注意
GitHub Enterprise Server 目前不支持 GitHub 托管的运行器。
关于 GitHub Actions 贵组织的权限
默认情况下,在 GitHub Actions 上启用 GitHub Enterprise Server 之后,它 会在所有存储库和组织上启用。 可以选择禁用 GitHub Actions 或将其限制为企业中的操作 。 有关详细信息 GitHub Actions,请参阅 撰写工作流程。
可以为组织中的所有存储库启用 GitHub Actions 。 启用 GitHub Actions 时,工作流能够运行位于您的存储库或任何其他公共或内部存储库中的操作。 可以为组织中的所有存储库禁用 GitHub Actions 。 禁用 GitHub Actions 时,仓库中不会运行任何工作流程。
或者,可以为组织中的所有存储库启用 GitHub Actions ,但限制工作流可以运行的操作 。
管理您的组织的 GitHub Actions 权限
可以选择为组织中的所有存储库禁用 GitHub Actions ,或仅允许特定存储库。 还可以限制公共操作的使用,以便用户只能使用企业存在的本地操作。
注意
如果组织由具有替代策略的企业管理,则可能无法管理这些设置。 有关详细信息,请参阅“在企业中强制实施GitHub Actions策略”。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“Policies(策略)”下,选择一个选项。
如果选择 允许选择操作____,则允许企业内的操作,并且还有允许其他特定操作的其他选项。 有关详细信息,请参阅允许选择操作来运行。
本地到企业的操作
启用“Require actions to be pinned to a full-length commit SHA”后,**** 所有操作都必须关联到完整长度的提交 SHA 才能使用。 这包括来自企业的操作以及 GitHub 创作的操作。 有关详细信息,请参阅 安全使用指南。
-
单击“ 保存”。
允许选择操作以运行
如果选择 允许选择操作____,则允许本地操作,并且还允许其他特定操作的其他选项:
数据重用.存储库.设置-权限-组织策略-备注 %}
-
**允许 GitHub 创建的操作:** 你可以允许工作流使用 GitHub 创建的所有操作。 GitHub 创建的操作位于 `actions` 和 `github` 组织中。 有关更多信息,请参阅 [`actions`](https://github.com/actions) 和 [`github`](https://github.com/github) 组织。 -
**允许经过验证的创建者发布的市场操作:**如果已启用 GitHub Connect 并配置了 GitHub Actions,则此选项可用。 有关更多信息,请参阅 [AUTOTITLE](/admin/github-actions/managing-access-to-actions-from-githubcom/enabling-automatic-access-to-githubcom-actions-using-github-connect)。 你可以允许工作流使用经过验证的创建者发布的所有 GitHub Marketplace 操作。 如果 GitHub 验证该操作的创建者为合作伙伴组织,<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-verified" aria-label="The verified badge" role="img"><path d="m9.585.52.929.68c.153.112.331.186.518.215l1.138.175a2.678 2.678 0 0 1 2.24 2.24l.174 1.139c.029.187.103.365.215.518l.68.928a2.677 2.677 0 0 1 0 3.17l-.68.928a1.174 1.174 0 0 0-.215.518l-.175 1.138a2.678 2.678 0 0 1-2.241 2.241l-1.138.175a1.17 1.17 0 0 0-.518.215l-.928.68a2.677 2.677 0 0 1-3.17 0l-.928-.68a1.174 1.174 0 0 0-.518-.215L3.83 14.41a2.678 2.678 0 0 1-2.24-2.24l-.175-1.138a1.17 1.17 0 0 0-.215-.518l-.68-.928a2.677 2.677 0 0 1 0-3.17l.68-.928c.112-.153.186-.331.215-.518l.175-1.14a2.678 2.678 0 0 1 2.24-2.24l1.139-.175c.187-.029.365-.103.518-.215l.928-.68a2.677 2.677 0 0 1 3.17 0ZM7.303 1.728l-.927.68a2.67 2.67 0 0 1-1.18.489l-1.137.174a1.179 1.179 0 0 0-.987.987l-.174 