Désactivation ou limitation de la fonctionnalité GitHub Actions pour votre organisation

Vous pouvez activer, désactiver et limiter GitHub Actions pour une organisation.

Qui peut utiliser cette fonctionnalité ?

Organization owners can enable, disable, and limit GitHub Actions for an organization.

Dans cet article

Remarque : Les exécuteurs hébergés sur GitHub ne sont pas pris en charge sur GitHub Enterprise Server. Vous pouvez voir plus d’informations sur le support futur planifié dans la GitHub public roadmap.

À propos des autorisations GitHub Actions de votre organisation

Par défaut, une fois que GitHub Actions est activé votre instance GitHub Enterprise Server, il est activé pour tous les référentiels et toutes les organisations. Vous pouvez choisir de désactiver GitHub Actions ou de le limiter aux actions dans votre entreprise. Pour plus d’informations sur GitHub Actions, consultez « Découvrir GitHub Actions ».

Vous pouvez activer GitHub Actions pour tous les référentiels de votre organisation. Lorsque vous activez GitHub Actions, les flux de travail peuvent exécuter des actions situés dans votre dépôt et dans tout autre. Vous pouvez désactiver GitHub Actions pour tous les référentiels de votre organisation. Quand vous désactivez GitHub Actions, aucun workflow ne s’exécute dans votre dépôt.

Vous pouvez également activer GitHub Actions pour tous les référentiels de votre organisation, mais limiter les actions qu’un workflow peut exécuter.

Gestion des autorisations GitHub Actions de votre organisation

Vous pouvez choisir de désactiver GitHub Actions pour tous les référentiels de votre organisation, ou de n’autoriser que certains référentiels. Vous pouvez également limiter l'utilisation des actions publiques afin que les utilisateurs ne puissent utiliser que les actions locales disponibles dans votre entreprise.

Remarque : vous ne pourrez peut-être pas gérer ces paramètres si votre organisation est gérée par une entreprise qui dispose d’une stratégie de remplacement. Pour plus d’informations, consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Général.

  4. Sous « Stratégies », sélectionnez une option.

    Si vous choisissez Autoriser les actions sélectionnées, les actions au sein de votre entreprise sont autorisé(e)s, et il existe d’autres options pour autoriser d’autres actions spécifiques. Pour plus d’informations, consultez « Autorisation de l’exécution des actions sélectionnées ».

  5. Cliquez sur Enregistrer.

Autorisation de l’exécution des actions sélectionnées

Si vous choisissez Autoriser les actions sélectionnées, les actions locales sont autorisés. Il existe d’autres options pour autoriser d’autres actions spécifiques :

Remarque : Vous ne pourrez peut-être pas gérer ces paramètres si votre organisation a une stratégie de substitution ou est gérée par une entreprise qui a remplacé la stratégie. Pour plus d'informations, consultez « Désactivation ou limitation de la fonctionnalité GitHub Actions pour votre organisation » ou « Application de stratégies pour GitHub Actions dans votre entreprise ».

  • Autoriser les actions créées par GitHub : vous pouvez autoriser l’utilisation de toutes les actions créées par GitHub par les workflows. Les actions créées par GitHub se trouvent dans les organisations actions et github. Pour plus d’informations, consultez les organisations actions et github.

  • Autoriser les actions de la Place de marché par les créateurs vérifiés : Cette option est disponible si vous avez activé et configuré GitHub Connect avec GitHub Actions. Pour plus d’informations, consultez « Activer l’accès automatique aux actions GitHub.com à l’aide de GitHub Connect ». Vous pouvez autoriser toutes les actions GitHub Marketplace créées par les créateurs vérifiés à utiliser par les workflows. Lorsque GitHub a vérifié le créateur de l’action en tant qu’organisation partenaire, le badge s’affiche en regard de l’action dans GitHub Marketplace.

  • Autoriser les actions spécifiées : vous pouvez limiter les workflows à l’utilisation d’actions dans des organisations et des dépôts spécifiques. Les actions spécifiées ne peuvent pas être définies sur plus de 1 000.

    Pour limiter l’accès à des étiquettes spécifiques ou valider des SHA d’une action, utilisez la même syntaxe que celle utilisée dans le workflow pour sélectionner l’action.

    • Pour une action, la syntaxe est OWNER/REPOSITORY@TAG-OR-SHA. Par exemple, utilisez actions/javascript-action@v1.0.1 pour sélectionner une étiquette ou actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f pour sélectionner un SHA. Pour plus d’informations, consultez « Recherche et personnalisation d’actions ».

    Vous pouvez utiliser le caractère générique *pour faire correspondre les modèles. Par exemple, pour autoriser toutes les actions dans les organisations qui commencent par space-org, vous pouvez spécifier space-org*/*. Pour autoriser toutes les actions dans les dépôts qui commencent par octocat, vous pouvez utiliser */octocat**@*. Pour plus d’informations sur l’utilisation du caractère générique *, consultez « Workflow syntax for GitHub Actions ».

