Help us learn about your current experience with the documentation. Take the survey. 

---
stage: Software Supply Chain Security
group: Authorization
info: To determine the technical writer assigned to the Stage/Group associated with this page, see https://handbook.gitlab.com/handbook/product/ux/technical-writing/#assignments
title: 角色与权限
---


  • 层级:Free、Premium、Ultimate
  • 提供服务:GitLab.com、GitLab 自托管、GitLab 专用





当您向项目或组添加用户时,会为其分配一个角色。
该角色决定了他们在 GitLab 中可以执行的操作。

如果您同时将用户添加到项目的组和项目本身,则使用更高的角色。

GitLab [管理员](../administration/_index.md) 拥有所有权限。

<!-- Keep these tables sorted the following rules in order:
1. By minimum role.
2. By the object being accessed (for example, issue, security dashboard, or pipeline)
3. By the action: view, create, change, edit, manage, run, delete, all others
4. Alphabetically.

List only one action (for example, view, create, or delete) per line.
It's okay to list multiple related objects per line (for example, "View pipelines and pipeline details").
-->

## 角色



    
    
    




您可以给用户分配默认角色或 [自定义角色](custom_roles/_index.md)。

可用的默认角色包括:

- 访客(此角色仅适用于 [私有和内部项目](public_access.md)。)
- Planner
- 报告者
- 开发者
- 维护者
- 所有者
- 最小访问权限(仅适用于顶级组)

被分配访客角色的用户拥有最少的权限,
而所有者拥有最多的权限。

默认情况下,所有用户都可以创建顶级组并更改其用户名。GitLab 管理员可以 [修改此行为](../administration/user_settings.md)
针对 GitLab 实例。

## 组成员权限

任何用户都可以将自己从组中移除,除非他们是组的唯一所有者。

下表列出了每个角色可用的组权限:

### 分析组权限
组权限用于 [分析](analytics/_index.md) 功能,包括价值流、产品分析和洞察:

| 操作                                                                 | 访客 | Planner | 报告者 | 开发者 | 维护者 | 所有者 |
| -------------------------------------------------------------------- | :--: | :-----: | :----: | :----: | :----: | :----: |
| 查看 [洞察](project/insights/_index.md)                             |  ✓   |    ✓    |   ✓    |   ✓    |   ✓    |   ✓    |
| 查看 [洞察](project/insights/_index.md) 图表                         |  ✓   |    ✓    |   ✓    |   ✓    |   ✓    |   ✓    |
| 查看 [问题分析](group/issues_analytics/_index.md)                    |  ✓   |    ✓    |   ✓    |   ✓    |   ✓    |   ✓    |
| 查看贡献分析                                                        |  ✓   |    ✓    |   ✓    |   ✓    |   ✓    |   ✓    |
| 查看价值流分析                                                      |  ✓   |    ✓    |   ✓    |   ✓    |   ✓    |   ✓    |
| 查看 [生产力分析](analytics/productivity_analytics.md)               |      |         |   ✓    |   ✓    |   ✓    |   ✓    |
| 查看 [组 DevOps 采用情况](group/devops_adoption/_index.md)           |      |         |   ✓    |   ✓    |   ✓    |   ✓    |
| 查看指标仪表盘注释                                                  |      |         |   ✓    |   ✓    |   ✓    |   ✓    |
| 管理 metrics 仪表盘注释                                              |      |         |        |   ✓    |   ✓    |   ✓    |

### 应用安全组权限
组权限用于 [应用安全](application_security/secure_your_application.md) 功能,包括依赖管理、安全分析器、安全策略和漏洞管理。

| 操作                                                                 | 访客 | Planner | 报告者 | 开发者 | 维护者 | 所有者 |
| -------------------------------------------------------------------- | :--: | :-----: | :----: | :----: | :----: | :----: |
| 查看 [依赖列表](application_security/dependency_list/_index.md)       |      |         |        |   ✓    |   ✓    |   ✓    |
| 查看 [漏洞报告](application_security/vulnerability_report/_index.md) |      |         |        |   ✓    |   ✓    |   ✓    |
| 查看 [安全仪表盘](application_security/security_dashboard/_index.md)  |      |         |        |   ✓    |   ✓    |   ✓    |
| 创建 [安全策略项目](application_security/policies/_index.md)         |      |         |        |        |        |   ✓    |
| 分配 [安全策略项目](application_security/policies/_index.md)          |      |         |        |        |        |   ✓    |

