Controlling access to larger runners

You can use policies to limit access to executor avançados that have been added to an organization or enterprise.

Quem pode usar esse recurso?

Executor avançado estão disponíveis apenas para organizações e empresas usando os planos GitHub Team ou GitHub Enterprise Cloud.

Neste artigo

Observação

As informações e instruções neste artigo aplicam-se apenas a executor avançados com sistemas operacionais Linux e Windows.

Managing access to larger runners

Observação

Before your workflows can send jobs to executor avançados, you must first configure permissions for the runner group. See the following sections for more information.

Runner groups are used to control which repositories can run jobs on your executor avançados. You must manage access to the group from each level of the management hierarchy, depending on where you've defined the executor avançado:

  • Runners at the enterprise level: Por padrão, os repositórios na organização não têm acesso a grupos de executores de nível empresarial. Para fornecer aos repositórios acesso aos grupos de executores corporativos, os proprietários da organização devem configurar cada grupo de executores corporativos e escolher quais repositórios têm acesso.
  • Runners at the organization level: Por padrão, todos os repositórios em uma organização recebem acesso aos grupos de executores no nível da organização. Para restringir quais repositórios têm acesso, os proprietários da organização configurar grupos de executores da organização e escolher quais repositórios têm acesso.

For example, the following diagram has a runner group named grp-ubuntu-20.04-16core at the enterprise level. Before the repository named octo-repo can use the runners in the group, you must first configure the group at the enterprise level to allow access to the octo-org organization. You must then configure the group at the organization level to allow access to octo-repo.

Diagram showing a runner group defined at the enterprise level with an organization configuration that allows access for two repositories.

Creating a runner group for an organization

Aviso

Se você estiver usando um intervalo de IP fixo, a recomendação será usar apenas executor avançado com repositórios particulares. Bifurcações do seu repositório podem executar códigos perigosos em seu executor avançado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

Observação

Ao criar um grupo de executores, você deve escolher uma política que defina quais repositórios têm acesso ao grupo de executores. Para alterar quais repositórios e fluxos de trabalho podem acessar o grupo de executores, os proprietários da organização podem definir uma política para a organização. Para saber mais, confira Aplicando políticas para o GitHub Actions na sua empresa.

Todas as organizações têm um só grupo de executores padrão. Proprietários da organização que usam o plano GitHub Team podem criar grupos de executores adicionais no nível da organização.

Se nenhum grupo for especificado durante o processo de registro, os executores serão adicionados automaticamente ao grupo padrão. Posteriormente, você pode mover o executor do grupo padrão para um grupo personalizado. Para obter mais informações, confira Como mover um executor para um grupo.

Para obter informações sobre como criar um grupo de executores com a API REST, confira Pontos de extremidade da API REST do GitHub Actions.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na seção "Grupos de executores", clique em Novo grupo de executores.

  5. Digite um nome para o grupo do seu executor.

  6. Atribua uma política para acesso ao repositório.

    Você pode configurar um grupo de executores para ser acessível a uma lista específica de repositórios ou a todos os repositórios na organização. Por padrão, somente repositórios privados podem acessar executores em um grupo de executores, mas você pode substituir isso. Essa configuração não poderá ser substituída se você configurar um grupo de executores da organização que tenha sido compartilhado por uma empresa.

  7. Clique em Criar grupo para criar o grupo e aplicar a política.

Changing which repositories can access a runner group

Aviso

Se você estiver usando um intervalo de IP fixo, a recomendação será usar apenas executor avançado com repositórios particulares. Bifurcações do seu repositório podem executar códigos perigosos em seu executor avançado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

For runner groups in an organization, you can change what repositories in the organization can access a runner group.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.

  2. Clique em Settings.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na lista de grupos, clique no grupo de executores que deseja configurar.

  5. Em “Acesso ao repositório”, use o menu suspenso para clicar em Repositórios selecionados.

    1. À direita do menu suspenso, clique em .
    2. Na janela pop-up, use as caixas de seleção para selecionar os repositórios que podem acessar esse grupo de executores.

  6. Clique em Salvar grupo.

Configuring private network access for larger runners

Você pode usar executores hospedados no GitHub em uma VNET do Azure. Isso permite usar a infraestrutura gerenciada pela GitHub para CI/CD e, ao mesmo tempo, fornece controle total sobre as políticas de rede dos seus executores. Para obter mais informações sobre VNETs do Azure, consulte O que é uma Rede Virtual do Azure?, na documentação do Azure.

If you have configured your organization to connect to an Azure VNET, you can give runner groups access to the virtual network. For more information, see Private networking with GitHub-hosted runners.

Changing the name of a runner group

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.
  2. Clique em Settings.
  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.
  4. Na lista de grupos, clique no grupo de executores que deseja configurar.
  5. Insira o novo nome do grupo de executores no campo de texto em "Nome do grupo".
  6. Clique em Save (Salvar).

Moving a runner to a group

Se você não especificar o grupo de um executor durante o processo de registro, seus novos executores são automaticamente atribuídos ao grupo padrão e poderão ser transferidos para outro grupo.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e clique em Executores.

  4. Na lista de "Executores", clique no executor que você deseja configurar.

  5. Selecione o menu suspenso Grupo de executores.

  6. Em "Transferir executor para o grupo", escolha um grupo de destino para o executor.

Removing a runner group

Para remover um grupo de executores, primeiro você deve mover ou remover todos os executores do grupo.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.
  2. Clique em Settings.
  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.
  4. Na lista de grupos, à direita do grupo que você deseja excluir, clique em .
  5. Para remover o grupo, clique em Remover grupo.
  6. Revise as solicitações de confirmação e clique em Remover este grupo de executores.