Skip to main content

Gerenciar o acesso a executores auto-hospedados usando grupos

Você pode usar políticas para limitar o acesso a runners auto-hospedados que foram adicionados a uma conta corporativa.

Quem pode usar esse recurso?

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team can create and manage additional runner groups.

Sobre os grupos de executores

Para controlar o acesso aos executores no nível da organização, as organizações que usam o plano GitHub Team podem usar grupos de executores.Grupos de executores são usados para coletar grupos de executores e criar um limite de segurança em torno deles.

Quando você permite acesso a um grupo de executores, você pode ver o grupo de executores listado nas configurações do executor da organização. Como opção, você pode atribuir um repositório granular adicional ao grupo do executor.

Quando novos executores são criados, eles são atribuídos automaticamente ao grupo padrão, a menos que especificado de outra forma. Os executores só podem estar em um grupo por vez. Você pode mover os executores de um grupo para outro. Para obter mais informações, confira "Como mover um executor para um grupo".

Para obter informações sobre como rotear trabalhos para executores em um grupo específico, confira "Escolhendo o executor para um trabalho".

Criar um grupo de executor auto-hospedado para uma organização

Aviso: Recomendamos que você use apenas executores auto-hospedados com repositórios privados. Isso acontece porque as bifurcações do seu repositório público podem executar código perigoso em seu computador de executor auto-hospedado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

Para obter mais informações, confira "Sobre executores auto-hospedados".

Observação: Ao criar um grupo de executores, você deve escolher uma política que defina quais repositórios têm acesso ao grupo de executores. Para alterar quais repositórios e fluxos de trabalho podem acessar o grupo de executores, os proprietários da organização podem definir uma política para a organização. Para obter mais informações, confira "Aplicando políticas para o GitHub Actions na sua empresa".

Todas as organizações têm um só grupo de executores padrão. Proprietários da organização que usam o plano GitHub Team podem criar grupos de executores adicionais no nível da organização.

Se nenhum grupo for especificado durante o processo de registro, os executores serão adicionados automaticamente ao grupo padrão. Posteriormente, você pode mover o executor do grupo padrão para um grupo personalizado. Para obter mais informações, confira "Como mover um executor para um grupo".

Para obter informações sobre como criar um grupo de executores com a API REST, confira "Pontos de extremidade da API REST do GitHub Actions".

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na seção "Grupos de executores", clique em Novo grupo de executores.

  5. Digite um nome para o grupo do seu executor.

  6. Atribua uma política para acesso ao repositório.

    Você pode configurar um grupo de executores para ser acessível a uma lista específica de repositórios ou a todos os repositórios na organização. Por padrão, somente repositórios privados podem acessar executores em um grupo de executores, mas você pode substituir isso. Essa configuração não poderá ser substituída se você configurar um grupo de executores da organização que tenha sido compartilhado por uma empresa.

  7. Clique em Criar grupo para criar o grupo e aplicar a política.

Como alterar quais repositórios podem acessar um grupo de executores

Aviso: Recomendamos que você use apenas executores auto-hospedados com repositórios privados. Isso acontece porque as bifurcações do seu repositório público podem executar código perigoso em seu computador de executor auto-hospedado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

Para obter mais informações, confira "Sobre executores auto-hospedados".

Para grupos de executores em uma organização, você pode alterar quais repositórios na organização podem acessar um grupo de executores.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.

  2. Clique em Configurações.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na lista de grupos, clique no grupo de executores que deseja configurar.

  5. Em “Acesso ao repositório”, use o menu suspenso para clicar em Repositórios selecionados.

    1. À direita do menu suspenso, clique em .
    2. Na janela pop-up, use as caixas de seleção para selecionar os repositórios que podem acessar esse grupo de executores.
  6. Clique em Salvar grupo.

Alterando o nome de um grupo de executores

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.
  2. Clique em Configurações.
  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.
  4. Na lista de grupos, clique no grupo de executores que deseja configurar.
  5. Insira o novo nome do grupo de executores no campo de texto em "Nome do grupo".
  6. Clique em Save (Salvar).

Adicionando um executor auto-hospedado a um grupo automaticamente

Você pode usar o script de configuração para adicionar automaticamente um novo executor a um grupo. Por exemplo, esse comando registra um novo executor e usa o parâmetro --runnergroup para adicioná-lo a um grupo chamado rg-runnergroup.

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

O comando irá falhar se o grupo do executor não existir:

Could not find any self-hosted runner group named "rg-runnergroup".

Mover um executor auto-hospedado para um grupo

Se você não especificar o grupo de um executor durante o processo de registro, seus novos executores são automaticamente atribuídos ao grupo padrão e poderão ser transferidos para outro grupo.

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e clique em Executores.

  4. Na lista de "Executores", clique no executor que você deseja configurar.

  5. Selecione o menu suspenso Grupo de executores.

  6. Em "Transferir executor para o grupo", escolha um grupo de destino para o executor.

Remover um grupo de executor auto-hospedado

Para remover um grupo de executores, primeiro você deve mover ou remover todos os executores do grupo.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.
  2. Clique em Configurações.
  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.
  4. Na lista de grupos, à direita do grupo que você deseja excluir, clique em .
  5. Para remover o grupo, clique em Remover grupo.
  6. Revise as solicitações de confirmação e clique em Remover este grupo de executores.