Сведения о разрешениях GitHub Actions для вашего репозитория
По умолчанию GitHub Actions включен для всех репозиториев и организаций. Вы можете отключить GitHub Actions или ограничить его действиями и повторно используемыми рабочими процессами в organization. Дополнительные сведения о GitHub Actionsсм. в разделе "Написание рабочих процессов".
Вы можете включить GitHub Actions для своего репозитория. Если включить GitHub Actions, рабочие процессы могут выполнять действия и повторно используемые рабочие процессы в репозитории и любой другой public репозитория. Вы можете полностью отключить GitHub Actions для своего репозитория. При отключении GitHub Actions рабочие процессы в репозитории не выполняются.
Кроме того, можно включить GitHub Actions в своем репозитории, но при этом ограничить действия и многократно используемые рабочие процессы, которые могут выполняться рабочим процессом.
Управление разрешениями GitHub Actions для вашего репозитория
Вы можете отключить GitHub Actions для репозитория или задать политику, определяющую, какие действия и многократно используемые рабочие процессы можно будет использовать в репозитории.
Примечание. Вы не сможете управлять этими параметрами, если ваша организация использует политику переопределения или управляется предприятием, которое использует такую политику. Дополнительные сведения см. в разделе "[AUTOTITLE" илиОтключение или ограничение GitHub Actions для вашей организации](/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-github-actions-in-your-enterprise)".
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
Выберите желаемый параметр в разделе "Разрешения действий".
Если выбрать Разрешить владельцу, а также выбрать не-OWNER___, действия и повторно используемые рабочие процессы** , действия и повторно используемые рабочие процессы в пределах organization разрешены, и существуют дополнительные параметры для разрешения других конкретных действий и повторно используемых рабочих процессов. Дополнительные сведения см. в статье Разрешение выполнения действий выбора и многократно используемых рабочих процессов.
-
Нажмите кнопку Сохранить.
Разрешение выполнения выбранных действий и повторно используемых рабочих процессов
При выборе Разрешить владельцу, а также выбрать не-OWNER___, действия и повторно используемые рабочие процессы** разрешаются локальные действия и повторно используемые рабочие процессы. Для разрешения других конкретных действий и повторно используемых рабочих процессов доступны дополнительные параметры:
Примечание. Вы не сможете управлять этими параметрами, если ваша организация использует политику переопределения или управляется предприятием, которое использует такую политику. Дополнительные сведения см. в разделе "[AUTOTITLE" илиОтключение или ограничение GitHub Actions для вашей организации](/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-github-actions-in-your-enterprise)".
-
Разрешить действия, созданные с помощью GitHub: все действия, созданные с помощью GitHub, можно разрешить использовать рабочими процессами. Действия, созданные с помощью GitHub, находятся в
actions
и в организацияхgithub
. Дополнительные сведения см. вactions
и организацияхgithub
. -
Разрешить действия Marketplace проверенным создателям: Вы можете разрешить всем действиям GitHub Marketplace, созданным проверенными создателями для использования рабочими процессами. Когда GitHub проверит автора действия в качестве партнерской организации, рядом с действием в GitHub Marketplace появится значок .
-
Разрешить указанные действия и повторно используемые рабочие процессы: можно ограничить использование действий и повторно используемых рабочих процессов в рабочих процессах определенных организаций и репозиториев. Указанные действия нельзя задать более 1000.
Чтобы ограничить доступ к определенным тегам или зафиксировать SHA действия или повторно используемого рабочего процесса, используйте синтаксис для выбора действия или повторно используемого рабочего процесса в рабочих процессах.
- Для действия используется синтаксис
OWNER/REPOSITORY@TAG-OR-SHA
. Например, используйтеactions/javascript-action@v1.0.1
, чтобы выбрать тег илиactions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f
для выбора SHA. Дополнительные сведения см. в разделе Использование стандартных блоков в рабочем процессе. - Для многократно используемого рабочего процесса используется синтаксис
OWNER/REPOSITORY/PATH/FILENAME@TAG-OR-SHA
. Например,octo-org/another-repo/.github/workflows/workflow.yml@v1
. Дополнительные сведения см. в разделе Повторное использование рабочих процессов.
Подстановочный знак
*
можно использовать для сопоставления шаблонов. Например, чтобы разрешить все действия и повторно используемые рабочие процессы в организациях, начинающихся наspace-org
, можно указатьspace-org*/*
. Чтобы разрешить все действия и повторно используемые рабочие процессы в репозиториях, начинающихся на octocat, можно использовать*/octocat**@*
. Дополнительные сведения об использовании подстановочного*
знака см. в разделе "Синтаксис рабочего процесса для GitHub Actions". - Для действия используется синтаксис
Примечание. Для GitHub Free, GitHub Pro, GitHub Free для организаций или GitHub Team планов, разрешенные действия и повторно используемые рабочие процессы доступны только в общедоступных репозиториях.
В этой процедуре показано, как добавить конкретные действия и повторно используемые рабочие процессы в список разрешений.
