グループを使用してセルフホストランナーへのアクセスを管理する

特定のグループのランナーにジョブをルーティングする方法についての情報は、「ジョブのランナーを選択する」を参照してください。

ランナーグループについて

ランナーグループは、Organization レベルと Enterprise レベルのランナーへのアクセスを制御するために使用されます。 Enterprise の所有者はアクセスポリシーを設定して、Enterprise 内のどの Organization とワークフローがランナーグループにアクセスできるかを制御できます。 Organization の所有者はアクセスポリシーを設定して、Organization 内のどのリポジトリとワークフローがランナーグループにアクセスできるかを制御できます。

Enterprise の所有者がランナーグループにアクセス権を付与する場合、Organization の所有者には、Organization のランナー設定に一覧表示されているランナーグループが表示されます。その後、Organization の所有者は、リポジトリとワークフローの詳細な追加アクセスポリシーを、Enterprise ランナーグループに割り当てることができます。

新しいランナーが作成されると、それらは自動的にデフォルトグループに割り当てられます。ランナーは一度に1つのグループにのみ参加できます。ランナーはデフォルトグループから別のグループに移動できます。詳しくは、「ランナーをグループに移動する」をご覧ください。

Organization のセルフホストランナーグループを作成する

警告: セルフホストランナーは、プライベートリポジトリでのみ利用することをおすすめします。これは、ワークフロー内でコードを実行する pull request を作成することで、パブリックリポジトリのフォークによって、セルフホステッドランナーマシン上で危険なコードが実行される可能性があるからです。

詳しくは、「セルフホステッドランナーの概要」を参照してください。

すべての Organization には、単一の既定のランナーグループがあります。 Enterprise アカウント内の Organization を使うと、追加のグループを作成できます。 Organization の管理者は、個々のリポジトリにランナーグループへのアクセスを許可できます。 REST API を使ってランナーグループを作成する方法について詳しくは、「アクション」をご覧ください。

ランナーは、作成時に既定のグループに自動的に割り当てられます。一度に 1 つのグループでのみメンバーになることができます。ランナーはデフォルトグループから作成した任意のグループに移動できます。

グループを作成するときは、ランナーグループにアクセスできるリポジトリとワークフローが定義されているポリシーを選ぶ必要があります。

GitHub.com で、Organization のメインページへ移動します。 1. Organization 名の下で、 [設定] をクリックします。

1. 左側のサイドバーで、 [アクション] 、 [ランナーグループ] の順にクリックします。
"ランナーグループ" セクションで、 [新しいランナーグループ] をクリックします。
ランナーグループの名前を入力します。
リポジトリアクセスのポリシーを割り当てます。

リポジトリの特定のリストまたは組織内のすべてのリポジトリにアクセス可能なランナーグループを設定できます。既定では、プライベートリポジトリのみがランナーグループ内のランナーにアクセスできますが、これをオーバーライドできます。エンタープライズによって共有された組織のランナーグループを構成する場合、この設定をオーバーライドすることはできません。
ワークフローアクセス用のポリシーを割り当てます。

特定のワークフローの一覧またはすべてのワークフローからアクセスできるようにランナーグループを構成できます。エンタープライズによって共有された組織のランナーグループを構成している場合、この設定をオーバーライドできません。ランナーグループにアクセスできるワークフローを指定する場合は、リポジトリ名と所有者を含むワークフローへの完全なパスを使用し、ワークフローをブランチ、タグ、または完全 SHA にピン留めする必要があります。 (例: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main)。

選択したワークフロー内で直接定義されたジョブのみがランナーグループにアクセスできます。組織が所有するランナーグループは、エンタープライズ内の別の組織からのワークフローにはアクセスできません。代わりに、エンタープライズが所有するランナーグループを作成する必要があります。 1. [グループの作成] をクリックしてグループを作成し、ポリシーを適用します。

