Gestion de l’accès aux exécuteurs auto-hébergés à l’aide de groupes

À propos des groupes d’exécuteurs

Les groupes d’exécuteurs servent à contrôler l’accès aux exécuteurs au niveau de l’organisation et de l’entreprise. Les propriétaires d’entreprise peuvent configurer des stratégies d’accès qui contrôlent les organisations et workflows d’une entreprise qui ont accès au groupe d’exécuteurs. Les propriétaires d’organisation peuvent configurer des stratégies d’accès qui contrôlent les dépôt et workflows d’une organisation qui ont accès au groupe d’exécuteurs.

Quand un propriétaire d’entreprise accorde l’accès à un groupe d’exécuteurs, les propriétaires d’organisation peuvent voir le groupe d’exécuteurs listé dans les paramètres d’exécuteur de l’organisation. Les propriétaires d’organisation peuvent ensuite affecter au groupe d’exécuteurs de l’entreprise des stratégies d’accès supplémentaires précises aux dépôts et aux workflows.

Lorsque de nouveaux exécuteurs sont créés, ils sont automatiquement affectés au groupe par défaut. Les exécuteurs peuvent appartenir à un seul groupe à la fois. Vous pouvez déplacer les exécuteurs du groupe par défaut vers un autre groupe. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Création d’un groupe d’exécuteurs auto-hébergés pour une organisation

Toutes les organisations disposent d’un seul groupe d’exécuteurs par défaut. Les organisations au sein d’un compte d’entreprise peuvent créer des groupes supplémentaires. Les administrateurs d’organisation peuvent autoriser l’accès aux dépôts individuels à un groupe d’exécuteurs. Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez « Actions ».

Les exécuteurs sont automatiquement affectés au groupe par défaut lors de leur création et peuvent être membres d’un seul groupe à la fois. Vous pouvez déplacer un exécuteur du groupe par défaut vers n’importe quel groupe que vous créez.

Quand vous créez un groupe, vous devez choisir une stratégie qui définit les dépôts et les workflows ayant accès au groupe d’exécuteurs.

1. Sur votre entreprise, accédez à la page principale de l’organisation. 1. Sous le nom de votre organisation, cliquez sur Paramètres.

   1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

2. Dans la section « Groupes d’exécuteurs », cliquez sur Nouveau groupe d’exécuteurs.

3. Entrez un nom pour votre groupe d’exécuteurs.

4. Affectez une stratégie d’accès au dépôt.

   Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de dépôts ou à tous les dépôts de l’organisation.

5. Affectez une stratégie d’accès au workflow.

   Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de workflows ou à tous les workflows. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation, qui a été partagé par une entreprise. Si vous spécifiez quel est le workflow qui peut accéder au groupe d’exécuteurs, vous devez utiliser le chemin complet du workflow, notamment le nom et le propriétaire du dépôt. De plus, vous devez épingler le workflow à une branche, une étiquette ou un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Seuls les travaux directement définis dans les workflows sélectionnés ont accès au groupe d’exécuteurs. Les groupes d’exécuteurs définis au niveau d’une organisation ne peuvent pas accéder aux workflows d’une autre organisation dans l’entreprise. Au lieu de cela, vous devez définir un groupe d’exécuteurs au niveau de la grande entreprise. 1. Cliquez sur Créer un groupe pour créer le groupe et appliquer la stratégie.

Création d’un groupe d’exécuteurs auto-hébergés pour une grande entreprise

Les grandes entreprises peuvent ajouter leurs exécuteurs à des groupes à des fins de gestion des accès. Les grandes entreprises peuvent créer des groupes d’exécuteurs accessibles à des organisations spécifiques ou à des workflows spécifiques dans le compte d’entreprise. Les propriétaires d’organisation peuvent ensuite affecter aux groupes d’exécuteurs de l’entreprise des stratégies d’accès supplémentaires précises aux dépôts ou aux workflows. Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez les points de terminaison d’entreprise dans l’API REST GitHub Actions.

