Organization に対する許可 IP アドレスを管理する

許可 IP アドレスについて

既定では、許可されたユーザーは任意の IP アドレスから Organization のリソースにアクセスできます。特定の IP アドレスからのアクセスを許可または拒否するリストを構成すると、Organization のプライベートリソースへのアクセスを制限できます。たとえば、プライベートリソースへのアクセス元をオフィスネットワークの IP アドレスにのみ許可することができます。

ある IP アドレスを一覧で許可している場合、そのアドレスから GitHub.com に接続する認証済みユーザーは、プライベートリソースにアクセスできます。そのユーザーの IP アドレスが許可されていない場合、そのユーザーは、許可されたアドレスから接続するまで、プライベートリソースにはアクセスできません。

IP 許可一覧を構成すると、その一覧によって、Web UI、API、または Git を介して、次のいずれかの認証方法を使って保護されたリソースにユーザーがアクセスできるかどうかが決まります。

GitHub 認証または SAML SSO を使用したユーザー名とパスワード
Personal access token
SSH キー

IP 許可一覧は、企業と組織の所有者、リポジトリ管理者、外部のコラボレーターなど、あらゆるロールやアクセス権を持つユーザーに適用されます。

ユーザーが GitHub.com にサインインしている場合、IP 許可一覧によって、組織のパブリックリソースにそのユーザーがアクセスできるかどうかが決まります。この一覧は、パブリックリソースへの匿名アクセスには適用されません。

IP 許可一覧によって決まるのは、組織が所有するリポジトリへのアクセスのみです。この一覧では、マネージドユーザーアカウントが所有するリポジトリまたはリポジトリのフォークへのアクセスは制御されません。

CIDR表記を使って、単一のIPアドレスもしくはアドレスの範囲に対してアクセスを承認できます。詳細については、ウィキペディアの CIDR 表記に関するページを参照してください。

注:

IP 許可リストを使用できるのは、GitHub Enterprise Cloud を使用する Organization だけです。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。
Organization の IP 許可リストを構成した場合、Organization が所有するリポジトリに GitHub Codespaces を使用することはできません。

IP 許可リストの管理について

IP許可リストを強制するには、まずIPアドレスをリストに追加し、それからIP許可リストを有効化しなければなりません。リストが完成したら、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。

IP 許可リストを有効にするには、現在の IP アドレスまたは一致する範囲を追加する必要があります。

許可リストをセットアップした場合は、OrganizationにインストールしたGitHub Appsに設定されたIPアドレスを自動的に許可リストに追加するかを選択することもできます。 GitHub Appの作者は、自分のアプリケーションのための許可リストを、アプリケーションが実行されるIPアドレスを指定して設定できます。それらの許可リストを継承すれば、アプリケーションからの接続リクエストが拒否されるのを避けられます。詳細については、「GitHub Apps によるアクセスの許可」を参照してください。

エンタープライズアカウントレベルで許可 IP アドレスを構成することもできます。また、エンタープライズアカウントの許可リストに含まれるエントリは、エンタープライズが所有するすべての組織によって継承されます。組織の所有者は、組織の許可リストにエントリを追加できますが、エンタープライズアカウントの許可リストから継承されたエントリを管理することはできません。また、エンタープライズの所有者は、組織の許可リストに追加されたエントリを管理できません。詳しくは、「Enterprise でセキュリティ設定のポリシーを適用する」をご覧ください。

許可 IP アドレスを追加する

それぞれに IP アドレスまたはアドレス範囲を含むエントリを追加することで、IP 許可リストを作成できます。エントリの追加が完了したら、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。

Enterprise 内の Organization が所有するプライベートアセットへのアクセスがリストによって制限される前に、許可 IP アドレスも有効にする必要があります。

注: GitHub では、IPv6 のサポートを段階的にロールアウトしています。 GitHub サービスには引き続き IPv6 のサポートが追加されるため、GitHub ユーザーの IPv6 アドレスの認識を開始できます。アクセスの中断の可能性を防ぐには、必要な IPv6 アドレスが自分の IP 許可リストに確実に追加されている状態にしてください。

注: キャッシュのため、IP アドレスの追加または削除が完全に有効になるまでに数分かかる場合があります。

GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
[IP 許可リスト] セクションの下部にある [IP アドレスまたは CIDR 表記の範囲] フィールドに、IP アドレスまたは CIDR 表記のアドレス範囲を入力します。
必要に応じて、[IP アドレスまたは範囲の簡単な説明] フィールドに、許可されている IP アドレスまたは範囲の説明を入力します。
[追加] をクリックします。
必要に応じて、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。

