Passer au contenu principal
Vous avez déclaré la résidence de votre espace de travail comme eu, généré un rapport SOC 2 sous elle, puis plus tard basculé l’espace de travail vers us. Qu’arrive-t-il à l’ancien rapport eu ? OrcaRouter le retient. Un rapport de conformité signé est estampillé par région au moment de la génération, et il n’est servi que tant que la région déclarée actuelle de votre espace de travail correspond encore à cette estampille. Une lecture inter-régions est refusée — l’artefact n’est jamais livré sous une affirmation de résidence qu’il ne peut plus satisfaire. Cette page couvre cette unique règle : la restriction de lecture. Pour déclarer et changer la région elle-même, voir Résidence des données ; pour ce qui est à l’intérieur de l’artefact, voir Rapport signé.

1. Pourquoi une restriction de rapport de résidence des données existe

Un rapport signé porte une affirmation de résidence. Quand vous le générez sous eu, la divulgation du rapport indique que l’artefact de preuves est estampillé à l’Union européenne et stocké partitionné par région. Si la passerelle servait ensuite ce même artefact après que vous avez déplacé l’espace de travail vers us, la copie servie ferait une affirmation de résidence qu’elle ne détient plus.
La restriction porte sur l’artefact de preuves, pas sur votre trafic d’inférence. Déclarer une région estampille et partitionne par localité les rapports de conformité que produit la passerelle. C’est un contrôle de divulgation honnête + localité d’artefact — elle ne géo-épingle pas dans quelle région un fournisseur de modèle amont traite vos prompts. Les fournisseurs amont (sous-traitants) traitent les données de requête dans leurs propres régions, et le rapport divulgue exactement cela.
Donc, au lieu de servir silencieusement un artefact désormais discordant, OrcaRouter le retient et vous dit de régénérer sous la région actuelle.

2. La règle de correspondance

La règle est une seule comparaison au moment du téléchargement, entre la région estampillée sur le rapport et la région déclarée actuelle de votre espace de travail.
L’artefact est renvoyé normalement, dans le format (PDF, JSON ou CSV) sous lequel il a été généré.
Le téléchargement est refusé. L’artefact n’est jamais servi sous une résidence qu’il ne peut satisfaire. Vous régénérez le rapport sous la région actuelle pour obtenir un artefact frais et correctement estampillé.
Un rapport généré pendant que l’espace de travail n’avait aucune résidence déclarée ne porte aucune affirmation de résidence, donc il n’y a rien à faire discorder — il est servi sous n’importe quelle région. Déclarer une région n’estampille que les rapports générés après la déclaration.
Les régions déclarables sont l’ensemble fermé us, eu, uk, ap, cn, et global (plus l’état non défini / aucune restriction).

3. Un parcours concret

Un espace de travail qui a changé de région en milieu de trimestre :
1

Déclarez eu et générez

En tant qu’Admin de l’espace de travail, définissez la résidence sur eu et générez le rapport SOC 2 du trimestre. L’artefact est estampillé eu et stocké sous la partition de l’UE.
2

Basculez l'espace de travail vers us

Plus tard, un Admin change la région déclarée vers us. Le changement est enregistré dans la piste d’audit de l’espace de travail.
3

Essayez de télécharger l'ancien rapport eu

Le téléchargement est retenu avec :
this report's data-residency region no longer matches the workspace — regenerate it
4

Régénérez sous us

Générez un rapport frais ; il est estampillé us et se télécharge normalement. L’ancien artefact eu reste consigné sous sa région mais n’est pas servi tant que l’espace de travail est déclaré us.
Si vous avez seulement besoin de lire un ancien rapport après un changement de région, rebasculez la région déclarée vers celle sous laquelle le rapport était estampillé (Admin), téléchargez, puis rebasculez. L’estampille sur l’artefact ne change jamais — la barrière est purement la comparaison actuel-vs-estampillé.

4. Qui peut changer quoi

Lire le réglage de résidence et parcourir les rapports est ouvert à chaque membre de l’espace de travail. Les actions qui déplacent la région — et donc ce qui est retenu — sont réservées à l’Admin et gardées côté serveur.
ActionRouteRôle
Lire la région déclaréeGET /api/compliance/residencyMember
Changer la région déclaréePUT /api/compliance/residencyAdmin
Télécharger un rapport (région vérifiée)GET /api/compliance/reports/:id/downloadAdmin
Tous tournent contre les routes /api/compliance/* sous votre session console. Aucune clé de relais sk-orca-… n’est impliquée — la résidence est un réglage de la surface de conformité, pas quelque chose que porte une requête /v1/*.
Changer la région déclarée a des conséquences : cela retient immédiatement chaque rapport généré précédemment estampillé sous une région différente. Coordonnez les changements de région avec quiconque est en plein audit, et régénérez les rapports dont ils ont besoin sous la nouvelle région.

5. Comment cela interagit avec les liens de partage auditeur

Un lien de partage auditeur en lecture seule sert le même artefact estampillé par région pour lequel il a été frappé. Le lien ne contourne pas l’estampille de résidence sur le rapport sous-jacent — c’est une vue tokenisée d’un artefact qui porte déjà son affirmation de région. Frappez les liens de partage après avoir réglé la région déclarée de l’espace de travail, pour qu’un auditeur ne reçoive pas un lien vers un rapport que vous devrez ensuite régénérer.

6. Où cela s’inscrit

La restriction inter-régions est la garantie côté lecture qui rend un rapport estampillé par région digne de confiance. Les pièces autour d’elle :

Résidence des données

Déclarez et changez la région sous laquelle vos rapports sont estampillés et stockés.

Rapport signé

Générez le pack de preuves signé Ed25519 et estampillé par région lui-même.

Exporter les preuves

Les liens de partage auditeur et les formats CSV / JSON / PDF.

Plan gating

Quelles actions de conformité sont gratuites vs. payantes, et qui peut les exécuter.
Pour la frontière entre ce que la passerelle atteste et ce qui reste le vôtre — y compris la résidence comme contrôle de divulgation plutôt que géo-épinglage de l’inférence — voir Responsabilité partagée.