По умолчанию рабочий процесс GitHub Actions для конфигурации предварительной сборки может получить доступ только к содержимому в собственном репозитории. Для создания среды разработки в проекте могут использоваться дополнительные ресурсы, расположенные в других местах.
Разрешение предварительного доступа на чтение к внешним ресурсам
Можно настроить доступ на чтение других репозиториев GitHub, принадлежащих одному владельцу, для этого необходимо указать разрешения в файле devcontainer.json
, который используется в конфигурации предварительной сборки. Дополнительные сведения см. в разделе «AUTOTITLE».
Примечание. Таким образом можно предоставить только разрешения на чтение, при этом владелец целевого репозитория также должен являться владельцем репозитория, для которого создается предварительная сборка. Например, если вы создаете конфигурацию предварительной сборки для octo-org/octocat
репозитория, вы сможете предоставить разрешения на чтение для других репозиториев, например octo-org/octodemo
, если это указано в devcontainer.json
файле, и у вас есть разрешения самостоятельно.
Во время создания или изменения конфигурации предварительной сборки для файла devcontainer.json
, который настраивает доступ на чтение других репозиториев с тем же владельцем, появится запрос на предоставление этих разрешений после нажатия кнопки Создать или Обновить. Дополнительные сведения см. в разделе «AUTOTITLE».
Разрешение доступа на запись предварительной сборки к внешним ресурсам
Если для проекта требуется доступ на запись к ресурсам или внешние ресурсы находятся в репозитории с другим владельцем, отличным от репозитория, для которого создается предварительная конфигурация, можно использовать personal access token для предоставления этого доступа.
Вам потребуется создать новую личная учетная запись, а затем использовать эту учетную запись для создания personal access token (classic) с соответствующими область.
-
Создайте новую личную учетную запись для GitHub.
Предупреждение. Хотя вы можете создать personal access token (classic) с помощью существующей личная учетная запись, настоятельно рекомендуется создать новую учетную запись с доступом только к целевым репозиториям, необходимым для вашего сценария. Это связано с тем, что разрешение
repository
в маркере доступа предоставляет доступ сразу ко всем репозиториям, к которым есть доступ у соответствующей учетной записи. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Создание учетной записи на GitHub](/actions/security-guides/security-hardening-for-github-actions#considering-cross-repository-access)". -
Предоставьте новой учетной записи доступ на чтение к необходимым репозиториям. Дополнительные сведения см. в разделе «AUTOTITLE».
-
Во время входа в новую учетную запись создайте personal access token (classic) с
repo
область. При желании, если ваша предварительная сборка должна получать пакеты из GitHub Container registry, также выберите областьread:packages
. Дополнительные сведения см. в разделе «AUTOTITLE».Если предварительная сборка будет использовать пакет из GitHub Container registry, необходимо предоставить новой учетной записи доступ к этому пакету или настроить для него наследование разрешений на доступ от репозитория, для которого выполняется предварительная сборка. Дополнительные сведения см. в разделе «AUTOTITLE».
-
Скопируйте строку маркера. Ее вам нужно назначить секрету репозитория Codespaces.
-
Снова войдите в учетную запись с правами администратора для репозитория.
-
В репозитории, для которого требуется создать предстроки GitHub Codespaces, создайте новый секрет
CODESPACES_PREBUILD_TOKEN
репозитория Codespaces и присвойте ему значение созданного и скопированного маркера. Дополнительные сведения см. в разделе «AUTOTITLE».
personal access token будет использоваться для всех последующих предстроек, созданных для репозитория. В отличие от других секретов CODESPACES_PREBUILD_TOKEN
репозитория Codespaces секрет используется только для предварительной сборки и не будет доступен для использования в пространствах кода, созданных из репозитория.