腾讯云企业实名代过 腾讯云国际站代理商主子帐号管理
一、别把主子账号当父子关系——先破个迷信
很多刚接手腾讯云国际站代理业务的朋友,第一反应是:「主账号是爹,子账号是娃,爹管娃天经地义」。错!大错特错!腾讯云国际站(Tencent Cloud International)的主子账号体系,根本不是血缘制,而是「有限责任公司+外包项目组」混合体——主账号是注册公司,子账号是签了保密协议、拿了特定工牌、只准进B3栋3楼机房的外包工程师。
你授权一个子账号管理新加坡集群,它就真只能碰新加坡那几台服务器;你给它开了东京区的只读权限,它连香港区控制台的「刷新按钮」都点不出来。这不是系统bug,是设计哲学:宁可让你多点三次鼠标,也不让你误删生产库。
二、主账号:不是皇帝,是持证上岗的项目经理
国际站主账号≠国内站主账号。它必须完成三项硬核认证:① 企业主体资质审核(营业执照+英文翻译公证);② 支付通道绑定(支持Visa/Mastercard/电汇,不收支付宝);③ 代理商等级签约(Silver/Gold/Platinum,等级决定你能开几个子账号、能卖哪些产品)。
重点来了:主账号本身不直接操作资源。它的核心KPI只有两个——发工牌(创建子账号)、定工位(分配策略)。所有API调用、控制台点击、账单生成,全部由子账号执行。主账号就像工地上的项目经理,自己不搬砖,但得确保每个工人有安全帽、知道哪块砖该往哪垒、谁超时加班谁该扣钱。
主账号的「三不原则」
- 不登录控制台:国际站主账号默认禁用控制台登录(Console Access),开启需手动申请+二次验证,且开启后自动触发审计日志告警;
- 不绑密钥:主账号AccessKey禁止用于任何自动化脚本——哪怕你写个Python爬虫查余额都不行,系统会直接冻结密钥;
- 不碰资源:主账号无法直接创建CVM、购买COS存储桶,所有操作必须通过子账号+策略组合完成。
三、子账号:不是打工人,是持证上岗的特种兵
子账号不是「主账号分身」,而是独立身份实体。创建时必须填:英文全名、企业邮箱(@yourcompany.com格式)、职位(必须选预设选项:Billing Admin / DevOps Engineer / Security Auditor)、所属部门(下拉菜单限定为已备案的部门树节点)。
最反直觉的设计在这里:子账号可以跨主账号存在。比如你代理A客户和B客户,完全可以用同一个子账号(如[email protected])同时管理两家客户的资源——只要主账号分别授予对应策略。这就像一个医生,左手持A医院执业证,右手持B医院会诊邀请函,但每次手术前必须确认手里的器械消毒单是哪家医院开具的。
子账号权限的「三层防火墙」
- 区域锁:策略里必须明确指定Region(如ap-singapore、ap-tokyo),跨区请求直接403;
- 服务锁:不能笼统写「允许所有CVM操作」,必须拆解为「允许StartInstances」「禁止TerminateInstances」「仅允许DescribeImages」;
- 标签锁:最高级权限控制——比如「仅能操作Tag=Env:Prod且Tag=ManagedBy:TeamA的资源」,连同名同区不同标签的机器都看不见。
四、策略配置:别抄模板,要画「权限地图」
国际站策略编辑器有个隐藏彩蛋:点击「可视化策略构建器」,它会自动生成一张动态拓扑图——左边是你的子账号,右边是所有可选服务,连线粗细代表权限强度,红色虚线表示「高危操作」(如DeleteBucket)。这时候你要做的,不是狂点「全选」,而是拿起红笔圈出三条线:
- 财务岗:只连Billing、Invoice、CostExplorer,且禁止ExportDetailedBill;
- 运维岗:连CVM、VPC、CLB,但所有Delete/Destroy操作加「Require MFA」开关;
- 开发岗:只连COS(仅指定Bucket)、SCF(仅自己命名空间),禁止访问SecretManager。
记住:策略不是越细越安全,而是越贴近「最小必要动作」越可靠。曾有个客户给测试工程师开了「允许创建任意规格CVM」,结果对方手抖把InstanceType输成「s6.128xlarge」,单台月费$17,200,账单邮件还没到,预算熔断机制已自动关停整个新加坡区。
五、高频踩坑现场回放
坑1:「子账号删了,主账号也登不上了?」
真相:你删的是主账号下的「子账号身份」,但该子账号可能被赋予了「主账号登录替代者」角色(Console Login Proxy)。国际站默认启用此功能——当主账号控制台登录被禁用时,系统会寻找第一个拥有「LoginAsMaster」权限的子账号作为入口。删错人?等于拆了唯一的逃生梯。
解法:删除前先在主账号策略里搜「LoginAsMaster」,把该权限转给备用子账号,再删。
坑2:「为什么子账号能看到其他代理商客户的资源?」
真相:你用了全局策略(Resource: *),而国际站多租户架构中,「*」包含所有已接入你主账号的客户资源池。这不是数据泄露,是策略设计失误。
解法:强制使用Resource ARN精确匹配,例如:arn:aws:ec2:ap-singapore:123456789012:instance/i-0abc123def4567890,绝不用arn:aws:ec2:ap-singapore:*:*。
坑3:「子账号改密码,主账号收不到通知?」
真相:国际站默认关闭主账号安全事件通知——因为太多代理商会把主账号邮箱设成公共邮箱([email protected]),怕群发告警引发钓鱼恐慌。这是反人性但合理的设计。
解法:进入主账号「Security Settings」→「Event Notifications」→勾选「IAM User Password Change」→绑定企业Slack Webhook或PagerDuty。
六、终极建议:把账号管理变成客户增值服务
真正懂行的代理商,早就不把账号管理当后台工作了。他们给客户交付的不是「一套账号密码」,而是:
• 一份《权限责任矩阵表》(谁能在何时何地操作什么,附审计日志路径);
• 一个带MFA硬件令牌的U盘(预装定制版CLI,内置客户专属Endpoint和策略缓存);
• 每季度的《权限健康度报告》(含策略冗余度分析、未使用权限占比、高危操作频次热力图)。
腾讯云企业实名代过 最后送一句大实话:在腾讯云国际站,最贵的不是服务器,是你删错一行策略后,客户凌晨三点打来的越洋电话。所以,慢一点,画张图,多点一次「预览策略效果」——那省下的两分钟,可能就是你明年续签Gold Partner的底气。