Enterprise のセルフホストランナーグループを作成する

警告: セルフホストランナーは、プライベートリポジトリでのみ利用することをおすすめします。これは、ワークフロー内でコードを実行する pull request を作成することで、パブリックリポジトリのフォークによって、セルフホステッドランナーマシン上で危険なコードが実行される可能性があるからです。

詳しくは、「セルフホステッドランナーの概要」を参照してください。

Enterprise を使うと、ランナーがグループに追加されて、アクセス管理を行うことができます。 Enterprise は、Enterprises アカウント内の特定の Organization 、または特定のワークフローにアクセス可能なランナーのグループを作成できます。その後、Organization の所有者は、Enterprise ランナーグループに対し、追加の詳細なリポジトリまたはワークフローアクセスポリシーを割り当てることができます。 REST API を使ってランナーグループを作成する方法については、GitHub Actions REST API の Enterprise エンドポイントをご覧ください。

ランナーは、作成時に既定のグループに自動的に割り当てられます。一度に 1 つのグループでのみメンバーになることができます。登録処理中にランナーを特定のグループに割り当てることも、後でランナーをデフォルトグループからカスタムグループに移動することもできます。

グループを作成するときは、ランナーグループにアクセスできる Organization を定義するポリシーを選択する必要があります。

GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。 1. [ ポリシー] で、 [アクション] をクリックします。 1. [ランナーグループ] タブをクリックします。
[New runner group](新しいランナーグループ) をクリックします。
[グループ名] に、ランナーグループの名前を入力します。
組織アクセスのポリシーを選択するには、 [組織のアクセス] ドロップダウンを選択し、[ポリシー] をクリックします。組織の特定のリストまたはエンタープライズ内のすべての組織にアクセス可能なランナーグループを設定できます。
ワークフローアクセス用のポリシーを割り当てます。

特定のワークフローの一覧またはすべてのワークフローからアクセスできるようにランナーグループを構成できます。エンタープライズによって共有された組織のランナーグループを構成している場合、この設定をオーバーライドできません。ランナーグループにアクセスできるワークフローを指定する場合は、リポジトリ名と所有者を含むワークフローへの完全なパスを使用し、ワークフローをブランチ、タグ、または完全 SHA にピン留めする必要があります。 (例: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main)。

選択したワークフロー内で直接定義されたジョブのみがランナーグループにアクセスできます。
[グループの保存] をクリックしてグループを作成し、ポリシーを適用します。

セルフホストランナーグループのアクセスポリシーを変更する

警告: セルフホストランナーは、プライベートリポジトリでのみ利用することをおすすめします。これは、ワークフロー内でコードを実行する pull request を作成することで、パブリックリポジトリのフォークによって、セルフホステッドランナーマシン上で危険なコードが実行される可能性があるからです。

詳しくは、「セルフホステッドランナーの概要」を参照してください。

Enterprise のランナーグループの場合、Enterprise 内のどの Organization がランナーグループにアクセスできるかを変更したり、ランナーグループで実行できるワークフローを制限したりできます。 Organization のランナーグループの場合、Organization 内のどのリポジトリがランナーグループにアクセスできるかを変更したり、ランナーグループで実行できるワークフローを制限したりできます。

ランナーグループにアクセスできる組織またはリポジトリを変更する

ランナーグループが配置されている場所に移動します。
- Organization 内: メインページに移動して、 [設定] をクリックします。
- Enterprise レベルのグループを使用している場合:
  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
[ランナーグループ] 設定に移動します:
- Organization 内:
  1. 左側のサイドバーで、 [アクション] 、 [ランナーグループ] の順にクリックします。
- Enterprise レベルのグループを使用している場合:
  1. Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。 1. [ ポリシー] で、 [アクション] をクリックします。 1. [ランナーグループ] タブをクリックします。 1. グループのリストで、構成するランナーグループをクリックします。
エンタープライズ内のランナーグループの場合、 [組織のアクセス] で、ランナーグループにアクセスできる組織を変更します。組織内のランナーグループの場合、 [リポジトリアクセス] で、ランナーグループにアクセスできるリポジトリを変更します。
設定ページの [Runners](ランナー) セクションで、構成するランナーグループの横にあるをクリックし、 [Edit name and [organization|repository] access](名前の編集と [組織|リポジトリ] アクセス) をクリックします。
ポリシーオプションを変更します。

