注意
GitHub Enterprise Server 目前不支持 GitHub 托管的运行器。
关于 GitHub Actions 贵组织的权限
默认情况下,在 GitHub Actions 上启用 GitHub Enterprise Server 之后,它 会在所有存储库和组织上启用。 可以选择禁用 GitHub Actions 或将其限制为企业中的操作 。 有关详细信息 GitHub Actions,请参阅 撰写工作流程。
可以为组织中的所有存储库启用 GitHub Actions 。 启用 GitHub Actions 时,工作流能够运行位于您的存储库或任何其他公共或内部存储库中的操作。 可以为组织中的所有存储库禁用 GitHub Actions 。 禁用 GitHub Actions 时,仓库中不会运行任何工作流程。
或者,可以为组织中的所有存储库启用 GitHub Actions ,但限制工作流可以运行的操作 。
管理您的组织的 GitHub Actions 权限
可以选择为组织中的所有存储库禁用 GitHub Actions ,或仅允许特定存储库。 还可以限制公共操作的使用,以便用户只能使用企业存在的本地操作。
注意
如果组织由具有替代策略的企业管理,则可能无法管理这些设置。 有关详细信息,请参阅“在企业中强制实施GitHub Actions策略”。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“Policies(策略)”下,选择一个选项。
如果选择 允许选择操作____,则允许企业内的操作,并且还有允许其他特定操作的其他选项。 有关详细信息,请参阅允许选择操作来运行。
本地到企业的操作
-
单击“ 保存”。
允许选定的操作运行
选择 允许选择操作____时,允许本地操作 ,还有其他选项可用于允许其他特定操作:
注意
如果你的组织有覆盖策略或由具有覆盖策略的企业帐户管理,则可能无法管理这些设置。 有关详细信息,请参阅“禁用或限制组织的 GitHub Actions”或“在企业中强制实施GitHub Actions策略”。
-
允许使用由 GitHub 创建的操作: 可允许工作流使用由 GitHub 创建的所有操作。 由GitHub创建的操作位于
actions和github组织中。 有关更多信息,请参阅actions和github组织。 -
**允许经验证的创作者执行 Marketplace 操作:**如果您已启用 GitHub Connect 并将其配置为使用 GitHub Actions,则此选项可用。 有关详细信息,请参阅 使用 GitHub Connect 启用对 GitHub.com操作的自动访问。 可以允许工作流使用由已验证的创建者创建的所有 GitHub Marketplace 操作。 当GitHub已将操作的创建者验证为合作伙伴组织时,该徽章将显示在操作的GitHub Marketplace旁边。
-
允许 指定的操作: 可以限制工作流以在特定组织和存储库中使用操作 。 设置时,指定的操作数不能超过 1000。
若要限制对特定标记的访问或提交操作的 SHA,请使用工作流中使用的相同语法来选择操作。
- 对于操作,语法为
OWNER/REPOSITORY@TAG-OR-SHA。 例如,使用actions/javascript-action@v1.0.1选择标记或使用actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f选择 SHA。 有关详细信息,请参阅“在工作流中使用预编写的构建基块”。
可以使用
*通配符来匹配模式。 例如,若要允许名称以space-org开头的组织中的所有操作,可以指定space-org*/*。 若要允许名称以 octocat 开头的仓库中的所有操作,可以使用*/octocat**@*。 有关使用*通配符的更多信息,请参阅 GitHub Actions 的工作流语法。使用
,分隔模式。 例如,若要允许来自octocat和octokit组织的所有操作,您可以指定octocat/*, octokit/*。 - 对于操作,语法为
此过程演示如何将特定操作 添加到列表中。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“策略”下,选择 允许选择操作____ 所需操作 添加到列表中。
-
单击“ 保存”。
限制自托管运行器的使用
GitHub 的自托管运行器不一定会被托管到无威胁的临时虚拟机上。 因此,工作流中不受信任的代码可能会危及它们。
同样,任何可以创建存储库分支并打开拉取请求的人(通常是那些对存储库具有读取访问权限的人)都能够损害自托管运行器环境,包括获得对机密和 GITHUB_TOKEN 的访问权限,根据其设置,可以授予对存储库的写入权限。 尽管工作流程可以通过使用环境和必需的审查来控制对环境密钥的访问,但是这些工作流程不是在隔离的环境中运行,在自托管运行程器上运行时仍然容易遭受相同的风险。
出于这些和其他原因,你可能会决定阻止用户在存储库级别创建自托管运行器。
注意
如果您的组织属于企业,则可能是在企业范围设置中禁用了在存储库级别创建自托管运行器的功能。 如果已经这样做了,则无法在组织设置中启用存储库级自托管运行器。 有关详细信息,请参阅“在企业中强制实施GitHub Actions策略”。
如果存储库在设置禁用自托管运行器时已有自托管运行器,则这些运行器将列为“已禁用”状态,且系统不会为它们分配任何新的工作流作业。

注意
