Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
GitHub Actions

Contrôle de l’accès aux exécuteurs plus grands

Dans cet article

Vous pouvez utiliser des stratégies pour limiter l’accès aux exécuteur plus grand qui ont été ajoutés à une organisation ou à une entreprise.

La fonctionnalité des exécuteur plus grands est actuellement en version bêta pour les organisations et les entreprises qui utilisent les plans GitHub Team ou GitHub Enterprise Cloud et elle est amenée à évoluer. Pour demander l’accès à la version bêta, visitez la page d’inscription.

À propos des groupes d’exécuteurs

Les groupes d’exécuteurs servent à contrôler l’accès aux exécuteurs au niveau de l’organisation et de l’entreprise. Les propriétaires d’entreprise peuvent configurer des stratégies d’accès qui contrôlent les organisations et workflows d’une entreprise qui ont accès au groupe d’exécuteurs. Les propriétaires d’organisation peuvent configurer des stratégies d’accès qui contrôlent les dépôt et workflows d’une organisation qui ont accès au groupe d’exécuteurs.

Quand un propriétaire d’entreprise accorde l’accès à un groupe d’exécuteurs, les propriétaires d’organisation peuvent voir le groupe d’exécuteurs listé dans les paramètres d’exécuteur de l’organisation. Les propriétaires d’organisation peuvent ensuite affecter au groupe d’exécuteurs de l’entreprise des stratégies d’accès supplémentaires précises aux dépôts et aux workflows.

Lorsque de nouveaux exécuteurs sont créés, ils sont automatiquement affectés au groupe par défaut. Les exécuteurs peuvent appartenir à un seul groupe à la fois. Vous pouvez déplacer les exécuteurs du groupe par défaut vers un autre groupe. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Groupe par défaut pour les exécuteur plus grand

Les organisations et les entreprises ayant accès aux exécuteur plus grand reçoivent automatiquement un groupe d’exécuteurs par défaut appelé « Exécuteurs plus grands par défaut » qui comprend 4 exécuteurs de tailles variables. Les exécuteurs de ce groupe sont préconfigurés et prêts à être utilisés tout de suite. Pour utiliser les exécuteurs de ce groupe, vous devez ajouter l’étiquette correspondant à l’exécuteur de votre choix à votre fichier de workflow. Consultez le tableau ci-dessous pour les étiquettes. Pour plus d’informations sur l’utilisation des étiquettes, consultez « Utilisation des exécuteurs plus grands ».

Exécuteurs par défaut

DescriptionÉtiquetteImage
Exécuteur Ubuntu 4 cœursubuntu-latest-4-coresUbuntu - Le plus récent
Exécuteur Ubuntu 8 cœursubuntu-latest-8-coresUbuntu - Le plus récent
Exécuteur Ubuntu 16 cœursubuntu-latest-16-coresUbuntu - Le plus récent
Exécuteur Windows 8 cœurswindows-latest-8-coresWindows Server - Le plus récent

Le groupe d’exécuteur plus grand par défaut est créé au niveau de l’entité de facturation. Si votre organisation fait partie d’un compte d’entreprise, le groupe est géré au niveau de l’entreprise. Si votre organisation ne relève pas d’une entreprise, le groupe est géré au niveau de l’organisation.

Vous n’êtes pas facturé pour ces exécuteurs tant que vous ne les utilisez pas dans vos workflows. Une fois ces exécuteurs utilisés, la facturation fonctionne comme d’habitude. Pour plus d’informations sur la facturation, consultez « Utilisation des exécuteurs plus grands ».

L’accès par défaut à un groupe d’exécuteur plus grand au niveau de l’entreprise est défini pour être partagé automatiquement avec toutes les organisations de l’entreprise, mais pas avec tous les dépôts. Les administrateurs de l’organisation doivent partager le groupe d’exécuteur plus grand par défaut avec chaque dépôt séparément. Pour les groupes d’exécuteur plus grand au niveau de l’organisation, l’accès par défaut est défini pour partager automatiquement le groupe avec tous les dépôts. Pour plus d’informations sur le changement des stratégies d’accès et sur l’endroit où voir le groupe d’exécuteur plus grand par défaut, consultez « Modification de la stratégie d’accès d’un groupe d’exécuteurs ».

Création d’un groupe d’exécuteurs pour une organisation

Avertissement : Si vous utilisez une plage d’adresses IP fixe, nous vous recommandons d’utiliser uniquement des exécuteur plus grands avec des référentiels privés. Les duplications (forks) de votre dépôt peuvent exécuter du code potentiellement dangereux sur votre exécuteur plus grand en créant une demande de tirage qui exécute le code dans un workflow.