CI/CD 组权限

包含运行器(runners)、变量(variables)和保护环境(protected environments)的 CI/CD 功能的组权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看组运行器
管理组级 Kubernetes 集群
管理组运行器
管理组级 CI/CD 变量
管理组保护环境

合规性组权限

包含合规中心(compliance center)、审计事件(audit events)、合规框架(compliance frameworks)和许可证(licenses)的合规功能的组权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看 审计事件 1
依赖列表 中查看许可证
查看 合规中心
管理 合规框架
合规框架 分配给项目
管理 审计流

脚注

  1. 用户只能查看基于其个人操作的事件。有关详细信息,请参阅 先决条件

GitLab Duo 组权限

GitLab Duo 的组权限:

操作 非成员 访客 规划者 报告者 开发者 维护者 所有者
使用 GitLab Duo 功能 1
配置 GitLab Duo 功能可用性
配置 GitLab Duo 自托管
启用 测试版和实验性功能
购买 GitLab Duo 座位

脚注

  1. 如果用户拥有 GitLab Duo Pro 或 Enterprise,则 用户必须被分配一个座位才能访问该 GitLab Duo 插件。如果用户拥有 GitLab Duo Core,则没有其他要求。

群组权限

群组功能相关的群组权限:

操作 访客 规划者 报告者 开发者 管理员 所有者
浏览群组
在群组中搜索项目 Search
查看群组的审计事件 audit events 1
在群组中创建项目 2
创建子群组 3
更改项目集成的自定义设置 project integrations
编辑史诗评论(由任何用户发布) epic
将项目分叉到群组
查看 Billing Billing 4
查看群组的用量配额页面 Usage quotas 4
迁移群组 Migrate group
删除群组
管理 subscriptions, storage, and compute minutes
管理 group access tokens
更改群组可见性级别
编辑群组设置
配置项目模板
配置 SAML SSO SAML SSO 4
禁用通知邮件
导入项目 project

脚注

  1. 开发者和管理员只能查看基于其个人操作的事件。更多信息请参见 前提条件
  2. 开发者、管理员和所有者:仅当实例的项目创建角色已设置 针对实例针对群组 时。
    开发者:仅当 默认分支保护 设置为“部分受保护”或“不受保护”时,开发者才能向新项目的默认分支推送提交。
  3. 管理员:仅当具有管理员角色的用户 可以创建子群组 时。
  4. 不适用于子群组。

项目规划组权限

操作 访客 规划者 报告者 开发者 维护者 所有者
查看史诗
搜索 史诗 1
将问题添加到史诗2
添加子史诗 3
添加内部备注
创建史诗
更新史诗详情
管理史诗板
删除史诗

脚注

  1. 您必须拥有查看该史诗的权限。
  2. 您必须拥有查看该史诗以及编辑问题的权限。
  3. 您必须拥有查看父史诗和子史诗的权限。

维基组的权限(针对wikis):

操作 访客 规划者 报告者 开发者 维护者 所有者
查看 组维基 1
搜索 组维基 2
创建组维基页面
编辑组维基页面
删除组维基页面

脚注

  1. 访客:此外,如果您的组是公开或内部的,所有能查看该组的用户也能查看组维基页面。
  2. 访客:此外,如果您的组是公开或内部的,所有能查看该组的用户也能搜索组维基页面。

包与注册表组权限

容器注册表 的组权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
拉取容器注册表镜像 1
通过依赖代理拉取容器镜像
删除容器注册表镜像

脚注

  1. 访客只能查看基于其个人操作的事件。

包注册表 的组权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
拉取包
发布包
删除包
管理包设置
管理依赖代理清理策略
启用依赖代理
禁用依赖代理
清除组的依赖代理
启用包请求转发
禁用包请求转发

