環境について
環境は、一般的なデプロイ ターゲットを記述するために使用されます (例: production、staging、または development)。 GitHub Actions ワークフローが環境にデプロイされると、その環境がリポジトリのメイン ページに表示されます。 環境へのデプロイの表示について詳しくは、「デプロイ履歴の表示」を参照してください。
保護ルールとシークレットを持つ環境を設定できます。 ワークフローのジョブが環境を参照すると、その環境の保護ルールをすべてパスするまではジョブは開始されません。 すべての環境の保護ルールをパスするまで、ジョブは環境で定義されているシークレットにアクセスできません。
必要に応じて、環境の保護ルールをバイパスし、その環境を参照しているすべての保留中のジョブを強制的に進行させることができます。 詳細については、「デプロイメントのレビュー」を参照してください。
環境保護ルール
環境の保護ルールは、その環境を参照しているジョブが進行する前に特定の条件をパスすることを要求します。 環境の保護ルールでは、手動による承認を要求したり、ジョブを遅延させたり、環境を特定のブランチに制限したりすることができます。
必須のレビュー担当者
必須のレビュー担当者を使って、特定の人もしくはTeamがその環境を参照するワークフローのジョブを承認しなければならないようにすることができます。 最大で6人のユーザもしくはTeamをレビュー担当者とすることができます。 レビュー担当者は、少なくともそのリポジトリの読み取りアクセス権を持っていなければなりません。 ジョブが進行するため承認が必要なレビュー担当者は1人だけです。
レビュー担当者を必要とする環境を参照するジョブの確認方法の詳細については、「デプロイメントのレビュー」を参照してください。
待機タイマー
ジョブが最初にトリガーされた後、特定の時間ジョブを遅延させるために、待機タイマーを使ってください。 時間(分)は、0から43,200(30日)の間の整数でなければなりません。
管理者が保護ルールをバイパスできないようにする
管理者が構成された環境保護ルールをバイパスできないようにします。
デプロイメントブランチ
デプロイメントブランチを使用して、環境にデプロイできるブランチを制限します。 環境のデプロイメントブランチのオプションは以下のとおりです。
-
すべてのブランチ: リポジトリ内のすべてのブランチを環境にデプロイできます。
-
保護されたブランチ: 環境にデプロイできるのはブランチ保護ルールが有効になっているブランチのみです。 リポジトリ内のどのブランチにもブランチ保護ルールが定義されていない場合は、すべてのブランチをデプロイできます。 ブランチ保護ルールについて詳しくは、「保護されたブランチについて」をご覧ください。
-
選択したブランチ: 環境にデプロイできるのは指定した名前パターンに一致するブランチのみです。
たとえば、デプロイ ブランチ ルールとして
releases/*を指定した場合、名前がreleases/で始まるブランチのみが環境にデプロイできます。 (ワイルドカード文字は/と一致しません。release/で始まり、追加の単一スラッシュを含むブランチを一致させるには、release/*/*を使用します)。mainをデプロイ ブランチ ルールとして追加すると、mainという名前のブランチも環境にデプロイできます。 デプロイ ブランチの構文オプションの詳細については、Ruby File.fnmatch のドキュメントを参照してください。
環境シークレット
環境に保存されたシークレットは、その環境を参照するワークフロージョブからのみ利用できます。 環境が承認を必要とするなら、ジョブは必須のレビュー担当者の一人が承認するまで環境のシークレットにアクセスできません。 シークレットについて詳しくは、「暗号化されたシークレット」をご覧ください。
注: セルフホスト ランナーで実行されるワークフローは、環境を使用している場合でも、分離されたコンテナーでは実行されません。 環境シークレットは、リポジトリおよび Organization シークレットと同じレベルのセキュリティで処理する必要があります。 詳しくは、「GitHub Actions のセキュリティ強化」を参照してください。
環境変数
環境に保存された変数は、その環境を参照するワークフロー ジョブからのみ利用できます。 これらの変数には、vars コンテキストを使用してのみアクセスできます。 詳しくは、「変数」を参照してください。
環境の作成
個人アカウントのリポジトリで環境を設定するには、リポジトリの所有者である必要があります。 組織のリポジトリに環境を設定するには、admin アクセスが必要です。
注: プライベート リポジトリで環境を作成できるのは、GitHub Team を使用する Organization と GitHub Pro を使用するユーザーです。
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-60526/images/help/repository/repo-actions-settings.png)
-
必要に応じて、この環境を使用するワークフロー ジョブを承認する必要があるユーザーまたはチームを指定します。
- [必要なレビュー担当者] を選択します。
- 最大 6 人のユーザーまたはチームを入力します。 ジョブが進行するため承認が必要なレビュー担当者は1人だけです。
- [保護ルールの保存] をクリックします。
-
必要に応じて、この環境を使用するワークフロー ジョブの続行を許可するまでの待機時間を指定します。
- [待機タイマー] を選択します。
- 待機する分数です。
- [保護ルールの保存] をクリックします。
-
必要に応じて、管理者が環境保護ルールをバイパスできないようにします。 環境保護ルールのバイパスについて詳しくは、「デプロイメントのレビュー」を参照してください。
- [Do not let admins bypass protection rules] (管理者が保護ルールをバイパスできないようにする) を選択します。
- [保護ルールの保存] をクリックします。
-
必要に応じて、この環境にデプロイできるブランチを指定します。 使用可能な値の詳細については、「デプロイ ブランチ」を参照してください。