Cette procédure montre comment ajouter des actions spécifiques à la liste d’autorisations.

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Général.

  4. Sous « Stratégies », sélectionnez Autoriser les actions sélectionnées et ajoutez vos actions requises à la liste.

  5. Cliquez sur Enregistrer.

Limitation de l’utilisation d’exécuteurs auto-hébergés

Rien ne garantit que les exécuteurs auto-hébergés pour GitHub Enterprise Server seront hébergés sur des machines virtuelles éphémères propres. Par conséquent, ils peuvent être compromis par du code non approuvé dans un workflow.

De même, toute personne pouvant dupliquer le dépôt et ouvrir une demande de tirage (généralement celles qui ont un accès en lecture au dépôt) peut compromettre l’environnement des exécuteurs auto-hébergés, notamment en accédant aux secrets et au GITHUB_TOKEN qui, en fonction de ses paramètres, permet d’octroyer l’accès en écriture au dépôt. Bien que les workflows puissent contrôler l’accès aux secrets d’environnement à l’aide d’environnements et de révisions nécessaires, ces workflows ne sont pas exécutés dans un environnement isolé et encourent toujours les mêmes risques lors de l’exécution sur un exécuteur auto-hébergé.

Pour ces raisons, entre autres, vous pouvez décider d’empêcher les utilisateurs de créer des exécuteurs auto-hébergés au niveau du dépôt.

Remarque : Si votre organisation appartient à une entreprise, la création d’exécuteurs auto-hébergés au niveau du dépôt peut avoir été désactivée en tant que paramètre à l’échelle de l’entreprise. Dans ce cas, vous ne pouvez pas activer les exécuteurs auto-hébergés au niveau du dépôt dans vos paramètres d’organisation. Pour plus d’informations, consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».

Si un dépôt a déjà des exécuteurs auto-hébergés lorsque vous désactivez leur utilisation, ceux-ci sont listés avec l’état « Désactivé » et aucun nouveau travail de workflow ne leur est attribué.

Capture d’écran de la liste « Exécuteurs » montrant un exécuteur auto-hébergé avec l’état « Désactivé ».

Remarque : Lorsque la création d’exécuteurs auto-hébergés au niveau du dépôt est désactivée, les workflows peuvent quand même accéder aux exécuteurs auto-hébergés qui ont été configurés au niveau de l’entreprise ou de l’organisation.

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Général.

  4. Sous « Exécuteurs », utilisez le menu déroulant pour choisir votre paramètre préféré :

    • Tous les dépôts - Les exécuteurs auto-hébergés peuvent être utilisés pour n’importe quel dépôt de votre organisation.
    • Dépôts sélectionnés - Les exécuteurs auto-hébergés peuvent être seulement utilisés pour les dépôts que vous sélectionnez.
    • Désactivé - Les exécuteurs auto-hébergés ne peuvent pas être créés au niveau du dépôt.

  5. Si vous choisissez Dépôts sélectionnés :

    1. Cliquez sur .
    2. Cochez les cases des dépôts pour lesquels vous souhaitez autoriser les exécuteurs auto-hébergés.
    3. Cliquez sur Sélectionner les dépôts.

Activation des workflows pour les duplications de référentiel privé

Si vous vous appuyez sur l’utilisation de duplications de vos référentiels privés, vous pouvez configurer des stratégies qui contrôlent la façon dont des utilisateurs peuvent exécuter des workflow sur des événements pull_request. Quant aux paramètres de stratégie disponibles uniquement pour les dépôts privés et internes, vous pouvez les configurer pour votre entreprise, des organisations ou des dépôts.

Si une stratégie est désactivée pour une entreprise, elle ne peut pas être activée pour des organisations. Si une stratégie est désactivée pour une organisation, elle ne peut pas être activée pour des dépôts. Si une organisation active une stratégie, celle-ci peut être désactivée pour des référentiels individuels.

  • Exécuter des workflows à partir de demandes de tirage de duplication : permet aux utilisateurs d’exécuter des workflows à partir de demandes de tirage de duplication, avec une autorisation GITHUB_TOKEN en lecture seule et sans accès aux secrets.
  • Envoyer des jetons d’écriture aux workflows à partir de demandes de tirage : permet aux demandes de tirage provenant de duplications d’utiliser un GITHUB_TOKEN avec autorisation d’accès en écriture.
  • Envoyer des secrets aux workflows à partir de demandes de tirage : rend tous les secrets disponibles pour la demande de tirage.
  • Exiger l’approbation des workflows de demande de tirage (pull request) - Les exécutions de workflow sur des demandes de tirage provenant de collaborateurs sans autorisation d'écriture devront être approuvées par une personne disposant d'une autorisation d'écriture avant d'être exécutées.

Configuration de la stratégie de duplication privée d’une organisation

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Général.

