跳转到主要内容
你把工作区驻留地声明为 eu、在其下生成了一份 SOC 2 报告,然后 之后把工作区切换到 us。旧的 eu 报告会怎样?OrcaRouter 会 扣留它。一份签名合规报告在生成时被区域戳记,且它只在你 工作区的当前声明区域仍匹配那个戳记时才提供服务。跨区域读取被 拒绝——制品永远不会在一个它不再能满足的驻留主张下交出。 本页讲解那一条规则:读取限制。关于声明和更改区域本身,参见 数据驻留;关于制品内部 有什么,参见 签名报告

1. 为什么存在数据驻留报告限制

一份签名报告携带一个驻留主张。当你在 eu 下生成它时,报告的 披露声明该证据制品被戳记到欧盟并按区域分区存储。如果网关随后 在你把工作区移到 us 之后仍提供那同一个制品,被提供的副本就会 做出一个它不再持有的驻留主张。
该限制关乎证据制品,而非你的推理流量。声明一个区域会戳记 并按地域分区网关产生的合规报告。它是一个诚实披露 + 制品地域性 控制——它地理钉定上游模型提供商在哪个区域处理你的 提示词。上游提供商(子处理者)在它们自己的区域处理请求数据, 而报告恰好披露这一点。
所以 OrcaRouter 不会静默地提供一个现在已不匹配的制品,而是扣留 它并告诉你在当前区域下重新生成。

2. 匹配规则

规则是下载时的一次单一比较,介于报告上戳记的区域和你工作区 的当前声明区域之间。
制品正常返回,以它生成时所用的任何格式(PDF、JSON 或 CSV)。
下载被拒绝。制品永远不会在一个它无法满足的驻留下提供。你在 当前区域下重新生成报告,以获得一个新的、正确戳记的制品。
在工作区没有声明驻留地时生成的报告不携带任何驻留主张, 所以没有什么可不匹配——它在任何区域下都提供服务。声明一个 区域只戳记声明之后生成的报告。
可声明的区域是封闭集合 useuukapcnglobal (外加未设置 / 无限制状态)。

3. 一个具体演练

一个在季度中途切换区域的工作区:
1

声明 eu 并生成

作为工作区 Admin,把驻留地设为 eu 并生成本季度的 SOC 2 报告。制品被戳记为 eu 并存储在 EU 分区下。
2

把工作区切换到 us

之后,一位 Admin 把声明的区域改为 us。该更改被记录在工作区 审计轨迹中。
3

尝试下载旧的 eu 报告

下载被扣留,并带:
this report's data-residency region no longer matches the workspace — regenerate it
4

在 us 下重新生成

生成一份新报告;它被戳记为 us 并正常下载。旧的 eu 制品在 其区域下保留在案,但在工作区声明 us 时不提供服务。
如果你只是在一次区域切换后需要阅读一份旧报告,把声明的区域 切回报告被戳记所在的那个区域(Admin),下载,然后切回去。 制品上的戳记从不改变——门控纯粹是当前与戳记的比较。

4. 谁能更改什么

阅读驻留地设置和浏览报告对每个工作区 member 开放。那些移动 区域——并因此决定什么被扣留——的动作仅限 Admin 且受服务端 门控。
动作路由角色
读取声明的区域GET /api/compliance/residencyMember
更改声明的区域PUT /api/compliance/residencyAdmin
下载报告(做区域检查)GET /api/compliance/reports/:id/downloadAdmin
所有这些都在你的控制台会话下针对 /api/compliance/* 路由运行。 不涉及任何中继(sk-orca-…)密钥——驻留地是一个合规执行面设置, 而非 /v1/* 请求携带的东西。
更改声明的区域影响重大:它会立即扣留每一份此前生成、戳记在 不同区域下的报告。与任何正在审计中途的人协调区域更改,并在 新区域下重新生成他们需要的报告。

5. 这如何与审计员共享链接交互

一个只读的 审计员共享链接 提供它被铸造给的那同一个区域戳记制品。链接不绕过底层报告上的 驻留戳记——它是一个已经携带其区域主张的制品的令牌化视图。在你 确定了工作区声明的区域之后再铸造共享链接,这样审计员就不会拿到 一个指向你之后必须重新生成的报告的链接。

6. 这一切的归属

跨区域限制是让一份区域戳记报告值得信赖的读取侧保证。围绕它的 各部分:

数据驻留

声明并更改你的报告被戳记和存储所在的区域。

签名报告

生成 Ed25519 签名、区域戳记的证据包本身。

导出证据

审计员共享链接和 CSV / JSON / PDF 格式。

套餐门控

哪些合规动作免费 vs. 付费,以及谁能运行它们。
关于网关证明什么与什么仍归你之间的边界——包括把驻留地作为 披露控制而非推理地理钉定——参见 责任共担