Sobre endereços IP permitidos
Por padrão, os usuários autorizados podem acessar os recursos da organização com qualquer endereço IP. Você pode restringir o acesso aos recursos privados da empresa configurando uma lista que permita ou negue o acesso de endereços IP específicos. Por exemplo, você pode permitir o acesso aos recursos privados exclusivamente do endereço IP da rede do seu escritório.
Depois de configurar uma lista de permissões de IP, a lista determina se os usuários podem acessar recursos protegidos por meio da interface do usuário da web, APIs ou Git, usando qualquer um dos métodos de autenticação a seguir:
- Nome de usuário e senha com autenticação, usando GitHub ou SSO do SAML
- Personal access token
- Chave SSH
A lista de permissões de IP se aplica a usuários com qualquer função ou acesso, incluindo proprietários de empresas e organizações, administradores de repositório e colaboradores externos.
Você pode aprovar o acesso para um único endereço IP ou uma série de endereços usando a notação CIDR. Para obter mais informações, confira "Notação CIDR" na Wikipédia.
Observações:
- Somente as organizações que usam o GitHub Enterprise Cloud podem usar listas de IPs permitidos. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira "Como configurar uma avaliação do GitHub Enterprise Cloud".
- Se você configurar uma lista de IPs permitidos para a organização, não poderá usar GitHub Codespaces para repositórios pertencentes à organização.
Quais recursos são protegidos?
As listas de permissões de IP restringem o acesso a:
- Repositórios pertencentes à organização
- Repositórios privados e internos
- Recursos públicos, quando um usuário estiver conectado ao GitHub
- URLs brutos para arquivos em repositórios, como
https://raw.githubusercontent.com/octo-org/octo-repo/main/README.md?token=ABC10001
As listas de permissões de IP não restringem o acesso a:
- Repositórios, incluindo forks, pertencentes a contas de usuário gerenciadas
- Recursos públicos, quando acessados anonimamente
- Recursos do GitHub Copilot que não exigem a busca direta de dados privados ou organizacionais do GitHub
- URLs anônimas para imagens e vídeos enviados para problemas ou solicitações de pull, como
https://private-user-images.githubusercontent.com/10001/20002.png?jwt=ABC10001
Sobre o gerenciamento de lista de permissões de IP
Para fazer cumprir a lista de permissões de IP, você deve primeiro adicionar endereços IP à lista, e então habilitar a lista de permissões de IP. Após concluir sua lista, você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas da lista de permissões de IP.
É preciso adicionar o endereço IP atual ou um intervalo correspondente antes de habilitar a lista de permissões de IP.
Se você configurar uma lista de permissões, você também poderá optar por adicionar automaticamente à sua lista de permissões todos os endereços IP configurados em GitHub Apps que você instalar na sua organização. O criador de um GitHub App pode configurar uma lista de permissões para o seu aplicativo, especificando os endereços IP em que o aplicativo é executado. Ao herdar a lista de permissões deles para a sua lista, você evita as solicitações de conexão do aplicativo que está sendo recusado. Para obter mais informações, confira "Como permitir o acesso pelos GitHub Apps".
Você também pode configurar endereços IP permitidos no nível da conta corporativa, e as entradas na lista de permissões da conta corporativa são herdadas por todas as organizações pertencentes à empresa. Os proprietários da organização podem adicionar entradas adicionais à lista de permissões para suas organizações, mas não podem gerenciar entradas herdadas da lista de permissões da conta corporativa e os proprietários corporativos não podem gerenciar entradas adicionadas à lista de permissões da organização. Para saber mais, confira "Aplicando políticas para configurações de segurança na sua empresa".
Aviso: a perda do acesso aos endereços IP em sua lista de permissões de IP pode resultar em consequências indesejadas, como o bloqueio do acesso a sua empresa ou organização.
Como prática recomendada, para garantir acesso seguro e confiável aos recursos de sua empresa e organização ao criar uma lista de permissões de IP, considere o seguinte:
- Manter mais de um proprietário da conta corporativa ou organização para a qual a lista de permissões de IP será aplicada.
- Usar a notação CIDR para especificar um intervalo de endereços IP que incluirá endereços atribuídos dinamicamente, para minimizar o número de entradas na lista de permissões.
- Incluir uma rede estática em seus endereços IP permitidos, para acesso de backup em caso de problemas.
Adicionar endereços IP permitidos
Você pode criar uma lista de permissões de IP adicionando entradas que contêm um endereço IP ou um intervalo de endereços. Após concluir a adição de entradas, você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas da lista de permissões de IP.
Antes de a lista restringir o acesso a ativos privados pertencentes a organizações em sua empresa, você também deve habilitar os endereços IP permitidos.
Observação: a GitHub está distribuindo gradualmente o suporte para IPv6. À medida que os serviços do GitHub continuarem a adicionar suporte a IPv6, começaremos a reconhecer endereços IPv6 de usuários do GitHub. Para evitar possíveis interrupções de acesso, verifique se você adicionou todos os endereços IPv6 necessários à sua lista de permissões de IP.
Nota: devido ao cache, a inclusão ou a remoção endereços IP pode levar alguns minutos para entrar totalmente em vigor.
-
No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
-
Ao lado da organização, clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
-
Na parte inferior da seção "Lista de permissões de IP", no campo "Endereço IP ou intervalo na notação CIDR", digite um endereço IP ou um intervalo de endereços na notação CIDR.
-
Opcionalmente, no campo "Breve descrição do endereço IP ou intervalo", insira uma descrição do endereço IP ou intervalo permitido.
-
Clique em Adicionar.