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
В разделе "Разрешения действий" выберите Разрешить владельцу, а также выбрать не-OWNER___, действия и повторно используемые рабочие процессы** и добавьте необходимые действия в список.
-
Нажмите кнопку Сохранить.
Управление изменениями из вилок в рабочие процессы в общедоступных репозиториях
Любой пользователь может создать вилку общедоступного репозитория, а затем отправить запрос на вытягивание, предлагающий изменения в рабочих процессах GitHub Actions. Хотя рабочие процессы из вилок не имеют доступа к конфиденциальным данным, таким как секреты, они могут раздражать координаторов, если происходят чрезмерные ненужные изменения.
Чтобы избежать этого, рабочие процессы по запросам на вытягивание к общедоступным репозиториям от некоторых сторонних участников не будут выполняться автоматически и, возможно, сначала потребуется их утверждение. По умолчанию все участники, которые делают вклад впервые, должны получить утверждение для запуска рабочих процессов.
Примечание: Рабочие процессы, активированные событиями pull_request_target
, выполняются в контексте базовой ветви. Так как базовая ветвь считается доверенной, рабочие процессы, активированные этими событиями, всегда будут выполняться независимо от параметров утверждения. Дополнительные сведения о событии pull_request_target
см. в разделе "События, инициирующие рабочие процессы".
Можно настроить это поведение для репозитория, выполнив указанную ниже процедуру. Изменение этого параметра переопределяет набор конфигураций на уровне организации или предприятия.
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
В разделе "Рабочие процессы запроса на вытягивание" из внешний участник совместной работы выберите один из вариантов.
- Требовать утверждения для участников первого раза, которые являются новыми для GitHub. Этот параметр требует утверждения для запуска рабочих процессов для пользователей, которые никогда не были зафиксированы в репозитории и имеют новые учетные записи GitHub .
- Требовать утверждения для участников первого раза. Этот параметр требует утверждения для запуска рабочих процессов для пользователей, которые никогда не были зафиксированы в репозитории.
- Требовать утверждения для всех внешний участник совместной работы. Этот параметр требует утверждения для запуска рабочих процессов для всех пользователей, которые не являются участниками совместной работы репозитория. Если репозиторий принадлежит организации, этот параметр требует утверждения для запуска рабочих процессов для всех участников совместной работы репозитория, которые не являются членами организации.
-
Нажмите Сохранить, чтобы применить настроенные параметры.
Дополнительные сведения об утверждении рабочих процессов, к которым применяется эта политика, см. в разделе "Утверждение рабочих процессов, запускаемых из общедоступных вилок".
Включение рабочих процессов для вилок частных репозиториев
Если вы используете вилки частных репозиториев, можно настроить политики для управления тем, как пользователи могут запускать рабочие процессы при наступлении событий pull_request
. Доступны только для частных репозиториев, эти параметры политики можно настроить для организаций или репозиториев.
Если политика отключена для организации организации, ее нельзя включить для репозитория.
- Выполнять рабочие процессы из запросов на включение внесенных изменений в вилке репозитория — позволяет пользователям запускать рабочие процессы из запросов на включение внесенных изменений в вилке репозитория с помощью
GITHUB_TOKEN
с разрешением только для чтения и без доступа к секретам. - Отправлять маркеры записи в рабочие процессы из запросов на включение внесенных изменений — позволяет выполнять запросы на включение внесенных изменений в вилке репозитория для использования
GITHUB_TOKEN
с разрешением на запись. - Отправлять секреты в рабочие процессы из запросов на включение внесенных изменений — делает доступными все секреты для запроса на включение внесенных изменений.
- Требовать утверждение для рабочих процессов запроса на вытягивание вилки . Рабочий процесс выполняется при запросах на вытягивание от участников совместной работы без разрешения на запись, для выполнения которых требуется утверждение от кого-либо с разрешением на запись.
Настройка политики вилок для частного репозитория
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
В разделе Рабочие процессы запроса на вытягивание выберите нужные параметры.
-
Нажмите Сохранить, чтобы применить настроенные параметры.
Настройка разрешений GITHUB_TOKEN
для репозитория
Вы можете задать разрешения по умолчанию, предоставляемые параметру GITHUB_TOKEN
. Дополнительные сведения об этом GITHUB_TOKEN
см. в разделе "Автоматическая проверка подлинности токенов". Вы можете выбрать ограниченный набор разрешений, принимаемые по умолчанию, или применить разрешающие параметры.
Разрешения по умолчанию можно также настроить в параметрах организации. Если репозиторий принадлежит организации и в параметрах организации выбраны более строгие настройки по умолчанию, в параметрах организации выбирается тот же параметр, что и в параметрах репозитория, а разрешающий параметр отключается.
Любой пользователь с доступом на запись в репозиторий может изменить разрешения, предоставленные GITHUB_TOKEN
, добавляя или удаляя разрешения на доступ по мере необходимости путем редактирования ключа permissions
в файле рабочего процесса. Дополнительные сведения см. в разделе permissions
.
