通过运行器组管理访问权限
如果你在组织或企业级别注册运行器,运行器组用于控制对自托管运行器的访问。企业管理员可以配置访问策略,控制企业中的哪些组织可以访问运行器组,而组织管理员可以配置访问策略,控制组织中的哪些仓库可以访问运行器组。每个企业和每个组织都有一个名为 “Default” 的默认运行器组,不能删除。
|
一个运行器一次只能属于一个运行器组。 |
要管理访问权限,请在企业级别打开 Policies,或在组织级别打开 Settings,并在菜单中找到 Actions | Runner Groups。在这里,你可以创建一个新的运行器组,或点击现有的运行器组来调整其访问设置。根据你的权限级别(企业或组织),你可以允许特定组织或仓库访问该运行器组(见图 7.4):
Figure 1. 图 7.4 – 运行器组的访问选项
|
公共仓库的访问默认是禁用的,请保持此设置!你不应该在公共仓库中使用自托管运行器!因为分支可能会在你的运行器上执行恶意代码,所以这存在风险。如果你需要为公共仓库使用自托管运行器,请确保使用临时且经过加固的运行器,这些运行器没有访问你内部资源的权限。这种情况可能发生在你需要为开源项目提供特殊工具时,而这些工具在托管运行器上安装时间过长。但这种情况很少发生,你应该尽量避免。 |
在注册新的运行器时,你会被要求指定运行器组的名称。你也可以通过将此作为参数传递给配置脚本来指定:
$ ./config.sh --runnergroup <group>现在我们已经学习了如何通过运行器组来管理访问,接下来我们将学习如何使用标签。