Skip to main content

Управление разрешенными IP-адресами для организации

Вы можете ограничить доступ к частным ресурсам организации, настроив список IP-адресов, к которым разрешено подключение.

Кто эту функцию можно использовать?

Organization owners can manage allowed IP addresses for an organization.

Сведения о разрешенных IP-адресах

По умолчанию авторизованные пользователи могут получить доступ к ресурсам вашей организации с любого IP-адреса. Вы можете ограничить доступ к частным ресурсам вашей организации, настроив список, который разрешает или запрещает доступ с определенных IP-адресов. Например, вы можете разрешить доступ к частным ресурсам исключительно из IP-адреса вашей сети office.

Если список разрешает IP-адрес, прошедший проверку подлинности пользователь, подключающийся к GitHub.com из этого адреса, может получить доступ к частным ресурсам. Если IP-адрес пользователя не разрешен, этот пользователь не может получить доступ к частным ресурсам, пока он не будет подключаться с разрешенного адреса.

После настройки списка разрешений IP-адреса список определяет, могут ли пользователи получать доступ к защищенным ресурсам с помощью веб-интерфейса, API или Git, используя любой из следующих методов проверки подлинности.

  • Имя пользователя и пароль, используя проверку подлинности GitHub или единый вход SAML
  • Personal access token
  • Ключ SSH

Список разрешений IP-адресов применяется к пользователям с любой ролью или доступом, включая корпоративные и владелец организации, администраторы репозитория и внешние сотрудники.

Если пользователь вошел в GitHub.com, список разрешений IP-адресов определяет, может ли пользователь получить доступ к общедоступным ресурсам организации. Список не применяется к анонимному доступу к общедоступным ресурсам.

Доступ только к репозиториям, принадлежащим организации, определяется списком разрешений IP. Список не контролирует доступ к репозиториям или вилкам репозиториев, принадлежащих управляемая учетная запись пользователя.

Можно утвердить доступ для одного IP-адреса или диапазона адресов с использованием нотации CIDR. Дополнительные сведения см. в статье Википедии, посвященной нотации CIDR.

Примечания:

  • Только организации, использующие GitHub Enterprise Cloud, могут использовать списки разрешенных IP-адресов. Дополнительные сведения о том, как бесплатно попробовать GitHub Enterprise Cloud, см. в разделе Настройка пробной версии GitHub Enterprise Cloud.
  • Если вы настроите список разрешений IP для вашей организации, вы не сможете использовать GitHub Codespaces для репозиториев, принадлежащих организации.

Сведения об управлении списками разрешенных IP-адресов

Чтобы применить список разрешенных IP-адресов, необходимо добавить IP-адреса в этот список, а затем включить его. После завершения списка можно проверка, разрешен ли определенный IP-адрес любым из включенных записей в списке.

Прежде чем включать список разрешенных IP-адресов, необходимо добавить в него текущий IP-адрес или соответствующий диапазон.

После настройки списка разрешений можно также автоматически добавить в список разрешений любые IP-адреса, настроенные для GitHub Apps, которые установлены в организации. Создатель GitHub App настроил список разрешений для приложения, указывающий IP-адреса, с использованием которых выполняется приложение. Наследуя их список разрешений в вашей среде, вы избегаете отправки запросов на подключение от отклоняемого приложения. Дополнительные сведения см. в разделе Разрешение доступа с помощью GitHub Apps.

Вы также можете настроить разрешенные IP-адреса на уровне корпоративной учетной записи, а записи в списке разрешений корпоративной учетной записи наследуются всеми организациями, принадлежащими компании. Владельцы организации могут добавлять дополнительные записи в список разрешений для своих организаций, но они не могут управлять записями, унаследованными от списка разрешений корпоративной учетной записи, и владельцы предприятия не могут управлять записями, добавленными в список разрешений организации. Дополнительные сведения см. в разделе "Применение политик для параметров безопасности в вашем предприятии".

Предупреждение. Потеря доступа к IP-адресам в списке разрешений IP-адресов может привести к непредвиденным последствиям, таким как блокировка из вашей организации или организации.

Рекомендуется обеспечить безопасный и надежный доступ к ресурсам предприятия и организации при создании списка разрешений IP-адресов, учитывая следующее:

  • Сохранение нескольких владельцев корпоративной учетной записи или организации, для которую будет применяться список разрешенных IP-адресов.
  • Использование нотации CIDR для указания диапазона IP-адресов, которые будут содержать динамически назначенные адреса, чтобы свести к минимуму количество записей списка разрешений.
  • Включение статической сети в разрешенные IP-адреса для доступа к резервному копированию в случае проблем.

Добавление разрешенного IP-адреса

Вы можете создать список разрешений IP-адресов, добавив записи, которые содержат IP-адрес или диапазон адресов. После завершения добавления записей можно проверка, разрешен ли определенный IP-адрес любым из включенных записей в списке.

Прежде чем список ограничивает доступ к частным ресурсам, принадлежащим организациям в вашей организации, необходимо также включить разрешенные IP-адреса.

Примечание. Из-за кэширования, добавления или удаления IP-адресов может потребоваться несколько минут, чтобы полностью ввести в силу.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В нижней части раздела "Список разрешенных IP-адресов" в поле "IP-адрес или диапазон в нотации CIDR" введите IP-адрес или диапазон адресов в нотации CIDR.

    Снимок экрана: параметры списка разрешенных IP-адресов. Текстовое поле с меткой "IP-адрес или диапазон в нотации CIDR" выделено оранжевым контуром.

