Ограничение сетевого трафика в вашей организации с помощью списка разрешений IP-адресов

Вы можете ограничить доступ к вашей организации и разрешить доступ только к ресурсам из указанных IP-адресов с помощью списка разрешений IP-адресов.

Кто эту функцию можно использовать?

Enterprise owners can configure IP allow lists.

В этой статье

Сведения об ограничениях сетевого трафика

По умолчанию авторизованные пользователи могут получить доступ к ресурсам предприятия с любого IP-адреса. Вы можете ограничить доступ к частным ресурсам предприятия, настроив список, который разрешает или запрещает доступ с определенных IP-адресов. Например, вы можете разрешить доступ к частным ресурсам исключительно из IP-адреса вашей сети office.

Если список разрешает IP-адрес, прошедший проверку подлинности пользователь, подключающийся к GitHub.com из этого адреса, может получить доступ к частным ресурсам. Если IP-адрес пользователя не разрешен, этот пользователь не может получить доступ к частным ресурсам, пока он не будет подключаться с разрешенного адреса.

После настройки списка разрешений IP-адреса список определяет, могут ли пользователи получать доступ к защищенным ресурсам с помощью веб-интерфейса, API или Git, используя любой из следующих методов проверки подлинности.

  • Имя пользователя и пароль, используя проверку подлинности GitHub или единый вход SAML
  • Personal access token
  • Ключ SSH

Список разрешений IP-адресов применяется к пользователям с любой ролью или доступом, включая корпоративные и владелец организации, администраторы репозитория и внешние сотрудники.

Если пользователь вошел в GitHub.com, список разрешений IP-адресов определяет, может ли пользователь получить доступ к общедоступным ресурсам организации. Список не применяется к анонимному доступу к общедоступным ресурсам.

Доступ только к репозиториям, принадлежащим организации, определяется списком разрешений IP. Список не контролирует доступ к репозиториям или вилкам репозиториев, принадлежащих управляемая учетная запись пользователя.

Если ваше предприятие использует Enterprise Managed Users с идентификатором Microsoft Entra (ранее известным как Azure AD) и OIDC, можно выбрать, следует ли использовать функцию списка разрешений ip-адресов GitHubили использовать ограничения списка разрешений для поставщика удостоверений (IdP). Если ваша организация не использует Enterprise Managed Users с Azure и OIDC, можно использовать функцию списка разрешений GitHub.

О списке разрешений IP-адресов %% данных variables.product.company_short %}

Вы можете использовать список разрешений ip-адресов GitHub, чтобы управлять доступом к корпоративным и ресурсам, принадлежащим организациям в вашей организации.

Можно утвердить доступ для одного IP-адреса или диапазона адресов с использованием нотации CIDR. Дополнительные сведения см. в статье Википедии, посвященной нотации CIDR.

Чтобы применить список разрешенных IP-адресов, необходимо добавить IP-адреса в этот список, а затем включить его. После завершения списка можно проверка, разрешен ли определенный IP-адрес любым из включенных записей в списке.

Прежде чем включать список разрешенных IP-адресов, необходимо добавить в него текущий IP-адрес или соответствующий диапазон. При включении списка разрешений настроенные IP-адреса сразу добавляются в списки разрешений организаций в пределах вашего предприятия. Если отключить список разрешений, адреса будут удалены из списков разрешений организации.

Владельцы организации могут добавлять дополнительные записи в список разрешений для своих организаций, но они не могут управлять записями, унаследованными от списка разрешений корпоративной учетной записи, и владельцы предприятия не могут управлять записями, добавленными в список разрешений организации. Дополнительные сведения см. в разделе "Управление разрешенными IP-адресами для организации".

Вы можете автоматически добавить в список разрешений любые IP-адреса, настроенные для GitHub Apps, установленных на предприятии. Создатель GitHub App настроил список разрешений для приложения, указывающий IP-адреса, с использованием которых выполняется приложение. Наследуя их список разрешений в вашей среде, вы избегаете отправки запросов на подключение от отклоняемого приложения. Дополнительные сведения см. в разделе Разрешение доступа к приложениям GitHub.

Сведения о списке разрешений поставщика удостоверений

Если вы используете Enterprise Managed Users с идентификатором записи и OIDC, можно использовать список разрешений поставщика удостоверений.

