Saltar para o conteúdo principal
Cada plano de controle no OrcaRouter tem duas posturas: observe, onde o gateway avalia e registra o que uma política faria mas nunca altera uma resposta, e enforce, onde a mesma política de fato bloqueia, mascara ou retém a chamada. A divisão deixa você observar um framework contra seu tráfego real por uma semana antes que uma única requisição sequer falhe — depois virar ao vivo quando os números parecem certos. Esta página é o mapa voltado ao cliente dessa fronteira: qual postura é gratuita, qual é paga, quem pode alterá-la e como ler a diferença entre as duas antes de se comprometer.

1. Por que compliance observe enforce é um gate de dois passos

Um framework de compliance que bloqueia no primeiro dia é um framework que você desliga no segundo dia. A sequência honesta é: instale em observe, leia os números de would-block contra o seu próprio tráfego, corrija as lacunas que você não sabia que tinha, depois vá ao ar. O OrcaRouter constrói essa sequência no modelo de postura para que você nunca tenha que adivinhar. (Instalar um pack é um passo pago de Admin em todo plano — observe e enforce são duas posturas do mesmo pack pago, não um tier gratuito e um tier pago. O caminho gratuito de observe vive nos planos de Firewall e Guardrails, que não têm gate de plano.)

Observe — gratuito no Firewall & Guardrails

Coloque uma política de Firewall em shadow_mode ou um Guardrail em audit, e o gateway o avalia contra o tráfego ao vivo e registra o que ele teria feito — sem nunca alterar uma resposta. Nenhum plano necessário; as escritas são gated para Developer+. Navegar pelo catálogo de compliance e ler os rollups de prontidão também são gratuitos para qualquer membro do workspace.

Compliance packs — pago, só Admin

O plano dos compliance packs — instalar um pack (mesmo em observe), configurar controles e ir ao ar — exige um plano pago e o papel de Admin do workspace. O go-live é onde as regras materializadas do pack começam de fato a bloquear, mascarar e reter chamadas.
Observe não é uma versão diluída de teste. Ela roda o mesmo motor de avaliação que o enforce contra o mesmo tráfego ao vivo — apenas suprime o efeito do veredito. Os números que você vê em observe são os números que você obterá quando virar o interruptor.

2. Como cada postura se parece nos planos

O gate de dois passos não é exclusivo dos compliance packs — todo plano expõe um equivalente de observe. Mesma ideia em todo lugar: avalie e registre, não aja.
PlanoPostura observePostura enforce
Compliance pack (pago)Instalado em observe mode — regras materializadas só registramgolive vira o pack para enforce
Política de Firewallshadow_mode — vereditos registrados como [shadow] would …deny / sanitize / pending_approval ao vivo
Workspace de Firewallfirewall_observe_mode — registra chamadas descobertas como gapsPolíticas avaliam e agem nas superfícies cobertas
Nível de Autonomiapermissive — apenas observe, sem política de enforcementbalanced / tight — linhas reais de audit e deny
Instalar um compliance pack escreve Guardrails e políticas de Firewall reais e editáveis no seu workspace em postura observe (as políticas de firewall caem em shadow_mode). Ir ao ar é apenas uma virada de postura em linhas que já existem — não uma reinstalação.

3. Um passo a passo concreto

Aqui está o loop completo de observe-para-enforce para um único framework. Navegar pelo catálogo e ler rollups são gratuitos; instalar o pack (mesmo em observe) e o golive final ambos exigem um plano pago e Admin.
1

Navegue pelo catálogo (gratuito, qualquer membro)

Abra Compliance no console e revise os frameworks disponíveis. Qualquer membro do workspace pode ler o catálogo, a lista de packs instalados e o rollup de prontidão — nenhum plano necessário.
# Read-only, session-authenticated (UserAuth) — done from the console.
GET /api/compliance/catalog
GET /api/compliance/readiness
2

Instale em observe (plano pago, Admin)

Do card do framework, escolha Install. Instalar um compliance pack exige um plano pago — o servidor rejeita uma instalação em plano gratuito. O pack materializa suas regras de guardrail e firewall em postura observe (regras de firewall em shadow_mode, ações de guardrail forçadas para log-only), de modo que o gateway as avalia contra seu tráfego ao vivo imediatamente e registra cada would-block sem alterar uma única resposta.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/install
3

