这是预期行为。Claude Enterprise 父组织跨所有关联组织集中管理身份；它不承载工作负载，也不会出现在 Claude Console 中。Claude Console 只会显示父组织下关联的 Claude Console 组织。要调用 Compliance API，您需要创建以下两种密钥类型之一： - **要获得完整的 Compliance API 访问权限（[活动动态](/docs/en/manage-claude/compliance-activity-feed)加上聊天、文件、项目、用户和组织元数据），** 父组织的主要所有者在 claude.ai 中创建 [Compliance Access Key](/docs/en/manage-claude/compliance-api-access#create-a-compliance-access-key)。 - **仅需活动动态访问权限，** 您 Claude Console 组织中的组织管理员在 Claude Console 中创建 [Admin API key](/docs/en/manage-claude/compliance-api-access#create-an-admin-api-key)。Compliance API 必须已为组织开通，且管理员必须在开通之后创建 Admin API key 才能使其具有 `read:compliance_activities` 权限范围。

不可以。Claude API 密钥（`sk-ant-api03-...`）用于对 Claude API 上的 Claude 模型调用进行身份验证；它不用于对 `/v1/compliance/*` 的调用进行身份验证。Compliance API 仅接受 Compliance Access Key（`sk-ant-api01-...`）和 Admin API key（`sk-ant-admin01-...`）。请参阅[您需要哪种密钥？](/docs/en/manage-claude/compliance-api-access#which-key-do-you-need)了解完整映射。

Admin API key 具有固定的 `read:compliance_activities` 权限范围，仅授权活动动态。所有其他 Compliance API 端点都需要只有在 claude.ai 中创建的 Compliance Access Key 才能具有的权限范围。使用 Admin API key 调用内容或目录端点会返回 403，指出该端点系列所需的权限范围：聊天、文件、项目、项目附件、用户和群组成员需要 `read:compliance_user_data`，组织、角色和群组需要 `read:compliance_org_data`。例如，列出聊天会返回以下响应。 ```json Response { "error": { "type": "permission_error", "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']" } } ``` 要访问内容端点，父组织的主要所有者必须[创建 Compliance Access Key](/docs/en/manage-claude/compliance-api-access#create-a-compliance-access-key) 并选择 `read:compliance_user_data`（删除还需要 `delete:compliance_user_data`），或为组织、角色和群组端点选择 `read:compliance_org_data`。请参阅[处理 Compliance API 错误](/docs/en/manage-claude/compliance-errors#403-forbidden)了解完整的逐端点目录。

活动动态保留 6 年的组织活动记录，新事件在发生后 1 分钟内即可查询。活动动态的保留独立于组织的内容保留策略：聊天、文件和项目内容遵循为组织配置的保留规则（默认为无限期）。

不包含。活动动态记录了谁在什么时候做了什么（身份验证、聊天创建、文件上传、项目变更、管理操作和类似的资源事件），但它不捕获聊天或消息中的提示词文本或模型响应。要检索消息正文和文件内容，请使用具有 `read:compliance_user_data` 权限的 Compliance Access Key 的聊天、消息和文件端点。这些端点仅提供 claude.ai 内容；Claude Console 和 Claude API 工作负载通过活动动态暴露管理和资源事件，但不通过 Compliance API 暴露提示词文本或模型响应。

不可以。通过 Compliance API 执行的删除是即时、永久且不可恢复的。用户通过 claude.ai 删除的聊天是软删除：它们仍可通过 Compliance API 查看，`deleted_at` 字段已填充，直到组织的保留窗口到期或您通过此 API 将其硬删除。在发出 `DELETE` 请求之前，请提取您需要保留的任何内容（用于法律保留或归档）。

Compliance API 存在已知的覆盖边界：活动动态记录资源事件但不记录提示词或响应文本，Claude Console 和 Claude API 工作负载根本不暴露消息内容，被保留策略或硬删除移除的内容不可恢复。有关完整的覆盖边界和交付契约，请参阅[交付保证和完整性](/docs/en/manage-claude/compliance-integration-patterns#delivery-guarantees-and-completeness)。

通过 `actor.user_id`、`actor.email_address`、`actor.ip_address` 和 `created_at` 将 `Activity` 记录与您的 SIEM 进行关联。请参阅[设计您的合规集成](/docs/en/manage-claude/compliance-integration-patterns#correlate-with-your-siem)了解关联键表和消费模式。

可以。一个 Claude Enterprise 父组织可以拥有多个关联组织，包括 claude.ai 组织和 Claude Console 组织的混合（例如独立的生产和预发 Claude Console 组织）。身份、SSO 和 SCIM 在父组织下共享；计费、成员、项目和 API 密钥对每个组织保持独立。Compliance API 的开通在父组织级别进行并级联到所有关联组织，具有 `read:compliance_org_data` 权限的 Compliance Access Key 可以通过 `GET /v1/compliance/organizations` 枚举父组织下的每个组织。

活动按最新优先排序，`created_at` 相同时按活动 ID 排序。要追上实时数据，通过 `before_id` 向前翻页直到 `has_more` 为 `false`；最后一个响应的 `first_id` 就是您的新游标，此时您已到达当前时间。完整的循环（包括初始回填和游标持久化的安全条件）请参阅[游标驱动的增量读取](/docs/en/manage-claude/compliance-integration-patterns#cursor-driven-incremental-reads)。

设置一个 Claude Enterprise 沙盒组织，将其链接到同一父组织下的 Claude Console 组织。这样沙盒可以同时使用活动动态（通过 Admin API key）以及聊天、文件和项目端点（通过 Compliance Access Key）。 1. **配置 Claude Enterprise 组织。** 联系您的 Anthropic 代表设置 Claude Enterprise 沙盒组织，或为现有的 Claude Enterprise 组织[申请 Compliance API 访问权限](/docs/en/manage-claude/compliance-api-access#request-compliance-api-access)。 2. **创建 Claude Console 组织。** 使用相同的邮箱地址在 `platform.claude.com` 上自行创建 Claude Console 组织。 3. **链接两个组织。** 以 Claude Enterprise 组织的主要所有者身份登录，前往 [claude.ai > 组织设置 > 身份和访问](https://claude.ai/admin-settings/identity)，使用 **Merge Organizations** 将两者链接到共享的父组织下。链接完成后，按照[获取 Compliance API 访问权限](/docs/en/manage-claude/compliance-api-access)创建密钥并开始查询。测试组织使用与生产组织相同的开通流程。