对接亚马逊 SP-API(Amazon Selling Partner API) 第一章：AWS IAM 配置详解

1. AWS IAM 基础概念扫盲

第一次接触亚马逊SP-API的开发者，往往会在IAM配置环节卡壳。我见过不少团队在这个阶段浪费两三周时间反复调试，其实只要理解几个核心概念就能事半功倍。IAM（Identity and Access Management）就像亚马逊AWS系统的门禁管理系统，它决定了"谁"（身份）能用"什么方式"（权限）访问"哪些资源"（API）。

这里有个常见误区：很多新手会把IAM用户和IAM角色混为一谈。实际上，用户是长期存在的实体（比如你的开发账号），而角色是临时性的身份凭证。举个例子，当你的应用需要调用SP-API时，应该使用角色而非用户身份，这就像你去办公楼访客，应该用临时门禁卡而不是冒用员工卡。

理解ARN（Amazon Resource Name）也很关键。它就像是AWS资源的身份证号码，格式类似arn:aws:iam::123456789012:user/Developer。在SP-API配置过程中，你会遇到两种ARN：

• 用户ARN：用于控制台登录和基础管理
• 角色ARN：用于API调用的临时安全凭证

2. 创建IAM用户实战指南

2.1 用户创建步骤详解

登录AWS控制台后，在搜索框输入"IAM"进入管理界面。点击左侧"用户"菜单，选择"添加用户"，这里有几个关键配置点：

1. 用户名建议采用sp-api-dev这样的命名规则，便于后期维护
2. 访问类型务必勾选"编程访问"，这会生成Access Key ID和Secret Access Key
3. 权限设置先不要直接附加策略，选择"不附加任何策略"

创建完成后，立即下载CSV凭证文件。这个文件只会在创建时显示一次，丢失后只能重新生成。我建议用1Password等工具加密保存，千万不要直接提交到代码仓库。

2.2 安全加固最佳实践

很多数据泄露事件都源于IAM配置不当，这里分享几个安全技巧：

• 启用MFA多因素认证，即使密码泄露也能防护
• 定期轮换访问密钥（建议90天周期）
• 在IAM策略中限制源IP范围，比如只允许公司办公网络访问
• 设置CloudTrail日志监控异常访问行为

# 检查密钥最后使用时间的CLI命令 aws iam get-access-key-last-used --access-key-id AKIAEXAMPLEKEY

3. IAM策略精细化管理

3.1 最小权限原则实现

SP-API需要的最小权限策略如下，注意要替换为你自己的账号ID：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": "arn:aws:iam::1234567890:role/SP-API-Role" } ] }

这个策略仅允许用户担任特定角色，符合最小权限原则。我曾见过有开发者直接赋予AdministratorAccess权限，这相当于把系统root密码交给第三方应用。

3.2 策略版本控制技巧

建议为每个策略创建多个版本而不是直接修改。当需要更新权限时：

1. 创建新策略版本
2. 设置为默认版本
3. 保留旧版本一段时间作为回滚备份

通过CLI可以方便地管理策略版本：

# 列出策略版本 aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/SP-API-Policy # 删除旧版本 aws iam delete-policy-version --policy-arn arn:aws:iam::123456789012:policy/SP-API-Policy --version-id v1

4. IAM角色与STS深度配置

4.1 角色信任关系配置

创建角色时需要特别注意信任关系策略。对于SP-API，需要同时信任两种实体：

1. 你自己的IAM用户（用于本地测试）
2. 亚马逊的SP-API服务（用于生产环境）

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::1234567890:user/sp-api-dev" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "sellingpartner.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

4.2 会话令牌实战技巧

通过STS获取临时凭证时，有几个实用参数：

• DurationSeconds：控制令牌有效期（最长12小时）
• SerialNumber：配合MFA设备使用
• Policy：可以进一步限制本次会话的权限

import boto3 sts_client = boto3.client('sts') response = sts_client.assume_role( RoleArn="arn:aws:iam::123456789012:role/SP-API-Role", RoleSessionName="sp-api-session", DurationSeconds=3600, Policy='''{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{"NotIpAddress":{"aws:SourceIp":["192.0.2.0/24"]}} }] }''' )

5. 跨账号访问特殊场景

5.1 供应商-卖家账号联动

很多ISV需要同时管理多个卖家账号，这时就需要配置跨账号访问。关键步骤包括：

1. 在卖家账号创建角色，信任供应商账号
2. 在供应商账号创建策略，允许担任卖家角色
3. 通过STS跨账号获取临时凭证

5.2 权限边界应用

为防止权限过度扩散，可以使用Permissions Boundary：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": "arn:aws:iam::*:role/SP-API-*" } ] }

这个边界策略限制用户只能担任特定命名模式的角色，即使被授予其他权限也会被边界限制。

6. 常见故障排查指南

6.1 权限拒绝错误分析

当收到AccessDenied错误时，建议按以下顺序排查：

1. 检查IAM实体（用户/角色）是否附加了正确策略
2. 验证资源ARN是否拼写正确
3. 确认是否有显式Deny规则覆盖了Allow
4. 检查条件限制（如时间、IP、MFA等）

6.2 策略模拟器使用

AWS提供了在线策略模拟工具，可以预先测试策略效果：

1. 进入IAM控制台的"Policy Simulator"
2. 选择要测试的用户/角色
3. 指定要验证的API操作
4. 查看模拟结果

对于复杂场景，还可以使用CLI进行批量测试：

aws iam simulate-principal-policy \ --policy-source-arn arn:aws:iam::123456789012:user/sp-api-dev \ --action-names "sts:AssumeRole" "sts:GetSessionToken"

7. 生产环境最佳实践

7.1 多环境隔离方案

建议为不同环境创建独立IAM资源：

• 开发环境：使用宽松策略便于调试
• 测试环境：接近生产权限但限制数据范围
• 生产环境：严格遵循最小权限原则

可以通过命名规范区分：

sp-api-dev-role (开发) sp-api-staging-role (测试) sp-api-prod-role (生产)

7.2 自动化部署方案

使用Terraform或AWS CDK管理IAM资源可以避免手动操作失误：

resource "aws_iam_role" "sp_api_role" { name = "sp-api-prod-role" assume_role_policy = data.aws_iam_policy_document.sp_api_trust.json } data "aws_iam_policy_document" "sp_api_trust" { statement { actions = ["sts:AssumeRole"] principals { type = "Service" identifiers = ["sellingpartner.amazonaws.com"] } } }

记得在代码库中妥善处理敏感信息，可以使用AWS Secrets Manager或Vault管理凭证。