仓库组权限

包含合并请求、推送规则和部署令牌功能的 仓库 组权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
管理 部署令牌
管理 合并请求设置
管理 推送规则

用户管理组权限

用户管理的组权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看成员的 2FA 状态
按 2FA 状态筛选成员
管理组成员
管理组级自定义角色
分享(邀请)组至其他组

工作空间组权限

工作空间的组权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看映射到该组的工作空间集群代理
将工作空间集群代理映射到组或从组中取消映射

项目成员权限

用户的角色决定了他们在项目上的权限。Owner角色拥有所有权限,但仅适用于:

  • 对于群组和项目的Owner。
  • 对于Administrators。

个人命名空间拥有者:

  • 在命名空间内的项目中显示为拥有Maintainer角色,但具有与Owner角色用户相同的权限。
  • 对于命名空间内的新项目,显示为拥有Owner角色。

有关如何管理项目成员的更多信息,请参阅项目成员

下表列出各角色的可用项目权限。

分析

包括价值流、使用趋势、产品分析和洞察在内的分析功能的权限。

操作 Guest Planner Reporter Developer Maintainer Owner
查看问题分析
查看价值流分析
查看CI/CD分析
查看代码审查分析
查看DORA指标
查看合并请求分析
查看仓库分析
查看价值流仪表板与AI影响分析

应用安全

项目对应用安全功能的权限,包括依赖管理、安全分析器、安全策略和漏洞管理。

动作 访客 计划者 报告者 开发者 维护者 所有者
查看依赖列表
查看依赖列表中的许可证
查看安全仪表盘
查看漏洞报告
手动创建漏洞
从漏洞发现中创建问题
创建按需DAST扫描
运行按需DAST扫描
创建单独的安全策略
更改单独的安全策略
删除单独的安全策略
创建CVE ID请求
更改漏洞状态 1
创建安全策略项目
分配安全策略项目
管理安全配置

脚注

  1. admin_vulnerability 权限已在 GitLab 17.0 中从 Developer 角色中移除

CI/CD

GitLab CI/CD 某些角色的权限可通过以下设置修改:

  • 基于项目的流水线可见性: 当设置为公开时,允许访客项目成员访问特定的CI/CD功能。
  • 流水线可见性: 当设置为 所有人可访问(Everyone with Access) 时,允许非项目成员访问特定的CI/CD“查看”功能。

项目所有者可执行所有列出的操作,并可删除流水线:

操作 非成员 访客 计划者 报告者 开发者 维护者
查看现有制品 1
查看作业列表 2
查看制品 3
下载制品 3
查看 环境 1
查看作业日志和作业详情页面 2
查看流水线和流水线详情页面 2
查看合并请求中的流水线标签页 1
查看 流水线中的漏洞 4
运行受保护环境的部署作业 5
查看 Kubernetes代理
查看项目 安全文件
下载项目 安全文件
查看启用调试日志的作业
创建 环境
删除 环境
停止 环境
运行、重新运行或重试CI/CD流水线或作业
对受保护的分支运行、重新运行或重试CI/CD流水线或作业 6
删除作业日志或作业制品 7
启用 评审应用
取消作业 8

| 读取 Terraform 状态 | | | | | ✓ | ✓ | | 运行 交互式网页终端 | | | | | ✓ | ✓ | | 使用流水线编辑器 | | | | | ✓ | ✓ | | 管理 Kubernetes 代理 | | | | | | ✓ | | 管理 CI/CD 设置 | | | | | | ✓ | | 管理工件触发器 | | | | | | ✓ | | 管理项目 CI/CD 变量 | | | | | | ✓ | | 管理项目受保护环境 | | | | | | ✓ | | 管理 安全文件 | | | | | | ✓ | | 管理 Terraform 状态 | | | | | | ✓ | | 向项目中添加 Runner | | | | | | ✓ | | 手动清除 Runner 缓存 | | | | | | ✓ | | 在项目中启用实例 Runner | | | | | | ✓ |

