AWS虚拟卡充值 AWS亚马逊云渠道账号管理
你有没有过这种经历?某天凌晨三点,手机狂震,告警说EC2实例突增200台,账单预估本月飙到8万;点开AWS控制台一看,一堆叫dev-test-2023-old-temp、jack_backup_v2_final_really的子账号排着队在疯狂启动t3.micro;再翻IAM用户列表,发现三年前离职的前端小哥,居然还挂着AdministratorAccess权限……
别慌——这不是黑客入侵,是典型的AWS渠道账号管理失能综合征。症状包括但不限于:账号命名像诗人写朦胧诗、权限分配靠掷骰子、MFA开启率比健身房年卡续费率还低、账单分析全靠玄学猜。
今天咱们不讲枯燥的白皮书,不背AWS官方术语表,就坐办公室茶水间边喝枸杞拿铁边唠:怎么把AWS账号从「野生放养」升级成「有机认证农场」?
一、先认清现实:你的账号,可能正在裸奔
很多团队以为「开了主账号+几个子账号=完成云治理」,实则大错特错。AWS渠道账号(尤其是通过合作伙伴或经销商开通的)常自带三重隐患:
- 身份混杂:销售给的试用账号、客户自己建的测试号、外包团队偷偷搭的临时环境,全挤在同一个AWS Organizations里,像一锅没搅匀的八宝粥;
- 权限泛滥:为图省事直接绑定
PowerUserAccess,结果实习生删库跑路时连S3桶都带回收站一起清空; - 财务失焦:所有消费堆在主账号,查账时得靠Excel手动扒Tag,最后发现70%费用来自一个叫
jenkins-build-cache的神秘S3桶——而没人记得它干啥用。
二、四步救命法:从混沌到秩序
① 切割:用Organizations画“家族分家协议”
AWS虚拟卡充值 别死守单账号!AWS Organizations不是摆设,是你的云上《民法典》。建议按「环境+角色」双维度切:比如prod-us-east-1(生产)、dev-sandbox(开发沙盒)、partner-access(第三方协作)。每个OU(组织单元)配独立SCP(服务控制策略),比如对沙盒OU限制EC2类型为t3/t4,禁止创建RDS生产实例——既防误操作,又控成本。
② 命名:拒绝诗意,拥抱身份证编号
停用admin_1、test_user这类名字!推行「部门-角色-用途-序列号」格式:fin-readonly-billing-01、eng-dev-ci-cd-03。配合IAM Identity Center(原SSO),员工入职自动创建合规账号,离职一键禁用——再也不用翻三天日志找谁动了KMS密钥。
③ 权限:最小权限不是口号,是数学题
别信「先给Admin,后面再收」——99%的团队永远不收。正确姿势是:先定义动作,再反向推策略。比如运维要重启ECS服务,就只允许ecs:UpdateService和ecs:DescribeServices,而非整个AmazonEC2FullAccess。更狠的是用Permissions Boundary:给每个角色套个「权限天花板」,即使策略写错了,也越不过边界。
④ 监控:让每一分钱都开口说话
启用AWS Cost Categories,按项目/环境/负责人打标(Tag)。搭配Cost Explorer设置周报邮件:当dev环境费用环比涨超30%,自动触发Slack提醒。我们曾靠这招揪出一个被遗忘的Lambda函数——它每秒调用一次API,每月默默烧掉$1,200,代号「云上电子香炉」。
三、避坑指南:那些血泪换来的经验
- MFA必须强制,且不许用短信:SMS易被SIM劫持,一律上TOTP(Google Authenticator/Authy)或安全密钥。我们曾在审计时发现,27个账号中19个MFA失效——因为管理员把恢复码存进了共享网盘。
- Root账号锁进保险柜:Root账号只用于创建Organization和启用Billing警报。我们把它存在加密U盘里,由CFO和CTO各持一半密码,物理隔离——听起来老土?但比被钓鱼邮件骗走$50万强。
- 删除≠结束,快照才是真凶:清理账号时,别忘了EBS快照、RDS快照、AMI镜像。某客户删光所有EC2,账单仍居高不下,最后发现是3年前的快照占了12TB存储——价格比新购一台i3.xlarge还贵。
四、终极心法:把流程刻进肌肉记忆
技术方案再完美,没人执行也是废纸。我们落地时做了三件事:
- 上线前必过「四问清单」:这个账号是否已打Tag?权限是否经Security团队审批?MFA是否激活?是否有30天自动禁用规则?
- 用CDK写「账号工厂」:每次新建环境,运行
cdk deploy --context env=staging,自动生成OU、SCP、IAM角色、预算告警——人工操作归零。 - 每月「云上户口普查」:导出IAM用户列表+登录时间+最近活动,发给各部门负责人确认:「此人还在职吗?这权限他还需要吗?」——简单粗暴,但有效。
最后送一句大实话:AWS账号管理不是IT部门的事,是每个用云人的基本素养。就像开车要系安全带,不是因为交警查得勤,而是因为你真不想撞墙。
所以,别等账单爆炸才想起整理账号。现在就打开AWS Console,花15分钟做三件事:
❶ 给Root账号启MFA;
❷ 删除所有*-temp/*-backup账号;
❸ 在Cost Explorer里建个「本月异常消费」视图。
做完你会发现:云,突然安静了。