警告

セルフホストランナーは、プライベートリポジトリでのみ利用することをおすすめします。これは、ワークフロー内でコードを実行する pull request を作成することで、パブリックリポジトリのフォークによって、セルフホステッドランナーマシン上で危険なコードが実行される可能性があるからです。

詳しくは、「セルフホステッドランナーの概要」を参照してください。

ランナーグループにアクセスできるワークフローの変更

選択したワークフローまたはすべてのワークフローを実行するようにランナーグループを構成できます。たとえば、この設定を使って、ランナーに格納されているシークレットを保護したり、ランナーグループが特定の再利用可能なワークフローのみを実行するように制限してデプロイワークフローを標準化したりすることができます。エンタープライズによって共有された組織のランナーグループを構成している場合、この設定をオーバーライドできません。

ランナーグループが配置されている場所に移動します。
- Organization 内: メインページに移動して、 [設定] をクリックします。
- Enterprise レベルのグループを使用している場合:
  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
[ランナーグループ] 設定に移動します:
- Organization 内:
  1. 左側のサイドバーで、 [アクション] 、 [ランナーグループ] の順にクリックします。
- Enterprise レベルのグループを使用している場合:
  1. Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。 1. [ ポリシー] で、 [アクション] をクリックします。 1. [ランナーグループ] タブをクリックします。 1. グループのリストで、構成するランナーグループをクリックします。
[ワークフローアクセス] で、ドロップダウンメニューを選択し、 [選択したワークフロー] をクリックします。
をクリックします。
ランナーグループにアクセスできるワークフローのコンマ区切りの一覧を入力します。リポジトリ名と所有者を含む完全なパスを使用します。ワークフローをブランチ、タグ、または完全 SHA にピン留めします。 (例: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main)。

選択したワークフロー内で直接定義されたジョブのみがランナーグループにアクセスできます。

組織所有のランナーグループは、エンタープライズ内の別の組織からワークフローにアクセスできません。代わりに、エンタープライズ所有のランナーグループを作成する必要があります。
[保存] をクリックします。

ランナーグループの名前を変更する

ランナーグループが配置されている場所に移動します。
- Organization 内: メインページに移動して、 [設定] をクリックします。
- Enterprise レベルのグループを使用している場合:
  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
[ランナーグループ] 設定に移動します:
- Organization 内:
  1. 左側のサイドバーで、 [アクション] 、 [ランナーグループ] の順にクリックします。
- Enterprise レベルのグループを使用している場合:
  1. Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。 1. [ ポリシー] で、 [アクション] をクリックします。 1. [ランナーグループ] タブをクリックします。 1. グループのリストで、構成するランナーグループをクリックします。
ランナーグループ名を変更します。
設定ページの [Runners](ランナー) セクションで、構成するランナーグループの横にあるをクリックし、 [Edit name and [organization|repository] access](名前の編集と [組織|リポジトリ] アクセス) をクリックします。
ランナーグループ名を変更します。

セルフホストランナーをグループに自動的に追加する

構成スクリプトを使うと、新しいランナーをグループに自動的に追加できます。たとえば、このコマンドを実行すると、新しいランナーが登録されて、--runnergroup パラメーターを使って rg-runnergroup という名前のグループに追加されます。

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

ランナーグループが存在しない場合、コマンドは失敗します。

Could not find any self-hosted runner group named "rg-runnergroup".

