关于仓库的 GitHub Actions 权限
默认情况下,GitHub Actions 会在所有存储库和组织上启用。 可以选择禁用 GitHub Actions 或将其限制为组织中的操作 和可重用工作流。 有关 GitHub Actions 的详细信息,请参阅“了解 GitHub Actions”。
您可以对您的仓库启用 GitHub Actions。 启用 GitHub Actions 时,工作流能够运行位于存储库中的操作和可重用工作流,以及任何其他公共存储库。 你可以对存储库完全禁用 GitHub Actions。 禁用 GitHub Actions 时,仓库中不会运行任何工作流程。
或者,可以启用存储库中的 GitHub Actions,但限制工作流可以运行的操作和可重用工作流。
管理仓库的 GitHub Actions 权限
可以为存储库禁用 GitHub Actions,或者设置一个策略,用于配置可在存储库中使用哪些操作和可重用工作流。
注意:如果你的组织有覆盖策略或由具有覆盖策略的企业帐户管理,则可能无法管理这些设置。 有关详细信息,请参阅“禁用或限制组织的 GitHub Actions”或“在企业中为 GitHub Actions 实施策略”。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
1. 在左侧边栏中,单击“操作”,然后单击“常规”。 -
在“Actions permissions(操作权限)”下,选择一个选项。
如果选择 允许 OWNER,并允许选择非 OWNER、操作和可重用工作流,则允许组织内的操作和可重用工作流,并且还有允许其他特定操作和可重用工作流的其他选项。 有关详细信息,请参阅“允许选择操作和可重用工作流来运行”。
如果仅允许从到组织的操作和可重用工作流,该策略会阻止对由 GitHub 创作的操作的所有访问。 例如,无法访问
actions/checkout
操作。 -
单击“ 保存”。
允许选择操作和可重用工作流以运行
如果选择 允许 OWNER,并允许选择非 OWNER、操作和可重用工作流,则允许本地操作和可重用工作流,并且还允许其他特定操作和可重用工作流的其他选项:
-
允许 GitHub 创建的操作: 可以允许工作流使用 GitHub 创建的所有操作。 GitHub 创建的操作位于
actions
和github
组织中。 有关详细信息,请参阅actions
和github
组织。 -
允许经过验证的创建者执行的 Marketplace 操作:可以允许工作流使用由经过验证的创建者创建的所有 GitHub Marketplace 操作。 如果 GitHub 验证该操作的创建者为合作伙伴组织, 徽章将显示在 GitHub Marketplace 中的操作旁边。
-
允许指定的操作和可重用的工作流:可以限制工作流使用特定组织和存储库中的操作和可重用工作流。
若要限制对操作或可重用工作流的特定标记或提交 SHA 的访问,请使用工作流中使用的相同语法来选择操作或可重用工作流。
- 对于操作,语法为
<OWNER>/<REPO>@<TAG OR SHA>
。 例如,使用actions/javascript-action@v1.0.1
选择标记或使用actions/javascript-action@172239021f7ba04fe7327647b213799853a9eb89
选择 SHA。 有关详细信息,请参阅“查找和自定义操作”。 - 对于可重用的工作流,语法为
<OWNER>/<REPO>/<PATH>/<FILENAME>@<TAG OR SHA>
. 例如,octo-org/another-repo/.github/workflows/workflow.yml@v1
。 有关详细信息,请参阅“重新使用工作流”。
可以使用
*
通配符来匹配模式。 例如,若要允许以space-org
开头的组织中的所有操作和可重用工作流,可以指定space-org*/*
。 若要允许以 octocat 开头的存储库中的所有操作和可重用工作流,可以使用*/octocat**@*
。 有关使用*
通配符的详细信息,请参阅“GitHub Actions 的工作流语法”。注意:“允许指定操作和可重用工作流”选项仅可用于具有 GitHub Free、GitHub Pro、组织的 GitHub Free 或 GitHub Team 计划的公共存储库。
- 对于操作,语法为
此过程演示如何将特定操作和可重用工作流添加到允许列表。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
1. 在左侧边栏中,单击“操作”,然后单击“常规”。 -
在“操作权限”下,选择 允许 OWNER,并允许选择非 OWNER、操作和可重用工作流 并将所需的操作添加到列表中。
-
单击“ 保存”。
在公共存储库中控制从分支到工作流的更改
任何人都可以复刻公共仓库,然后提交建议更改仓库 GitHub Actions 工作流程的拉取请求。 虽然来自复刻的工作流程无法访问敏感数据(如密钥),但如果出于滥用目的进行修改,可能会让维护者感到烦恼。
为了帮助防止这种情况,某些外部贡献者向公共仓库提出的关于拉取请求的工作流程不会自动运行,可能需要先批准。 默认情况下,所有首次贡献者都需要批准才能运行工作流程。
注意:pull_request_target
事件触发的工作流在基础分支的上下文中运行。 由于基础分支被视为是受信任的,因此由这些事件触发的工作流将始终运行,无论审批设置如何。
您可以使用以下过程为存储库配置此行为。 修改此设置会覆盖组织或企业级别的配置集。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
1. 在左侧边栏中,单击“操作”,然后单击“常规”。 1. 在“从外部协作者创建拉取请求工作流的分支”下,选择你的选项。 选项按照从限制最少到限制最多的顺序列出。 -
单击“保存”以应用设置。
有关审核此策略适用的工作流运行的详细信息,请参阅“批准复刻中的工作流程运行”。