許可 IP アドレスを有効化する

IP 許可リストを作成すると、許可 IP アドレスを有効にすることができます。許可 IP アドレスを有効にすると、IP 許可リスト内のいずれかの有効なエントリが、GitHub によってすぐに適用されます。

注:

Organization の IP 許可リストを有効にすると、Organization が所有するリポジトリに GitHub Codespaces を使用できなくなります。

IP 許可リストを有効にする前に、特定の IP アドレスからの接続が、許可リストによって許可されるかどうかを確認できます。詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。

GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
[IP 許可リスト] で、 [IP 許可リストを有効にする] を選択します。
[保存] をクリックします。

GitHub Appsによるアクセスの許可

許可リストを使っているなら、OrganizationにインストールしたGitHub Appsに設定されたIPアドレスを自動的に許可リストに追加するかも選択できます。

許可リストの設定で [Enable IP allow list configuration for installed GitHub Apps] (インストールされた GitHub Apps の IP 許可リストの設定を有効化する) を選択した場合、インストールされた GitHub Apps からの IP アドレスが許可リストに追加されます。これは、許可リストがその時点で有効化されているかどうかに関係なく行われます。 GitHub Appをインストールして、その後にそのアプリケーションの作者が許可リスト中のアドレスを変更した場合、あなたの許可リストにはそれらの変更が自動的に反映されます。

GitHub Appsから自動的に追加されたIPアドレスは、descriptionフィールドを見れば判別できます。それらのIPアドレスの説明は"Managed by the NAME GitHub App"となっています。手動で追加されたアドレスとは異なり、GitHub Appsから自動で追加されたIPアドレスは編集、削除、無効化できません。

注: GitHub App の IP 許可リスト中のアドレスは、GitHub App のインストールによって発行されたリクエストにのみ影響します。 GitHub AppのIPアドレスのOrganizationの許可リストへの自動追加は、そのIPアドレスから接続するGitHub Enterprise Cloudユーザへのアクセスを許可しません。

作成した GitHub App の許可リストを作成する方法について詳しくは、「GitHub App に対する許可 IP アドレスを管理する」をご覧ください。

GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
[IP 許可リスト] で、 [インストール済みの GitHub App の IP 許可リストの構成を有効にする] を選択します。
[保存] をクリックします。

許可 IP アドレスを編集する

IP 許可リストのエントリを編集できます。有効なエントリを編集すると、変更がすぐに適用されます。

エントリの編集が終了した後で、リストを有効にしたら、許可リストが特定の IP アドレスからの接続を許可するかどうかを確認できます。

GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
[IP 許可リスト] の下で、編集するエントリの横にある [編集] をクリックします。
[IP アドレス] フィールドに、IP アドレスまたは CIDR 表記のアドレス範囲を入力してください。
[説明] フィールドに、許可された IP アドレスまたは範囲の説明を入力してください。
[Update] をクリックします。
必要に応じて、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。

IP アドレスが許可されているかどうかを確認する

許可リストが現時点で有効になっていなくても、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。

GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
[IP 許可リスト] セクションの最後にある [IP アドレスの確認] で、IP アドレスを入力します。

許可 IP アドレスを削除する

注: キャッシュのため、IP アドレスの追加または削除が完全に有効になるまでに数分かかる場合があります。

GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
[IP 許可リスト] の下で、削除するエントリの横にある [削除] をクリックします。
恒久的にエントリを削除するには、 [Yes, delete this IP allow list entry] (はい、この IP 許可リストを削除してください) をクリックしてください。

IP許可リストで GitHub Actions を使用する

警告: IP 許可リストを使用し、GitHub Actions も使用したい場合は、セルフホステッドランナー、または静的 IP アドレス範囲を持つより大きな GitHub ホスト型ランナーを使用する必要があります。詳細は、「セルフホステッドランナーの概要」か「About larger runners」を参照してください。

セルフホスト型のまたはより大きなホスト型のランナーが GitHub と通信できるようにするには、該当するランナーの IP アドレスまたは IP アドレス範囲を Enterprise 用に構成した IP 許可リストに追加します。

Organization に対する許可 IP アドレスを管理する

この記事の内容