关于角色
若要对 GitHub 执行任何操作,例如在存储库中创建拉取请求或更改组织的计费设置,用户必须具有对相关帐户或资源的足够访问权限。 此访问由权限控制。 权限是执行特定操作的能力。 例如,删除问题的能力是一种权限。 角色是你可以分配给个人或团队的一组权限。
存储库级别角色为组织成员、外部协作者和团队提供不同级别的存储库访问权限。 有关详细信息,请参阅“组织的存储库角色”。
团队级别角色是授予管理团队的权限的角色。 您可以为团队的任何单个成员授予团队维护者角色,授予该成员对团队的诸多管理权限。 有关详细信息,请参阅“将团队维护者角色分配给团队成员”。
组织级角色是可分配给个人或团队以管理组织及组织的存储库、团队和设置的权限集。 有关组织级可用的所有角色的详细信息,请参阅“关于组织角色”。
预定义的组织角色简介
预定义的组织角色是每个组织默认提供的角色。 你无需自己创建这些角色。 其中可包括组织权限(以便接收角色管理组织)以及存储库权限(应用于组织中所有存储库)。 基于组织通常需要的常见权限模式,以下预定义角色已构建到每个组织中。
当前预定义角色集为:
- **** 所有存储库读取:授予对组织中所有存储库的读取访问权限。
- **** 所有存储库写入:授予对组织中所有存储库的写入访问权限。
- **** 所有存储库会审:授予对组织中所有存储库的会审访问权限。
- **** 所有存储库维护:授予对组织中所有存储库的维护访问权限。
- **** 所有存储库管理:授予对组织中所有存储库的管理访问权限。
- CI/CD 管理员:授予管理员访问权限,以管理组织的操作策略、运行器、运行器组、托管计算网络配置、机密、变量和使用指标。
- 安全管理员:**** 授予管理组织及其所有仓库的安全策略、安全警报和安全配置的权限。
有关详细信息,请参阅“使用组织角色”。
关于组织角色
可以将人员分配到各种组织级角色,以控制成员对组织及其资源的访问权限。 若要详细了解每个角色中包含的各个权限,请参阅“组织角色的权限”。
若要更精细地控制对组织设置的访问,可以创建自定义组织角色。 有关详细信息,请参阅“关于自定义组织角色”。
如果组织归企业帐户所有,则企业所有者可选择以任何角色加入组织。 有关详细信息,请参阅“管理企业拥有的组织中的角色”。
组织所有者
组织所有者对组织具有完全管理权限。 此角色应限于组织中的少数几个人,但不少于两人。 有关详细信息,请参阅“保持组织的所有权连续性”。
组织成员
组织中人员的默认非管理角色是组织成员。 默认情况下,组织成员具有许多权限,包括能够创建存储库和项目。
组织审核员
审核员是组织成员,除了其作为成员的权限外,他们还可阻止和取消阻止非成员贡献者、设置交互限制,并可在组织拥有的公共存储库中隐藏评论。 有关详细信息,请参阅“管理组织中的审查者”。
帐单管理员
帐单管理员是可以管理组织的帐单设置(如付款信息)的用户。 如果组织成员通常无权访问计费资源,则这是一个有用的选项。 有关详细信息,请参阅“为组织添加帐单管理员”。
安全管理员
安全管理员角色是组织级别的角色,组织所有者可以将其分配给组织中的任何成员或团队。 应用后,该角色会授予查看安全警报和管理整个组织的代码安全设置的权限,以及对组织内所有仓库的读取权限。
如果您的组织具有安全团队,则可以使用安全管理员角色为团队成员提供他们对组织所需的最少访问权限。 有关详细信息,请参阅“管理组织中的安全管理员”。
GitHub App 管理员
默认情况下,只有组织所有者才可管理组织拥有的 GitHub App 注册的设置。 要允许其他用户管理组织拥有的 GitHub App 注册,所有者可向他们授予 GitHub App 管理员权限。
指定用户为组织中的 GitHub App 管理员时,可以授予他们对组织拥有的部分或全部 GitHub App 注册的设置进行管理的权限。 GitHub App 管理员角色不授予用户在组织上安装和卸载 GitHub Apps 的权限。 有关详细信息,请参阅“在组织中添加和删除 GitHub App 管理员”。
外部协作者或存储库协作者
在授予存储库访问权限时,为确保组织数据的安全,可添加外部协作者。 外部协作者是有权访问一个或多个组织仓库但未明确成为该组织成员的人, 例如顾问或临时员工。
如果企业使用 托管用户帐户,则外部协作者角色称为“存储库协作者”。 存储库协作者必须是企业的一部分,其中 托管用户帐户 从标识提供者预配。 如果用户尚未使用许可证,则在你授予其对存储库的访问权限后,用户将使用许可证。 有关详细信息,请参阅“关于每用户定价”。
通常,外部协作者和存储库协作者角色是等效的,外部协作者相关文档也适用于存储库协作者。 但是,存在以下区别:
- 无法对存储库协作者强制实施双因素身份验证 (2FA),因为 Enterprise Managed Users 不提供此功能。