  5. При необходимости в поле "Краткое описание IP-адреса или диапазона" введите описание разрешенного IP-адреса или диапазона.

  6. Щелкните Add.

  7. При необходимости проверьте, разрешен ли определенный IP-адрес любой из включенных записей в списке. Дополнительные сведения см. в разделе Проверка разрешения IP-адреса.

Включение разрешенных IP-адресов

После создания списка разрешенных IP-адресов вы сможете включать разрешенные IP-адреса. При включении разрешенных IP-адресов GitHub сразу же начинает применять включенные записи в разрешенном списке.

Примечание.

После включения списка разрешений IP-адресов для организации вы не сможете использовать GitHub Codespaces для репозиториев, принадлежащих организации.

Перед включением списка разрешений IP-адресов можно проверка, будет ли список разрешений разрешать подключение с определенного IP-адреса. Дополнительные сведения см. в разделе Проверка разрешения IP-адреса.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В разделе "Список разрешенных IP-адресов" выберите Включить список разрешенных IP-адресов.

  5. Нажмите кнопку Сохранить.

Разрешение доступа GitHub Apps

Если вы используете список разрешений, то можете также автоматически добавить в список разрешений любые IP-адреса, настроенные для GitHub Apps, которые установлены в организации.

Если выбрать параметр Включить конфигурацию списка разрешенных IP-адресов для установленных приложений GitHub в параметрах списка разрешенных IP-адресов, в этот список будут добавлены адреса из установленных GitHub Apps. Это произойдет независимо от того, включен ли в этот момент список разрешений. Если вы установите GitHub App и после этого создатель приложения изменит его список разрешенных адресов, ваш список автоматически обновится соответствующим образом.

IP-адреса, которые были автоматически добавлены из GitHub Apps, можно определить, просмотрев их поле описания. Для таких IP-адресов в поле описания содержится следующая информация: "Управляется приложением GitHub ИМЯ". В отличие от добавляемых вручную адресов, изменять, удалять или отключать IP-адреса, которые добавляются автоматически из GitHub Apps, нельзя.

Примечание: Адреса в списке разрешенных IP-адресов GitHub App влияют только на запросы установок GitHub App. Автоматическое добавление IP-адреса % data variables.product.prodname_github_app %} в список разрешений организации не разрешает доступ к пользователю GitHub Enterprise Cloud, который подключается с этого IP-адреса.

Дополнительные сведения о создании списка разрешений для созданного объекта GitHub App см. в разделе "Управление разрешенными IP-адресами для приложения GitHub".

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В разделе "Список разрешенных IP-адресов" выберите Включить конфигурацию списка разрешенных IP-адресов для установленных приложений GitHub.

  5. Нажмите кнопку Сохранить.

Изменение разрешенного IP-адреса

Вы можете изменить запись в списке разрешенных IP-адресов. При изменении включенной записи изменения применяются немедленно.

После завершения редактирования записей можно проверка, будет ли список разрешений разрешать подключение с определенного IP-адреса после включения списка.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В разделе "Список разрешений IP-адресов" рядом с записью, которую вы хотите изменить, нажмите кнопку "Изменить".

  5. В поле "IP-адрес" введите IP-адрес или диапазон адресов в нотации CIDR.

  6. В поле "Описание" введите описание разрешенного IP-адреса или диапазона.

  7. Нажмите Обновить.

  8. При необходимости проверьте, разрешен ли определенный IP-адрес любой из включенных записей в списке. Дополнительные сведения см. в разделе Проверка разрешения IP-адреса.

Проверка допустимости IP-адреса

Вы можете проверить, будет ли тот или иной IP-адрес разрешен какой-либо активной записью из списка разрешенных IP-адресов, даже если этот список сейчас не используется.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

Удаление разрешенного IP-адреса

Примечание. Из-за кэширования, добавления или удаления IP-адресов может потребоваться несколько минут, чтобы полностью ввести в силу.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В разделе "Список разрешений IP-адресов" рядом с записью, которую вы хотите удалить, нажмите кнопку "Удалить".

  5. Чтобы окончательно удалить запись, щелкните Да, удалить эту запись списка разрешенных IP-адресов.

Использование GitHub Actions со списком разрешенных IP-адресов

Предупреждение. Если вы используете список разрешенных IP-адресов, а также хотите использовать GitHub Actions, необходимо использовать автономные модули выполнения или GitHubразмещенных больших модулей runners с диапазонами статических IP-адресов. Дополнительные сведения см. в разделе "[AUTOTITLE" илиО более крупных бегунах](/actions/hosting-your-own-runners/managing-self-hosted-runners/about-self-hosted-runners).

Чтобы разрешить локальным запускам или более крупным размещенным runners для обмена данными GitHub, добавьте IP-адрес или диапазон IP-адресов в список разрешений IP-адресов, настроенный для вашей организации.

Использование GitHub Pages с списком разрешений IP-адресов

Если вы используете настраиваемый рабочий процесс GitHub Actions в качестве источника публикации для сайта GitHub Pages для подключения и сборки сайта, необходимо настроить правило для списка разрешений IP-адресов.

Если вы не используете пользовательский рабочий процесс, средство выполнения сборки будет иметь доступ к репозиторию для сайта GitHub Pages по умолчанию. Дополнительные сведения о источниках публикации см. в статье "Настройка источника публикации для сайта GitHub Pages".