Como controlar o acesso a executores maiores

Você pode usar políticas para limitar o acesso a executor avançados que foram adicionados a uma organização ou a uma empresa.

Quem pode usar esse recurso?

Executor avançado estão disponíveis apenas para organizações e empresas usando os planos GitHub Team ou GitHub Enterprise Cloud.

Neste artigo

Observação

As informações e instruções neste artigo aplicam-se apenas a executor avançados com sistemas operacionais Linux e Windows.

Sobre os grupos de executores

Para controlar o acesso aos executores no nível da organização, as organizações que usam o plano GitHub Team podem usar grupos de executores.Grupos de executores são usados para coletar grupos de executores e criar um limite de segurança em torno deles.

Quando você permite acesso a um grupo de executores, você pode ver o grupo de executores listado nas configurações do executor da organização. Como opção, você pode atribuir um repositório granular adicional ao grupo do executor.

Quando novos executores são criados, eles são atribuídos automaticamente ao grupo padrão, a menos que especificado de outra forma. Os executores só podem estar em um grupo por vez. Você pode mover os executores de um grupo para outro. Para obter mais informações, confira Como mover um executor para um grupo.

Para obter informações sobre como rotear trabalhos para corredores em um grupo específico, confira Escolhendo o executor para um trabalho.

Como gerenciar o acesso aos seus executores

Observação

Para que os seus fluxos de trabalho possam enviar trabalhos para os executor avançadoes, primeiro você precisa configurar permissões para o grupo de executores. Confira as seções a seguir para obter mais informações.

Os grupos de executores são usados para controlar quais repositórios podem executar trabalhos em seus executor avançados. Você deve gerenciar o acesso ao grupo de cada nível da hierarquia de gerenciamento, dependendo de onde os executor avançado foram definidos:

  • Executores no nível empresarial: Por padrão, os repositórios na organização não têm acesso a grupos de executores de nível empresarial. Para fornecer aos repositórios acesso aos grupos de executores corporativos, os proprietários da organização devem configurar cada grupo de executores corporativos e escolher quais repositórios têm acesso.
  • Executores no nível da organização: Por padrão, todos os repositórios em uma organização recebem acesso aos grupos de executores no nível da organização. Para restringir quais repositórios têm acesso, os proprietários da organização configurar grupos de executores da organização e escolher quais repositórios têm acesso.

Por exemplo, o diagrama a seguir tem um grupo de executores chamado grp-ubuntu-20.04-16core no nível da empresa. Para que o repositório chamado octo-repo use os executores do grupo. Primeiro, você precisa configurar o grupo no nível da empresa para permitir o acesso à organização octo-org. Em seguida, você precisará configurar o grupo no nível da organização para permitir o acesso ao octo-repo.

Diagrama mostrando um grupo de executores definido no nível corporativo com uma configuração de organização que permite acesso a dois repositórios.

Como criar um grupo de executores para uma organização

Aviso

Se você estiver usando um intervalo de IP fixo, a recomendação será usar apenas executor avançado com repositórios particulares. Bifurcações do seu repositório podem executar códigos perigosos em seu executor avançado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

Observação

Ao criar um grupo de executores, você deve escolher uma política que defina quais repositórios têm acesso ao grupo de executores. Para alterar quais repositórios e fluxos de trabalho podem acessar o grupo de executores, os proprietários da organização podem definir uma política para a organização. Para saber mais, confira Aplicando políticas para o GitHub Actions na sua empresa.

Todas as organizações têm um só grupo de executores padrão. Proprietários da organização que usam o plano GitHub Team podem criar grupos de executores adicionais no nível da organização.

Se nenhum grupo for especificado durante o processo de registro, os executores serão adicionados automaticamente ao grupo padrão. Posteriormente, você pode mover o executor do grupo padrão para um grupo personalizado. Para obter mais informações, confira Como mover um executor para um grupo.

Para obter informações sobre como criar um grupo de executores com a API REST, confira Pontos de extremidade da API REST do GitHub Actions.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na seção "Grupos de executores", clique em Novo grupo de executores.

  5. Digite um nome para o grupo do seu executor.

  6. Atribua uma política para acesso ao repositório.

    Você pode configurar um grupo de executores para ser acessível a uma lista específica de repositórios ou a todos os repositórios na organização. Por padrão, somente repositórios privados podem acessar executores em um grupo de executores, mas você pode substituir isso. Essa configuração não poderá ser substituída se você configurar um grupo de executores da organização que tenha sido compartilhado por uma empresa.

  7. Clique em Criar grupo para criar o grupo e aplicar a política.

Como alterar quais repositórios podem acessar um grupo de executores

Aviso

Se você estiver usando um intervalo de IP fixo, a recomendação será usar apenas executor avançado com repositórios particulares. Bifurcações do seu repositório podem executar códigos perigosos em seu executor avançado criando uma solicitação de pull que executa o código em um fluxo de trabalho.

Para grupos de executores em uma organização, você pode alterar quais repositórios na organização podem acessar um grupo de executores.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.

  2. Clique em Settings.

  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.

  4. Na lista de grupos, clique no grupo de executores que deseja configurar.

  5. Em “Acesso ao repositório”, use o menu suspenso para clicar em Repositórios selecionados.

    1. À direita do menu suspenso, clique em .
    2. Na janela pop-up, use as caixas de seleção para selecionar os repositórios que podem acessar esse grupo de executores.

  6. Clique em Salvar grupo.

Configurar o acesso à rede privada para executores maiores

Você pode usar executores hospedados no GitHub em uma VNET do Azure. Isso permite usar a infraestrutura gerenciada pela GitHub para CI/CD e, ao mesmo tempo, fornece controle total sobre as políticas de rede dos seus executores. Para obter mais informações sobre VNETs do Azure, consulte O que é uma Rede Virtual do Azure?, na documentação do Azure.

Se você tiver configurado sua organização para conectar a uma VNET do Azure, poderá conceder acesso à rede virtual para grupos de executores. Para saber mais, confira Sobre redes privadas com executores hospedados no GitHub.

Alterando o nome de um grupo de executores

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.
  2. Clique em Settings.
  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.
  4. Na lista de grupos, clique no grupo de executores que deseja configurar.
  5. Insira o novo nome do grupo de executores no campo de texto em "Nome do grupo".
  6. Clique em Save (Salvar).

Como mover um executor para um grupo

Se você não especificar o grupo de um executor durante o processo de registro, seus novos executores são automaticamente atribuídos ao grupo padrão e poderão ser transferidos para outro grupo.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na barra lateral esquerda, clique em Ações e clique em Executores.

  4. Na lista de "Executores", clique no executor que você deseja configurar.

  5. Selecione o menu suspenso Grupo de executores.

  6. Em "Transferir executor para o grupo", escolha um grupo de destino para o executor.

Como remover um grupo de executores

Para remover um grupo de executores, primeiro você deve mover ou remover todos os executores do grupo.

  1. Acesse a página principal da organização em que os grupos de executores estão localizados.
  2. Clique em Settings.
  3. Na barra lateral esquerda, clique em Ações e escolha Grupos de executores.
  4. Na lista de grupos, à direita do grupo que você deseja excluir, clique em .
  5. Para remover o grupo, clique em Remover grupo.
  6. Revise as solicitações de confirmação e clique em Remover este grupo de executores.