’un groupe d’exécuteurs pour une entreprise

Les grandes entreprises peuvent ajouter leurs exécuteurs à des groupes à des fins de gestion des accès. Les grandes entreprises peuvent créer des groupes d’exécuteurs accessibles à des organisations spécifiques ou à des workflows spécifiques dans le compte d’entreprise. Les propriétaires d’organisation peuvent ensuite affecter aux groupes d’exécuteurs de l’entreprise des stratégies d’accès supplémentaires précises aux dépôts ou aux workflows. Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez les points de terminaison d’entreprise dans l’API REST GitHub Actions.

Si aucun groupe n’est spécifié pendant le processus d’inscription, les exécuteurs sont automatiquement ajoutés à un groupe par défaut. Vous pouvez déplacer ultérieurement l’exécuteur du groupe par défaut vers un groupe personnalisé. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Lors de la création d’un groupe, vous devez choisir une stratégie qui définit les organisations qui ont accès au groupe d’exécuteurs.

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies.

4. Sous « Stratégies  », cliquez sur Actions.

5. Cliquez sur l’onglet Groupes d’exécuteurs.

6. Cliquez sur Nouveau groupe d’exécuteurs.

7. Sous « Nom du groupe », tapez un nom pour votre groupe d’exécuteurs.

8. Pour choisir une stratégie pour l’accès des organisations, sélectionnez le menu déroulant Accès des organisations et cliquez sur une stratégie. Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique d’organisations ou à toutes les organisations de la grande entreprise.

9. Affectez une stratégie d’accès au workflow.

   Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de workflows ou à tous les workflows. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation, qui a été partagé par une entreprise. Si vous spécifiez quel est le workflow qui peut accéder au groupe d’exécuteurs, vous devez utiliser le chemin complet du workflow, notamment le nom et le propriétaire du dépôt. De plus, vous devez épingler le workflow à une branche, une étiquette ou un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Seuls les travaux directement définis dans les workflows sélectionnés ont accès au groupe d’exécuteurs.

10. Cliquez sur Enregistrer le groupe pour créer le groupe et appliquer la stratégie.

Utilisation de noms uniques pour les groupes d’exécuteurs

GitHub Actions nécessite que les noms de groupes d’exécuteurs soient uniques au niveau de l’organisation. Cela signifie qu’une organisation ne peut plus créer de groupe d’exécuteurs portant le même nom qu’un autre au sein de l’entreprise. En outre, les utilisateurs voient une bannière d’avertissement sur tous les groupes d’exécuteurs qui partagent le même nom qu’un groupe dans l’entreprise, qui suggère que le groupe d’organisation doit être renommé.

Pour éviter toute ambiguïté, un workflow échoue s’il existe des groupes d’exécuteurs en double dans l’organisation et l’entreprise. Pour résoudre ce problème, vous pouvez renommer l’un de vos groupes d’exécuteurs dans l’organisation ou l’entreprise, ou mettre à jour votre fichier de workflow pour ajouter un préfixe au nom du groupe d’exécuteurs :

• org/ ou organization/
• ent/ ou enterprise/

Exemple : utilisation de préfixes pour différencier les groupes d’exécuteurs

Par exemple, si vous avez un groupe d’exécuteurs nommé my-group dans l’organisation et un autre nommé my-group dans l’entreprise, vous pouvez mettre à jour votre fichier de workflow pour utiliser org/my-group ou ent/my-group afin de les différencier.

Utilisation de org/:

runs-on:
  group: org/my-group
  labels: [ self-hosted, label-1 ]

Utilisation de ent/:

runs-on:
  group: ent/my-group
  labels: [ self-hosted, label-1 ]

Changer les organisations qui peuvent accéder à un groupe d’exécuteurs

Pour les groupes d’exécuteurs d’une entreprise, vous pouvez changer les organisations de l’entreprise qui peuvent accéder à un groupe d’exécuteurs.

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies.

