Skip to main content

Управление доступом к самостоятельно размещенным средствам выполнения с помощью групп

Политики можно использовать для ограничения доступа к локальным запускам, добавленным в организацию.

Кто может использовать эту функцию?

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team or GitHub Free plans can create and manage additional runner groups using self-hosted runners.

Users with the "Manage organization runners and runner groups" permission can manage runner groups at the organization level.

Note

GitHubразмещенные в данный момент средства выполнения не поддерживаются в GitHub Enterprise Server. Дополнительные сведения о планируемой поддержке в будущем см. в GitHub public roadmap.

Сведения о группах средств выполнения

Для управления доступом к бегунам в организации Группы runner используются для сбора наборов runner и создания границ безопасности вокруг них.

При предоставлении доступа к группе runner можно просмотреть группу бегуна, указанную в параметрах запуска организации. При необходимости можно назначить дополнительный детализированный репозиторий и workflow политики доступа к группе runner.

При создании новых модулей runner они автоматически назначаются группе по умолчанию, если иное не указано. Средства выполнения не могут находиться одновременно в нескольких группах. Вы можете переместить бегунов из одной группы бегуна в другую. Дополнительные сведения см. в разделе Перемещение средства выполнения тестов размещения в группу.

Сведения о маршрутизации заданий в группы в определенной группе см. в разделе "Выбор средства выполнения тестов для задания".

Создание группы локальных средств выполнения для организации

Warning

С частными репозиториями рекомендуется использовать только локальные средства выполнения. Это связано с тем, что создание запроса на вытягивание, который выполняет код в рабочем процессе, создает риск запуска опасного кода на компьютере локального средства выполнения из вилок вашего общедоступного репозитория.

Дополнительные сведения см. в разделе «О самостоятельно размещенных средствах выполнения».

Note

При создании группы runner необходимо выбрать политику, которая определяет, какие репозитории имеют доступ к группе runner. Чтобы изменить, какие репозитории и рабочие процессы могут получить доступ к группе runner, владелец организации s может задать политику для организации. Дополнительные сведения см. в разделе «Применение политик для GitHub Actions в вашем предприятии».

Все организации имеют единую группу средств выполнения по умолчанию. Организации владельцы могут создавать дополнительные группы запуска на уровне организации.

Если во время регистрации группа не указана, в группу по умолчанию автоматически добавляются средства выполнения. Позже средство выполнения можно переместить из группы по умолчанию в настраиваемую группу. Дополнительные сведения см. в разделе Перемещение средства выполнения тестов размещения в группу.

Сведения о создании группы runner с помощью REST API см. в разделе "Конечные точки REST API для действий GitHub".

  1. На GitHubперейдите на главную страницу организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. На левой боковой панели щелкните Действия, а затем выберите группы runner.

  4. В разделе "Группы средств выполнения" щелкните Создать группу средств выполнения.

  5. Введите имя для вашей группы средств выполнения.

  6. Назначьте политику для доступа к репозиторию.

    Группу запуска можно настроить для доступа к определенному списку репозиториев или ко всем репозиториям в организации. По умолчанию только частные репозитории могут получить доступ к runner в группе runner, но вы можете переопределить это. Этот параметр нельзя переопределить, если настройка группы запуска организации, к которой предоставлен общий доступ предприятия.

  7. Назначьте политику доступа для рабочих процессов.

    Группу средств выполнения можно сделать доступной для определенного списка рабочих процессов или для всех рабочих процессов. Этот параметр нельзя переопределить, если вы настраиваете группу средств выполнения в организации, которая используется совместно в предприятии. Указывая, какой рабочий процесс может получить доступ к группе средств выполнения, необходимо использовать полный путь к рабочему процессу, включая имя и владельца репозитория, а также нужно прикрепить рабочий процесс к ветви, тегу или полному значению SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах. Группы запуска, принадлежащие организации, не могут получить доступ к рабочим процессам из другой организации в организации; Вместо этого необходимо создать группу runner, принадлежащей предприятиям. 1. Нажмите кнопку "Создать группу", чтобы создать группу и применить политику.

