About required access for GitHub Enterprise Importer
데이터를 보호하기 위해 GitHub는 GitHub Enterprise Importer를 사용하도록 특정 액세스 요구 사항을 적용합니다. 이러한 요구 사항은 수행하려는 작업에 따라 달라집니다. 오류를 방지하려면 이 문서를 주의 깊게 검토하고 완료하려는 작업에 대한 모든 요구 사항을 충족하는지 확인해야 합니다.
To migrate a repository from Azure DevOps to GitHub, you need sufficient access to both the source (an organization on Azure DevOps) and the destination (an organization on GitHub). To have sufficient access, you'll need all of the following things.
- A required role in the destination organization on GitHub
- A personal access token that can access the destination organization on GitHub
- The personal access token must have all the required scopes, which depend on your role and the task you want to complete.
- If the destination organization uses SAML single sign-on for GitHub, you must authorize the personal access token for SSO.
- A personal access token that can access the source organization on Azure DevOps
Additionally, if you use IP allow lists with the source or destination, you may need to configure the allow lists to allow access by GitHub Enterprise Importer.
About the migrator role
조직 소유자가 마이그레이션을 완료할 필요성을 제거하기 위해 GitHub에 GitHub Enterprise Importer을(를) 사용하는 고유한 역할을 포함합니다.
마이그레이션자 역할을 부여하면 마이그레이션을 처리할 다른 팀 또는 개인을 지정할 수 있습니다.
- GitHub.com 또는 GHE.com에서만 조직에 대한 마이그레이션자 역할을 부여할 수 있습니다.
- 개별 사용자 또는 팀에 마이그레이션자 역할을 부여할 수 있습니다. 팀에 마이그레이션자 역할을 할당할 것을 매우 권장합니다. 그런 다음 팀 멤버십을 조정하여 마이그레이션을 실행할 수 있는 사람을 추가로 사용자 지정할 수 있습니다. 팀에 조직 멤버 추가 또는 팀에서 조직 구성원 제거을(를) 참조하세요.
- 마이그레이션자는 마이그레이션을 실행하기 위한 모든 요구 사항을 충족하는 personal access token을 사용해야 합니다.
경고
조직의 마이그레이션자 역할을 사용자 또는 팀에 부여하면 해당 조직의 리포지토리를 가져오거나 내보낼 수 있는 기능을 부여하게 됩니다.
마이그레이션자 역할을 부여하려면 마이그레이션자 역할 부여를 참조하세요.
Required roles for GitHub
For the destination organization on GitHub, different roles are required for different tasks.
다음 표에는 어떤 역할이 어떤 작업을 수행할 수 있는지 나열되어 있습니다.
| 작업 | 조직 소유자 | 마이그레이터 |
|---|---|---|
| 리포지토리 마이그레이션을 위한 마이그레이션자 역할 할당 | ||
| 리포지토리 마이그레이션 실행 | ||
| 마이그레이션 로그 다운로드 | ||
| 마네킹 회수 |
Required scopes for personal access tokens
To run a migration, you need one personal access token that can access the destination organization on GitHub, and another personal access token that can access the source organization on Azure DevOps.
For other tasks, such as downloading a migration log, you only need one personal access token that can access the destination organization on GitHub.
Personal access tokens for GitHub
GitHub personal access token (classic)에 필요한 범위는 사용자 역할과 완료하려는 작업에 따라 달라집니다.
참고 항목
personal access token (classic)만 사용할 수 있으며 fine-grained personal access token은(는) 사용할 수 없습니다. "조직에서 액세스한 personal access tokens (classic) 제한" 정책을 사용하는 경우 GitHub Enterprise Importer를 사용할 수 없다는 의미입니다. 자세한 내용은 Enterprise에서 개인용 액세스 토큰에 대한 정책 적용을(를) 참조하세요.
| 작업 | 조직 소유자 | 마이그레이터 |
|---|---|---|
| 리포지토리 마이그레이션을 위한 마이그레이션자 역할 할당 | admin:org | |
| 리포지토리 마이그레이션 실행(대상 조직) | repo, admin:org, workflow | repo, read:org, workflow |
| 마이그레이션 로그 다운로드 | repo, admin:org, workflow | repo, read:org, workflow |
| 마네킹 회수 | admin:org |
Personal access tokens for Azure DevOps
Your Azure DevOps personal access token must have work item (read), code (read), and identity (read) scopes.
If you want to use the --rewire-pipelines flag when generating a migration script, you will also need Build (Read) scope. To use the inventory-report and integrate-boards flags, you will need to grant full access to your personal access token.
If you want to migrate from multiple organizations, allow the personal access token to access all accessible organizations. For more information, see Use personal access tokens in Microsoft Docs.
Granting the migrator role
To allow someone other than an organization owner to run a migration or download migration logs, you can grant the migrator role to a user or team. For more information, see About the migrator role.
You can grant the migrator role using either the ADO2GH extension of the GitHub CLI or the GraphQL API.
- Granting the migrator role with the ADO2GH extension
- Granting the migrator role with the GraphQL API
Granting the migrator role with the ADO2GH extension
To grant the migrator role using the CLI, you must have installed the ADO2GH extension of the GitHub CLI. For more information, see Migrating repositories from Azure DevOps to GitHub Enterprise Cloud.
-
On GitHub, create and record a personal access token that meets all the requirements for granting the migrator role. For more information, see Creating a personal access token for GitHub.
-
personal access token을(를) 환경 변수로 설정하고, 아래 명령의 토큰을 위에서 기록한 personal access token로 바꿉니다.