  4. Sous Dupliquer les workflows de demande de tirage, sélectionnez vos options.

  5. Cliquez sur Enregistrer pour appliquer les paramètres.

Définition des autorisations GITHUB_TOKEN de votre organisation

Vous pouvez définir les autorisations par défaut accordées au GITHUB_TOKEN. Pour plus d’informations sur GITHUB_TOKEN, consultez « Authentification par jeton automatique ». Vous pouvez choisir un ensemble restreint d’autorisations par défaut, ou appliquer des paramètres permissifs.

Vous pouvez définir les autorisations GITHUB_TOKEN par défaut dans les paramètres de votre organisation ou de vos référentiels. Si vous sélectionnez une option restrictive comme option par défaut dans les paramètres de votre organisation, la même option est sélectionnée dans les paramètres des référentiels de votre organisation, et l’option permissive est désactivée. Si votre organisation appartient à un compte GitHub Enterprise et qu’une option par défaut plus restrictive a été sélectionnée dans les paramètres d’entreprise, vous ne pouvez pas sélectionner l’option par défaut plus permissive dans les paramètres de votre organisation.

Toute personne disposant d’un accès en écriture à un dépôt peut modifier les autorisations accordées au GITHUB_TOKEN en ajoutant ou supprimant l’accès selon le besoin, en modifiant la clé permissions dans le fichier de workflow. Pour plus d’informations, consultez permissions.

Configuration des autorisations GITHUB_TOKEN par défaut

Par défaut, quand vous créez une organisation, le paramètre est hérité de ce qui est configuré dans les paramètres d'entreprise.

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Votre profil.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Votre profil » est délimité en orange foncé.

  2. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  3. En regard de l’organisation, cliquez sur Paramètres.

  4. Dans la barre latérale gauche, cliquez sur Actions, puis sur Général.

  5. Sous « Autorisations de workflow », indiquez si vous souhaitez que le GITHUB_TOKEN ait un accès en lecture et en écriture pour toutes les étendues (le paramètre permissif) ou simplement un accès en lecture pour l’étendue contentset les étendues packages (le paramètre restrictif).

  6. Cliquez sur Enregistrer pour appliquer les paramètres.

Empêcher GitHub Actions de créer ou d’approuver des demandes de tirage

Vous pouvez choisir d’autoriser ou d’empêcher les workflows GitHub Actions de créer ou d’approuver les demandes de tirage (pull request).

Par défaut, lorsque vous créez une organisation, les workflows ne sont pas autorisés à créer ou approuver des demandes de tirage.

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Votre profil.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Votre profil » est délimité en orange foncé.

  2. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  3. En regard de l’organisation, cliquez sur Paramètres.

  4. Dans la barre latérale gauche, cliquez sur Actions, puis sur Général.

  5. Sous « Autorisations liées aux workflows », utilisez le paramètre Autoriser GitHub Actions à créer et approuver des demandes de tirage pour déterminer si GITHUB_TOKEN peut créer et approuver des demandes de tirage.

  6. Cliquez sur Enregistrer pour appliquer les paramètres.

Gestion du stockage en cache des GitHub Actions de votre organisation

Les administrateurs de l’organisation peuvent visualiser et gérer le stockage en cache des GitHub Actions pour tous les dépôts de l’organisation.

Visualisation du stockage en cache des GitHub Actions par dépôt

Pour chaque dépôt de votre organisation, vous pouvez voir la quantité de stockage en cache utilisée par un dépôt, le nombre de caches actifs et si un dépôt est proche de la limite de taille totale du cache. Pour plus d’informations sur l’utilisation et le processus d’éviction du cache, consultez « Mise en cache des dépendances pour accélérer les workflows ».

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Votre profil.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Votre profil » est délimité en orange foncé.

  2. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  3. En regard de l’organisation, cliquez sur Paramètres.

  4. Dans la barre latérale gauche, cliquez sur Actions, puis sur Caches.

  5. Consultez la liste des dépôts pour plus d’informations sur leurs caches de GitHub Actions. Vous pouvez cliquer sur le nom d’un dépôt pour voir plus de détails sur les caches du dépôt.

Configuration du stockage en cache des GitHub Actions pour votre organisation

Par défaut, le stockage total du cache que GitHub Actions utilise sur le stockage externe pour votre instance GitHub Enterprise Server est limité à un maximum de 10 Go par référentiel, et la taille maximale autorisée pouvant être définie pour un référentiel est de 25 Go.

Vous pouvez configurer la limite de taille pour les caches de GitHub Actions qui s’appliqueront à chaque dépôt de votre organisation. La limite de taille du cache d’une organisation ne peut pas dépasser la limite de taille du cache définie dans la stratégie d’entreprise. Les administrateurs de dépôt pourront définir une limite plus petite dans leurs dépôts.

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Votre profil.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Votre profil » est délimité en orange foncé.

  2. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  3. En regard de l’organisation, cliquez sur Paramètres.

  4. Dans la barre latérale gauche, cliquez sur Actions, puis sur Général.

  5. Sous Limite de la taille du cache, entrez une nouvelle valeur.

  6. Cliquez sur Enregistrer pour appliquer la modification.