Compliance API 常见问题

关于 Compliance API 访问、权限范围、保留和集成的常见问题解答。

访问和权限范围

为什么我的父组织在创建 Admin API key 时不出现在 Claude Console 中？

这是预期行为。Claude Enterprise 父组织跨所有关联组织集中管理身份；它不承载工作负载，也不会出现在 Claude Console 中。Claude Console 只会显示父组织下关联的 Claude Console 组织。

要调用 Compliance API，您需要创建以下两种密钥类型之一：

• 要获得完整的 Compliance API 访问权限（活动动态加上聊天、文件、项目、用户和组织元数据）， 父组织的主要所有者在 claude.ai 中创建 Compliance Access Key。
• 仅需活动动态访问权限， 您 Claude Console 组织中的组织管理员在 Claude Console 中创建 Admin API key。Compliance API 必须已为组织开通，且管理员必须在开通之后创建 Admin API key 才能使其具有 read:compliance_activities 权限范围。

我可以使用普通的 Claude API 密钥调用 Compliance API 吗？

不可以。Claude API 密钥（sk-ant-api03-...）用于对 Claude API 上的 Claude 模型调用进行身份验证；它不用于对 /v1/compliance/* 的调用进行身份验证。Compliance API 仅接受 Compliance Access Key（sk-ant-api01-...）和 Admin API key（sk-ant-admin01-...）。请参阅您需要哪种密钥？了解完整映射。

为什么我的 Admin API key 在聊天或文件端点上返回 403？

Admin API key 具有固定的 read:compliance_activities 权限范围，仅授权活动动态。所有其他 Compliance API 端点都需要只有在 claude.ai 中创建的 Compliance Access Key 才能具有的权限范围。使用 Admin API key 调用内容或目录端点会返回 403，指出该端点系列所需的权限范围：聊天、文件、项目、项目附件、用户和群组成员需要 read:compliance_user_data，组织、角色和群组需要 read:compliance_org_data。例如，列出聊天会返回以下响应。

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

要访问内容端点，父组织的主要所有者必须创建 Compliance Access Key 并选择 read:compliance_user_data（删除还需要 delete:compliance_user_data），或为组织、角色和群组端点选择 read:compliance_org_data。请参阅处理 Compliance API 错误了解完整的逐端点目录。

数据覆盖范围和保留

活动动态可以追溯到多久以前？

活动动态保留 6 年的组织活动记录，新事件在发生后 1 分钟内即可查询。活动动态的保留独立于组织的内容保留策略：聊天、文件和项目内容遵循为组织配置的保留规则（默认为无限期）。

活动动态是否包含提示词或消息内容？

不包含。活动动态记录了谁在什么时候做了什么（身份验证、聊天创建、文件上传、项目变更、管理操作和类似的资源事件），但它不捕获聊天或消息中的提示词文本或模型响应。

要检索消息正文和文件内容，请使用具有 read:compliance_user_data 权限的 Compliance Access Key 的聊天、消息和文件端点。这些端点仅提供 claude.ai 内容；Claude Console 和 Claude API 工作负载通过活动动态暴露管理和资源事件，但不通过 Compliance API 暴露提示词文本或模型响应。

已删除的内容可以通过 Compliance API 恢复吗？

不可以。通过 Compliance API 执行的删除是即时、永久且不可恢复的。用户通过 claude.ai 删除的聊天是软删除：它们仍可通过 Compliance API 查看，deleted_at 字段已填充，直到组织的保留窗口到期或您通过此 API 将其硬删除。在发出 DELETE 请求之前，请提取您需要保留的任何内容（用于法律保留或归档）。

Compliance API 不捕获什么？

Compliance API 存在已知的覆盖边界：活动动态记录资源事件但不记录提示词或响应文本，Claude Console 和 Claude API 工作负载根本不暴露消息内容，被保留策略或硬删除移除的内容不可恢复。有关完整的覆盖边界和交付契约，请参阅交付保证和完整性。

集成和分页

如何将 Compliance API 记录与我的 SIEM 进行关联？

通过 actor.user_id、actor.email_address、actor.ip_address 和 created_at 将 Activity 记录与您的 SIEM 进行关联。请参阅设计您的合规集成了解关联键表和消费模式。

一个客户可以在一个父组织下拥有多个组织吗？

可以。一个 Claude Enterprise 父组织可以拥有多个关联组织，包括 claude.ai 组织和 Claude Console 组织的混合（例如独立的生产和预发 Claude Console 组织）。身份、SSO 和 SCIM 在父组织下共享；计费、成员、项目和 API 密钥对每个组织保持独立。Compliance API 的开通在父组织级别进行并级联到所有关联组织，具有 read:compliance_org_data 权限的 Compliance Access Key 可以通过 GET /v1/compliance/organizations 枚举父组织下的每个组织。

活动是否按顺序返回，如何检测已追上实时数据？

活动按最新优先排序，created_at 相同时按活动 ID 排序。要追上实时数据，通过 before_id 向前翻页直到 has_more 为 false；最后一个响应的 first_id 就是您的新游标，此时您已到达当前时间。完整的循环（包括初始回填和游标持久化的安全条件）请参阅游标驱动的增量读取。

如何获取沙盒来测试 Compliance API？

设置一个 Claude Enterprise 沙盒组织，将其链接到同一父组织下的 Claude Console 组织。这样沙盒可以同时使用活动动态（通过 Admin API key）以及聊天、文件和项目端点（通过 Compliance Access Key）。

1. 配置 Claude Enterprise 组织。 联系您的 Anthropic 代表设置 Claude Enterprise 沙盒组织，或为现有的 Claude Enterprise 组织申请 Compliance API 访问权限。
2. 创建 Claude Console 组织。 使用相同的邮箱地址在 platform.claude.com 上自行创建 Claude Console 组织。
3. 链接两个组织。 以 Claude Enterprise 组织的主要所有者身份登录，前往 claude.ai > 组织设置 > 身份和访问，使用 Merge Organizations 将两者链接到共享的父组织下。

链接完成后，按照获取 Compliance API 访问权限创建密钥并开始查询。测试组织使用与生产组织相同的开通流程。