リポジトリスコープのパッケージの権限
リポジトリスコープのパッケージは、パッケージを所有するリポジトリの権限と可視性を継承します。 リポジトリをスコープとするパッケージは、リポジトリのメインページにアクセスし、ページ右にあるパッケージリンクをクリックすれば見つかります。
以下のGitHub Packagesレジストリは、リポジトリスコープの権限を使います。
-Dockerレジストリ(docker.pkg.github.com)
- npmレジストリ
- RubyGemsレジストリ
- Apache Mavenレジストリ
- NuGetレジストリ
パッケージの管理
パッケージレジストリでホストされているパッケージを使用もしくは管理するためには、適切なスコープを持つトークンを使わなければならず、個人アカウントが適切な権限を持っていなければなりません。
例:
- リポジトリからパッケージをダウンロードしてインストールするには、トークンは
read:packagesスコープを持っていなければならず、ユーザアカウントは読み取り権限を持っていなければなりません。 - |GitHub Enterprise Server上のパッケージを削除するには、トークンが少なくとも
delete:packagesとread:packagesのスコープを持っている必要があります。 リポジトリをスコープとするパッケージには、repoスコープも必要です。 詳しい情報については「パッケージの削除と復元」を参照してください。 | スコープ | 説明 | 必要な権限 | | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------- | ------------ | |read:packages| GitHub Packagesからのパッケージのダウンロードとインストール | 読み取り | |write:packages| GitHub Packagesへのパッケージのアップロードと公開 | 書き込み | |delete:packages| | | | GitHub Packagesからのパッケージの削除 | | | | 管理 | | | |repo| パッケージのアップロードと削除 (write:packagesまたはdelete:packagesと併せて) | 書き込みもしくは読み取り |
GitHub Actionsワークフローを作成する際には、GITHUB_TOKENを使ってGitHub Packagesにパッケージを公開してインストールでき、個人アクセストークンを保存して管理する必要はありません。
詳しい情報については以下を参照してください:
- 「GitHub Actionsでのパッケージの公開とインストール」
- 個人アクセストークンを作成する
- GDPR違反、APIキー、個人を識別する情報といったセンシティブなデータを含むパッケージを公開した時
GitHub Actionsワークフローでのパッケージへのアクセスのメンテナンス
ワークフローがパッケージへのアクセスを確実に維持するためには、確実にワークフローで正しいアクセストークンを使用し、パッケージへのGitHub Actionsアクセスを有効化してください。
GitHub Actionsに関する概念的な背景や、ワークフローでのパッケージの使用例については、「GitHub Actionsワークフローを使用したGitHub Packagesの管理」を参照してください。
アクセストークン
- ワークフローリポジトリに関連するパッケージを公開するには、
GITHUB_TOKENを使用してください。 GITHUB_TOKENがアクセスできない他のプライベートリポジトリに関連するパッケージをインストールするには、個人アクセストークンを使用してください。
GitHub Actionsワークフローで使われるGITHUB_TOKENに関する詳しい情報については「ワークフローでの認証」を参照してください。