为专用存储库的分支启用工作流
如果依赖于使用专用存储库的分支,你可以配置策略来控制用户如何在 pull_request
事件上运行工作流。 仅适用于专用存储库,可以为组织或存储库配置这些策略设置。
如果为 组织禁用了某个策略,则无法为存储库启用该策略。
- 从分支拉取请求运行工作流 - 允许用户使用具有只读权限、没有密码访问权限的
GITHUB_TOKEN
,从分支拉取请求运行工作流。 - 从拉取请求向工作流发送写入令牌 - 允许来自分支的拉取请求使用具有写入权限的
GITHUB_TOKEN
。 - 从拉取请求向工作流发送机密 - 使所有机密都可用于拉取请求。
- 需要批准拉取请求分支工作流 - 如果工作流在没有写权限的协作者发出的拉取请求上运行,则需要获得具有写权限的人员的批准,然后才能运行。
为专用存储库配置分支策略
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
1. 在左侧边栏中,单击“操作”,然后单击“常规”。 1. 在“复刻拉取请求工作流”下,选择选项。 例如: -
单击“保存”以应用设置。
为存储库设置 GITHUB_TOKEN
的权限
可以设置授予 GITHUB_TOKEN
的默认权限。 有关 GITHUB_TOKEN
的详细信息,请参阅“自动令牌身份验证”。 你可以选择一组有限的权限作为默认项或应用权限设置。
默认权限也可以在组织设置中配置。 如果你的存储库属于某个组织并且在组织设置中选择了更严格的默认值,则会在存储库设置中自动选择相同的选项,并禁用许可选项。
任何拥有存储库写入权限的人都可以通过编辑工作流文件中的 permissions
键来修改授予 GITHUB_TOKEN
的权限,或者根据需要添加或删除权限。 有关详细信息,请参阅 permissions
。
配置默认 GITHUB_TOKEN
权限
默认情况下,当你在个人帐户中创建新存储库时,GITHUB_TOKEN
仅对 contents
和 packages
范围具有读取权限。 如果在组织中创建新存储库,则设置继承自组织设置中配置的内容。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
1. 在左侧边栏中,单击“操作”,然后单击“常规”。 -
在“工作流权限”下,选择是要让
GITHUB_TOKEN
对所有范围具有读写访问权限,还是仅对contents
和packages
范围具有读取访问权限。
-
单击“保存”以应用设置。
阻止 GitHub Actions 创建或批准拉取请求
可选择允许或阻止GitHub Actions工作流创建或审批拉取请求。
默认情况下,在个人帐户中创建新存储库时,不允许工作流创建或批准拉取请求。 如果在组织中创建新存储库,则设置继承自组织设置中配置的内容。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
1. 在左侧边栏中,单击“操作”,然后单击“常规”。 -
在“工作流权限”下,使用“允许 GitHub Actions 创建和批准拉取请求”设置配置
GITHUB_TOKEN
是否可以创建和批准拉取请求。 -
单击“保存”以应用设置。
允许访问专用存储库中的组件
专用存储库中的操作和可重用工作流可以与同一组织或企业中的同一用户或组织所拥有的。 有关专用存储库的详细信息,请参阅“关于仓库”。
可以使用以下步骤配置是否可以从存储库外部访问专用存储库中的操作和可重用工作流。 有关详细信息,请参阅 “从专用存储库共享操作和工作流”和“与组织共享操作和工作流”。 或者,可以使用 REST API 来设置或获取访问级别的详细信息。 有关详细信息,请参阅“GitHub Actions Permissions”和“GitHub Actions Permissions”。
管理专用存储库的访问权限
-
在 GitHub 上,导航到专用存储库的主页面。
-
在存储库名称下,单击 “设置”。
-
在左侧边栏中,单击“操作”,然后单击“常规”。
-
在“访问”下,选择其中一个访问设置:
- 无法访问- 其他存储库中的工作流无法访问此存储库。
- 可从 'USER NAME' 用户拥有的存储库访问 - 同一用户拥有的其他存储库中的工作流可以访问此存储库中的操作和可重用工作流。 仅允许从专用存储库访问。
-
单击“保存”以应用设置。
管理组织中专用存储库的访问权限
-
在 GitHub 上,导航到专用存储库的主页面。
-
在存储库名称下,单击 “设置”。
-
在左侧边栏中,单击“操作”,然后单击“常规”。
-
在“访问”下,选择其中一个访问设置:
- 无法访问- 其他存储库中的工作流无法访问此存储库。
- 可从 'ORGANIZATION NAME' 组织中的存储库访问 - 属于 'ORGANIZATION NAME' 组织的其他存储库中的工作流可以访问此存储库中的操作和可重用工作流。 仅允许从专用存储库访问。
-
单击“保存”以应用设置。
为仓库中构件和日志的 GitHub Actions 配置保留期
您可以为仓库中的 GitHub Actions 构件和日志配置保留期。
默认情况下,工作流程生成的构件和日志文件将保留 90 天,然后自动删除。 可以根据存储库类型调整保持期:
- 对于公共仓库:您可以将此保留期更改为 1 至 90 天。
- 对于专用存储库:可以将此保持期更改为 1 天或 400 天之间的任何时长。
自定义保留期时,它仅适用于新构件和日志文件,并且不追溯性地应用于现有对象。 对于托管的仓库和组织,最长保留期不能超过管理组织或企业设置的限制。
您还可以为工作流程创建的特定构件自定义保留期。 有关详细信息,请参阅“删除工作流程构件”。
设置仓库的保留期
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。
1. 在左侧边栏中,单击“操作”,然后单击“常规”。 1. 在“项目和日志保留”下,输入一个新值。 -
单击“保存”应用更改****。