メインコンテンツへスキップ
ワークスペースレジデンシーを eu と宣言し、その下で SOC 2 レポートを生成し、 その後ワークスペースを us に切り替えました。古い eu レポートはどうなりますか? OrcaRouter はそれを保留します。署名付きコンプライアンスレポートは生成時に リージョンスタンプされ、ワークスペースの現在の宣言されたリージョンがまだその スタンプと一致する間のみ配信されます。クロスリージョン読み取りは拒否されます — アーティファクトは、もう満たせないレジデンシー主張の下で引き渡されることは 決してありません。 このページはそのひとつのルールをカバーします:読み取り制限です。リージョン自体の 宣言と変更についてはデータレジデンシーを 参照;アーティファクトの中身については署名付きレポートを参照。

1. なぜデータレジデンシーのレポート制限が存在するのか

署名付きレポートはレジデンシー主張を運びます。eu でそれを生成すると、レポートの 開示はエビデンスアーティファクトが欧州連合にスタンプされ、リージョン分割で保存 されていると述べます。もしゲートウェイが、ワークスペースを us に移動した後に その同じアーティファクトを配信したら、配信されたコピーはもう保持していない レジデンシー主張をすることになります。
制限はエビデンスアーティファクトについてのものであり、推論トラフィックに ついてではありません。リージョンの宣言は、ゲートウェイが生成するコンプライアンス レポートをスタンプし、ローカリティ分割します。それは正直な開示 + アーティファクト ローカリティのコントロールです — それはアップストリームのモデルプロバイダが どのリージョンであなたのプロンプトを処理するかを地理的に固定しません。 アップストリームプロバイダ(サブプロセッサ)はそれ自身のリージョンでリクエスト データを処理し、レポートはまさにそれを開示します。
そのため、今や不一致のアーティファクトを密かに配信する代わりに、OrcaRouter は それを保留し、現在のリージョンで再生成するよう伝えます。

2. 一致ルール

ルールは、ダウンロード時の、レポートにスタンプされたリージョンとワーク スペースの現在の宣言されたリージョンの間の単一の比較です。
アーティファクトは、それが生成されたどのフォーマット(PDF、JSON、CSV)でも 通常通り返されます。
ダウンロードは拒否されます。アーティファクトは満たせないレジデンシーの下で 配信されることは決してありません。現在のリージョンでレポートを再生成して、 新鮮で正しくスタンプされたアーティファクトを得ます。
ワークスペースがレジデンシーを宣言だった間に生成されたレポートは レジデンシー主張を運ばないため、不一致になるものがありません — それは どのリージョンの下でも配信されます。リージョンの宣言は、宣言の後に生成 されたレポートのみをスタンプします。
宣言可能なリージョンは、閉じたセット useuukapcnglobal (加えて未設定 / 制限なしの状態)です。

3. ひとつの具体的なウォークスルー

四半期の途中でリージョンを切り替えたワークスペース:
1

eu を宣言して生成

ワークスペース管理者として、レジデンシーを eu に設定し、その四半期の SOC 2 レポートを生成します。アーティファクトは eu でスタンプされ、EU パーティションの下で保存されます。
2

ワークスペースを us に切り替え

後に、管理者が宣言されたリージョンを us に変更します。変更はワークスペース 監査証跡に記録されます。
3

古い eu レポートのダウンロードを試みる

ダウンロードは次のように保留されます:
this report's data-residency region no longer matches the workspace — regenerate it
4

us で再生成

新鮮なレポートを生成します;それは us でスタンプされ、通常通りダウンロード されます。古い eu アーティファクトはそのリージョンの下で記録に残りますが、 ワークスペースが us を宣言している間は配信されません。
リージョン切り替え後に古いレポートを読むだけが必要なら、宣言されたリージョンを レポートがスタンプされたものに戻し(管理者)、ダウンロードし、それから戻して ください。アーティファクトのスタンプは決して変わりません — ゲートは純粋に現在 対スタンプの比較です。

4. 誰が何を変更できるか

レジデンシー設定の読み取りとレポートの閲覧は、すべてのワークスペースメンバーに 開放されています。リージョンを動かす — したがって何が保留されるかを動かす — アクションは管理者専用でサーバーゲートされています。
アクションルートロール
宣言されたリージョンを読むGET /api/compliance/residencyメンバー
宣言されたリージョンを変更PUT /api/compliance/residency管理者
レポートをダウンロード(リージョンチェック付き)GET /api/compliance/reports/:id/download管理者
これらすべては、あなたのコンソールセッション下で /api/compliance/* ルートに対して 動作します。リレー(sk-orca-…)キーは関与しません — レジデンシーはコンプライアンス サーフェスの設定であり、/v1/* リクエストが運ぶものではありません。
宣言されたリージョンの変更は重大です:それは即座に、別のリージョンでスタンプ された以前生成されたすべてのレポートを保留します。リージョン変更を監査の最中に いる誰かと調整し、彼らが必要とするレポートを新しいリージョンで再生成してください。

5. これが監査人共有リンクとどう相互作用するか

読み取り専用の監査人共有リンクは、 それが発行された同じリージョンスタンプ済みアーティファクトを配信します。リンクは 基礎となるレポートのレジデンシースタンプをバイパスしません — それは既にリージョン 主張を運ぶアーティファクトのトークン化されたビューです。ワークスペースの宣言 されたリージョンを確定させた後に共有リンクを発行してください、そうすれば監査人は 後で再生成しなければならないレポートへのリンクを手渡されることがありません。

6. これがどう位置づけられるか

クロスリージョン制限は、リージョンスタンプ済みレポートを信頼できるものにする 読み取り側の保証です。その周りの部品:

データレジデンシー

レポートがスタンプされ保存されるリージョンを宣言し変更します。

署名付きレポート

Ed25519 署名済み、リージョンスタンプ済みのエビデンスパック自体を生成します。

エビデンスをエクスポートする

監査人共有リンクと CSV / JSON / PDF フォーマット。

プランゲーティング

どのコンプライアンスアクションが無料対有料で、誰が実行できるか。
ゲートウェイがアテストするものとあなたのものとして残るものの境界について — 推論の地理的固定ではなく開示コントロールとしてのレジデンシーを含めて — 責任共有を参照。