禁止创建存储库级自托管运行器后,工作流仍可访问企业或组织级别的自托管运行器。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“运行器”下,使用下拉菜单选择首选设置:
- 所有存储库 - 自托管运行器可用于组织中的任何存储库。
- 所选存储库 - 自托管运行器只能用于所选存储库。
- 已禁用 - 无法在存储库级别创建自托管运行器。
-
如果选择“所选存储库”:
- 单击 。
- 勾选要允许使用自托管运行器的存储库的复选框。
- 单击“选择存储库”。
禁用标准托管运行器
您可以在组织级别禁用标准的 GitHub托管运行器。 此设置要求工作流通过运行器组将运行器指定为目标,并有助于强制执行一致的访问控制和治理策略。
有关 GitHub 托管的运行器的作业并发限制信息,请参阅 Actions 限制。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
滚动到“标准托管运行程序”部分,然后单击 “对所有存储库禁用”。
-
单击“ 保存”。
为专用仓库复刻启用工作流程
如果依赖于使用专用存储库的分支,你可以配置策略来控制用户如何在 pull_request 事件上运行工作流。 适用于专用存储库和内部存储库,可以为你的企业、组织或存储库配置这些策略设置。
如果为企业禁用了策略,则无法为组织启用该策略。 如果为组织禁用了策略,则无法为存储库启用该策略。 如果组织启用了某个策略,则可以对个别仓库禁用该策略。
- 从分支拉取请求运行工作流 - 允许用户使用具有只读权限、没有密码访问权限的
GITHUB_TOKEN,从分支拉取请求运行工作流。 - 从拉取请求向工作流发送写入令牌 - 允许来自分支的拉取请求使用具有写入权限的
GITHUB_TOKEN。 - 从拉取请求向工作流发送机密 - 使所有机密都可用于拉取请求。
- 需要批准拉取请求分支工作流 - 如果工作流在没有写权限的协作者发出的拉取请求上运行,则需要获得具有写权限的人员的批准,然后才能运行。
为组织配置专用复刻策略
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“复刻拉取请求工作流”下,选择选项。
-
单击“保存”以应用设置。
为组织设置 GITHUB_TOKEN 的权限
您可以设置授予 GITHUB_TOKEN 的默认权限。 有关 GITHUB_TOKEN 的详细信息,请参阅 在工作流中使用 GITHUB_TOKEN 进行身份验证。 你可以选择一组有限的权限作为默认项或应用权限设置。
可以在组织或存储库的设置中为 GITHUB_TOKEN 设置默认权限。 如果你在组织设置中选择受限制的选项为默认值,那么在组织内的存储库设置中也会选择相同选项,并禁用允许选项。 如果组织属于 GitHub Enterprise 帐户,并且企业设置中选择了限制性更高的默认值,则无法在组织设置中选择更宽松的默认值。
任何拥有存储库写入权限的人都可以通过编辑工作流文件中的 GITHUB_TOKEN 键来修改授予 permissions 的权限,或者根据需要添加或删除权限。 有关详细信息,请参阅 permissions。
配置默认 GITHUB_TOKEN 权限
默认情况下,创建新组织时, 该设置继承自企业设置中配置的内容。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“工作流权限”下,选择是要让
GITHUB_TOKEN对所有权限具有读写访问权限(允许设置),还是仅对contents和packages权限具有读取访问权限(受限设置)。 -
单击“保存”以应用设置。
阻止 GitHub Actions 创建或批准拉取请求
可选择允许或阻止 GitHub Actions 工作流创建或审批拉取请求。
默认情况下,创建新的组织时,不允许工作流创建或批准拉取请求。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“工作流权限”下,使用 Allow GitHub Actions创建和批准拉取请求设置来配置
GITHUB_TOKEN是否可以创建和批准拉取请求。 -
单击“保存”以应用设置。
管理你所在组织的 GitHub Actions 缓存存储
组织管理员可以查看 和管理 GitHub Actions 组织中所有存储库的缓存存储。
按存储库查看 GitHub Actions 缓存存储空间
对于组织中的每个存储库,可查看存储库使用的缓存存储量、活动缓存的数量,以及存储库是否接近总缓存大小限制。 有关缓存使用情况和逐出过程的详细信息,请参阅“依赖项缓存参考”。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧栏中,单击“操作”,然后单击“缓存”。
-
查看存储库列表,了解有关其 GitHub Actions 缓存的信息。 可单击存储库名称以查看有关存储库缓存的更多详细信息。
为组织配置 GitHub Actions 缓存存储
默认情况下,GitHub Actions 在 GitHub 的外部存储上使用的总缓存存储限制为每个存储库最多 10 GB,可以为存储库设置的最大允许大小为 25 GB。
你可以为组织中每个仓库的 GitHub Actions 缓存配置大小限制。 组织的缓存大小限制不能超过企业策略中设置的缓存大小限制。 存储库管理员将能够在其存储库中设置较小的限制。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“缓存大小限制”下,输入新值。
-
单击“保存”应用更改****。