关于 GitHub Packages 的权限

包的权限可以将范围限定为用户、组织或存储库。

用户/组织作用域包的精细权限

具有精细权限的包仅限于个人帐户或组织。您可以从与包相连（或链接）的仓库分别更改包的访问控制和可见性。

以下 GitHub Packages 注册表支持精细权限。

存储库范围的包会继承发布包的存储库的权限和可见性。通过转到存储库的主页并单击页面右侧的“包”链接，可以找到范围限定为存储库的包。

以下 GitHub Packages 注册表仅支持存储库范围的权限。

对于 Container registry，可以选择允许将包的范围限定为用户或组织，或链接到存储库。有关迁移到 Container registry 的详细信息，请参阅“从 Docker 注册表迁移到容器注册表”。

如果包属于支持精细权限的注册表，则对包具有管理员权限的任何人都可以将包设置为专用或公共。公共包支持匿名访问，无需身份验证或通过 CLI 登录即可进行拉取。有关支持精细权限的注册表的列表，请参阅“关于 GitHub Packages 的权限”。

对包具有管理员权限的任何人也可以授予对包的访问权限，这些权限独立于在组织和存储库级别设置的权限。

你发布包时，会自动获取对包的管理员权限。如果将包发布到组织，则组织中具有 owner 角色的任何人也会获得包的管理员权限。

对于范围限定为个人帐户的包，可以授予任何人访问角色。对于范围限定为组织的包，可以为组织中的任何人或团队授予访问角色。

权限	访问描述
读取	可以下载包。可以读取包元数据。
写入	可以上传和下载此包。可以读取和写入包元数据。

有关详细信息，请参阅“配置包的访问控制和可见性”。

要使用或管理由包注册表托管的包，必须使用具有适当范围的 personal access token，并且个人帐户必须具有适当的权限。

例如：

要从存储库下载和安装包，你的 personal access token 必须具有 read:packages 范围，并且用户帐户必须具有读取权限。
要删除 GitHub Enterprise Server 上的包，personal access token 必须至少具有 delete:packages 和 read:packages 范围。存储库范围的包也需要 repo 范围。有关详细信息，请参阅“删除和恢复包”。

范围	说明	必需的权限
`read:packages`	从 GitHub Packages 下载和安装包	读取
`write:packages`	将包上传和发布到 GitHub Packages	写入
`delete:packages`	从 GitHub Packages 中删除包	管理员
`repo`	上传和删除包（连同 `write:packages` 或 `delete:packages`）。	写入或管理员

创建 GitHub Actions 工作流时，可使用 GITHUB_TOKEN 发布和安装 GitHub Packages 中的包，无需存储和管理 personal access token。

更多信息请参阅：

可以将存储库转移到其他个人帐户或组织。有关详细信息，请参阅“转让仓库”。

转移存储库时，GitHub 可能会转移与存储库关联的包，具体取决于包所属的注册表。

对于支持精细权限的注册表，包的范围限定为个人帐户或组织，并且与包关联的帐户在转移存储库时不会更改。如果已将包链接到存储库，则在将存储库传输给另一个用户时会删除该链接。与存储库关联的任何 GitHub Actions 工作流都将失去对该包的访问权限。如果包从链接的存储库继承了其访问权限，则用户将失去对包的访问权限。有关这些注册表的列表，请参阅上面的“用户/组织范围包的精细权限”。
对于仅支持存储库范围权限的注册表，包直接发布到存储库，GitHub 在存储库转移过程中转移与存储库关联的包。与包关联的所有可计费使用量随后都会向存储库的新所有者计费。如果以存储库上的协作者身份删除了以前的存储库所有者，他们可能无法再访问与存储库关联的包。有关这些注册表的列表，请参阅上面的“存储库范围包的权限”。

为了确保工作流程将保持对包的访问，请确保在工作流程中使用正确的访问令牌，并启用了 GitHub Actions 对包的访问权限。

有关 GitHub Actions 的更多概念背景或在工作流中使用包的示例，请参阅“使用 GitHub Actions 工作流程管理 GitHub Packages”。

有关 GitHub Actions 工作流中使用的 GITHUB_TOKEN 的详细信息，请参阅“自动令牌身份验证”。