4. Sous « Stratégies  », cliquez sur Actions.

5. Cliquez sur l’onglet Groupes d’exécuteurs.

6. Sous « Accès à l’organisation », utilisez le menu déroulant pour cliquer sur Organisations sélectionnées.

   1. À droite du menu déroulant, cliquez sur .
   2. Dans la fenêtre contextuelle, cochez les cases pour sélectionner les organisations qui peuvent utiliser ce groupe d’exécuteurs.

7. Cliquez sur Enregistrer le groupe.

Changer les dépôts qui peuvent accéder à un groupe d’exécuteurs

Pour les groupes d’exécuteurs d’une organisation, vous pouvez changer les dépôts qui peuvent accéder à un groupe d’exécuteurs.

1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

2. Cliquez sur Paramètres.

3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

4. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

5. Sous « Accès au dépôt », utilisez le menu déroulant pour cliquer sur Organisations sélectionnées.

   1. À droite du menu déroulant, cliquez sur .
   2. Dans la fenêtre contextuelle, cochez les cases pour sélectionner les référentiels qui peuvent accéder à ce groupe d’exécuteurs.

6. Cliquez sur Enregistrer le groupe.

Changer les workflows qui peuvent accéder à un groupe d’exécuteurs

Vous pouvez configurer un groupe d’exécuteurs pour exécuter les workflows sélectionnés ou tous les workflows. Par exemple, vous pouvez utiliser ce paramètre pour protéger les secrets stockés sur des exécuteurs ou pour normaliser les workflows de déploiement en limitant un groupe d’exécuteurs pour qu’il exécute uniquement un workflow réutilisable spécifique. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation qui a été partagé par une grande entreprise.

• Changer les workflows qui peuvent accéder à un groupe d’exécuteurs d’une organisation
• Changer les workflows qui peuvent accéder à un groupe d’exécuteurs d’une entreprise

Configuration de l’accès au réseau privé pour les exécuteurs plus volumineux

Si vous utilisez Azure et GitHub Enterprise Cloud, vous pouvez créer exécuteurs hébergés sur GitHub dans vos VNET Azure. Cela vous permet de tirer parti de GitHub pour votre CI/CD tout en vous fournissant un contrôle total sur les stratégies de mise en réseau de vos exécuteurs. Pour plus d'informations sur Azure VNET, consultez la section Qu'est-ce que le réseau virtuel Azure ? dans la documentation Azure.

Si vous avez configuré votre entreprise pour vous connecter à un réseau virtuel Azure, vous pouvez accorder aux groupes d’exécuteurs l’accès au réseau virtuel. Pour plus d’informations, consultez « Connexion à un réseau privé avec des exécuteurs hébergés par GitHub ».

Changer les workflows qui peuvent accéder à un groupe d’exécuteurs d’une organisation

1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

2. Cliquez sur Paramètres.

3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

4. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

5. Sous Accès aux workflows, sélectionnez le menu déroulant, puis cliquez sur Workflows sélectionnés.

6. Cliquez sur .

7. Entrez une liste séparée par des virgules des workflows qui peuvent accéder au groupe d’exécuteurs. Utilisez le chemin d’accès complet, y compris le nom et le propriétaire du dépôt. Épinglez le workflow à une branche, à une étiquette ou à un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Seuls les travaux définis directement dans les workflows sélectionnés auront accès au groupe d’exécuteurs.

   Les groupes d’exécuteurs définis au niveau d’une organisation ne peuvent pas accéder aux workflows d’une autre organisation dans la grande entreprise. Au lieu de cela, vous devez définir un groupe d’exécuteurs au niveau de la grande entreprise.

8. Cliquez sur Enregistrer.

Changer les workflows qui peuvent accéder à un groupe d’exécuteurs d’une entreprise

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies.

4. Sous « Stratégies  », cliquez sur Actions.

5. Cliquez sur l’onglet Groupes d’exécuteurs.

6. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

7. Sous Accès aux workflows, sélectionnez le menu déroulant, puis cliquez sur Workflows sélectionnés.

8. Cliquez sur .

9. Entrez une liste séparée par des virgules des workflows qui peuvent accéder au groupe d’exécuteurs. Utilisez le chemin d’accès complet, y compris le nom et le propriétaire du dépôt. Épinglez le workflow à une branche, à une étiquette ou à un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Seuls les travaux définis directement dans les workflows sélectionnés auront accès au groupe d’exécuteurs.