-
터미널을 사용하는 경우
export명령을 사용합니다.Shell export GH_PAT="TOKEN"
export GH_PAT="TOKEN" -
PowerShell을 사용하는 경우
$env명령을 사용합니다.Shell $env:GH_PAT="TOKEN"
$env:GH_PAT="TOKEN"
-
-
Use the
gh ado2gh grant-migrator-rolecommand, replacing ORGANIZATION with the organization you want to grant the migrator role for, ACTOR with the user or team name, and TYPE withUSERorTEAM.Shell gh ado2gh grant-migrator-role --github-org ORGANIZATION --actor ACTOR --actor-type TYPE
gh ado2gh grant-migrator-role --github-org ORGANIZATION --actor ACTOR --actor-type TYPE참고 항목
GHE.com에 대한 마이그레이션자 역할을 부여하는 경우 엔터프라이즈의 하위 도메인에 대한 대상 API URL도 포함해야 합니다. 예:
--target-api-url https://api.octocorp.ghe.com
Granting the migrator role with the GraphQL API
grantMigratorRole GraphQL 변형을 사용하여 마이그레이션자 역할 및 revokeMigratorRole 변형을 할당하여 마이그레이션자 역할을 철회할 수 있습니다.
모든 액세스 요구 사항을 충족하는 personal access token(PAT)를 사용해야 합니다. 자세한 내용은 personal access token에 필요한 범위를 참조하세요.
grantMigratorRole 변형
이 GraphQL 변형은 마이그레이션 역할을 설정합니다.
mutation grantMigratorRole (
$organizationId: ID!,
$actor: String!,
$actor_type: ActorType!
) {
grantMigratorRole( input: {
organizationId: $organizationId,
actor: $actor,
actorType: $actor_type
})
{ success }
}
| 쿼리 변수 | 설명 |
|---|---|
organizationId | GetOrgInfo 쿼리의 조직에 대한 ownerId(또는 조직 ID)입니다. |
actor | 마이그레이션 역할을 할당할 팀 또는 사용자 이름입니다. |
actor_type | 마이그레이션자가 USER 또는 TEAM인지 지정합니다. |
revokeMigratorRole 변형
이 변형은 마이그레이션자 역할을 제거합니다.
mutation revokeMigratorRole (
$organizationId: ID!,
$actor: String!,
$actor_type: ActorType!
) {
revokeMigratorRole( input: {
organizationId: $organizationId,
actor: $actor,
actorType: $actor_type
})
{ success }
}
Creating a personal access token for GitHub
- 완료하려는 작업에 대한 역할이 충분한지 확인합니다. 자세한 내용은 필요한 역할을 참조하세요.
- personal access token (classic)을 만들어 완료하려는 작업에 필요한 모든 범위를 부여하도록 합니다. personal access token (classic)만 사용할 수 있으며 fine-grained personal access token은(는) 사용할 수 없습니다. 자세한 내용은 개인용 액세스 토큰 관리 및 personal access token에 필요한 범위를 참조하세요.
- 액세스해야 하는 조직에 SAML Single Sign-On이 적용되는 경우 SSO에 대한 personal access token에 권한을 부여합니다. 자세한 내용은 Single Sign-On에 사용할 개인용 액세스 토큰 권한 부여을(를) 참조하세요.
Configuring IP allow lists for migrations
마이그레이션의 원본 또는 대상은 IP 허용 목록(GitHub의 IP 허용 목록 기능 또는 ID 공급자(IdP) IP 허용 목록 제한(예: Azure CAP))을 사용하는 경우 GitHub에서 IP 허용 목록을 구성해야 합니다. 조직에 허용되는 IP 주소 관리 및 IP 허용 목록을 사용하여 엔터프라이즈에 대한 네트워크 트래픽 제한을(를) 참조하세요.
- GitHub의 IP 허용 목록 기능을 사용하는 경우 아래의 GitHub IP 범위를 원본 및/또는 대상 조직의 허용 목록에 추가해야 합니다.
- IdP의 IP 허용 목록을 사용하여 GitHub에서 엔터프라이즈에 대한 액세스를 제한하는 경우 마이그레이션이 완료될 때까지 엔터프라이즈 계정 설정에서 이러한 제한을 사용하지 않도록 설정해야 합니다.
IP 범위는 마이그레이션 대상이 GitHub.com 또는 GHE.com인지에 따라 달라집니다.
IP ranges for GitHub.com
IP 허용 목록에 다음 IP 범위를 추가해야 합니다.
- 192.30.252.0/22
- 185.199.108.0/22
- 140.82.112.0/20
- 143.55.64.0/20
- 135.234.59.224/28(참고: 2025년 7월 28일 소개)
- 2a0a:a440::/29
- 2606:50c0::/32
- 20.99.172.64/28(참고: 2025년 7월 28일 소개)
언제든지 REST API의 "GitHub 메타 정보 가져오기" 엔드포인트를 사용하여 GitHub Enterprise Importer에서 사용하는 IP 범위의 최신 목록을 가져올 수 있습니다.
응답의 github_enterprise_importer 키에는 마이그레이션에 사용되는 IP 범위 목록이 포함되어 있습니다.
자세한 내용은 메타 데이터에 대한 REST API 엔드포인트을(를) 참조하세요.
IP ranges for GHE.com
다음을 허용해야 합니다.
- 모든 사용자에게 필요한 범위
- 데이터 보존 지역에 따라 달라지는 추가 범위
추가할 범위는 GHE.com의 네트워크 세부 정보을(를) 참조하세요.