1.136a2.677 2.677 0 0 1-.489 1.18l-.68.928a1.18 1.18 0 0 0 0 1.394l.68.927c.256.348.424.753.489 1.18l.174 1.137c.078.509.478.909.987.987l1.136.174a2.67 2.67 0 0 1 1.18.489l.928.68c.414.305.979.305 1.394 0l.927-.68a2.67 2.67 0 0 1 1.18-.489l1.137-.174a1.18 1.18 0 0 0 .987-.987l.174-1.136a2.67 2.67 0 0 1 .489-1.18l.68-.928a1.176 1.176 0 0 0 0-1.394l-.68-.927a2.686 2.686 0 0 1-.489-1.18l-.174-1.137a1.179 1.179 0 0 0-.987-.987l-1.136-.174a2.677 2.677 0 0 1-1.18-.489l-.928-.68a1.176 1.176 0 0 0-1.394 0ZM11.28 6.78l-3.75 3.75a.75.75 0 0 1-1.06 0L4.72 8.78a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L7 8.94l3.22-3.22a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> 徽章将显示在 GitHub Marketplace 中的操作旁边。 -
**允许或阻止指定的操作:** 你可以限制工作流仅使用特定组织和存储库中的操作。 设置时,指定的操作数不能超过 1000。要限制对操作的特定标记或提交 SHA 的访问,请使用工作流中使用的相同语法来选择操作。
- 对于操作,语法为
OWNER/REPOSITORY@TAG-OR-SHA。 例如,使用actions/javascript-action@v1.0.1选择标记或使用actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f选择 SHA。 有关详细信息,请参阅“在工作流中使用预编写的构建基块”。
可以使用
*通配符来匹配模式。 例如,要允许以space-org开头的组织中的所有操作,可以指定space-org*/*。 要允许以 octocat 开头的存储库中的所有操作,可以使用*/octocat**@*。 有关使用*通配符的更多信息,请参阅 GitHub Actions 的工作流语法。使用
,分隔模式。 例如,要允许octocat和octokit组织中的所有操作,可以指定octocat/*, octokit/*。使用
!前缀来阻止模式。 例如,要允许来自space-org组织的所有操作,但同时要阻止space-org/action等特定操作,可指定space-org/*, !space-org/action@*。 默认情况下,仅允许列表中指定的操作。 要允许所有操作,同时阻止特定操作,可指定*, !space-org/action@*。 - 对于操作,语法为
此过程演示如何将特定操作添加到列表。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“策略”下,选择 允许选择操作____ 所需操作 添加到列表中。
-
单击“ 保存”。
限制自托管运行器的使用
GitHub 的自托管运行器不一定会被托管到无威胁的临时虚拟机上。 因此,工作流中不受信任的代码可能会危及它们。
同样,任何可以创建存储库分支并打开拉取请求的人(通常是那些对存储库具有读取访问权限的人)都能够损害自托管运行器环境,包括获得对机密和 GITHUB_TOKEN 的访问权限,根据其设置,可以授予对存储库的写入权限。 尽管工作流程可以通过使用环境和必需的审查来控制对环境密钥的访问,但是这些工作流程不是在隔离的环境中运行,在自托管运行程器上运行时仍然容易遭受相同的风险。
出于这些和其他原因,你可能会决定阻止用户在存储库级别创建自托管运行器。
注意
如果您的组织属于企业,则可能是在企业范围设置中禁用了在存储库级别创建自托管运行器的功能。 如果已经这样做了,则无法在组织设置中启用存储库级自托管运行器。 有关详细信息,请参阅“在企业中强制实施GitHub Actions策略”。
如果存储库在设置禁用自托管运行器时已有自托管运行器,则这些运行器将列为“已禁用”状态,且系统不会为它们分配任何新的工作流作业。

注意
禁止创建存储库级自托管运行器后,工作流仍可访问企业或组织级别的自托管运行器。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“运行器”下,使用下拉菜单选择首选设置:
- 所有存储库 - 自托管运行器可用于组织中的任何存储库。
- 所选存储库 - 自托管运行器只能用于所选存储库。
- 已禁用 - 无法在存储库级别创建自托管运行器。
-
如果选择“所选存储库”:
- 单击 。
- 勾选要允许使用自托管运行器的存储库的复选框。
- 单击“选择存储库”。
禁用标准托管运行器