- [デプロイ ブランチ] ドロップダウンで目的のオプションを選択します。
- [選択したブランチ] を選択した場合は、許可するブランチ名パターンを入力します。
-
必要に応じて、環境シークレットを追加します。 これらのシークレットは、環境を使用するワークフロー ジョブでのみ使用できます。 さらに、この環境を使用するワークフロー ジョブで、これらのシークレットにアクセスできるのは、構成済みのルール (必須のレビュー担当者など) が合格した後に限られています。 シークレットについて詳しくは、「暗号化されたシークレット」をご覧ください。
- [環境シークレット] で、 [シークレットの追加] をクリックします。
- シークレット名を入力します。
- シークレット値を入力します。
- [シークレットの追加] をクリックします。
-
必要に応じて、環境変数を追加します。 これらの変数は、その環境を使用するワークフロー ジョブでのみ利用でき、
varsコンテキストを使用してのみアクセスできます。 詳しくは、「変数」を参照してください。- [環境変数] で [変数の追加] をクリックします。
- 変数名を入力します。
- 変数の値を入力します。
- [変数の追加] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-60526/mw-1000/images/help/repository/repo-actions-settings.webp)
REST API を介して環境を作成および設定することもできます。 詳しくは、「デプロイ環境」、「GitHub Actions のシークレット」、「GitHub Actions の変数」、「デプロイ ブランチ ポリシー」を参照してください。
存在しない環境を参照するワークフローを実行すると、参照された名前を持つ環境が作成されます。 新しく作成される環境には、保護ルールやシークレットは設定されていません。 リポジトリのワークフローを編集できる人は、ワークフローファイルを通じて環境を作成できますが、その環境を設定できるのはリポジトリ管理者だけです。
環境の使用
ワークフロー中の各ジョブは、1つの環境を参照できます。 その環境を参照するジョブがランナーに送信される前に、その環境に設定された保護ルールはパスしなければなりません。 ジョブがランナーに送信された後でのみ、ジョブは環境のシークレットにアクセスできます。
ワークフローが環境を参照する場合、その環境はリポジトリのデプロイメントに現れます。 現在と以前のデプロイを表示する方法について詳しくは、「デプロイ履歴の表示」を参照してください。
ワークフロー内のジョブごとに環境を指定できます。 そのためには jobs.<job_id>.environment キーを追加し、その後に環境の名前を追加します。
たとえば、このワークフローでは production という環境が使用されます。
name: Deployment
on:
push:
branches:
- main
jobs:
deployment:
runs-on: ubuntu-latest
environment: production
steps:
- name: deploy
# ...deployment-specific steps
上記のワークフローを実行すると、 deployment ジョブは production 環境用に構成されたすべてのルールに従います。 たとえば、環境でレビュー担当者が必要な場合、いずれかのレビュー担当者がジョブを承認するまでジョブは一時停止します。
環境の URL を指定することもできます。 指定した URL は、リポジトリのデプロイ ページ (リポジトリのホーム ページの [環境] をクリックすることでアクセス可能) とワークフロー実行の視覚化グラフに表示されます。 pull request がワークフローをトリガーすると、URL は pull request タイムラインの [デプロイの表示] ボタンとしても表示されます。
name: Deployment
on:
push:
branches:
- main
jobs:
deployment:
runs-on: ubuntu-latest
environment:
name: production
url: https://github.com
steps:
- name: deploy
# ...deployment-specific steps
環境の削除
個人アカウントのリポジトリで環境を設定するには、リポジトリの所有者である必要があります。 組織のリポジトリに環境を設定するには、admin アクセスが必要です。
環境を削除すると、その環境に関連づけられたすべてのシークレットと保護ルールが削除されます。 削除された環境の保護ルールのために待機していたジョブは、自動的に失敗します。
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
削除する環境の横にある をクリックします。
-
[わかりました、この環境を削除してください] をクリックします。
REST API を介して環境を削除することもできます。 詳しくは、「リポジトリ」を参照してください。
環境とデプロイの関係
環境を参照するワークフロー ジョブが実行されると、environment プロパティに環境の名前が設定された展開オブジェクトが作成されます。 ワークフローが進行すると、environment プロパティに環境の名前、environment_url プロパティに環境の URL (ワークフローで指定されている場合)、および state プロパティにジョブの状態が設定された展開状態オブジェクトも作成されます。
これらのオブジェクトには、REST API または GraphQL API を介してアクセスできます。 これらの Webhook イベントをサブスクライブすることもできます。 詳しくは、「リポジトリ」(REST API)、「オブジェクト」(GraphQL API)、または「Webhook events and payloads」を参照してください。
次の手順
GitHub Actions には、デプロイを管理するためのいくつかの機能が用意されています。 詳しくは、「GitHub Actions を使用してデプロイする」を参照してください。