Toutes les organisations disposent d’un seul groupe d’exécuteurs par défaut. Les organisations au sein d’un compte d’entreprise peuvent créer des groupes supplémentaires. Les administrateurs d’organisation peuvent autoriser l’accès aux dépôts individuels à un groupe d’exécuteurs. Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez « Actions ».

Les exécuteurs sont automatiquement affectés au groupe par défaut lors de leur création et peuvent être membres d’un seul groupe à la fois. Vous pouvez déplacer un exécuteur du groupe par défaut vers n’importe quel groupe que vous créez.

Quand vous créez un groupe, vous devez choisir une stratégie qui définit les dépôts et les workflows ayant accès au groupe d’exécuteurs.

  1. Sur GitHub.com, accédez à la page principale de l’organisation. 1. Sous le nom de votre organisation, cliquez sur Paramètres.

    Bouton des paramètres de l’organisation 1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

  2. Dans la section « Groupes d’exécuteurs », cliquez sur Nouveau groupe d’exécuteurs.

  3. Entrez un nom pour votre groupe d’exécuteurs.

  4. Affectez une stratégie d’accès au dépôt.

    Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de dépôts ou à tous les dépôts de l’organisation. Par défaut, seuls les dépôts privés peuvent accéder aux exécuteurs dans un groupe d’exécuteurs, mais vous pouvez changer cela. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation qui a été partagé par une grande entreprise.

  5. Affectez une stratégie d’accès au workflow.

    Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de workflows ou à tous les workflows. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation, qui a été partagé par une entreprise. Si vous spécifiez quel est le workflow qui peut accéder au groupe d’exécuteurs, vous devez utiliser le chemin complet du workflow, notamment le nom et le propriétaire du dépôt. De plus, vous devez épingler le workflow à une branche, une étiquette ou un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Seuls les travaux directement définis dans les workflows sélectionnés ont accès au groupe d’exécuteurs. Les groupes d’exécuteurs définis au niveau d’une organisation ne peuvent pas accéder aux workflows d’une autre organisation dans l’entreprise. Au lieu de cela, vous devez définir un groupe d’exécuteurs au niveau de la grande entreprise. 1. Cliquez sur Créer un groupe pour créer le groupe et appliquer la stratégie.

Création d’un groupe d’exécuteurs pour une entreprise

Avertissement : Si vous utilisez une plage d’adresses IP fixe, nous vous recommandons d’utiliser uniquement des exécuteur plus grands avec des référentiels privés. Les duplications (forks) de votre dépôt peuvent exécuter du code potentiellement dangereux sur votre exécuteur plus grand en créant une demande de tirage qui exécute le code dans un workflow.

Les grandes entreprises peuvent ajouter leurs exécuteurs à des groupes à des fins de gestion des accès. Les grandes entreprises peuvent créer des groupes d’exécuteurs accessibles à des organisations spécifiques ou à des workflows spécifiques dans le compte d’entreprise. Les propriétaires d’organisation peuvent ensuite affecter aux groupes d’exécuteurs de l’entreprise des stratégies d’accès supplémentaires précises aux dépôts ou aux workflows. Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez les points de terminaison d’entreprise dans l’API REST GitHub Actions.

Les exécuteurs sont automatiquement affectés au groupe par défaut lors de leur création et peuvent être membres d’un seul groupe à la fois. Vous pouvez affecter l’exécuteur à un groupe spécifique pendant le processus d’inscription ou déplacer ultérieurement l’exécuteur du groupe par défaut vers un groupe personnalisé.

Lors de la création d’un groupe, vous devez choisir une stratégie qui définit les organisations qui ont accès au groupe d’exécuteurs.

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises. « Vos entreprises » dans le menu déroulant de la photo de profil sur GitHub Enterprise Cloud

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs.

  4. Cliquez sur Nouveau groupe d’exécuteurs.

  5. Sous « Nom du groupe », tapez un nom pour votre groupe d’exécuteurs.

  6. Pour choisir une stratégie pour l’accès des organisations, sélectionnez la liste déroulante Accès des organisations, puis cliquez sur une stratégie. Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique d’organisations ou à toutes les organisations de la grande entreprise.