   Les groupes d’exécuteurs définis au niveau d’une organisation ne peuvent pas accéder aux workflows d’une autre organisation dans la grande entreprise. Au lieu de cela, vous devez définir un groupe d’exécuteurs au niveau de la grande entreprise.

10. Cliquez sur Enregistrer.

Modification du nom d’un groupe d’exécuteurs

Vous pouvez renommer des groupes d’exécuteurs au niveau de l’entreprise et au niveau de organization.

• Modification du nom d’un groupe d’exécuteurs d’organisation
• Modification du nom d’un groupe d’exécuteurs d’entreprise

Modification du nom d’un groupe d’exécuteurs d’organisation

1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

2. Cliquez sur Paramètres.

3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

4. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

5. Entrez le nom du nouveau groupe d’exécuteurs dans le champ de texte sous « Nom du groupe ».

6. Cliquez sur Enregistrer.

Modification du nom d’un groupe d’exécuteurs d’entreprise

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies.

4. Sous « Stratégies  », cliquez sur Actions.

5. Cliquez sur l’onglet Groupes d’exécuteurs.

6. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

7. Entrez le nom du nouveau groupe d’exécuteurs dans le champ de texte sous « Nom du groupe ».

8. Cliquez sur Enregistrer.

Déplacement d’un exécuteur vers un groupe

Si vous ne spécifiez pas de groupe d’exécuteurs pendant le processus d’inscription, vos nouveaux exécuteurs sont automatiquement affectés au groupe par défaut et peuvent ensuite être déplacés vers un autre groupe.

• Déplacement d’un exécuteur d’une organisation vers un groupe
• Déplacement d’un exécuteur d’une entreprise vers un groupe

Déplacement d’un exécuteur d’une organisation vers un groupe

1. Sur GitHub.com, accédez à la page principale de l’organisation.

2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

   

3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Exécuteurs.

4. Dans la liste « Exécuteurs », cliquez sur l’exécuteur que vous souhaitez configurer.

5. Sélectionnez la liste déroulante Groupe d’exécuteurs.

6. Dans « Déplacer l’exécuteur vers le groupe », choisissez un groupe de destination pour l’exécuteur.

Déplacement d’un exécuteur d’une entreprise vers un groupe

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies.

4. Sous « Stratégies  », cliquez sur Actions.

5. Cliquez sur l’onglet Exécuteurs.

6. Dans la liste « Exécuteurs », cliquez sur l’exécuteur que vous souhaitez configurer.

7. Sélectionnez la liste déroulante Groupe d’exécuteurs.

8. Dans « Déplacer l’exécuteur vers le groupe », choisissez un groupe de destination pour l’exécuteur.

Suppression d’un groupe d’exécuteurs

Pour pouvoir supprimer un groupe d’exécuteurs, vous devez d’abord déplacer ou supprimer tous les exécuteurs du groupe.

• Suppression d’un groupe d’exécuteurs d’une organisation
• Suppression d’un groupe d’exécuteurs d’une entreprise

Suppression d’un groupe d’exécuteurs d’une organisation

1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

2. Cliquez sur Paramètres.

3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

4. Dans la liste des groupes, à droite du groupe à supprimer, cliquez sur .

5. Pour supprimer le groupe, cliquez sur Supprimer le groupe.

6. Passez en revue les invites de confirmation, puis cliquez sur Supprimer ce groupe d’exécuteurs.

Suppression d’un groupe d’exécuteurs d’une entreprise

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies.

4. Sous « Stratégies  », cliquez sur Actions.

5. Cliquez sur l’onglet Groupes d’exécuteurs.

6. Dans la liste des groupes, à droite du groupe à supprimer, cliquez sur .

7. Pour supprimer le groupe, cliquez sur Supprimer le groupe.

8. Passez en revue les invites de confirmation, puis cliquez sur Supprimer ce groupe d’exécuteurs.