创建自定义组织角色,可以更精细地管理授予给组织和存储库的设置的访问权限。 组织角色是为组织成员授予权限来管理特定设置子集的方法,分配角色后,便不必授予成员对组织及其存储库的完全管理控制。 例如,可以创建包含“查看组织审核日志”权限的角色。
可以在组织的设置中创建和分配自定义组织角色。 你还可以使用 REST API 管理自定义角色。 请参阅“管理自定义组织角色”。
组合组织和存储库权限
也可以创建包含存储库权限的自定义组织角色。 存储库权限适用于组织中当前和未来的所有存储库。
有多种方式可以组合存储库和组织的权限。
- 你可以创建包含组织设置权限的角色、用于存储库访问的基础角色,或同时包含两者的角色。
- 如果添加用于存储库访问的基础角色,还可以包含额外的存储库权限。 没有基础存储库角色的情况下,无法添加存储库权限。
如果没有存储库权限或基础存储库角色,该组织角色不会授予对任何存储库的访问权限。
注意
向自定义组织角色添加存储库权限目前处于 公开预览 阶段,可能会有变动。
要授予对组织中特定存储库的访问权限,可以创建自定义存储库角色。 请参阅“关于自定义存储库角色”。
组织访问权限
当你在自定义组织角色中包含某个权限时,任何拥有此角色的用户都将有权通过 web 浏览器和 API 来访问相应设置。 在浏览器的组织设置中,用户将只能看到它们可以访问的页面。
组织权限不授予对任何存储库的读取、写入或管理员权限。 某些权限可能会隐式授予存储库元数据的可见性,如下表所示。
| 许可 | 说明 | 详细信息 |
|---|---|---|
| 管理自定义组织角色 | 创建、查看、更新和删除组织自定义组织角色的访问权限。 此权限不允许用户分配自定义角色。 | |
| 管理自定义组织角色 | ||
| 查看组织角色 | 查看组织的自定义组织角色的访问权限。 | |
| 管理自定义组织角色 | ||
| 管理自定义存储库角色 | 创建、查看、更新和删除组织的自定义存储库角色的访问权限。 | |
| 管理组织的自定义存储库角色 | ||
| 查看自定义存储库角色 | 查看组织的自定义存储库角色的访问权限。 | |
| 管理组织的自定义存储库角色 | ||
| 管理组织挂钩 | 有权注册和管理组织的挂钩 具有此权限的用户将能够查看 Webhook 有效负载,该负载可能包含组织中存储库的元数据。 | |
| 用于组织 Webhooks 的 REST API 接口节点 | ||
| 在组织层级编辑自定义属性值 | 有权为组织中的所有存储库设置自定义属性值。 | |
| 管理组织中存储库的自定义属性 | ||
| 管理组织的自定义属性定义 | 有权为组织创建和编辑自定义属性定义。 | |
| 管理组织中存储库的自定义属性 | ||
| 管理组织引用更新规则和规则集 | 有权在组织级别管理规则集并查看规则集见解。 | |
| 管理您组织存储库的规则集 | ||
| 查看组织审核日志 | 有权访问组织的审核日志。 审核日志可能包含组织中存储库的元数据。 | |
| 查看贵组织的审核日志 | ||
| 管理组织 Actions 策略 | 有权管理“Actions 常规”设置页面上的所有设置(自托管运行器设置除外)。 | |
| 禁用或限制组织的 GitHub Actions | ||
| 管理组织 Actions 机密 | 有权创建和管理 Actions 组织机密。 | |
| 在 GitHub Actions 中使用机密 | ||
| 管理组织 Actions 变量 | 有权创建和管理 Actions 组织变量。 | |
| 在变量中存储信息 | ||
| 管理组织托管运行器自定义映像 | 有权为组织创建和管理自定义映像。 | |
| GitHub 托管的运行程序 | ||
| 管理组织运行器和运行器组 | 有权创建和管理GitHub托管的运行程序、自承载运行程序和运行程序组,并控制可以创建自承载运行程序的位置。 | |
| GitHub 托管的运行程序 | ||
| 自托管运行程序 | ||
| 查看组织托管运行器自定义镜像 | 查看组织的自定义图像。 | |