Использование списка разрешений поставщика удостоверений деактивирует конфигурации списков разрешений GitHub для всех организаций в вашей организации и деактивирует API GraphQL для включения списков разрешений IP-адресов и управления ими.

По умолчанию поставщик удостоверений запускает CAP на начальном интерактивном входе SAML или OIDC в GitHub для любой выбранной конфигурации списка разрешенных IP-адресов.

OIDC CAP применяется только для запросов к API с помощью маркера пользователя, например маркерА OAuth для OAuth app или маркера доступа пользователя для GitHub App от имени пользователя. Cap OIDC не применяется, если GitHub App использует маркер доступа к установке. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Сведения о проверке подлинности с помощью приложения GitHub](/enterprise-cloud@latest/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/about-support-for-your-idps-conditional-access-policy#github-apps-and-oauth-apps)".

Чтобы обеспечить простое использование OIDC CAP при применении политики к маркерам OAuth и маркерам доступа пользователей, необходимо скопировать все диапазоны IP-адресов из каждого GitHub App, которые ваше предприятие использует для политики поставщика удостоверений.

Использование списка разрешений IP-адресов %% данных variables.product.company_short %}

Включение списка разрешенных IP-адресов GitHub

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. Если вы используете Enterprise Managed Users с OIDC, в разделе "Список разрешений IP", выберите раскрывающееся меню конфигурации списка разрешений IP и щелкните GitHub.

  5. В разделе "Список разрешенных IP-адресов" выберите Включить список разрешенных IP-адресов.

  6. Нажмите кнопку Сохранить.

Добавление разрешенного IP-адреса

Вы можете создать список разрешений IP-адресов, добавив записи, которые содержат IP-адрес или диапазон адресов. После завершения добавления записей можно проверка, разрешен ли определенный IP-адрес любым из включенных записей в списке.

Прежде чем список ограничивает доступ к частным ресурсам, принадлежащим организациям в вашей организации, необходимо также включить разрешенные IP-адреса.

Примечание. Из-за кэширования, добавления или удаления IP-адресов может потребоваться несколько минут, чтобы полностью ввести в силу.

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.

  2. В списке предприятий щелкните предприятие, которое требуется просмотреть.

  3. На боковой панели учетной записи предприятия щелкните Параметры.

  4. В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".

  5. В нижней части раздела "Список разрешенных IP-адресов" в поле "IP-адрес или диапазон в нотации CIDR" введите IP-адрес или диапазон адресов в нотации CIDR.

    Снимок экрана: параметры списка разрешенных IP-адресов. Текстовое поле с меткой "IP-адрес или диапазон в нотации CIDR" выделено оранжевым контуром.

  6. При необходимости в поле "Краткое описание IP-адреса или диапазона" введите описание разрешенного IP-адреса или диапазона.

  7. Щелкните Add.

  8. При необходимости проверьте, разрешен ли определенный IP-адрес любой из включенных записей в списке. Дополнительные сведения см. в разделе Проверка разрешения IP-адреса.

Разрешение доступа GitHub Apps

Если вы используете список разрешений, вы также можете автоматически добавить в список разрешений любые IP-адреса, настроенные для GitHub Apps, которые установлены на предприятии.

Если выбрать параметр Включить конфигурацию списка разрешенных IP-адресов для установленных приложений GitHub в параметрах списка разрешенных IP-адресов, в этот список будут добавлены адреса из установленных GitHub Apps. Это произойдет независимо от того, включен ли в этот момент список разрешений. Если вы установите GitHub App и после этого создатель приложения изменит его список разрешенных адресов, ваш список автоматически обновится соответствующим образом.

IP-адреса, которые были автоматически добавлены из GitHub Apps, можно определить, просмотрев их поле описания. Для таких IP-адресов в поле описания содержится следующая информация: "Управляется приложением GitHub ИМЯ". В отличие от добавляемых вручную адресов, изменять, удалять или отключать IP-адреса, которые добавляются автоматически из GitHub Apps, нельзя.

Примечание: Адреса в списке разрешенных IP-адресов GitHub App влияют только на запросы установок GitHub App. Автоматическое добавление IP-адреса % data variables.product.prodname_github_app %} в список разрешений организации не разрешает доступ к пользователю GitHub Enterprise Cloud, который подключается с этого IP-адреса.

Дополнительные сведения о создании списка разрешений для созданного объекта GitHub App см. в разделе "Управление разрешенными IP-адресами для приложения GitHub".