- 存储库协作者无法绕过单一登录 (SSO) 要求,因为 SSO 在 具有托管用户的企业 中的企业级管理。 但是,与外部协作者一样,他们不需要为作为协作者的组织提供凭证的 SSO 授权。
- 存储库协作者受企业 IP 允许列表策略和标识提供者的条件访问策略约束。 但是,它们不受组织的 IP 允许列表策略约束。
Note
使用 托管用户帐户 的企业的存储库协作者角色为 公共预览版,可能会更改。
管理外部协作者或存储库协作者
若要管理对外部协作者或存储库协作者的存储库的访问,请参阅:
若要控制谁可以向存储库添加外部协作者或存储库协作者,请参阅:
组织角色的权限
组织权限 | 所有者 | 成员 | 审核员 | 帐单管理员 | 安全管理员 |
---|---|---|---|---|---|
创建存储库(请参阅“限制在组织中创建仓库”) | |||||
查看和编辑帐单信息 | |||||
邀请人员加入组织 | |||||
编辑和取消邀请加入组织 | |||||
从组织删除成员 | |||||
恢复组织的前成员 | |||||
添加和删除所有团队的人员 | |||||
将组织成员升级为_团队维护员_ | |||||
配置代码评审分配(请参阅“管理团队的代码审查设置”) | |||||
设置计划提醒(请参阅“管理团队的预定提醒”) | |||||
将协作者添加到所有存储库 | |||||
访问组织审核日志 | |||||
编辑组织的个人资料页面(请参阅“关于组织的资料”) | |||||
验证组织的域(请参阅“验证或批准您组织的域”) | |||||
将电子邮件通知限制为已验证或批准的域(请参阅“限制组织的电子邮件通知”) | |||||
删除所有团队 | |||||
删除组织帐户,包括所有仓库 | |||||
创建团队(请参阅“设置组织中的团队创建权限”) | |||||
在组织的层次结构中移动团队 | |||||
查看所有组织成员和团队 | |||||
使用 @mention 提及任何可见团队 | |||||
可设为_团队维护员_ | |||||
查看组织见解(请参阅“查看组织中依赖项的见解”) | |||||
隐藏对可编写的提交、拉取请求和问题的评论(请参阅“管理破坏性评论”) | |||||
隐藏对_所有_提交、拉取请求和问题的评论(请参阅“管理破坏性评论”) | |||||
阻止和取消阻止非成员参与者(请参阅“阻止用户访问组织”) | |||||
限制公共存储库中某些用户的交互(请参阅“限制组织中的交互”) | |||||
管理组织依赖项见解的查看(请参阅“更改组织依赖项洞察图的可见性”) | |||||
在所有团队中设置团队个人资料图片(请参阅“设置团队的头像”) | |||||
赞助帐户和管理组织的赞助(请参阅“赞助开源贡献者”) | |||||
管理来自赞助帐户的电子邮件更新(请参阅“管理组织赞助帐户的更新”) | |||||
将你的赞助归属为另一个组织(有关详细信息,请参阅“将赞助归因于组织”) | |||||
管理组织中存储库的 GitHub Pages 站点发布(请参阅“管理组织的 GitHub Pages 站点发布”) | |||||
管理安全和分析设置(请参阅“管理组织的安全和分析设置”) | |||||
查看组织的安全概述(请参阅“关于安全概述”) | |||||
启用和强制 SAML 单一登录 | |||||
管理用户对组织的 SAML 访问 | |||||
管理组织的 SSH 证书颁发机构(请参阅“管理组织的 SSH 认证中心”) | |||||
转让仓库 | |||||
购买、安装、管理其帐单以及取消 GitHub Marketplace 应用程序 | |||||
列出 GitHub Marketplace 中的应用程序 | |||||
接收组织所有存储库关于不安全的依赖项的 Dependabot alerts | |||||
管理 Dependabot security updates(请参阅“关于 Dependabot 安全更新”) | |||||
管理分叉策略 | |||||
限制组织中公共存储库的活动 | |||||
拉取(读取)组织中_所有存储库_ | |||||
推送(写入)和克隆(复制)组织中_所有存储库_ | |||||
将组织成员转换为外部协作者或存储库协作者 | |||||
查看对组织存储库具有访问权限的人员 | |||||
导出对组织存储库具有访问权限的人员列表 | |||||
管理默认分支名称(请参阅“管理组织中仓库的默认分支名称”) | |||||
管理默认标签(请参阅“管理组织中仓库的默认标签”) | |||||
启用团队同步(请参阅“管理组织中的团队同步”) | |||||
管理组织中的拉取请求评审(请参阅“管理组织中的拉取请求评审”) | |||||
管理组织级规则集(请参阅“管理组织中存储库的规则集”) | |||||
查看和管理 secret scanning 绕过请求(请参阅“推送保护委派绕过”) |
延伸阅读
- “组织的存储库角色”