| GitHub 托管的运行程序 | ||
| 查看和管理 secret scanning 绕过请求 | 查看和管理 secret scanning 组织的绕过请求。 | |
| 关于推送保护的委派绕过 | ||
| 查看和管理 secret scanning 警报撤消请求 | 查看和管理 secret scanning 组织的警报消除请求。 | |
| 为机密扫描启用委派的警报消除 | ||
| 绕过 code scanning 警报解除请求 | 绕过针对您组织的警报消除请求。 | |
| 为代码扫描启用委派的警报消除 | ||
| 查看 code scanning 警报解除请求 | 查看和管理 code scanning 组织的警报消除请求。 | |
| 为代码扫描启用委派的警报消除 | ||
| 查看 code scanning 警报消除请求 | 查看 code scanning 为您组织提交的警报解除请求。 | |
| 为代码扫描启用委派的警报消除 |
存储库访问的基础角色
基础存储库角色决定了自定义角色中包含的初始权限集。 存储库访问权限适用于组织中当前和未来的所有存储库。
基础存储库角色包括:
- 读取: 授予对组织中所有存储库的读取权限。
- 写入: 授予对组织中所有存储库的写入权限。
- 会审: 授予对组织中所有存储库的会审权限。
- 维护: 授予对组织中所有存储库的维护权限。
- 管理员: 授予对组织中所有存储库的管理员权限。
存储库访问的额外权限
选择基础存储库角色后,可以为自定义组织角色选择额外的权限。
仅当额外权限未包含在基础存储库角色中时,才能选择该权限。 例如,如果基础角色提供对存储库的写入权限,那么“关闭拉取请求”权限已包含在基础角色中。
讨论
- 创建讨论类别
- 编辑讨论类别
- 删除讨论类别
- 标记或取消标记讨论答案
- 隐藏或取消隐藏讨论评论
- 将问题转化为讨论
有关详细信息,请参阅“GitHub Discussions 文档”。
议题和拉取请求
- 分配或删除用户
- 添加或删除标签
问题
- 关闭问题
- 重新打开已关闭的问题
- 删除问题
- 将问题标记为重复问题
合并队列
- 请求单独合并
- 跳转到队列的前面
有关详细信息,请参阅“管理合并队列”。
拉取请求
- 关闭拉取请求
- 重新打开已关闭的拉取请求
- 请求拉取请求审查
存储库
- 设置里程碑
- 管理 Wiki 设置
- 获取项目设置
- 管理拉取请求合并设置
- 管理 GitHub Pages 设置(请参阅 为您的 GitHub Pages 网站配置发布源)
- 管理 web 挂钩
- 管理部署密钥
- 编辑存储库元数据
- 设置社交预览
- 将提交推送到受保护的分支
- 基本角色必须是
write - 分支保护规则仍将适用
- 基本角色必须是
- 创建受保护的标记
- 删除受保护的标记
- 绕过分支保护
- 编辑仓库规则
安全性
- 查看 code scanning 警告
- 关闭或重新打开 code scanning 警报
- 删除 code scanning 警告
- 查看 Dependabot alerts
- 关闭或重新打开 Dependabot alerts
- 查看 secret scanning 告警
- 关闭、重新打开或分配 secret scanning 警报
不同级别访问的优先顺序
角色和权限可累加使用。 如果某用户从不同的途径(如团队成员身份和组织的基本权限)获得不同级别的访问权限,则该用户拥有所有授予的访问权限。 例如,如果组织所有者向某组织成员提供使用“读取”继承角色的自定义角色,然后组织所有者将组织的基本权限设置为“写入”,则拥有此自定义角色的成员将具有写入权限以及自定义角色中包含的任何其他权限。
如果某个人员获得冲突的访问权限,你将在存储库访问页上看到一条警告。 警告显示在具有冲突访问权限的人员旁,带有“ Mixed roles”。 若要查看冲突访问权限的来源,请将鼠标悬停在警告图标上,或单击“混合角色”。
要解决冲突的访问权限,您可以调整组织的基本权限或团队的访问权限,或编辑自定义角色。 有关详细信息,请参阅: