1. コンプライアンスの観察と強制がなぜ 2 段階ゲートなのか
初日からブロックするコンプライアンスフレームワークは、2 日目にオフにする フレームワークです。正直なシーケンスはこうです:観察でインストールし、 自身のトラフィックに対する would-block の数値を読み、知らなかったギャップを 修正し、それからゴーライブします。OrcaRouter はそのシーケンスを姿勢モデル に組み込んでいるので、推測する必要は決してありません。(パックのインストールは あらゆるプランで有料の管理者ステップです — 観察と強制は同じ有料パックの 2 つの姿勢であり、無料ティアと有料ティアではありません。無料の観察パスは ファイアウォールとガードレールのプレーンにあり、プランゲートはありません。)観察 — ファイアウォール & ガードレールで無料
ファイアウォールポリシーを
shadow_mode にするか、ガードレールを audit に
すると、ゲートウェイは実トラフィックに対してそれを評価し、それが_何を_
したであろうかを記録します — レスポンスを決して変えずに。プラン不要;
書き込みは Developer+ にゲートされます。コンプライアンスカタログの閲覧と
準備状況ロールアップの読み取りも、どのワークスペースメンバーにも無料です。コンプライアンスパック — 有料、管理者専用
コンプライアンスパックプレーン — パックのインストール(観察モードでも)、
コントロールのセットアップ、ゴーライブ — には有料プランとワークスペース
管理者ロールが必要です。ゴーライブは、パックの実体化されたルールが実際に
呼び出しをブロック、マスク、保留し始めるところです。
観察は薄められたトライアルではありません。それは強制と同じ評価エンジンを
同じ実トラフィックに対して動かします — ただ判定の効果を抑制するだけです。
観察で見る数値は、スイッチを切り替えたときに得る数値です。
2. 各姿勢がプレーンを横断してどう見えるか
2 段階ゲートはコンプライアンスパック特有のものではありません — すべての プレーンが観察の等価物を公開します。どこでも同じ考え方です:評価しログを取り、 作用しない。| プレーン | 観察姿勢 | 強制姿勢 |
|---|---|---|
| コンプライアンスパック(有料) | observe モードでインストール — 実体化されたルールはログのみ | golive がパックを enforce に切り替え |
| ファイアウォールポリシー | shadow_mode — 判定は [shadow] would … としてログ | ライブの deny / sanitize / pending_approval |
| ファイアウォールワークスペース | firewall_observe_mode — カバーされていない呼び出しをギャップとしてログ | ポリシーがカバーされたサーフェスを評価し作用 |
| 自律性レベル | permissive — 観察のみ、強制ポリシーなし | balanced / tight — 実際の audit と deny の行 |
3. ひとつの具体的なウォークスルー
ひとつのフレームワークの観察から強制までの完全なループです。カタログの閲覧と ロールアップの読み取りは無料;パックのインストール(観察でも)と最終的なgolive はどちらも有料プランと管理者が必要です。
カタログを閲覧(無料、任意のメンバー)
コンソールで Compliance を開き、利用可能なフレームワークをレビューします。
どのワークスペースメンバーも、カタログ、インストール済みパック一覧、
準備状況ロールアップを読めます — プラン不要。
観察でインストール(有料プラン、管理者)
フレームワークのカードから Install を選びます。コンプライアンスパックの
インストールには有料プランが必要です — サーバーは無料プランのインストールを
拒否します。パックはガードレールとファイアウォールのルールを観察姿勢で
実体化し(ファイアウォールルールは
shadow_mode、ガードレールアクションは
ログのみに強制)、ゲートウェイは即座に実トラフィックに対してそれらを評価し、
すべての would-block を、1 つのレスポンスも変えずにログします。ギャップを読む(無料、任意のメンバー)
準備状況ビューは、フレームワークごとの would-block カウントを表示する
ようになりました:直近のウィンドウ内で、そのフレームワークが停止したであろう
実リクエストの数(パックのガードレールプレーンの行に帰属)。高い数値は、
強制の後ではなく前にワークフローを修正せよというシグナルです。
4. 無料/有料の境界、正確に
コンプライアンスプレーンでは、姿勢を_読む_ことだけが無料です;パックを実体化 した瞬間、有料パスに乗ります。プランチェックはサーバー側で強制されます — 直接の API 呼び出しでは回避できません。無料 — 任意のワークスペースメンバー、プラン不要
無料 — 任意のワークスペースメンバー、プラン不要
フレームワークカタログの閲覧、インストール済みパックの一覧、準備状況
ロールアップの読み取り、設定済みデータレジデンシーの読み取り、レポート
メタデータの一覧は、すべてのメンバーに無料で開放されています。ワークスペースの
最初のコンプライアンスレポートを PDF として生成することも無料です。
有料 + 管理者 — パックライフサイクル全体
有料 + 管理者 — パックライフサイクル全体
パックのインストール(観察でも)、コントロールのセットアップ、パックのゴー
ライブ(
golive)、最初の後の追加の
署名付きレポートの生成、そして
エビデンスのエクスポートを CSV/JSON
として行うことは、すべて有料プランと管理者ロールが必要です。コンプライアンス
プレーンに無料の観察ティアはありません — インストール自体がペイウォールです。管理者、プラン不要 — データレジデンシー
管理者、プラン不要 — データレジデンシー
データレジデンシーの設定は、
ワークスペース管理者ロールにゲートされていますが、有料プランの背後には
ありません — どの管理者もリージョンを設定できます。
レポートは生成されれば公的に検証可能です — アーティファクトを持つ誰もが、
レポート検証経由でアカウントなしに
その署名を確認できます。すべてのレポートが署名されます(PDF、CSV、JSON 同様);
検証は世界に開かれています。
5. 切り替える前に would-block の数値を読む
観察は、神経ではなくデータでひとつの質問に答えられるよう存在します: これがライブになったとき何が壊れるか? 2 つのサーフェスがその答えを与えます。- 準備状況ロールアップ — インストールされたコンプライアンスパックの フレームワークごとの would-block カウント(パックのガードレールプレーンの行に 帰属)であり、強制する前に、直近のトラフィックに対してどのフレームワークが 最も強く噛みつくかを確認できます。任意のワークスペースメンバーが読めます。
- ファイアウォールイベント — 各
shadow_modeポリシーが_何を_したであろうかを記録します;[shadow] would denyの行は、 まだ起きていない拒否です。Events フィードは Developer+ にゲートされます (行はツール呼び出しの来歴を持ちます)。ファイアウォールポリシー、設定、 discovered-tools ビュー、自律性シミュレータ、異常フィードは、任意のメンバーが 読めるままです。 - ガードレールマッチ — マッチフィードは、各 audit モードのガードレールが何をフラグしたであろうかを記録します。任意の メンバーが読めます。
6. 次に行く場所
プランゲーティング
どのコンプライアンスアクションに有料プランが必要で、何があらゆるティアで
無料のままかを正確に。
パックをインストールする
フレームワークのガードレールとファイアウォールのルールを観察で実体化 —
ゴーライブ前の有料の管理者ファーストステップ。
強制モード
完全な姿勢の語彙 — 観察、シャドウ、監査、強制 — すべてのプレーンを横断して。
責任共有
ゲートウェイが強制するものと、あなたの判断として残るもの。