セルフホストランナーをグループに移動する

登録プロセス中にランナーグループを指定しない場合、新しいランナーは、自動的に既定のグループに割り当てられ、その後別のグループへの移動が可能となります。

ランナーが登録されている場所に移動します。
- Organization 内: メインページに移動して、 [設定] をクリックします。
- Enterprise レベルのランナーを使用している場合:
  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
GitHub Actions設定にアクセスしてください:
- Organization 内:
  1. 左側のサイドバーで、 [アクション] 、 [ランナー] の順にクリックします。
- Enterprise レベルのランナーを使用している場合:
  1. Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。 1. [ ポリシー] で、 [アクション] をクリックします。 1. [Runners](ランナー) タブをクリックします。
"ランナー" の一覧で、構成するランナーをクリックします。
[ランナーグループ] ドロップダウンを選択します。
"ランナーをグループに移動" で、ランナーの移動先グループを選択します。

セルフホストランナーグループを削除する

ランナーは、そのグループが削除されると自動的に既定のグループに戻ります。

ランナーグループが配置されている場所に移動します。
- Organization 内: メインページに移動して、 [設定] をクリックします。
- Enterprise レベルのグループを使用している場合:
  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
[ランナーグループ] 設定に移動します:
- Organization 内:
  1. 左側のサイドバーで、 [アクション] 、 [ランナーグループ] の順にクリックします。
- Enterprise レベルのグループを使用している場合:
  1. Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。 1. [ ポリシー] で、 [アクション] をクリックします。 1. [ランナーグループ] タブをクリックします。
グループの一覧で、削除するグループの右側にあるをクリックします。
グループを削除するには、 [グループの削除] をクリックします。
確認プロンプトを確認し、 [Remove this runner group](このランナーグループの削除) をクリックします。このグループのすべてのランナーは、既定のグループに自動的に移動します。ここでは、このグループに割り当てられたアクセス許可を継承します。

ランナーグループに一意の名前を使用する

GitHub Actions では、ランナーグループ名が Organization レベルで一意である必要があります。つまり、Organization は、Enterprise 内のランナーグループと同じ名前を持つものを作成できなくなります。さらに、ユーザーには、Enterprise 内のグループと同じ名前を共有するすべてのランナーグループに、Organization グループの名前を変更することを提案する警告バナーが表示されます。

あいまいさを回避するために、Organization と Enterprise に重複するランナーグループがある場合、ワークフローは失敗します。これに対処するには、Organization 内または Enterprise のいずれかのランナーグループの名前を変更するか、ワークフローファイルを更新してランナーグループ名にプレフィックスを追加します。

org/ または organization/
ent/ または enterprise/

例: プレフィックスを使用してランナーグループを区別する

たとえば、Organization 内に my-group という名前のランナーグループがあり、Enterprise 内に my-group という名前のランナーグループがある場合は、ワークフローファイルを更新して、org/my-group または ent/my-group を使用して 2 つを区別できます。

org/の使用

runs-on:
  group: org/my-group
  labels: [ self-hosted, label-1 ]

ent/の使用

runs-on:
  group: ent/my-group
  labels: [ self-hosted, label-1 ]

グループを使用してセルフホストランナーへのアクセスを管理する

この記事の内容

ランナー グループについて

Organization のセルフホストランナーグループを作成する

Enterprise のセルフホストランナーグループを作成する

セルフホストランナーグループのアクセスポリシーを変更する

ランナー グループにアクセスできる組織またはリポジトリを変更する

ランナー グループにアクセスできるワークフローの変更

ランナー グループの名前を変更する

セルフホスト ランナーをグループに自動的に追加する

セルフホストランナーをグループに移動する

セルフホストランナーグループを削除する

ランナー グループに一意の名前を使用する

例: プレフィックスを使用してランナー グループを区別する

ランナーグループについて

ランナーグループにアクセスできる組織またはリポジトリを変更する

ランナーグループにアクセスできるワークフローの変更

ランナーグループの名前を変更する

セルフホストランナーをグループに自動的に追加する

ランナーグループに一意の名前を使用する

例: プレフィックスを使用してランナーグループを区別する