Создание группы локальных средств выполнения для предприятия

Warning

С частными репозиториями рекомендуется использовать только локальные средства выполнения. Это связано с тем, что создание запроса на вытягивание, который выполняет код в рабочем процессе, создает риск запуска опасного кода на компьютере локального средства выполнения из вилок вашего общедоступного репозитория.

Дополнительные сведения см. в разделе «О самостоятельно размещенных средствах выполнения».

Предприятия могут добавлять свои средства выполнения в группы для управления доступом. Предприятия могут создавать группы средств выполнения, доступные определенным организациям в корпоративной учетной записи или определенным рабочим процессам. Затем владельцы организации могут назначить дополнительные детальные политики доступа репозиториев или рабочих процессов к корпоративной группе средств выполнения. Сведения о создании группы средств выполнения с помощью REST API см. в описании корпоративных конечных точек предприятия в разделе REST API GitHub Actions.

Если во время регистрации группа не указана, в группу по умолчанию автоматически добавляются средства выполнения. Позже средство выполнения можно переместить из группы по умолчанию в настраиваемую группу. Дополнительные сведения см. в разделе Перемещение средства выполнения тестов размещения в группу.

При создании группы необходимо выбрать политику, которая определяет, какие организации имеют доступ к группе средств выполнения.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, которое отображается при щелчке фото профиля на GitHub Enterprise Server. Параметр "Параметры предприятия" выделен в темно-оранжевый контур.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Политики.

  3. В разделе " Policies", нажмите кнопку "Действия".

  4. Перейдите на вкладку Группы средств выполнения тестов.

  5. Нажмите кнопку Создать группу средств выполнения тестов.

  6. В поле "Имя группы" введите имя группы средств выполнения тестов.

  7. Чтобы выбрать политику доступа к организации, выберите раскрывающееся меню "Доступ к организации" и выберите политику. Группу средств выполнения можно настроить так, чтобы она была доступна для организаций из определенного списка или для всех организаций предприятия. По умолчанию только частные репозитории могут обращаться к средствам выполнения в группе средств выполнения, но это можно переопределить.

  8. Назначьте политику доступа для рабочих процессов.

    Группу средств выполнения можно сделать доступной для определенного списка рабочих процессов или для всех рабочих процессов. Этот параметр нельзя переопределить, если вы настраиваете группу средств выполнения в организации, которая используется совместно в предприятии. Указывая, какой рабочий процесс может получить доступ к группе средств выполнения, необходимо использовать полный путь к рабочему процессу, включая имя и владельца репозитория, а также нужно прикрепить рабочий процесс к ветви, тегу или полному значению SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах.

  9. Нажмите Сохранить группу, чтобы создать группу и применить политику.

Изменение того, какие организации могут получить доступ к группе запуска

Warning

С частными репозиториями рекомендуется использовать только локальные средства выполнения. Это связано с тем, что создание запроса на вытягивание, который выполняет код в рабочем процессе, создает риск запуска опасного кода на компьютере локального средства выполнения из вилок вашего общедоступного репозитория.

Дополнительные сведения см. в разделе «О самостоятельно размещенных средствах выполнения».

Для групп запуска в организации можно изменить, какие организации в организации могут получить доступ к группе запуска.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, которое отображается при щелчке фото профиля на GitHub Enterprise Server. Параметр "Параметры предприятия" выделен в темно-оранжевый контур.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Политики.

  3. В разделе " Policies", нажмите кнопку "Действия".

  4. Перейдите на вкладку Группы средств выполнения тестов.

  5. В разделе "Доступ к организации" используйте раскрывающееся меню, чтобы выбрать выбранные организации.

    1. Справа от раскрывающегося меню щелкните .
    2. Во всплывающем окну используйте проверка boxes для выбора организаций, которые могут использовать эту группу запуска.
  6. Нажмите кнопку Сохранить группу.

Изменение того, какие репозитории могут получить доступ к группе runner

Warning

С частными репозиториями рекомендуется использовать только локальные средства выполнения. Это связано с тем, что создание запроса на вытягивание, который выполняет код в рабочем процессе, создает риск запуска опасного кода на компьютере локального средства выполнения из вилок вашего общедоступного репозитория.

