Gerenciar o acesso a executores auto-hospedados usando grupos

Neste artigo

Você pode usar políticas para limitar o acesso a runners auto-hospedados que foram adicionados a uma conta corporativa.

Quem pode usar esse recurso

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team can create and manage additional runner groups.

Sobre os grupos de executores

Para controlar o acesso aos executores no nível da organização nível, as organizações que usam o plano GitHub Team podem usar grupos de executores.

Os grupos de executores são usados para coletar conjuntos de executores e criar um limite de segurança ao redor delas. Em seguida, você pode decidir quais organizações ou repositórios têm permissão para executar trabalhos nesses conjuntos de computadores. Os proprietários da organização podem configurar políticas de acesso que controlam quais repositórios na organização têm acesso ao grupo de executores.

Quando você permite acesso a um grupo de executores, você pode ver o grupo de executores listado nas configurações do executor da organização. Como opção, você pode atribuir um repositório granular adicional ao grupo do executor.

Quando novos executores são criados, eles são atribuídos automaticamente ao grupo padrão, a menos que especificado de outra forma. Os executores só podem estar em um grupo por vez. Você pode mover os executores de um grupo para outro. Para obter mais informações, confira "Como mover um executor para um grupo".

Para obter informações sobre como rotear trabalhos para executores em um grupo específico, confira "Escolhendo o executor para um trabalho".

Criar um grupo de executor auto-hospedado para uma organização

Aviso: Recomendamos que você use apenas executores auto-hospedados com repositórios privados. Isso acontece porque as bifurcações do seu repositório público podem executar código perigoso em seu computador de executor auto-hospedado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

Para obter mais informações, confira "Sobre executores auto-hospedados".

Todas as organizações têm um só grupo de executores padrão. As organizações que usam o GitHub Team plano podem criar grupos adicionais. Os administradores da organização podem permitir o acesso de repositórios individuais a um grupo de executor. Para obter informações sobre como criar um grupo de executores com a API REST, confira "Ações".

Se nenhum grupo for especificado durante o processo de registro, os executores serão adicionados automaticamente a um grupo padrão. Posteriormente, você pode mover o executor do grupo padrão para um grupo personalizado. Para obter mais informações, confira "Como mover um executor para um grupo".

Ao criar um grupo, você deve escolher uma política que defina quais repositórios têm acesso ao grupo do executor.

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na seção "Grupos de executores", clique em Novo grupo de executores.

  5. Digite um nome para o grupo do seu executor.

  6. Atribua uma política para acesso ao repositório.

    É possível configurar o grupo de um executor para ser acessível a uma lista específica de repositórios ou a todos os repositórios na organização. Por padrão, apenas repositórios privados podem acessar executores no grupo do executor, mas você pode substituir isso. Esta configuração não pode ser substituída se configurar o grupo de executores da organização que foi compartilhado por uma empresa.

  7. Clique em Criar grupo para criar o grupo e aplicar a política.

Alterar quais repositórios podem acessar um grupo de executores

Aviso: Recomendamos que você use apenas executores auto-hospedados com repositórios privados. Isso acontece porque as bifurcações do seu repositório público podem executar código perigoso em seu computador de executor auto-hospedado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

Para obter mais informações, confira "Sobre executores auto-hospedados".

Para grupos de executores em uma organização, você pode alterar quais repositórios na organização podem acessar um grupo de executores.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.

  2. Clique em Configurações.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na lista de grupos, clique no grupo de executores que deseja configurar.

  5. Em "Acesso ao repositório", use o menu suspenso para clicar em Organizações selecionadas.

    1. À direita do menu suspenso, clique em .
    2. Na janela pop-up, use as caixas de seleção para selecionar os repositórios que podem acessar esse grupo de executores.

  6. Clique em Salvar grupo.

Alterando o nome de um grupo de executores

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.

  2. Clique em Configurações.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na lista de grupos, clique no grupo de executores que deseja configurar.

  5. Insira o novo nome do grupo de executores no campo de texto em "Nome do grupo".

  6. Clique em Save (Salvar).

Adicionando um executor auto-hospedado a um grupo automaticamente

Você pode usar o script de configuração para adicionar automaticamente um novo executor a um grupo. Por exemplo, esse comando registra um novo executor e usa o parâmetro --runnergroup para adicioná-lo a um grupo chamado rg-runnergroup.

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

O comando irá falhar se o grupo do executor não existir:

Could not find any self-hosted runner group named "rg-runnergroup".

Mover um executor auto-hospedado para um grupo

Se você não especificar o grupo de um executor durante o processo de registro, seus novos executores são automaticamente atribuídos ao grupo padrão e poderão ser transferidos para outro grupo.

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e clique em Executores.

  4. Na lista de "Executores", clique no executor que você deseja configurar.

  5. Selecione o menu suspenso Grupo de executores.

  6. Em "Transferir executor para o grupo", escolha um grupo de destino para o executor.

Remover um grupo de executor auto-hospedado

Para remover um grupo de executores, primeiro você deve mover ou remover todos os executores do grupo.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.

  2. Clique em Configurações.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na lista de grupos, à direita do grupo que você deseja excluir, clique em .

  5. Para remover o grupo, clique em Remover grupo.

  6. Revise as solicitações de confirmação e clique em Remover este grupo de executores.