  1. 非成员和访客:仅当项目公开时。
  2. 非成员:仅当项目公开且在 项目设置 > CI/CD 中启用了 基于项目的流水线可见性 时。
    访客:仅当在 项目设置 > CI/CD 中启用了 基于项目的流水线可见性 时。
  3. 非成员:仅当项目公开,在 项目设置 > CI/CD 中启用了 基于项目的流水线可见性, 且作业中未设置 artifacts:public: false
    访客:仅当在 项目设置 > CI/CD 中启用了 基于项目的流水线可见性 且 作业中未设置 artifacts:public: false
    报告者:仅当作业中未设置 artifacts:public: false
  4. 访客:仅当在 项目设置 > CI/CD 中启用了 基于项目的流水线可见性 时。
  5. 报告者:仅当用户是 属于有权访问受保护环境的组 时。
    开发者和维护者:仅当用户被 允许部署到受保护的分支 时。
  6. 开发者和维护者:仅当用户被 允许合并或推送至受保护的分支 时。
  7. 开发者:仅当作业由该用户触发且运行为非受保护的分支时。
  8. 取消权限可以在 流水线设置中进行限制

此表显示了特定角色触发的作业所授予的权限。

项目所有者可以执行任何列出的操作,但没有任何用户能同时推送源代码和 LFS。

访客用户和具有 Reporter 角色的成员无法执行这些操作中的任何一项。

操作 Developer Maintainer
从当前项目克隆源代码和 LFS
从公共项目克隆源代码和 LFS
从内部项目克隆源代码和 LFS 1
从私有项目克隆源代码和 LFS 2

| 从当前项目拉取容器镜像 | ✓ | ✓ | | 从公开项目拉取容器镜像 | ✓ | ✓ | | 从内部项目拉取容器镜像 1 | ✓ | ✓ | | 从私有项目拉取容器镜像 2 | ✓ | ✓ | | 向当前项目推送容器镜像 3 | ✓ | ✓ |

Footnotes

  1. 开发者与维护者:仅当触发用户不是外部用户时。
  2. 仅当触发用户是该项目的成员时。另见使用 if-not-present 拉取策略的私有 Docker 镜像用法
  3. 你不能将容器镜像推送到其他项目。

合规性

合规性 功能的项目权限,包括合规中心、审计事件、合规框架和许可证。

操作 访客 计划者 报告者 开发者 维护者 所有者
查看 合并请求中允许和拒绝的许可证 1
查看 审计事件 2
查看依赖列表中的许可证
管理 审计流

脚注

  1. 在 GitLab 自托管版中,拥有访客角色的用户只能在公开和内部项目(而非私有项目)执行此操作。外部用户 必须至少具备报告者角色,即使项目是内部的。GitLab.com 上的访客角色用户只能对公开项目执行此操作,因为内部可见性不可用。
  2. 用户仅能基于自身操作查看事件。更多详情,请参阅 先决条件

GitLab Duo

GitLab Duo 的项目权限:

操作 非成员 访客 计划者 报告者 开发者 维护者 所有者
使用 GitLab Duo 功能 1
配置 GitLab Duo 功能可用性

脚注

  1. 代码建议需要 用户被分配席位以访问 GitLab Duo 插件

机器学习模型注册表与实验

模型注册表模型实验 的项目权限。

操作 访客 计划者 报告者 开发者 维护者 所有者
查看 模型和版本 1
查看 模型实验 2
创建模型、版本和工件 3
编辑模型、版本和工件
删除模型、版本和工件
创建实验和候选
编辑实验和候选
删除实验和候选

脚注

  1. 非成员仅能在公开项目中查看模型和版本(需设置 Everyone with access 可见性)。非成员无法查看内部项目,即使已登录。
  2. 非成员仅能在公开项目中查看模型实验(需设置 Everyone with access 可见性)。非成员无法查看内部项目,即使已登录。
  3. 您也可通过包注册表 API 上传和下载工件,该 API 使用不同的权限集。

监控

监控相关的项目权限,包括错误跟踪事件管理

操作 访客 规划者 报告者 开发者 维护者 所有者
查看事件
分配事件管理警报
参与事件管理的值班轮换
查看警报
查看错误跟踪列表
查看升级策略
查看值班日程
创建事件
更改警报状态
更改事件严重程度
更改事件升级状态
更改事件升级策略
管理错误跟踪
管理升级策略
管理值班日程