-
Opcionalmente, verifique se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista. Para obter mais informações, confira "Como verificar se um endereço IP é permitido".
Habilitar endereços IP permitidos
Depois de criar uma lista de permissões de IP, você pode habilitar endereços IP permitidos. Quando você habilita endereços IP permitidos, GitHub impõe imediatamente todas as entradas habilitadas em sua lista de permissões de IP.
Observação:
Depois de habilitar uma lista de IPs permitidos na organização, você não poderá usar GitHub Codespaces para repositórios pertencentes à organização.
Antes de habilitar sua lista de permissões de IP, você pode verificar se ela permitirá a conexão de um endereço IP específico. Para obter mais informações, confira "Como verificar se um endereço IP é permitido".
- No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
- Ao lado da organização, clique em Configurações.
- Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
- Em "Lista de IPs permitidos", selecione Habilitar a lista de IPs permitidos.
- Clique em Salvar.
Permitindo acesso de GitHub Apps
Se você estiver usando uma lista de permissão, você também pode optar por adicionar automaticamente à sua lista de permissões todos os endereços IP configurados em GitHub Apps que você instalar na sua organização.
Se você selecionar Habilitar a configuração de lista de permissões de IP para aplicativos GitHub instalados em suas configurações de lista de permissões, os endereços IP dos dados GitHub Apps serão adicionados a sua lista de permissões. Isso acontece independentemente de a sua lista de permissão estar habilitada. Se você instalar um GitHub App, o criador desse aplicativo muda o endereço na sua lista de permissões e esta é atualizada automaticamente com essas alterações.
Você pode identificar os endereços IP que foram automaticamente adicionados de GitHub Apps revisando o campo de descrição. A descrição para esses endereços IP é: "Gerenciado pelo NOME do aplicativo GitHub". Ao contrário dos endereços adicionados manualmente, você não pode editar, excluir ou desabilitar endereços IP adicionados automaticamente a partir de GitHub Apps.
Observação: os endereços na lista de IP permitidos de um GitHub App só afetam as solicitações feitas por instalações do GitHub App. A adição automática do endereço IP de GitHub App à lista de permissão de uma organização não permite acesso a um usuário de GitHub Enterprise Cloud que se conecta a partir desse endereço IP.
Para saber mais sobre como criar uma lista de permissões para um GitHub App criado por você, confira "Gerenciando endereços IP permitidos para um aplicativo GitHub".
- No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
- Ao lado da organização, clique em Configurações.
- Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
- Em "Lista de IPs permitidos", selecione Habilitar configuração da lista de IPs permitidos para Aplicativos do GitHub instalados.
- Clique em Salvar.
Editar endereços IP permitidos
Você pode editar uma entrada na lista de permissões de IP. Se você editar uma entrada habilitada, as alterações serão impostas imediatamente.
Ao concluir a edição de entradas, você poderá verificar se, após ser habilitada, sua lista de permissões autorizará a conexão de um endereço IP específico.
- No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
- Ao lado da organização, clique em Configurações.
- Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
- Em "Lista de IPs permitidos", ao lado da entrada que deseja editar, clique em Editar.
- No campo "IP Address" (Endereço IP), digite um endereço IP ou um intervalo de endereços, na notação CIDR.
- No campo "Descrição", digite uma descrição do endereço IP ou intervalo permitido.
- Clique em Atualizar.
- Opcionalmente, verifique se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista. Para obter mais informações, confira "Como verificar se um endereço IP é permitido".
Verificando se um endereço IP é permitido
Você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista de permissões de IP, mesmo que a lista não esteja habilitada no momento.
- No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
- Ao lado da organização, clique em Configurações.
- Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
- No final da seção "Lista de permissões de IP", em "Verificar endereço IP", insira um endereço IP.
Excluir endereços IP permitidos
Nota: devido ao cache, a inclusão ou a remoção endereços IP pode levar alguns minutos para entrar totalmente em vigor.
- No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
- Ao lado da organização, clique em Configurações.
- Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
- Em "Lista de IPs permitidos", ao lado da entrada que deseja excluir, clique em Excluir.
- Para excluir a entrada permanentemente, clique em Sim, excluir esta entrada da lista de IPs permitidos.
Usar GitHub Actions com uma lista endereços IP permitidos
Aviso: se você usa uma lista de permissões de IP e também deseja adotar GitHub Actions, você precisar usar executores auto-hospedados ou executores maiores hospedados no GitHub com intervalos de endereços IP estáticoss. Ao usar a rede privada do Azure, os IPs da sua sub-rede do Azure devem ser usados. Para reduzir o número de IPs necessários, recomendamos a criação de um balanceador de carga a fim de fornecer um único intervalo de IP para a lista de permissões do GitHub. Para obter mais informações, confira "Sobre executores auto-hospedados" ou "Sobre executores maiores".
Para permitir que seus executores auto-hospedados ou executores maiores hospedados se comuniquem com o GitHub, adicione o endereço IP (ou o intervalo de endereços IP) dos seus executores à lista de permissões de IP que você configurou para sua empresa.
Usando GitHub Pages com uma lista de permissões de IP
Se você usar um fluxo de trabalho personalizado do GitHub Actions como uma fonte de publicação para seu site do GitHub Pages, para permitir que o executor se conecte e crie o site, você deverá configurar uma regra para sua lista de IP permitidos.
Se você não usar um fluxo de trabalho personalizado, o executor da compilação terá acesso ao repositório do site GitHub Pages por padrão. Para obter mais informações sobre fontes de publicação, consulte "Configurando uma fonte de publicação para seu site do GitHub Pages".