リポジトリスコープのパッケージの権限
リポジトリスコープのパッケージは、パッケージを所有するリポジトリの権限と可視性を継承します。 リポジトリをスコープとするパッケージは、リポジトリのメインページにアクセスし、ページ右にあるパッケージリンクをクリックすれば見つかります。
以下のGitHub Packagesレジストリは、リポジトリスコープの権限を使います。
-Dockerレジストリ(docker.pkg.github.com
)
- npmレジストリ
- RubyGemsレジストリ
- Apache Mavenレジストリ
- NuGetレジストリ
パッケージの管理
パッケージレジストリでホストされているパッケージを使用もしくは管理するためには、適切なスコープを持つトークンを使わなければならず、ユーザアカウントが適切な権限を持っていなければなりません。
例:
- リポジトリからパッケージをダウンロードしてインストールするには、トークンは
read:packages
スコープを持っていなければならず、ユーザアカウントは読み取り権限を持っていなければなりません。 - GitHub Enterprise Server上の、プライベートパッケージの特定バージョンを削除するには、トークンが
delete:packages
とrepo
スコープを持っている必要があります。 パブリックなパッケージは削除できません。詳しい情報については、 「パッケージを削除する」を参照してください。
スコープ | 説明 | 必要な権限 |
---|---|---|
read:packages | GitHub Packagesからのパッケージのダウンロードとインストール | 読み取り |
write:packages | GitHub Packagesへのパッケージのアップロードと公開 | 書き込み |
delete:packages | ||
GitHub Packagesからプライベートパッケージの特定バージョンを削除する | ||
管理 | ||
repo | パッケージのアップロードと削除 (write:packages またはdelete:packages と併せて) | 書き込みもしくは読み取り |
GitHub Actionsワークフローを作成する際には、GITHUB_TOKEN
を使ってGitHub Packagesにパッケージを公開してインストールでき、個人アクセストークンを保存して管理する必要はありません。
詳しい情報については以下を参照してください:
- 「GitHub Actionsでのパッケージの公開とインストール」
- 個人アクセストークンを作成する
- GDPR違反、APIキー、個人を識別する情報といったセンシティブなデータを含むパッケージを公開した時
GitHub Actionsワークフローでのパッケージへのアクセスのメンテナンス
ワークフローがパッケージへのアクセスを確実に維持するためには、確実にワークフローで正しいアクセストークンを使用し、パッケージへのGitHub Actionsアクセスを有効化してください。
GitHub Actionsに関する概念的な背景や、ワークフローでのパッケージの使用例については、「GitHub Actionsワークフローを使用したGitHub Packagesの管理」を参照してください。
アクセストークン
- ワークフローリポジトリに関連するパッケージを公開するには、
GITHUB_TOKEN
を使用してください。 GITHUB_TOKEN
がアクセスできない他のプライベートリポジトリに関連するパッケージをインストールするには、個人アクセストークンを使用してください。
GitHub Actionsワークフローで使われるGITHUB_TOKEN
に関する詳しい情報については「ワークフローでの認証」を参照してください。