Чтобы включить автоматическое добавление IP-адресов для GitHub Apps:

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.

  2. В списке предприятий щелкните предприятие, которое требуется просмотреть.

  3. На боковой панели учетной записи предприятия щелкните Параметры.

  4. В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".

  5. В разделе "Список разрешенных IP-адресов" выберите Включить конфигурацию списка разрешенных IP-адресов для установленных приложений GitHub.

    Примечание. Если вы используете Enterprise Managed Users с OIDC, вы можете разрешить доступ только приложениям GitHub, если вы используете GitHub для конфигурации списка разрешенных IP-адресов.

  6. Щелкните Сохранить.

Изменение разрешенного IP-адреса

Вы можете изменить запись в списке разрешенных IP-адресов. При изменении включенной записи изменения применяются немедленно.

После завершения редактирования записей можно проверка, будет ли список разрешений разрешать подключение с определенного IP-адреса после включения списка.

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.

  2. В списке предприятий щелкните предприятие, которое требуется просмотреть.

  3. На боковой панели учетной записи предприятия щелкните Параметры.

  4. В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".

  5. В разделе "Список разрешений IP-адресов" рядом с записью, которую вы хотите изменить, нажмите кнопку "Изменить".

  6. В поле "IP-адрес" введите IP-адрес или диапазон адресов в нотации CIDR.

  7. В поле "Описание" введите описание разрешенного IP-адреса или диапазона.

  8. Нажмите Обновить.

  9. При необходимости проверьте, разрешен ли определенный IP-адрес любой из включенных записей в списке. Дополнительные сведения см. в разделе Проверка разрешения IP-адреса.

Проверка допустимости IP-адреса

Вы можете проверить, будет ли тот или иной IP-адрес разрешен какой-либо активной записью из списка разрешенных IP-адресов, даже если этот список сейчас не используется.

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.

  2. В списке предприятий щелкните предприятие, которое требуется просмотреть.

  3. На боковой панели учетной записи предприятия щелкните Параметры.

  4. В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".

Удаление разрешенного IP-адреса

Примечание. Из-за кэширования, добавления или удаления IP-адресов может потребоваться несколько минут, чтобы полностью ввести в силу.

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.

  2. В списке предприятий щелкните предприятие, которое требуется просмотреть.

  3. На боковой панели учетной записи предприятия щелкните Параметры.

  4. В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".

  5. В разделе "Список разрешений IP-адресов" рядом с записью, которую вы хотите удалить, нажмите кнопку "Удалить".

  6. Чтобы окончательно удалить запись, щелкните Да, удалить эту запись списка разрешенных IP-адресов.

Использование списка разрешений поставщика удостоверений

Примечание. Использование списка разрешений поставщика удостоверений поддерживается только для Enterprise Managed Users с идентификатором записи и OIDC.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В разделе "Список разрешений IP-адресов" выберите раскрывающееся меню конфигурации списка разрешенных IP-адресов и щелкните "Поставщик удостоверений".

  5. При необходимости, чтобы разрешить установленные GitHub и OAuth apps для доступа к вашей организации из любого IP-адреса, выберите "Пропустить проверка поставщика удостоверений" для приложений.

  6. Нажмите кнопку Сохранить.

Использование GitHub Actions со списком разрешенных IP-адресов

Предупреждение. Если вы используете список разрешенных IP-адресов, а также хотите использовать GitHub Actions, необходимо использовать автономные модули выполнения или GitHubразмещенных больших модулей runners с диапазонами статических IP-адресов. Дополнительные сведения см. в разделе "[AUTOTITLE" илиО более крупных бегунах](/actions/hosting-your-own-runners/managing-self-hosted-runners/about-self-hosted-runners).

Чтобы разрешить локальным запускам или более крупным размещенным runners для обмена данными GitHub, добавьте IP-адрес или диапазон IP-адресов в список разрешений IP-адресов, настроенный для вашей организации.

Использование GitHub Pages с списком разрешений IP-адресов

Если вы используете настраиваемый рабочий процесс GitHub Actions в качестве источника публикации для сайта GitHub Pages для подключения и сборки сайта, необходимо настроить правило для списка разрешений IP-адресов.

Если вы не используете пользовательский рабочий процесс, средство выполнения сборки будет иметь доступ к репозиторию для сайта GitHub Pages по умолчанию. Дополнительные сведения о источниках публикации см. в статье "Настройка источника публикации для сайта GitHub Pages".