项目规划

项目对 issues 的权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看问题
搜索 问题和评论
创建问题
查看 机密问题
搜索 机密问题和评论
编辑问题,包括元数据、项锁定和解决线程 1
添加内部备注
关闭和重新打开问题 2
管理 设计管理 文件
管理 问题看板
管理 里程碑
搜索 里程碑
归档或重新打开 需求 3
创建或编辑 需求 4
导入或导出 需求
归档 测试用例
创建 测试用例
移动 测试用例
重新打开 测试用例
从CSV文件导入 问题
导出到CSV文件
删除问题
管理 功能开关

脚注

  1. 元数据包括标签、指派人、里程碑、史诗、权重、保密性、时间跟踪等。访客用户只能在创建问题时设置元数据。他们无法更改现有问题的元数据。访客用户可以修改他们创建或被分配的问题的标题和描述。
  2. 访客用户可以关闭和重新打开他们创建或被分配的问题。
  3. 访客用户可以归档和重新打开他们创建或被分配的问题。
  4. 访客用户可以修改他们创建或被分配的问题的标题和描述。

项目对 tasks 的权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看任务

项目任务权限

搜索 任务
创建任务
编辑任务,包括元数据、条目锁定和解决线程 1
添加关联条目
转换为其他条目类型
从问题中移除
添加内部备注
删除任务 2

脚注

  1. 访客用户可以修改他们自己创建或被分配到的标题和描述。
  2. 没有规划者或所有者角色的用户可以删除他们自己创建的任务。

OKR 项目权限

操作 访客 规划者 报告者 开发者 维护者 所有者
查看 OKR
搜索 OKR
创建 OKR
编辑 OKR,包括元数据、条目锁定和解决线程
添加子 OKR
添加关联条目
转换为其他条目类型
编辑 OKR
更改 OKR 的保密性
添加内部备注

Wiki 项目权限

操作 访客 规划者 报告者 开发者 维护者 所有者
查看 Wiki
搜索 Wiki
创建 Wiki 页面
编辑 Wiki 页面
删除 Wiki 页面

包与注册表

项目对容器注册表的权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
拉取容器注册表镜像 1
推送容器注册表镜像
删除容器注册表镜像
管理清理策略
创建标签保护规则
创建不可变标签保护规则

脚注

  1. 查看容器注册表和拉取镜像由容器注册表可见性权限控制。

项目对包注册表的权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
拉取包 1
发布包
删除包
删除与包关联的文件

脚注

  1. 在 GitLab 自托管版中,拥有访客角色的用户仅能在公开和内部项目中执行此操作(私有项目不行)。即使项目是内部的,外部用户也必须被授予显式访问权限(至少为报告者角色)。GitLab.com 上拥有访客角色的用户仅能在公开项目中执行此操作,因为内部可见性不可用。

项目

项目功能 的项目权限:

操作 访客 计划者 报告者 开发者 维护者 所有者
下载项目 1
留下评论
重定位图片上的评论(由任何用户发布)2
查看 洞察
查看 需求
查看 时间跟踪 报告 1
查看 代码片段
搜索 代码片段 和评论
查看 项目流量统计
创建 代码片段
查看 发布版本 3
管理 发布版本 4
配置 Webhook
管理 项目访问令牌 5
导出项目
重命名项目
编辑项目徽章
编辑项目设置
更改 项目功能可见性 级别 6
更改 项目集成 的自定义设置
编辑其他用户发布的评论
添加 部署密钥
管理 项目操作
查看 使用配额 页面
全局删除 代码片段
全局编辑 代码片段
归档项目
更改项目可见性级别
删除项目
禁用通知邮件

| 转移项目 | | | | | | ✓ |

脚注

  1. 在 GitLab 自托管版中,拥有 Guest 角色的用户只能在公开项目和内部项目中执行此操作(不能在私有项目中)。外部用户 即使项目是内部的,也必须被授予显式访问权限(至少是 Reporter 角色)。在 GitLab.com 上拥有 Guest 角色的用户只能对公开项目执行此操作,因为内部可见性不可用。

  2. 仅适用于 Design Management 设计中的评论。

  3. Guest 用户可以访问 GitLab Releases 以下载资产,但不允许下载源代码或查看 存储库信息(如提交记录和发布证据)

  4. 如果 标签受保护,则取决于分配给 Developers 和 Maintainers 的访问权限。

  5. 对于 GitLab 自托管版,所有层级都提供项目访问令牌。对于 GitLab.com,Premium 和 Ultimate 层级支持项目访问令牌(不包括 试用许可证)。

  6. 如果 项目可见性 设置为私有,Maintainer 或 Owner 无法更改项目功能的可见性级别。

Gilab Pages 的项目权限:

操作 Guest Planner Reporter Developer Maintainer Owner
查看由 访问控制 保护 Gilab Pages
管理 Gilab Pages
管理 Gilab Pages 域名和证书
移除 Gilab Pages

仓库

项目对仓库功能的权限,包括源代码、分支、推送规则等:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看项目代码 1
搜索 项目代码 2
搜索 提交和评论 3
拉取项目代码 4
查看提交状态
创建提交状态 5
更新提交状态 5
创建 Git 标签
删除 Git 标签
创建新 分支
推送到非受保护分支
强制推送到非受保护分支
删除非受保护分支
管理 受保护分支
推送到受保护分支 5
删除受保护分支
管理 受保护标签
管理 推送规则
移除派生关系
强制推送到受保护分支 6

脚注

  1. 在GitLab自托管版中,拥有访客角色的用户只能在公开和内部项目中执行此操作(不能在私有项目中)。外部用户必须获得显式访问权限(至少是报告者角色),即使项目是内部的。GitLab.com上的访客角色用户只能在对公开项目执行此操作,因为内部可见性不可用。在GitLab 15.9及更高版本中,如果管理员(在GitLab自托管版或GitLab Dedicated上)或群组所有者(在GitLab.com上)授予这些用户权限,拥有访客角色且具有Ultimate许可证的用户可以查看私有仓库内容。管理员或群组所有者可以通过API或UI创建自定义角色,并将该角色分配给用户。
  2. 在GitLab自托管版中,拥有访客角色的用户只能在公开和内部项目中执行此操作(不能在私有项目中)。外部用户必须获得显式访问权限(至少是报告者角色),即使项目是内部的。GitLab.com上的访客角色用户只能在对公开项目执行此操作,因为内部可见性不可用。在GitLab 15.9及更高版本中,如果管理员(在GitLab自托管版或GitLab Dedicated上)或群组所有者(在GitLab.com上)授予这些用户权限,拥有访客角色且具有Ultimate许可证的用户可以搜索私有仓库内容。管理员或群组所有者可以通过API或UI创建自定义角色,并将该角色分配给用户。

that role to the users. 3. 在GitLab自托管版中,拥有Guest角色的用户只能在公开项目和内部项目上执行此操作(不能在私有项目上)。外部用户必须被授予显式访问权限(至少是Reporter角色),即使项目是内部的。GitLab.com上拥有Guest角色的用户只能在对公开项目执行此操作,因为内部可见性不可用。 4. 如果分支受保护,这取决于赋予开发者和维护者的访问权限。 5. 在GitLab自托管版中,拥有Guest角色的用户只能在公开项目和内部项目上执行此操作(不能在私有项目上)。外部用户必须被授予显式访问权限(至少是Reporter角色),即使项目是内部的。GitLab.com上拥有Guest角色的用户只能在对公开项目执行此操作,因为内部可见性不可用。在GitLab 15.9及更高版本中,拥有Guest角色且具备Ultimate许可证的用户可以查看私有仓库内容,前提是管理员(在GitLab自托管版或GitLab Dedicated上)或群组所有者(在GitLab.com上)向这些用户授予权限。管理员或群组所有者可以通过API或UI创建自定义角色,并将该角色分配给用户。 6. Guest、Reporter、Developer、Maintainer或Owner不允许执行此操作。请参阅受保护的分支