Дополнительные сведения см. в разделе «О самостоятельно размещенных средствах выполнения».

Для групп запуска в организации можно изменить, какие репозитории в организации могут получить доступ к группе runner.

  1. Перейдите на главную страницу организации, где находятся группы бегуна.

  2. Щелкните Settings.

  3. На левой боковой панели щелкните Действия, а затем выберите группы runner.

  4. В списке групп щелкните группу средств выполнения, которую требуется настроить.

  5. В разделе "Доступ к репозиторию" используйте раскрывающееся меню, чтобы выбрать выбранные репозитории.

    1. Справа от раскрывающегося меню щелкните .
    2. Во всплывающем окну используйте проверка boxes для выбора репозиториев, которые могут получить доступ к этой группе runner.
  6. Нажмите кнопку Сохранить группу.

Изменение того, какие рабочие процессы могут получить доступ к группе запуска

Warning

С частными репозиториями рекомендуется использовать только локальные средства выполнения. Это связано с тем, что создание запроса на вытягивание, который выполняет код в рабочем процессе, создает риск запуска опасного кода на компьютере локального средства выполнения из вилок вашего общедоступного репозитория.

Дополнительные сведения см. в разделе «О самостоятельно размещенных средствах выполнения».

Вы можете настроить группу средств выполнения для запуска только выбранных рабочих процессов или всех рабочих процессов. Например, этот параметр можно использовать для защиты секретов, хранящихся в средствах выполнения, или для стандартизации рабочих процессов развертывания путем разрешения группе средств выполнения запускать только определенный повторно используемый рабочий процесс. Этот параметр нельзя переопределить, если вы настраиваете группу средств выполнения организации, которая совместно используется в предприятии.

Изменение рабочих процессов, к которым можно получить доступ к группе запуска организации

  1. Перейдите на главную страницу организации, где находятся группы бегуна.

  2. Щелкните Settings.

  3. На левой боковой панели щелкните Действия, а затем выберите группы runner.

  4. В списке групп щелкните группу средств выполнения, которую требуется настроить.

  5. В разделе Доступ к рабочему процессу щелкните раскрывающееся меню и нажмите пункт Выбранные рабочие процессы.

  6. Щелкните .

  7. Введите разделенный запятыми список рабочих процессов, которые могут получить доступ к группе средств выполнения. Используйте полный путь, включающий имя и владельца репозитория. Закрепите рабочий процесс в ветви, теге или полном SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах.

    Группы средств выполнения, принадлежащие организации, не могут получать доступ к рабочим процессам из другой организации в предприятии; вместо этого необходимо создать группу средств выполнения, принадлежащую предприятию.

  8. Нажмите кнопку Сохранить.

Изменение рабочих процессов, к которым может получить доступ к группе запуска предприятия

  1. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, которое отображается при щелчке фото профиля на GitHub Enterprise Server. Параметр "Параметры предприятия" выделен в темно-оранжевый контур.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Политики.

  3. В разделе " Policies", нажмите кнопку "Действия".

  4. Перейдите на вкладку Группы средств выполнения тестов.

  5. В списке групп щелкните группу средств выполнения, которую требуется настроить.

  6. В разделе Доступ к рабочему процессу щелкните раскрывающееся меню и нажмите пункт Выбранные рабочие процессы.

  7. Щелкните .

  8. Введите разделенный запятыми список рабочих процессов, которые могут получить доступ к группе средств выполнения. Используйте полный путь, включающий имя и владельца репозитория. Закрепите рабочий процесс в ветви, теге или полном SHA. Например: octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main.

    Доступ к этой группе средств выполнения будут иметь только задания, непосредственно определенные в выбранных рабочих процессах.

    Группы средств выполнения, принадлежащие организации, не могут получать доступ к рабочим процессам из другой организации в предприятии; вместо этого необходимо создать группу средств выполнения, принадлежащую предприятию.

  9. Нажмите кнопку Сохранить.

