身份验证和计费选项
在 Copilot 命令行界面(CLI) 工作流中运行 GitHub Actions 时,可以使用 personal access token(PAT)或内置的 GITHUB_TOKEN 进行身份验证。
-
使用 PAT:工作流将以创建 PAT 的用户身份进行身份验证。 AI credits 取自该用户的 Copilot 席位权利,其许可证确定哪些模型和功能可用。 这适用于任何存储库,但会为大规模运行自动化的组织带来操作和安全风险。
-
使用
GITHUB_TOKEN:工作流以安装身份进行身份验证,请求不与任何具体用户关联。 AI credits 的计费方式取决于工作流运行的位置:- 在 个人拥有的存储库中,使用情况将按存储库所有者的 Copilot 席位计费。
- 在 组织拥有的存储库中,使用情况将直接计量给组织。 这需要由组织所有者启用 “允许使用向组织计费的 Copilot 命令行界面(CLI)” 策略。
对于自动化,在组织拥有的仓库中使用 GITHUB_TOKEN 是推荐的做法。 每次工作流运行都会收到一个由 GitHub Actions 生成的短期有效且具有限定作用域的令牌,因此无需存储或轮换长期凭据。
请注意,此策略与 Copilot 许可设置不同。 通过专门的组织颁发许可证并在其他组织中开展工作的企业,无需在开展工作的组织中启用 Copilot 许可,只需启用相应策略。
控制成本
直接向组织计费时,不会考虑用户级 Copilot 预算,因为成本不归咎于任何单个用户。 若要管理按这种方式计费的 Copilot 命令行界面(CLI) 使用所产生的支出,您可以:
- 为相关组织配置成本中心。 成本中心允许将成本归因给组织组,预算可以应用于成本中心。 请参阅“成本中心”。
- 通过贵组织的计费和用量仪表板监控 Copilot 使用情况,以跟踪一段时间内的用量变化。
安全注意事项
在自动化工作流中运行 Copilot 命令行界面(CLI) 会引入与所使用的身份验证方法无关的安全风险。 由于 Copilot 命令行界面(CLI) 是可读取和修改存储库内容的代理工具,因此泄露或配置错误的工作流可能会导致意外更改。
若要降低风险,请:
- 应使用GitHub智能体工作流,而不要在
run步骤中直接调用Copilot 命令行界面(CLI)。 智能体工作流在设计时加入了防护机制,以支持自动化使用。 - 设置工作流权限时,请遵循最低特权原则。
- 仔细查看工作流触发器。 从分叉中拉取请求事件运行的工作流面临更高的提示注入风险。
后续步骤
若要了解如何在 Copilot 命令行界面(CLI) 工作流中将 GitHub Actions 与 GITHUB_TOKEN 一起设置,请参阅 在 GitHub Actions 中使用 GITHUB_TOKEN 运行 Copilot CLI。