AWS优惠码 AWS亚马逊云分销商帐号托管

AWS优惠码 别再把‘托管’当‘代管’：AWS分销商账号托管的真相

朋友老张上周发来截图，说他公司刚和某AWS金牌分销商签了「全托管服务」协议，结果上线第三天，财务发现一笔37万的EC2预留实例续费被自动触发——而他们压根没提过这个需求。更尴尬的是，当他打电话质问时，对方客服慢悠悠回了一句：‘您授权了我们管理员权限啊，系统判定是您自己的操作。’

这事儿听着离谱？但现实中，90%以上的企业在签AWS分销商托管协议前，根本没打开过IAM策略文档，更别说细读那份藏在附件第17页的《权限授予范围说明书》。大家嘴上喊着‘托管’，心里想的却是‘甩手掌柜’；分销商嘴上答应‘全包’，实际干的只是‘半截子运维’。今天咱们不画大饼、不念PPT，就用咖啡泼醒几个常见幻觉。

一、先撕开三张标签：托管 ≠ 代签，≠ 代运营，≠ 账号送人

第一张标签：托管不是帮你‘代签AWS合同’。 有些企业误以为找分销商托管=让对方替自己和AWS签主协议。错！AWS全球主协议（MSPA）只认最终客户为法律主体。分销商顶多帮你走‘转售通道’，合同抬头、付款主体、法律责任，统统还是你公司名字。他们能做的，是帮你谈判折扣、争取Credits、协调AWS技术支持入口——但签字笔，必须握在你手里。

第二张标签：托管不是‘我躺平，你上线’的代运营。 真正的代运营，是你连AWS控制台长啥样都不知道，所有资源创建、扩缩容、故障响应全由对方完成。而分销商托管，本质是有限权限下的协同治理：他们可建VPC，但不能删你生产数据库的快照；能调优S3存储类，但改不了你的CloudTrail日志投递地址。权限像一把带刻度的尺子——你划到哪，他们才量到哪。

第三张标签：账号永远不‘送’给分销商。 听到‘托管账号’就脑补‘我把root密码给你’？危险！合规红线在此：AWS要求客户始终持有主账号（Root Account）控制权。分销商拿到的，只能是经你严格配置的IAM角色（如AWSServiceRoleForOrganizations），或你主动创建的受限用户（如aws-mgmt-prod-ops）。哪怕对方声称‘技术需要最高权限’，也必须通过STS临时令牌+最小权限原则实现，且有效期不超过24小时。

二、权限设计：不是‘给钥匙’，是‘装指纹锁+监控探头’

我们帮37家企业做过托管方案审计，发现82%的权限配置存在‘过度授信’。典型操作是：直接给分销商AttachAdministratorAccess策略。结果呢？对方工程师顺手清理了旧Lambda函数——而那函数正默默跑着每日财务对账任务。

健康的做法分三层：

• 访问层：用AWS Organizations统一管理，将客户账号设为管理账户（Management Account），分销商仅获得成员账户（Member Account）的特定角色假设权限（AssumeRole）；
• 动作层：基于资源标签（Tag）做策略限制，例如：仅允许对打标env=prod且owner=distributor的EC2执行Stop操作，禁止Start；
• 审计层：强制开启CloudTrail日志跨账户投递至客户独立S3桶，并配置EventBridge规则——只要有人尝试DetachInternetGateway，立刻触发企业微信告警。

记住：真正的托管，是让分销商‘看得见、动得准、留得痕’，而不是‘进得去、改得疯、查不到’。

三、钱袋子怎么守？账单归属的三个生死线

最易爆雷的，永远是钱。

生死线1：主账单归属权不可让渡。 分销商可以帮你下载账单CSV、生成成本分析报表，甚至代你向AWS申请发票重开——但原始账单PDF、AWS Cost Explorer原始数据、所有Credits使用记录，必须且只能从你的AWS Billing Console导出。任何‘我们代你收账单邮件’的说法，都是合规地雷。

生死线2：预留实例（RI）与Savings Plans的‘所有权印章’。 RI不是‘买了就省’，而是‘买了就得管’。分销商若替你购买RI，请务必确认：RI关联的Account ID是你主账号ID，而非分销商测试账号ID。曾有客户因RI买在分销商名下，迁移时发现无法转让，硬生生多付18个月费用。

生死线3：第三方服务费的‘穿透式透明’。 比如你用了DataSync做数据迁移，分销商报价里含‘数据传输加速服务费’。此时必须要求其提供AWS原始计费明细（Line Item Detail），核对是否真产生了Global Accelerator流量费——很多所谓‘加速费’，不过是把普通S3跨区复制费用加价50%重打包。

四、交接不是交U盘，是交‘信任链’

托管服务终止时，90%纠纷源于交接不干净。我们列个硬核Checklist：

• ✅ 所有由分销商创建的IAM用户/角色，已全部禁用并标记删除（非立即删除，保留30天观察期）；
• ✅ 所有跨账户角色（Cross-Account Role）的信任策略（Trust Policy）中，已移除分销商AWS Account ID；
• ✅ CloudWatch Alarms、EventBridge Rules、Lambda Destinations中，所有指向分销商监控平台的Endpoint，已替换为你方自有系统URL；
• ✅ 最关键一条：登录AWS Support Center，检查‘Alternate Contacts’里是否还留着分销商邮箱——这里一旦遗漏，未来安全漏洞通知会发到对方手里。

五、最后送你一句大实话

AWS托管，从来不是找个人帮你点鼠标。它是用权限策略当砖、用账单审计当灰、用交接清单当水泥，一砖一瓦砌出来的责任共治体系。选分销商时，别光看他们拿了多少金牌认证，先让他们现场演示：如何在5分钟内，仅凭你给的Read-Only Access Key，定位到某台异常ECS实例的最近三次Stop操作是谁、何时、通过哪个API触发的。

如果对方掏出的是‘我们后台有监控大屏’，而不是直接打开CloudTrail Event History——转身就走。真正的托管能力，不在PPT里，而在你随时能调取的每一行日志里。