注: GitHub ホステッド ランナーは、現在 GitHub Enterprise Server でサポートされていません。 GitHub public roadmap で、今後の計画的なサポートの詳細を確認できます。
Organization の GitHub Actions 権限について
既定では、GitHub Actions が お使いの GitHub Enterprise Server インスタンス 上で有効になると、 はすべてのリポジトリと組織で有効になります。 GitHub Actions を無効にするか、または Enterprise のアクションに制限することができます。 GitHub Actions について詳しくは、「GitHub Actions について」を参照してください。
Organization のすべてのリポジトリについて GitHub Actions を有効化することができます。 GitHub Actions を有効にすると、ワークフローは、リポジトリ内および他のパブリックまたは内部リポジトリに配置されているアクションを実行できます。 組織のすべてのリポジトリについて、GitHub Actions を無効化できます。 GitHub Actionsを無効化すると、リポジトリでワークフローが実行されなくなります。
または、Organization 内のすべてのリポジトリに対して GitHub Actions を有効にできますが、ワークフローが実行できるアクションにアクションを制限できます。
Organization の GitHub Actions 権限の管理
組織内のすべてのリポジトリに対して GitHub Actions を無効にするか、特定のリポジトリのみを許可するかを選択できます。 また、パブリック アクションの使用を制限して、Enterprise 内に存在するローカル アクションのみを使用できるようにすることもできます。
注: 組織が、優先ポリシーのあるエンタープライズによって管理されている場合、これらの設定を管理できない場合があります。 詳しくは、「エンタープライズで GitHub Actions のポリシーを適用する」を参照してください。
-
GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-24939/images/help/profile/your-organizations.png)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/cb-5718/images/help/organizations/settings-button.png)
-
[Policies] で、オプションを選択します。
[Allow select actions](選択したアクションを許可する) を選択した場合、エンタープライズ内のアクションが許可され、追加のオプションで、その他の特定のアクションも許可されます。 詳細については、「選択したアクションの実行の許可」を参照してください。
-
[保存] をクリックします。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-24939/mw-1440/images/help/profile/your-organizations.webp)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/cb-5718/mw-1440/images/help/organizations/settings-button.webp)
選択したアクションの実行の許可
[ [Allow select actions](選択したアクションを許可する) ] を選ぶと、ローカル アクションが許可され、他の特定のアクションを許可するための追加のオプションがあります。
-
[GitHub によって作成されたアクションを許可する]: GitHub によって作成されたすべてのアクションを、ワークフローで使用できるようにします。 GitHub によって作成されたアクションは、
actionsおよびgithub組織にあります。 詳しくは、actionsおよびgithubの Organization をご覧ください。 -
[検証済みの作成者による Marketplace アクションを許可する]: このオプションは、GitHub Connect が有効になっていて、GitHub Actions で構成されている場合に使用できます。 詳細については「GitHub Connect を使用して GitHub.com アクションへの自動アクセスを可能にする」を参照してください。 検証済みの作成者が作成したすべての GitHub Marketplace アクションをワークフローで使用できるようにできます。 GitHubがアクションの作者をパートナーOrganizationとして検証すると、GitHub Marketplaceでアクションの隣にバッジが表示されるようになります。
-
[指定したアクションを許可する]: ワークフローで使用できるアクションを、特定の組織とリポジトリのものに制限します。
アクションの特定のタグまたはコミット SHA へのアクセスを制限するには、ワークフローで使われているのと同じ構文を使って、アクションを選びます。
- アクションの場合の構文は、
<OWNER>/<REPO>@<TAG OR SHA>です。 たとえば、タグを選択するにはactions/javascript-action@v1.0.1を使用し、SHA を選択するにはactions/javascript-action@a824008085750b8e136effc585c3cd6082bd575fを使用します。 詳しくは、「アクションの検索とカスタマイズ」を参照してください。
パターンのマッチには、ワイルドカード文字
*を使用できます。 たとえば、space-orgで始まる Organization のすべてのアクションを許可するには、space-org*/*と指定できます。 octocat で始まるリポジトリのすべてのアクションを許可するには、*/octocat**@*を使用できます。*ワイルドカードの使用の詳細については、「GitHub Actions のワークフロー構文」を参照してください。 - アクションの場合の構文は、
この手順では、特定のアクションを許可リストに追加する方法を示します。
-
GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
[ポリシー] で [ [Allow select actions](選択したアクションを許可する) ] を選び、必要なアクションを一覧に追加します。
-
[保存] をクリックします。
プライベートリポジトリのフォークのワークフローを有効にする
プライベート リポジトリのフォークの利用に依存している場合、pull_request イベントの際にユーザーがどのようにワークフローを実行できるかを制御するポリシーを構成できます。 プライベート リポジトリと内部リポジトリでのみ使用でき、Enterprise、Organization、またはリポジトリに対してこれらのポリシー設定を構成できます。
Enterpriseでポリシーが無効化されていると、それをOrganizationで有効化することはできません。Organizationでポリシーが無効化されていると、それをリポジトリで有効化することはできません。 Organizationがポリシーを有効化していると、そのポリシーを個々のリポジトリで無効化することはできません。
- フォーク pull request からワークフローを実行する - 読み取り専用権限を持ち、シークレットへのアクセス権を持たない
GITHUB_TOKENを使用して、フォーク pull request からワークフローを実行できます。 - pull request からワークフローに書き込みトークンを送信する - フォークからの pull request で書き込み権限を持つ
GITHUB_TOKENを使用できます。 - pull request からワークフローにシークレットを送信する - すべてのシークレットを pull request で利用できるようにします。
Organization のプライベートフォークポリシーを設定する
-
GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
[保存] をクリックして設定を適用します。
組織の GITHUB_TOKEN のアクセス許可の設定
GITHUB_TOKEN に付与される既定のアクセス許可を設定できます。 GITHUB_TOKEN について詳しくは、「自動トークン認証」をご覧ください。 デフォルトとして制限付きアクセス許可セットを選択するか、より幅広く許可をする設定を適用できます。
組織またはリポジトリの設定で、GITHUB_TOKEN の既定のアクセス許可を設定できます。 Organization の設定でデフォルトとして制限付きのオプションを選択した場合、そのオプションは Organization 内のリポジトリの設定でも選択され、制限の緩いオプションは無効化されます。 Organization が GitHub Enterprise に属しており、Enterprise 設定でさらに制約の強いデフォルトが選択されている場合、Organization の設定でより制限の緩いデフォルトは選択できません。
リポジトリへの書き込みアクセス権を持っている人は誰でも、ワークフロー ファイルの permissions キーを編集して、GITHUB_TOKEN に付与されたアクセス許可を変更でき、必要に応じて追加または削除できます。 詳細については、permissions をご覧ください。
既定の GITHUB_TOKEN のアクセス許可の構成
-
GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分のプロファイル] をクリックします。
-
[ワークフローのアクセス許可] で、
GITHUB_TOKENに対してすべてのスコープでの読み取りと書き込みアクセスを許可するか、contentsスコープでの読み取りアクセスのみを許可するかを選びます。 -
[保存] をクリックして設定を適用します。
GitHub Actions による pull request の承認を禁止する
GitHub Actions ワークフローが pull request を承認することを許可または禁止するかを選択できます。
既定では、新しい Organization を作成するとき、ワークフローで pull request を承認することは許可されていません。
-
GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分のプロファイル] をクリックします。
-
[ワークフローのアクセス許可] で、 [GitHub Actions が pull request を承認するのを許可する] 設定を使って、
GITHUB_TOKENが pull request を承認できるかどうかを構成します。 -
[保存] をクリックして設定を適用します。