    Ajouter des options de groupe d’exécuteurs

  7. Affectez une stratégie d’accès au workflow.

    Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de workflows ou à tous les workflows. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation, qui a été partagé par une entreprise. Si vous spécifiez quel est le workflow qui peut accéder au groupe d’exécuteurs, vous devez utiliser le chemin complet du workflow, notamment le nom et le propriétaire du dépôt. De plus, vous devez épingler le workflow à une branche, une étiquette ou un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Seuls les travaux directement définis dans les workflows sélectionnés ont accès au groupe d’exécuteurs.

  8. Cliquez sur Enregistrer le groupe pour créer le groupe et appliquer la stratégie.

Utilisation de noms uniques pour les groupes d’exécuteurs

GitHub Actions nécessite que les noms de groupes d’exécuteurs soient uniques au niveau de l’organisation. Cela signifie qu’une organisation ne peut plus créer de groupe d’exécuteurs portant le même nom qu’un autre au sein de l’entreprise. En outre, les utilisateurs voient une bannière d’avertissement sur tous les groupes d’exécuteurs qui partagent le même nom qu’un groupe dans l’entreprise, qui suggère que le groupe d’organisation doit être renommé.

Pour éviter toute ambiguïté, un workflow échoue s’il existe des groupes d’exécuteurs en double dans l’organisation et l’entreprise. Pour résoudre ce problème, vous pouvez renommer l’un de vos groupes d’exécuteurs dans l’organisation ou l’entreprise, ou mettre à jour votre fichier de workflow pour ajouter un préfixe au nom du groupe d’exécuteurs :

  • org/ ou organization/
  • ent/ ou enterprise/

Exemple : utilisation de préfixes pour différencier les groupes d’exécuteurs

Par exemple, si vous avez un groupe d’exécuteurs nommé my-group dans l’organisation et un autre nommé my-group dans l’entreprise, vous pouvez mettre à jour votre fichier de workflow pour utiliser org/my-group ou ent/my-group afin de les différencier.

Utilisation de org/:

runs-on:
  group: org/my-group
  labels: [ self-hosted, label-1 ]

Utilisation de ent/:

runs-on:
  group: ent/my-group
  labels: [ self-hosted, label-1 ]

Modification de la stratégie d’accès d’un groupe d’exécuteurs

Avertissement : Si vous utilisez une plage d’adresses IP fixe, nous vous recommandons d’utiliser uniquement des exécuteur plus grands avec des référentiels privés. Les duplications (forks) de votre dépôt peuvent exécuter du code potentiellement dangereux sur votre exécuteur plus grand en créant une demande de tirage qui exécute le code dans un workflow.

En ce qui concerne les groupes d’exécuteurs d’une entreprise, vous pouvez changer les organisations à l’échelle de l’entreprise qui peuvent accéder à un groupe d’exécuteurs ou restreindre les workflows qu’un groupe d’exécuteurs peut exécuter. En ce qui concerne les groupes d’exécuteurs d’une organisation, vous pouvez changer les dépôts à l’échelle de l’organisation qui peuvent accéder à un groupe d’exécuteurs ou restreindre les workflows qu’un groupe d’exécuteurs peut exécuter.

Modification de la liste des organisations et des dépôts qui peuvent accéder à un groupe d’exécuteurs

  1. Accédez à l’emplacement de vos groupes d’exécuteurs :

    • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises. « Vos entreprises » dans le menu déroulant de la photo de profil sur GitHub Enterprise Cloud

      2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  2. Accédez aux paramètres « Groupes d’exécuteurs » :

    • Dans une organisation :

      1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs. 1. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

  3. Pour les groupes d’exécuteurs d’une grande entreprise, sous Accès des organisations, modifiez la liste des organisations qui peuvent accéder au groupe d’exécuteurs. Pour les groupes d’exécuteurs d’une organisation, sous Accès au dépôt, modifiez les dépôts qui peuvent accéder au groupe d’exécuteurs.

  4. Dans la section de l’exécuteur de la page des paramètres, cliquez sur en regard du groupe d’exécuteurs que vous souhaitez configurer, puis cliquez sur Modifier le nom et l’accès [organisation|dépôt] . Gérer les autorisations des dépôts

  5. Modifiez vos options de stratégie.

    Avertissement

    Nous vous recommandons d’utiliser uniquement des exécuteurs auto-hébergés avec des dépôts privés. En effet, les duplications (forks) de votre dépôt public peuvent exécuter du code potentiellement dangereux sur la machine de votre exécuteur auto-hébergé en créant une demande de tirage qui exécute le code dans un workflow.

    Pour plus d’informations, consultez « À propos des exécuteurs auto-hébergés ».

