Skip to main content

Gestion de l’accès aux exécuteurs auto-hébergés à l’aide de groupes

Vous pouvez utiliser des stratégies pour limiter l’accès aux exécuteurs autohébergés qui ont été ajoutés à une organisation.

Qui peut utiliser cette fonctionnalité ?

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team or GitHub Free plans can create and manage additional runner groups using self-hosted runners.

À propos des groupes d’exécuteurs

Pour contrôler l'accès aux exécuteurs au niveau de l'organisation, les organisations utilisant le plan GitHub Team peuvent utiliser des groupes d’exécuteurs. Des groupes d’exécuteurs sont utilisés pour collecter des ensembles d’exécuteurs et créer une limite de sécurité autour de ceux-ci.

Lorsque vous octroyez l’accès à un groupe d’exécuteurs, vous pouvez voir le groupe d’exécuteurs répertorié dans les paramètres des exécuteurs de l’organisation. Vous pouvez éventuellement attribuer au groupe d’exécuteurs des stratégies d’accès supplémentaires au référentiel.

Quand de nouveaux exécuteurs sont créés, ils sont automatiquement affectés au groupe par défaut, sauf spécification contraire. Les exécuteurs peuvent appartenir à un seul groupe à la fois. Vous pouvez déplacer des exécuteurs d’un groupe d’exécuteurs vers un autre. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Pour plus d’informations sur la façon de router des travaux vers des exécuteurs d’un groupe spécifique, consultez « Choix de l’exécuteur pour un travail ».

Création d’un groupe d’exécuteurs auto-hébergés pour une organisation

Avertissement : Nous vous recommandons d’utiliser uniquement des exécuteurs auto-hébergés avec des dépôts privés. En effet, les duplications (forks) de votre dépôt public peuvent exécuter du code potentiellement dangereux sur la machine de votre exécuteur auto-hébergé en créant une demande de tirage qui exécute le code dans un workflow.

Pour plus d’informations, consultez « À propos des exécuteurs auto-hébergés ».

Remarque : quand vous créez un groupe d’exécuteurs, vous devez choisir une stratégie qui définit les référentiels ayant accès au groupe d’exécuteurs. Pour modifier la liste de référentiels et flux de travail ayant accès au groupe d’exécuteurs, les propriétaires d'organisation peuvent définir une stratégie pour l’organisation. Pour plus d’informations, consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».

Toutes les organisations disposent d’un seul groupe d’exécuteurs par défaut. Les propriétaires d’organisation utilisant le plan GitHub Team peuvent créer des groupes d’exécuteurs supplémentaires au niveau de l’organisation.

Si aucun groupe n’est spécifié pendant le processus d’inscription, les exécuteurs sont automatiquement ajoutés au groupe par défaut. Vous pouvez déplacer ultérieurement l’exécuteur du groupe par défaut vers un groupe personnalisé. Pour plus d’informations, consultez « Déplacement d’un exécuteur vers un groupe ».

Pour obtenir des informations sur la façon de créer un groupe d’exécuteurs avec l’API REST, consultez « Points de terminaison REST pour l’API GitHub Actions ».

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

  4. Dans la section « Groupes d’exécuteurs », cliquez sur Nouveau groupe d’exécuteurs.

  5. Entrez un nom pour votre groupe d’exécuteurs.

  6. Affectez une stratégie d’accès au dépôt.

    Vous pouvez configurer un groupe d’exécuteurs pour qu’il soit accessible à une liste spécifique de référentiels ou à l’ensemble des référentiels de l’organisation. Par défaut, seuls les dépôts privés peuvent accéder aux exécuteurs dans un groupe d’exécuteurs, mais vous pouvez remplacer cette autorisation. Ce paramètre ne peut pas être remplacé si vous configurez un groupe d’exécuteurs d’une organisation qui a été partagé par une entreprise.

  7. Cliquez sur Créer un groupe pour créer le groupe et appliquer la stratégie.

Changer les dépôts qui peuvent accéder à un groupe d’exécuteurs

Avertissement : Nous vous recommandons d’utiliser uniquement des exécuteurs auto-hébergés avec des dépôts privés. En effet, les duplications (forks) de votre dépôt public peuvent exécuter du code potentiellement dangereux sur la machine de votre exécuteur auto-hébergé en créant une demande de tirage qui exécute le code dans un workflow.

Pour plus d’informations, consultez « À propos des exécuteurs auto-hébergés ».

Pour les groupes d’exécuteurs d’une organisation, vous pouvez changer les dépôts qui peuvent accéder à un groupe d’exécuteurs.

  1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.

  2. Cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.

  4. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.

  5. Sous « Accès au référentiel », utilisez le menu déroulant pour cliquer sur Référentiels sélectionnés.

    1. À droite du menu déroulant, cliquez sur .
    2. Dans la fenêtre contextuelle, cochez les cases pour sélectionner les référentiels qui peuvent accéder à ce groupe d’exécuteurs.
  6. Cliquez sur Enregistrer le groupe.

Modification du nom d’un groupe d’exécuteurs

  1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.
  2. Cliquez sur Paramètres.
  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.
  4. Dans la liste des groupes, cliquez sur le groupe d’exécuteurs à configurer.
  5. Entrez le nom du nouveau groupe d’exécuteurs dans le champ de texte sous « Nom du groupe ».
  6. Cliquez sur Enregistrer.

Ajout automatique d’un exécuteur auto-hébergé à un groupe

Vous pouvez utiliser le script de configuration pour ajouter automatiquement un nouvel exécuteur à un groupe. Par exemple, cette commande inscrit un nouvel exécuteur et utilise le paramètre --runnergroup pour l’ajouter à un groupe nommé rg-runnergroup.

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

La commande échoue si le groupe d’exécuteurs n’existe pas :

Could not find any self-hosted runner group named "rg-runnergroup".

Déplacement d’un exécuteur auto-hébergé vers un groupe

Si vous ne spécifiez pas de groupe d’exécuteurs pendant le processus d’inscription, vos nouveaux exécuteurs sont automatiquement affectés au groupe par défaut et peuvent ensuite être déplacés vers un autre groupe.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Exécuteurs.

  4. Dans la liste « Exécuteurs », cliquez sur l’exécuteur que vous souhaitez configurer.

  5. Sélectionnez la liste déroulante Groupe d’exécuteurs.

  6. Dans « Déplacer l’exécuteur vers le groupe », choisissez un groupe de destination pour l’exécuteur.

Suppression d’un groupe d’exécuteurs auto-hébergés

Pour pouvoir supprimer un groupe d’exécuteurs, vous devez d’abord déplacer ou supprimer tous les exécuteurs du groupe.

  1. Accédez à la page principale de l’organisation où se trouvent vos groupes d’exécuteurs.
  2. Cliquez sur Paramètres.
  3. Dans la barre latérale gauche, cliquez sur Actions, puis sur Groupes d’exécuteurs.
  4. Dans la liste des groupes, à droite du groupe à supprimer, cliquez sur .
  5. Pour supprimer le groupe, cliquez sur Supprimer le groupe.
  6. Passez en revue les invites de confirmation, puis cliquez sur Supprimer ce groupe d’exécuteurs.