GitHub Actionsのポリシーとは
エンタープライズ ポリシーは、エンタープライズ メンバーが GitHub Actionsを使用するときに使用できるオプションを制御します。
エンタープライズ ポリシーを適用しない場合は、組織の所有者 と「組織の Actions ポリシーの管理」権限 を持つユーザーが、それぞれの組織の GitHub Actions を完全に制御できます。
メモ
GitHub Actions CodeQL code scanningの既定のセットアップとGitHub Code Qualityワークフローを実行するには、組織内のリポジトリに対して有効にする必要があります。 ただし、CodeQLのcode scanning既定のセットアップは、他のGitHub Actions ポリシー (パブリック アクションや再利用可能なワークフローへのアクセスの制限など) の影響を受けません。
ポリシーの適用
- GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
- ページの上部にある [ポリシーの] をクリックします。
- [ Policies] で、[Actions] をクリックします。
- 各ポリシーを構成したら、[保存] をクリックします。
[ポリシー] ページの各セクションの詳細については、引き続きお読みください。
ポリシー
[ポリシー] セクションでは、次のオプションを使用して、 GitHub Actionsを使用できる企業内の組織を制御できます。
- すべての組織の GitHub Actions を有効にする
- 特定の組織の GitHub Actions を有効にする
- すべての組織の GitHub Actions を無効にする
メモ
GitHub Actionsを無効にした場合、または 1 つ以上の組織に対してこの機能を有効にしない場合、影響を受ける組織がcode scanningおよびGitHub Code Quality分析を使用できないようにブロックされます。
パブリック アクション
多くの場合、企業は、サプライ チェーン ガバナンスの一環として、十分にテストされたパブリック アクションのグループ のみにアクセスを制限したいと考えています。 GitHubで使用できるポリシーを使用すると、code scanningおよびGitHub Code Qualityで使用される動的ワークフローをブロックすることなく、アクセスを制御できます。
次のオプションを使用して、 code scanning と GitHub Code Qualityの例外や追加の構成を定義せずに、厳密な制御を適用できます。
- すべてのアクション : アクション は、作成者や定義場所に関係なく使用できます。
- エンタープライズ アクション : エンタープライズ内のリポジトリで定義されているアクション のみを使用できます。
プライベート リポジトリ内の pull request ワークフローをフォークする
ユーザーがプライベート リポジトリと内部リポジトリの pull_request イベントに対してワークフローを実行する方法を制御できます。
- フォーク pull request からワークフローを実行します。 ユーザーはフォーク pull request からワークフローを実行できます。 既定では、ワークフローでは、シークレットへのアクセス権がない読み取り専用アクセス許可を持つ
GITHUB_TOKENが使用されます。 - pull request からワークフローに書き込みトークンを送信します。 ワークフローでは、書き込みアクセス許可を持つ
GITHUB_TOKENが使用されます。 - pull request からワークフローにシークレットを送信します。 pull request では、すべてのシークレットを使用できます。
- フォーク pull request ワークフローの承認が必要です。 書き込みアクセス許可のないコラボレーターからの pull request によるワークフローには、実行する前に書き込みアクセス許可を持つユーザーからの承認が必要になります。
エンタープライズでポリシーが有効になっている場合は、個々の組織またはリポジトリでポリシーを選択的に無効にすることができます。 エンタープライズでポリシーが無効になっている場合は、個々の組織またはリポジトリでそれを有効にすることはできません。
ワークフローのアクセス許可
[ワークフローのアクセス許可] セクションでは、**** に付与するGITHUB_TOKENのアクセス許可を設定できます。
-
読み取りと書き込みのアクセス許可:
GITHUB_TOKENの既定のアクセス許可は、Enterprise または organization がいつ作成されたかによって異なります。- 2023 年 2 月 2 日以降に作成 – 既定値はすべてのスコープの読み取り専用アクセス権限です。
- 2023 年 2 月 2 日より前に作成 – 既定値はすべてのスコープの読み取りおよび書き込みアクセス権限です。
-
リポジトリの内容とパッケージの読み取りアクセス許可: 既定では、
GITHUB_TOKENには、contentsとpackagesの範囲に対する読み取りアクセス権しかありません。 より制限の緩い設定は、個々の Organization またはリポジトリの既定値として選択できません。
リポジトリへの書き込みアクセス権があるすべてのユーザーは、ワークフロー ファイルの GITHUB_TOKEN キーを編集して、特定のワークフローについて permissions に付与されたアクセス許可を変更できます。
GitHub Actions による pull request の作成と承認は、デフォルトでは無効になっています。 この設定を有効にした場合、 GITHUB_TOKEN は pull request を作成して承認できます。