Modification des workflows auxquels un groupe d’exécuteurs peut accéder

Vous pouvez configurer un groupe d’exécuteurs pour exécuter les workflows sélectionnés ou tous les workflows. Par exemple, vous pouvez utiliser ce paramètre pour protéger les secrets stockés sur des exécuteurs ou pour normaliser les workflows de déploiement en limitant un groupe d’exécuteurs pour qu’il exécute uniquement un workflow réutilisable spécifique. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation qui a été partagé par une grande entreprise.

  1. Accédez à l’emplacement de vos groupes d’exécuteurs :

    • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises. « Vos entreprises » dans le menu déroulant de la photo de profil sur GitHub Enterprise Cloud

      2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  2. Accédez aux paramètres « Groupes d’exécuteurs » :

    • Dans une organisation :

      1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs. 1. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

  3. Sous Accès aux workflows, sélectionnez le menu déroulant, puis cliquez sur Workflows sélectionnés.

  4. Cliquez sur .

  5. Entrez une liste séparée par des virgules des workflows qui peuvent accéder au groupe d’exécuteurs. Utilisez le chemin d’accès complet, y compris le nom et le propriétaire du dépôt. Épinglez le workflow à une branche, à une étiquette ou à un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Seuls les travaux définis directement dans les workflows sélectionnés auront accès au groupe d’exécuteurs.

    Les groupes d’exécuteurs définis au niveau d’une organisation ne peuvent pas accéder aux workflows d’une autre organisation dans la grande entreprise. Au lieu de cela, vous devez définir un groupe d’exécuteurs au niveau de la grande entreprise.

  6. Cliquez sur Enregistrer.

Modification du nom d’un groupe d’exécuteurs

  1. Accédez à l’emplacement de vos groupes d’exécuteurs :

    • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises. « Vos entreprises » dans le menu déroulant de la photo de profil sur GitHub Enterprise Cloud

      2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  2. Accédez aux paramètres « Groupes d’exécuteurs » :

    • Dans une organisation :

      1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs. 1. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

  3. Modifiez le nom du groupe d’exécuteurs.

  4. Dans la section de l’exécuteur de la page des paramètres, cliquez sur en regard du groupe d’exécuteurs que vous souhaitez configurer, puis cliquez sur Modifier le nom et l’accès [organisation|dépôt] . Gérer les autorisations des dépôts

  5. Modifiez le nom du groupe d’exécuteurs.

Déplacement d’un exécuteur vers un groupe

Si vous ne spécifiez pas de groupe d’exécuteurs pendant le processus d’inscription, vos nouveaux exécuteurs sont automatiquement affectés au groupe par défaut et peuvent ensuite être déplacés vers un autre groupe.

  1. Accédez à l’emplacement auquel votre exécuteur est inscrit :

    • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

    • Si vous utilisez un exécuteur au niveau de l’entreprise :

      1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises. « Vos entreprises » dans le menu déroulant de la photo de profil sur GitHub Enterprise Cloud

      2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  2. Accédez aux paramètres GitHub Actions :

    • Dans une organisation :

      1. Dans la barre latérale gauche, cliquez sur Actions, puis sur Exécuteurs.

    • Si vous utilisez un exécuteur au niveau de l’entreprise :

      1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Exécuteurs.

  3. Dans la liste « Exécuteurs », cliquez sur l’exécuteur que vous souhaitez configurer.

  4. Sélectionnez la liste déroulante Groupe d’exécuteurs.

  5. Dans « Déplacer l’exécuteur vers le groupe », choisissez un groupe de destination pour l’exécuteur.

Suppression d’un groupe d’exécuteurs

Les exécuteurs sont automatiquement replacés dans le groupe par défaut quand leur groupe est supprimé.

  1. Accédez à l’emplacement de vos groupes d’exécuteurs :

    • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises. « Vos entreprises » dans le menu déroulant de la photo de profil sur GitHub Enterprise Cloud

      2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  2. Accédez aux paramètres « Groupes d’exécuteurs » :

    • Dans une organisation :

      1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

    • Si vous utilisez un groupe au niveau de l’entreprise :

      1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs.

  3. Dans la liste des groupes, à droite du groupe à supprimer, cliquez sur .

  4. Pour supprimer le groupe, cliquez sur Supprimer le groupe.

  5. Passez en revue les invites de confirmation, puis cliquez sur Supprimer ce groupe d’exécuteurs. Tous les exécuteurs encore dans ce groupe sont automatiquement déplacés vers le groupe par défaut, où ils héritent des autorisations d’accès attribuées au groupe.