Leia a lacuna (gratuito, qualquer membro)

A visão de prontidão agora mostra uma contagem de would-block por framework: quantas requisições reais na sua janela móvel o framework teria interrompido (atribuídas às linhas do plano de guardrail do pack). Um número alto é o seu sinal para corrigir um fluxo de trabalho antes de aplicar, não depois.
4

Vá ao ar (plano pago, Admin)

Quando os números parecem certos, um Admin em um plano pago vira o pack para enforce. As mesmas regras que estavam registrando agora bloqueiam, mascaram e retêm — e a política de firewall do pack deixa o shadow_mode.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/golive
As rotas de configuração (/api/compliance/*, /api/guardrail/*, /api/workspace/firewall/*) autenticam com a sua sessão de console, não com uma chave de relay. Só as chamadas de modelo /v1/* usam uma chave sk-orca-…. Os exemplos acima são mostrados como rotas para clareza, mas você conduz todos eles a partir do console.

4. A fronteira gratuito / pago, precisamente

No plano de compliance, apenas ler sua postura é gratuito; no momento em que você materializa um pack, você está em um caminho pago. A verificação de plano é aplicada no servidor — uma chamada direta de API não pode contorná-la.
Navegar pelo catálogo de frameworks, listar packs instalados, ler o rollup de prontidão, ler a residência de dados configurada e listar metadados de relatório são abertos a todo membro sem custo. Gerar o primeiro relatório de compliance do seu workspace como PDF é gratuito, também.
Instalar um pack (mesmo em observe), configurar controles, levar um pack ao ar (golive), gerar relatórios assinados adicionais além do primeiro, e exportar evidência como CSV/JSON todos exigem um plano pago e o papel de Admin. O plano de compliance não tem tier gratuito de observe — a própria instalação é o paywall.
Definir a residência de dados é gated para o papel de Admin do workspace mas não está atrás de um plano pago — qualquer Admin pode definir a região.
Os relatórios são verificáveis publicamente uma vez gerados — qualquer pessoa com o artefato pode confirmar sua assinatura sem uma conta via verificação de relatório. Cada relatório é assinado (PDF, CSV e JSON igualmente); a verificação é aberta ao mundo.

5. Leia os números de would-block antes de virar

Observe existe para que você possa responder uma pergunta com dados em vez de coragem: o que quebra quando isto vai ao ar? Duas superfícies dão a resposta.
  • Rollup de prontidão — contagens de would-block por framework para os compliance packs instalados (atribuídas às linhas do plano de guardrail do pack), para que você possa ver quais frameworks mordem mais forte contra seu tráfego móvel antes de aplicá-los. Legível por qualquer membro do workspace.
  • Eventos de Firewall — registram o que cada política shadow_mode teria feito; uma linha [shadow] would deny é uma negação que ainda não aconteceu. O feed de Events é gated para Developer+ (as linhas carregam proveniência de chamada de ferramenta). As políticas de firewall, configurações, a visão de discovered-tools, o simulador de autonomia e o feed de anomalias permanecem legíveis por qualquer membro.
  • Correspondências de Guardrails — o feed de correspondências registra o que cada guardrail em modo audit teria sinalizado. Legível por qualquer membro.
O mesmo rollout em etapas funciona no nível de autonomia. Aplique permissive (apenas observe) primeiro, observe o feed de events, depois suba para balanced e tight para as superfícies que merecem — com desfazer em um clique a partir do snapshot de auditoria. Veja a linha de base de agentes seguros.

6. Para onde ir a seguir

Plan gating

Exatamente quais ações de compliance exigem um plano pago, e o que continua gratuito em todo tier.

Instale um pack

Materialize as regras de guardrail e firewall de um framework em observe — um primeiro passo pago e de Admin antes de ir ao ar.

Modos de enforcement

O vocabulário de postura completo — observe, shadow, audit e enforce — em todo plano.

Responsabilidade compartilhada

O que o gateway aplica versus o que continua sendo sua decisão.
Observe é onde você aprende o que o enforce vai te custar. Nos planos de Firewall e Guardrails você pode observar gratuitamente; no plano dos compliance packs, install e go-live são os passos pagos de Admin — leia os números de would-block primeiro, depois leve ao ar nos seus termos.