Chuyển đến nội dung chính
Bạn đã khai báo residency workspace của mình là eu, sinh một báo cáo SOC 2 dưới nó, rồi sau đó chuyển workspace sang us. Điều gì xảy ra với báo cáo eu cũ? OrcaRouter giữ lại nó. Một báo cáo compliance có chữ ký được đóng dấu khu vực tại thời điểm sinh, và nó chỉ được phục vụ khi khu vực khai báo hiện tại của workspace vẫn khớp với dấu đó. Một lần đọc xuyên khu vực bị từ chối — artifact không bao giờ được trao đi dưới một tuyên bố residency mà nó không còn thỏa mãn được. Trang này bao quát một quy tắc đó: hạn chế đọc. Về việc khai báo và thay đổi chính khu vực, xem Data residency; về những gì bên trong artifact, xem Báo cáo có chữ ký.

1. Vì sao một hạn chế báo cáo data residency tồn tại

Một báo cáo có chữ ký mang một tuyên bố residency. Khi bạn sinh nó dưới eu, phần tiết lộ của báo cáo nêu rằng artifact bằng chứng được đóng dấu Liên minh Châu Âu và lưu trữ phân vùng theo khu vực. Nếu gateway sau đó phục vụ cùng artifact đó sau khi bạn chuyển workspace sang us, bản sao được phục vụ sẽ đưa ra một tuyên bố residency mà nó không còn giữ.
Hạn chế là về artifact bằng chứng, không phải traffic inference của bạn. Khai báo một khu vực đóng dấu và phân-vùng-cục-bộ các báo cáo compliance mà gateway tạo ra. Nó là một tiết lộ trung thực + control cục-bộ-hóa-artifact — nó không ghim theo địa lý khu vực nào mà một provider mô hình thượng nguồn xử lý prompt của bạn. Các provider thượng nguồn (subprocessor) xử lý dữ liệu request trong khu vực của riêng họ, và báo cáo tiết lộ chính xác điều đó.
Nên thay vì âm thầm phục vụ một artifact giờ-đã-lệch, OrcaRouter giữ lại nó và bảo bạn sinh lại dưới khu vực hiện tại.

2. Quy tắc khớp

Quy tắc là một so sánh đơn lẻ tại thời điểm tải xuống, giữa khu vực đóng dấu trên báo cáokhu vực khai báo hiện tại của workspace.
Artifact được trả về bình thường, ở bất kỳ định dạng nào (PDF, JSON, hoặc CSV) mà nó được sinh dưới đó.
Lần tải xuống bị từ chối. Artifact không bao giờ được phục vụ dưới một residency mà nó không thể thỏa mãn. Bạn sinh lại báo cáo dưới khu vực hiện tại để có một artifact mới, đóng dấu đúng.
Một báo cáo sinh khi workspace không có residency khai báo không mang tuyên bố residency nào, nên không có gì để lệch — nó được phục vụ dưới bất kỳ khu vực nào. Khai báo một khu vực chỉ đóng dấu các báo cáo sinh sau lần khai báo.
Các khu vực khai báo được là tập đóng us, eu, uk, ap, cn, và global (cộng trạng thái chưa-đặt / không-giới-hạn).

3. Một lượt đi cụ thể

Một workspace chuyển khu vực giữa quý:
1

Khai báo eu và sinh

Với tư cách Admin workspace, đặt residency thành eu và sinh báo cáo SOC 2 của quý. Artifact được đóng dấu eu và lưu trữ dưới phân vùng EU.
2

Chuyển workspace sang us

Sau đó, một Admin đổi khu vực khai báo thành us. Thay đổi được ghi vào dấu vết audit của workspace.
3

Thử tải xuống báo cáo eu cũ

Lần tải xuống bị giữ lại với:
this report's data-residency region no longer matches the workspace — regenerate it
4

Sinh lại dưới us

Sinh một báo cáo mới; nó được đóng dấu us và tải xuống bình thường. Artifact eu cũ vẫn được lưu hồ sơ dưới khu vực của nó nhưng không được phục vụ khi workspace khai báo us.
Nếu bạn chỉ cần đọc một báo cáo cũ sau một lần chuyển khu vực, hãy chuyển khu vực khai báo trở lại cái mà báo cáo được đóng dấu dưới đó (Admin), tải xuống, rồi chuyển lại. Dấu trên artifact không bao giờ thay đổi — cổng thuần túy là so sánh hiện-tại-so-với-đóng-dấu.

4. Ai có thể thay đổi gì

Đọc thiết lập residency và duyệt báo cáo mở cho mọi thành viên workspace. Các hành động di chuyển khu vực — và do đó những gì bị giữ lại — chỉ dành cho Admin và được server kiểm soát.
Hành độngRouteVai trò
Đọc khu vực đã khai báoGET /api/compliance/residencyMember
Đổi khu vực đã khai báoPUT /api/compliance/residencyAdmin
Tải xuống một báo cáo (kiểm tra khu vực)GET /api/compliance/reports/:id/downloadAdmin
Tất cả những cái này chạy đối với các route /api/compliance/* dưới session console của bạn. Không có relay key (sk-orca-…) nào tham gia — residency là một thiết lập bề-mặt-compliance, không phải thứ mà một request /v1/* mang.
Đổi khu vực khai báo là hệ trọng: nó ngay lập tức giữ lại mọi báo cáo đã sinh trước đó được đóng dấu dưới một khu vực khác. Hãy phối hợp các thay đổi khu vực với bất kỳ ai đang giữa kỳ audit, và sinh lại các báo cáo họ cần dưới khu vực mới.

5. Cách điều này tương tác với các liên kết chia sẻ auditor

Một liên kết chia sẻ auditor chỉ-đọc phục vụ cùng artifact đóng dấu khu vực mà nó được phát hành cho. Liên kết không bỏ qua dấu residency trên báo cáo nền tảng — nó là một chế độ xem có token của một artifact đã mang tuyên bố khu vực của nó. Hãy phát hành các liên kết chia sẻ sau khi bạn đã ổn định khu vực khai báo của workspace, để một auditor không bị trao một liên kết tới một báo cáo mà bạn sau đó phải sinh lại.

6. Phần này khớp vào đâu

Hạn chế xuyên khu vực là bảo đảm phía-đọc khiến một báo cáo đóng dấu khu vực đáng tin cậy. Các mảnh xung quanh nó:

Data residency

Khai báo và thay đổi khu vực mà báo cáo của bạn được đóng dấu và lưu trữ dưới đó.

Báo cáo có chữ ký

Sinh chính pack bằng chứng ký Ed25519, đóng dấu khu vực.

Xuất bằng chứng

Các liên kết chia sẻ auditor và các định dạng CSV / JSON / PDF.

Phân tầng theo gói

Những hành động compliance nào miễn phí so với trả phí, và ai có thể chạy chúng.
Về ranh giới giữa những gì gateway xác nhận và những gì vẫn thuộc về bạn — bao gồm residency như một control tiết lộ thay vì ghim inference theo địa lý — xem Trách nhiệm chia sẻ.