許可 IP アドレスについて
特定の IP アドレスに対する許可リストを設定することで、Organizationのプライベートアセットへのアクセスを制限できます。 たとえば、プライベート リソースへのアクセス元をオフィス ネットワークの IP アドレスにのみ許可することができます。
ある IP アドレスを一覧で許可している場合、そのアドレスから ご自分のエンタープライズ に接続する認証済みユーザーは、プライベート リソースにアクセスできます。 そのユーザーの IP アドレスが許可されていない場合、そのユーザーは、許可されたアドレスから接続するまで、プライベート リソースにはアクセスできません。
IP 許可一覧を構成すると、その一覧によって、Web UI、API、または Git を介して、次のいずれかの認証方法を使って保護されたリソースにユーザーがアクセスできるかどうかが決まります。
- GitHub 認証または SAML SSO を使用したユーザー名とパスワード
- Personal access token
- SSH キー
IP 許可一覧は、企業と組織の所有者、リポジトリ管理者、外部のコラボレーターなど、あらゆるロールやアクセス権を持つユーザーに適用されます。
CIDR表記を使って、単一のIPアドレスもしくはアドレスの範囲に対してアクセスを承認できます。 詳細については、ウィキペディアの CIDR 表記に関するページを参照してください。
IP 許可リストの管理について
IP許可リストを強制するには、まずIPアドレスをリストに追加し、それからIP許可リストを有効化しなければなりません。 リストが完成したら、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。
IP 許可リストを有効にするには、現在の IP アドレスまたは一致する範囲を追加する必要があります。
許可リストをセットアップした場合は、OrganizationにインストールしたGitHub Appsに設定されたIPアドレスを自動的に許可リストに追加するかを選択することもできます。 GitHub Appの作者は、自分のアプリケーションのための許可リストを、アプリケーションが実行されるIPアドレスを指定して設定できます。 それらの許可リストを継承すれば、アプリケーションからの接続リクエストが拒否されるのを避けられます。 詳細については、「GitHub Apps によるアクセスの許可」を参照してください。
エンタープライズ アカウント レベルで許可 IP アドレスを構成することもできます。また、エンタープライズ アカウントの許可リストに含まれるエントリは、エンタープライズが所有するすべての組織によって継承されます。 組織の所有者は、組織の許可リストにエントリを追加できますが、エンタープライズ アカウントの許可リストから継承されたエントリを管理することはできません。また、エンタープライズの所有者は、組織の許可リストに追加されたエントリを管理できません。詳しくは、「Enterprise でセキュリティ設定のポリシーを適用する」をご覧ください。
許可 IP アドレスを追加する
それぞれに IP アドレスまたはアドレス範囲を含むエントリを追加することで、IP 許可リストを作成できます。 エントリの追加が完了したら、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。
Enterprise 内の Organization が所有する Enterpriseへのアクセスがリストによって制限される前に、許可 IP アドレスも有効にする必要があります。
-
GitHub AE の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-46801/images/help/profile/your-organizations.png)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/images/help/organizations/settings-button.png)
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[IP 許可リスト] セクションの下部にある [IP アドレスまたは CIDR 表記の範囲] フィールドに、IP アドレスまたは CIDR 表記のアドレス範囲を入力します。
![IP 許可リストの設定のスクリーンショット。 [IP アドレスまたは CIDR 表記の範囲] というラベルの付いたテキスト フィールドがオレンジ色の枠線で強調表示されています。](/assets/cb-71064/images/help/security/ip-address-field.png)
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-46801/mw-1000/images/help/profile/your-organizations.webp)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/images/mw-1000/help/organizations/settings-button.webp)
![IP 許可リストの設定のスクリーンショット。 [IP アドレスまたは CIDR 表記の範囲] というラベルの付いたテキスト フィールドがオレンジ色の枠線で強調表示されています。](/assets/cb-71064/mw-1000/images/help/security/ip-address-field.webp)
許可 IP アドレスを有効化する
IP 許可リストを作成すると、許可 IP アドレスを有効にすることができます。 許可 IP アドレスを有効にすると、IP 許可リスト内のいずれかの有効なエントリが、GitHub によってすぐに適用されます。