您可以在组织级别禁用标准的 GitHub托管运行器。 此设置要求工作流通过运行器组将运行器指定为目标,并有助于强制执行一致的访问控制和治理策略。
有关 GitHub 托管的运行器的作业并发限制信息,请参阅 Actions 限制。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
滚动到“标准托管运行程序”部分,然后单击 “对所有存储库禁用”。
-
单击“ 保存”。
为专用仓库复刻启用工作流程
如果依赖于使用专用存储库的分支,你可以配置策略来控制用户如何在 pull_request 事件上运行工作流。 适用于专用存储库和内部存储库,可以为你的企业、组织或存储库配置这些策略设置。
如果为企业禁用了策略,则无法为组织启用该策略。 如果为组织禁用了策略,则无法为存储库启用该策略。 如果组织启用了某个策略,则可以对个别仓库禁用该策略。
- 从分支拉取请求运行工作流 - 允许用户使用具有只读权限、没有密码访问权限的
GITHUB_TOKEN,从分支拉取请求运行工作流。 - 从拉取请求向工作流发送写入令牌 - 允许来自分支的拉取请求使用具有写入权限的
GITHUB_TOKEN。 - 从拉取请求向工作流发送机密 - 使所有机密都可用于拉取请求。
- 需要批准拉取请求分支工作流 - 如果工作流在没有写权限的协作者发出的拉取请求上运行,则需要获得具有写权限的人员的批准,然后才能运行。
为组织配置专用复刻策略
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“复刻拉取请求工作流”下,选择选项。
-
单击“保存”以应用设置。
为组织设置 GITHUB_TOKEN 的权限
可以设置授予 GITHUB_TOKEN 的默认权限。 有关 GITHUB_TOKEN 的详细信息,请参阅 在工作流中使用 GITHUB_TOKEN 进行身份验证。 你可以选择一组有限的权限作为默认项或应用权限设置。
可以在组织或存储库的设置中为 GITHUB_TOKEN 设置默认权限。 如果你在组织设置中选择受限制的选项为默认值,那么在组织内的存储库设置中也会选择相同选项,并禁用允许选项。 如果组织属于 GitHub Enterprise 帐户,并且企业设置中选择了限制性更高的默认值,则无法在组织设置中选择更宽松的默认值。
任何拥有存储库写入权限的人都可以通过编辑工作流文件中的 permissions 键来修改授予 GITHUB_TOKEN 的权限,或者根据需要添加或删除权限。 有关详细信息,请参阅 permissions。
配置默认 GITHUB_TOKEN 权限
默认情况下,创建新组织时, 该设置继承自企业设置中配置的内容。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“工作流权限”下,选择是要让
GITHUB_TOKEN对所有权限具有读写访问权限(允许设置),还是仅对contents和packages权限具有读取访问权限(受限设置)。 -
单击“保存”以应用设置。
阻止 GitHub Actions 创建或批准拉取请求
可选择允许或阻止 GitHub Actions 工作流创建或审批拉取请求。
默认情况下,创建新的组织时,不允许工作流创建或批准拉取请求。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“工作流权限”下,使用 Allow GitHub Actions创建和批准拉取请求设置来配置
GITHUB_TOKEN是否可以创建和批准拉取请求。 -
单击“保存”以应用设置。
管理你所在组织的 GitHub Actions 缓存存储
组织管理员可以查看 和管理 GitHub Actions 组织中所有存储库的缓存存储。
按存储库查看 GitHub Actions 缓存存储空间
对于组织中的每个存储库,可查看存储库使用的缓存存储量、活动缓存的数量,以及存储库是否接近总缓存大小限制。 有关缓存使用情况和逐出过程的详细信息,请参阅“依赖项缓存参考”。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧栏中,单击“操作”,然后单击“缓存”。
-
查看存储库列表,了解有关其 GitHub Actions 缓存的信息。 可单击存储库名称以查看有关存储库缓存的更多详细信息。
为组织配置 GitHub Actions 缓存存储
默认情况下,GitHub Actions 在 GitHub 的外部存储上使用的总缓存存储限制为每个存储库最多 10 GB,可以为存储库设置的最大允许大小为 25 GB。
你可以为组织中每个仓库的 GitHub Actions 缓存配置大小限制。 组织的缓存大小限制不能超过企业策略中设置的缓存大小限制。 存储库管理员将能够在其存储库中设置较小的限制。
-
在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
单击以选择一个组织。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

-
在左侧边栏中,单击“ Actions”,然后单击“General”********。
-
在“缓存大小限制”下,输入新值。
-
单击“保存”应用更改****。