Изменение имени группы средств выполнения

Вы можете изменить имя групп бегуна на уровне предприятия и организации.

Изменение имени группы запуска организации

  1. Перейдите на главную страницу организации, где находятся группы бегуна.
  2. Щелкните Settings.
  3. На левой боковой панели щелкните Действия, а затем выберите группы runner.
  4. В списке групп щелкните группу средств выполнения, которую требуется настроить.
  5. Введите новое имя группы runner в текстовом поле в разделе "Имя группы".
  6. Нажмите кнопку Сохранить.

Изменение имени группы запуска предприятия

  1. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, которое отображается при щелчке фото профиля на GitHub Enterprise Server. Параметр "Параметры предприятия" выделен в темно-оранжевый контур.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Политики.

  3. В разделе " Policies", нажмите кнопку "Действия".

  4. Перейдите на вкладку Группы средств выполнения тестов.

  5. В списке групп щелкните группу средств выполнения, которую требуется настроить.

  6. Введите новое имя группы runner в текстовом поле в разделе "Имя группы".

  7. Нажмите кнопку Сохранить.

Автоматическое добавление локального средства выполнения в группу

Вы можете автоматически добавлять новое средство выполнения в группу с помощью скрипта конфигурации. Например, следующая команда регистрирует новое средство выполнения и использует параметр --runnergroup, чтобы добавить его в группу с именем rg-runnergroup.

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

Если такая группа средств выполнения не существует, команда завершится ошибкой:

Could not find any self-hosted runner group named "rg-runnergroup".

Перемещение локального средства выполнения в группу

Если вы не укажете группу средств выполнения во время регистрации, новые средства выполнения автоматически назначаются группе по умолчанию, а затем их можно переместить в другую группу.

Перемещение бегущего по организации в группу

  1. На GitHubперейдите на главную страницу организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. На левой боковой панели щелкните Actions, а затем нажмите кнопку " Runners".

  4. В списке "Средства выполнения" щелкните средство выполнения, которое вы хотите настроить.

  5. Выберите раскрывающийся список Группы средств выполнения.

  6. В разделе "Переместить средство выполнения в группу" выберите целевую группу для средства выполнения.

Перемещение бегуна предприятия в группу

  1. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, которое отображается при щелчке фото профиля на GitHub Enterprise Server. Параметр "Параметры предприятия" выделен в темно-оранжевый контур.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Политики.

  3. В разделе " Policies", нажмите кнопку "Действия".

  4. Перейдите на вкладку Средства выполнения тестов.

  5. В списке "Средства выполнения" щелкните средство выполнения, которое вы хотите настроить.

  6. Выберите раскрывающийся список Группы средств выполнения.

  7. В разделе "Переместить средство выполнения в группу" выберите целевую группу для средства выполнения.

Удаление группы локальных средств выполнения

Чтобы удалить группу runner, необходимо сначала переместить или удалить все бегуники из группы.

Удаление группы бегуна из организации

  1. Перейдите на главную страницу организации, где находятся группы бегуна.
  2. Щелкните Settings.
  3. На левой боковой панели щелкните Действия, а затем выберите группы runner.
  4. В списке групп справа от группы, которую хотите удалить, щелкните .
  5. Чтобы удалить эту группу, нажмите Удалить группу.
  6. Просмотрите запросы на подтверждение и нажмите Удалить эту группу средств выполнения.

Удаление группы runner из предприятия

  1. В правом верхнем углу GitHub Enterprise Serverщелкните фото профиля, а затем выберите параметры Enterprise.

    Снимок экрана: раскрывающееся меню, которое отображается при щелчке фото профиля на GitHub Enterprise Server. Параметр "Параметры предприятия" выделен в темно-оранжевый контур.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Политики.

  3. В разделе " Policies", нажмите кнопку "Действия".

  4. Перейдите на вкладку Группы средств выполнения тестов.

  5. В списке групп справа от группы, которую хотите удалить, щелкните .

  6. Чтобы удалить эту группу, нажмите Удалить группу.

  7. Просмотрите запросы на подтверждение и нажмите Удалить эту группу средств выполнения.