IP 許可リストを有効にする前に、特定の IP アドレスからの接続が、許可リストによって許可されるかどうかを確認できます。 詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。
-
GitHub AE の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[IP 許可リスト] で、 [IP 許可リストを有効にする] を選択します。
-
[保存] をクリックします。
GitHub Appsによるアクセスの許可
許可リストを使っているなら、OrganizationにインストールしたGitHub Appsに設定されたIPアドレスを自動的に許可リストに追加するかも選択できます。
許可リストの設定で [Enable IP allow list configuration for installed GitHub Apps] (インストールされた GitHub Apps の IP 許可リストの設定を有効化する) を選択した場合、インストールされた GitHub Apps からの IP アドレスが許可リストに追加されます。 これは、許可リストがその時点で有効化されているかどうかに関係なく行われます。 GitHub Appをインストールして、その後にそのアプリケーションの作者が許可リスト中のアドレスを変更した場合、あなたの許可リストにはそれらの変更が自動的に反映されます。
GitHub Appsから自動的に追加されたIPアドレスは、descriptionフィールドを見れば判別できます。 それらのIPアドレスの説明は"Managed by the NAME GitHub App"となっています。 手動で追加されたアドレスとは異なり、GitHub Appsから自動で追加されたIPアドレスは編集、削除、無効化できません。
注: GitHub App の IP 許可リスト中のアドレスは、GitHub App のインストールによって発行されたリクエストにのみ影響します。 GitHub AppのIPアドレスのOrganizationの許可リストへの自動追加は、そのIPアドレスから接続するGitHub AEユーザへのアクセスを許可しません。
作成した GitHub App の許可リストを作成する方法について詳しくは、「GitHub App に対する許可 IP アドレスを管理する」をご覧ください。
-
GitHub AE の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[IP 許可リスト] で、 [インストール済みの GitHub App の IP 許可リストの構成を有効にする] を選択します。
-
[保存] をクリックします。
許可 IP アドレスを編集する
IP 許可リストのエントリを編集できます。 有効なエントリを編集すると、変更がすぐに適用されます。
エントリの編集が終了した後で、リストを有効にしたら、許可リストが特定の IP アドレスからの接続を許可するかどうかを確認できます。
-
GitHub AE の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[IP 許可リスト] の下で、編集するエントリの横にある [編集] をクリックします。 1. [IP アドレス] フィールドに、IP アドレスまたは CIDR 表記のアドレス範囲を入力してください。 1. [説明] フィールドに、許可された IP アドレスまたは範囲の説明を入力してください。
-
[Update] をクリックします。
-
必要に応じて、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。 詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。
IP アドレスが許可されているかどうかを確認する
許可リストが現時点で有効になっていなくても、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。
-
GitHub AE の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[IP 許可リスト] セクションの最後にある [IP アドレスの確認] で、IP アドレスを入力します。
![[IP アドレスの確認] テキスト フィールドのスクリーンショット。](/assets/cb-33017/images/help/security/check-ip-address.png)
![[IP アドレスの確認] テキスト フィールドのスクリーンショット。](/assets/cb-33017/mw-1000/images/help/security/check-ip-address.webp)
許可 IP アドレスを削除する
-
GitHub AE の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。
-
[IP 許可リスト] の下で、削除するエントリの横にある [削除] をクリックします。 1. 恒久的にエントリを削除するには、 [Yes, delete this IP allow list entry] (はい、この IP 許可リストを削除してください) をクリックしてください。
IP許可リストで GitHub Actions を使用する
セルフホスト ランナーを GitHub と通信できるようにするためには、セルフホスト ランナーの IP アドレスもしくは IP アドレスの範囲を IP 許可リストに追加してください。 詳細については、「許可 IP アドレスの追加する」を参照してください。