Настройка разрешений GITHUB_TOKEN
по умолчанию
По умолчанию при создании нового репозитория в личная учетная запись GITHUB_TOKEN
доступ только для чтения для contents
областей и packages
областей. Если вы создаете новый репозиторий в организации, этот параметр наследуется из настроек организации.
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
В разделе "Разрешения рабочего процесса" выберите, требуется
GITHUB_TOKEN
ли иметь доступ на чтение и запись для всех разрешений (предрешительный параметр) или просто доступ на чтение дляcontents
permission (ограниченный параметр). -
Нажмите Сохранить, чтобы применить настроенные параметры.
Запрет GitHub Actions создавать или утверждать запросы на вытягивание
Вы можете разрешить или запретить рабочим процессам GitHub Actions создание или утверждение запросов на вытягивание.
По умолчанию при создании нового репозитория в личная учетная запись рабочие процессы не могут создавать или утверждать запросы на вытягивание. Если вы создаете новый репозиторий в организации, этот параметр наследуется из настроек организации.
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
В разделе "Разрешения рабочего процесса" используйте параметр Разрешить GitHub Actions создавать и утверждать запросы на вытягивание, чтобы настроить для
GITHUB_TOKEN
возможность создания и утверждения запросов на вытягивание. -
Нажмите Сохранить, чтобы применить настроенные параметры.
Разрешение доступа к компонентам в частном репозитории
Действия и повторно используемые рабочие процессы в частных репозиториях можно совместно использовать с другими частными репозиториями , принадлежащими тому же пользователю или организации. Сведения о частных репозиториях см. в разделе "Сведения о репозиториях".
Приведенные ниже действия можно настроить, можно ли получить доступ к действиям и повторно используемым рабочим процессам в частном репозитории за пределами репозитория. Дополнительные сведения см. в разделе "[AUTOTITLE" иСовместное использование действий и рабочих процессов из частного репозитория](/actions/creating-actions/sharing-actions-and-workflows-with-your-organization)". Кроме того, можно использовать REST API для задания или получения сведений о уровне доступа. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Конечные точки REST API для разрешений GitHub Actions](/rest/actions/permissions#set-the-level-of-access-for-workflows-outside-of-the-repository)".
Управление доступом для частного репозитория
-
В GitHubперейдите на главную страницу частного репозитория.
-
Под именем репозитория щелкните Settings.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
В разделе Доступ выберите один из параметров доступа:
- Недоступно — рабочие процессы в других репозиториях не могут получить доступ к этому репозиторию.
- Доступ к репозиториям, принадлежащим пользователю USER NAME, — рабочие процессы в других репозиториях, принадлежащих тому же пользователю, могут получить доступ к действиям и повторно используемым рабочим процессам в этом репозитории. Доступ разрешен только из частных репозиториев.
-
Нажмите Сохранить, чтобы применить настроенные параметры.
Управление доступом для частного репозитория в организации
-
В GitHubперейдите на главную страницу частного репозитория.
-
Под именем репозитория щелкните Settings.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
В разделе Доступ выберите один из параметров доступа:
- Недоступно — рабочие процессы в других репозиториях не могут получить доступ к этому репозиторию.
- Доступ к репозиториям в организации "НАЗВАНИЕ ОРГАНИЗАЦИИ " — рабочие процессы в других репозиториях, которые являются частью организации "ИМЯ ОРГАНИЗАЦИИ", могут получить доступ к действиям и повторно используемым рабочим процессам в этом репозитории. Доступ разрешен только из частных репозиториев.
-
Нажмите Сохранить, чтобы применить настроенные параметры.
Настройка периода хранения для артефактов и журналов GitHub Actions в репозитории
Период хранения для артефактов и журналов GitHub Actions в репозитории можно настраивать.
По умолчанию артефакты и файлы журналов, созданные рабочими процессами, сохраняются в течение 90 дней перед автоматическим удалением. Срок хранения можно настроить в зависимости от типа репозитория:
- Для общедоступных репозиториев: можно изменить этот период хранения на любой срок в диапазоне от 1 дня до 90 дней.
- Для частных репозиториев : можно изменить этот период хранения на любой срок в диапазоне от 1 дня до 400 дней.
При настройке периода хранения он применяется только к новым артефактам и файлам журнала и не применяется ретроактивно к существующим объектам. Для управляемых репозиториев и организаций максимальный срок хранения не может превышать предел, установленный управляющей организацией или предприятием.
Кроме того, можно настраивать желаемый период хранения для конкретного артефакта, созданного рабочим процессом. Дополнительные сведения см. в разделе Удаление артефактов рабочего процесса.
Настройка периода хранения для репозитория
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и щелкните Параметры.
-
На левой боковой панели щелкните Действия, а затем нажмите кнопку "Общие".
-
Under Artifact и хранения журналов введите новое значение.
-
Нажмите Сохранить, чтобы применить изменения.