Les exécuteurs sont automatiquement affectés au groupe par défaut lors de leur création et peuvent être membres d’un seul groupe à la fois. Vous pouvez affecter l’exécuteur à un groupe spécifique pendant le processus d’inscription ou déplacer ultérieurement l’exécuteur du groupe par défaut vers un groupe personnalisé.

Lors de la création d’un groupe, vous devez choisir une stratégie qui définit les organisations qui ont accès au groupe d’exécuteurs.

1. Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise. 1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs.

2. Cliquez sur Nouveau groupe d’exécuteurs.

3. Sous « Nom du groupe », tapez un nom pour votre groupe d’exécuteurs.

4. Pour choisir une stratégie pour l’accès des organisations, sélectionnez la liste déroulante Accès des organisations, puis cliquez sur une stratégie. Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique d’organisations ou à toutes les organisations de la grande entreprise.

   

5. Affectez une stratégie d’accès au workflow.

   Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de workflows ou à tous les workflows. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation, qui a été partagé par une entreprise. Si vous spécifiez quel est le workflow qui peut accéder au groupe d’exécuteurs, vous devez utiliser le chemin complet du workflow, notamment le nom et le propriétaire du dépôt. De plus, vous devez épingler le workflow à une branche, une étiquette ou un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Seuls les travaux directement définis dans les workflows sélectionnés ont accès au groupe d’exécuteurs.

6. Cliquez sur Enregistrer le groupe pour créer le groupe et appliquer la stratégie.

Modification de la stratégie d’accès d’un groupe d’exécuteurs auto-hébergés

En ce qui concerne les groupes d’exécuteurs d’une entreprise, vous pouvez changer les organisations à l’échelle de l’entreprise qui peuvent accéder à un groupe d’exécuteurs ou restreindre les workflows qu’un groupe d’exécuteurs peut exécuter. En ce qui concerne les groupes d’exécuteurs d’une organisation, vous pouvez changer les dépôts à l’échelle de l’organisation qui peuvent accéder à un groupe d’exécuteurs ou restreindre les workflows qu’un groupe d’exécuteurs peut exécuter.

Modification de la liste des organisations et des dépôts qui peuvent accéder à un groupe d’exécuteurs

1. Accédez à l’emplacement de vos groupes d’exécuteurs :

   • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

2. Accédez aux paramètres « Groupes d’exécuteurs » :

   • Dans une organisation :

     1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs. 1. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

3. Pour les groupes d’exécuteurs d’une grande entreprise, sous Accès des organisations, modifiez la liste des organisations qui peuvent accéder au groupe d’exécuteurs. Pour les groupes d’exécuteurs d’une organisation, sous Accès au dépôt, modifiez les dépôts qui peuvent accéder au groupe d’exécuteurs.

4. Dans la section de l’exécuteur de la page des paramètres, cliquez sur en regard du groupe d’exécuteurs que vous souhaitez configurer, puis cliquez sur Modifier le nom et l’accès [organisation|dépôt] .

5. Modifiez vos options de stratégie.

Modification des workflows auxquels un groupe d’exécuteurs peut accéder

Vous pouvez configurer un groupe d’exécuteurs pour exécuter les workflows sélectionnés ou tous les workflows. Par exemple, vous pouvez utiliser ce paramètre pour protéger les secrets stockés sur des exécuteurs ou pour normaliser les workflows de déploiement en limitant un groupe d’exécuteurs pour qu’il exécute uniquement un workflow réutilisable spécifique. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation qui a été partagé par une grande entreprise.

1. Accédez à l’emplacement de vos groupes d’exécuteurs :

   • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

2. Accédez aux paramètres « Groupes d’exécuteurs » :

   • Dans une organisation :

     1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs. 1. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

3. Sous Accès aux workflows, sélectionnez le menu déroulant, puis cliquez sur Workflows sélectionnés.

4. Cliquez sur .

5. Entrez une liste séparée par des virgules des workflows qui peuvent accéder au groupe d’exécuteurs. Utilisez le chemin d’accès complet, y compris le nom et le propriétaire du dépôt. Épinglez le workflow à une branche, à une étiquette ou à un algorithme SHA complet. Par exemple : octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

   Seuls les travaux définis directement dans les workflows sélectionnés auront accès au groupe d’exécuteurs.