合并请求

项目对合并请求的权限:

操作 访客 规划者 报告者 开发者 维护者 所有者
查看 合并请求 1
搜索 合并请求和评论 1
添加内部备注
评论并添加建议
创建代码片段
创建合并请求 2
更新合并请求详情 3
管理合并请求设置
管理合并请求审批规则
删除合并请求

脚注

  1. 在 GitLab 自托管版中,访客角色用户仅能在公开和内部项目中执行此操作(无法在私有项目中)。外部用户 即使项目为内部,也必须被授予显式访问权限(至少为报告者角色)。GitLab.com 上的访客角色用户仅能在公开项目中执行此操作,因为内部可见性不可用。
  2. 在接受外部成员贡献的项目中,用户可以创建、编辑和关闭自己的合并请求。对于私有项目,这排除了访客角色,因为这些用户无法克隆私有项目。对于内部项目,包括具有项目只读访问权限的用户,因为他们可以克隆内部项目
  3. 关于合并请求的合格审批人信息,请参阅合格审批人

用户管理

项目对用户管理的权限。

操作 访客 规划者 报告者 开发者 维护者 所有者
查看 2FA 状态
管理项目成员 1
共享(邀请)项目给群组 2

脚注

  1. 维护者无法创建、降级或移除所有者,也无法将用户提升至所有者角色。他们也不能批准所有者角色的访问请求。
  2. 当启用共享群组锁定时,项目无法与其他群组共享。这不影响群组间的共享。

子组权限

当您向子组添加成员时,他们会从父组继承成员资格和权限级别。该模型允许如果您是其中一个父组的成员,则可访问嵌套的子组。

有关更多信息,请参阅子组成员资格

## 具有最小访问权限的用户


  • 层级:Premium(高级)、Ultimate(旗舰)
  • 提供方:GitLab.com、GitLab 自托管、GitLab 专用







    
    
    




具有最小访问权限角色的用户不会:
- 自动拥有该顶级组中的项目和子组的访问权限。
- 在 GitLab 自托管旗舰版订阅或任何 GitLab.com 订阅中计为许可席位,前提是该用户在该实例或 GitLab.com 命名空间中的任何其他位置都没有其他角色。

所有者必须将这些用户显式添加到特定的子组和项目中。

你可以将最小访问权限角色与 [GitLab.com 组的 SAML 单点登录 (SSO)](group/saml_sso/_index.md) 结合使用,以控制组层次结构中组和项目的访问权限。你可以将为通过 SSO 自动添加到顶级组的成员设置默认角色为最小访问权限。

1. 在左侧边栏中,选择 **搜索或前往** 并找到你的组。
1. 选择 **设置 > SAML SSO**1.**默认成员角色** 下拉列表中选择 **最小访问权限**1. 选择 **保存更改**
### 最小访问权限用户收到 404 错误

由于存在一个 [未解决的问题](https://gitlab.com/gitlab-org/gitlab/-/issues/267996),当具有最小访问权限角色的用户:
- 使用标准网页身份验证登录时,访问父组时会收到 `404` 错误。
- 使用组 SSO 登录时,会立即收到 `404` 错误,因为他们会被重定向到父组页面。

若要规避此问题,请将这些用户的角色提升为父组中任何项目或子组的访客角色或更高。访客用户在高级层级中消耗许可席位,但在旗舰层级中不消耗。

## 相关主题

- [自定义角色](custom_roles/_index.md)
- [成员](project/members/_index.md)
- 在[受保护分支](project/repository/branches/protected.md)上自定义权限
- [LDAP 用户权限](group/access_and_permissions.md#管理组 memberships 与 LDAP)
- [价值流分析权限](group/value_stream_analytics/_index.md#访问权限)
- [项目别名](project/working_with_projects.md#项目别名)
- [审计员用户](../administration/auditor_users.md)
- [机密问题](project/issues/confidential_issues.md)
- [容器注册表权限](packages/container_registry/_index.md#容器注册表可见性权限)
- [发布权限](project/releases/_index.md#发布权限)
- [只读命名空间](read_only_namespaces.md)