   Les groupes d’exécuteurs définis au niveau d’une organisation ne peuvent pas accéder aux workflows d’une autre organisation dans la grande entreprise. Au lieu de cela, vous devez définir un groupe d’exécuteurs au niveau de la grande entreprise.

6. Cliquez sur Enregistrer.

Modification du nom d’un groupe d’exécuteurs

1. Accédez à l’emplacement de vos groupes d’exécuteurs :

   • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

2. Accédez aux paramètres « Groupes d’exécuteurs » :

   • Dans une organisation :

     1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs. 1. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

3. Modifiez le nom du groupe d’exécuteurs.

4. Dans la section de l’exécuteur de la page des paramètres, cliquez sur en regard du groupe d’exécuteurs que vous souhaitez configurer, puis cliquez sur Modifier le nom et l’accès [organisation|dépôt] .

5. Modifiez le nom du groupe d’exécuteurs.

Ajout automatique d’un exécuteur auto-hébergé à un groupe

Vous pouvez utiliser le script de configuration pour ajouter automatiquement un nouvel exécuteur à un groupe. Par exemple, cette commande inscrit un nouvel exécuteur et utilise le paramètre --runnergroup pour l’ajouter à un groupe nommé rg-runnergroup.

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

La commande échoue si le groupe d’exécuteurs n’existe pas :

Could not find any self-hosted runner group named "rg-runnergroup".

Déplacement d’un exécuteur auto-hébergé vers un groupe

Si vous ne spécifiez pas de groupe d’exécuteurs pendant le processus d’inscription, vos nouveaux exécuteurs sont automatiquement affectés au groupe par défaut et peuvent ensuite être déplacés vers un autre groupe.

1. Accédez à l’emplacement auquel votre exécuteur est inscrit :

   • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

   • Si vous utilisez un exécuteur au niveau de l’entreprise :

     1. Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

2. Accédez aux paramètres GitHub Actions :

   • Dans une organisation :

     1. Dans la barre latérale gauche, cliquez sur Actions, puis sur Exécuteurs.

   • Si vous utilisez un exécuteur au niveau de l’entreprise :

     1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Exécuteurs.

3. Dans la liste « Exécuteurs », cliquez sur l’exécuteur que vous souhaitez configurer.

4. Sélectionnez la liste déroulante Groupe d’exécuteurs.

5. Dans « Déplacer l’exécuteur vers le groupe », choisissez un groupe de destination pour l’exécuteur.

Suppression d’un groupe d’exécuteurs auto-hébergés

Les exécuteurs sont automatiquement replacés dans le groupe par défaut quand leur groupe est supprimé.

1. Accédez à l’emplacement de vos groupes d’exécuteurs :

   • Dans une organisation : accédez à la page principale et cliquez sur Paramètres.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

2. Accédez aux paramètres « Groupes d’exécuteurs » :

   • Dans une organisation :

     1. Dans la barre latérale gauche, cliquez sur Actions, puis cliquez sur Groupes d’exécuteurs.

   • Si vous utilisez un groupe au niveau de l’entreprise :

     1. Dans la barre latérale du compte d’entreprise, cliquez sur Stratégies. 1. Sous «  », cliquez sur Actions. 1. Cliquez sur l’onglet Groupes d’exécuteurs.

3. Dans la liste des groupes, à droite du groupe à supprimer, cliquez sur .

4. Pour supprimer le groupe, cliquez sur Supprimer le groupe.

5. Passez en revue les invites de confirmation, puis cliquez sur Supprimer ce groupe d’exécuteurs. Tous les exécuteurs encore dans ce groupe sont automatiquement déplacés vers le groupe par défaut, où ils héritent des autorisations d’accès attribuées au groupe.