AWS代理商 AWS亚马逊云账号回收规则

你有没有试过——早上打开AWS控制台，输入密码，点击登录，然后屏幕温柔地弹出一行字：‘The requested resource does not exist.’

不是404，不是维护中，是“requested resource does not exist”。

你揉揉眼，再输一遍密钥，清缓存，换浏览器，甚至重启路由器……最后颤巍巍点开Support Center，发现工单状态写着：‘Account deactivated per AWS Account Recovery Policy.’

那一刻，你不是在用云，你是在云里失联了。

别慌，这不是黑客攻击，是AWS在‘打扫卫生’

AWS没有公告栏、没有群发邮件、没有客服电话提醒——它就像一位穿西装的物业管家，默默记下谁家阳台堆了三年没动的旧沙发，谁家信箱塞满催缴单却从不取件，然后某天清晨，咔哒一声，把门锁换了。

这个“换锁”行为，官方叫法是Account Recovery（账号回收），但业内更爱管它叫：云上销户。注意：它不是删除，不是封禁，而是不可逆的逻辑注销——你的IAM用户、EC2实例、S3桶、Route53域名、甚至CloudFront分发配置，全变成数据库里一串被标记为‘RECOVERED’的幽灵记录。想恢复？AWS会礼貌回复：‘Sorry, that account cannot be reinstated.’

什么情况下，AWS会启动‘扫楼行动’？

根据AWS最新《Account Terms》第7.2条及《AWS Service Terms》附录C，账号回收并非随机抽查，而是有六类明确触发条件，我们一条一条拆解，顺便配个生活类比：

① 长期零活动（>12个月无API调用+无控制台登录）

✅ 触发标准：连续365天内，零次有效API请求（哪怕只查一次S3 ListBuckets也算），且零次成功控制台登录（MFA通过才算）。注意：Billing Console登录不算！账单页面围观不计入活跃。

🌰 类比：你在小区租了间公寓，签了三年合同，但从没住过、没交过水电、连门都没推开过。物业查监控确认后，直接收回钥匙，贴封条，转租给下家。

② 欠费超90天未结清

✅ 触发标准：账单逾期≥90天，且账户余额持续为负（哪怕只欠$0.01）。AWS不会给你发三次催款短信，它只在第91天凌晨2:17（PST时区）自动执行冻结→回收流水线。

🌰 类比：健身房年卡到期，你拖着没续费，工作人员也不打电话。第91天，前台把你的指纹从门禁系统里删了，更衣室柜子被清空，储物柜编号分配给了新会员。

③ 身份验证失败三次以上（含MFA设备丢失/重置失败）

✅ 触发标准：连续3次尝试恢复账户访问权限失败（如：无法验证MFA、无法回答安全问题、无法提供注册邮箱验证码），系统判定‘身份不可信’，进入回收队列。

🌰 类比：你丢了身份证又忘了银行卡密码，去银行挂失，柜台让你提供出生证明+户口本+居委会盖章说明。你翻箱倒柜只找到半张小学毕业照——银行说：‘很抱歉，我们无法确认您是您。’

④ 注册信息严重失真（如虚构公司名、无效地址、非真实手机号）

✅ 触发标准：AWS风控系统在开户审核或年度复核中，识别出注册主体信息存在欺诈性偏差（例如：公司名查无工商登记、联系电话为空号、地址是‘火星基地3号’）。一经确认，立即启动回收。

🌰 类比：你用‘孙悟空有限公司’注册外卖平台，营业执照上传的是手绘金箍棒，地址填‘花果山瀑布背面第三块石头缝’——平台不会等你补材料，直接关店。

⑤ 违反Acceptable Use Policy（AUP）被终止服务后未申诉

✅ 触发标准：因恶意扫描、挖矿、DDoS、传播恶意软件等违反AUP被暂停服务，且在14天申诉期内未提交合规整改证据，账号将由‘Suspended’转入‘Recovered’状态。

🌰 类比：你在合租屋私拉电线接比特币矿机，房东第一次警告，第二次断电，第三次直接换锁，并把你所有行李打包寄回老家。

⑥ 子账户长期脱离组织（Organizations）管控超180天

✅ 触发标准：加入AWS Organizations后又被移出，且此后180天内未主动重新绑定、也未创建新资源，该独立账户视为‘游离体’，触发回收。

🌰 类比：你从集团子公司调岗到总部，HR把你的OA账号从分公司组织架构里移出了。半年后，你既没申请新权限，也没登录过系统——IT部默认你已离职，批量清理账号。

回收不是瞬间消失，它有个‘静默期’

很多人误以为账号说没就没。其实AWS留了道‘缓冲门’：

• 冻结期（Frozen）：触发条件满足后，账户首先进入冻结状态，控制台显示‘Account is frozen’，但资源仍可读（不能写、不能付费、不能操作）；
• 通知期（Notified）：AWS会向注册邮箱发送主题为‘Action Required: Your AWS Account May Be Recovered’的邮件（注意：可能进垃圾箱！）；
• 回收窗口（72小时黄金期）：从邮件发出起，你有72小时登录Billing Console完成身份验证+充值/补资料+确认声明，否则自动进入回收流程。

AWS代理商 ⚠️ 关键提醒：这封邮件不会抄送其他邮箱，不发短信，不走企业微信/钉钉。如果你的注册邮箱早已停用、被黑、或常年塞满促销广告——恭喜，你大概率收不到任何预警。

如何保住你的云上‘房产证’？三条硬核保命指南

❶ 给账号装‘心跳监测器’
每月写个5行脚本，用AWS CLI跑一次：aws sts get-caller-identity。成功返回ARN？说明账号还活着。把它设成Cron Job，自动执行+邮件告警。这是最便宜的保活方案——成本≈一杯咖啡钱/年。

❷ 把账单邮箱当命根子养
注册邮箱必须：真实、可用、独立、不共享。禁用‘[email protected]+aws’这种别名玩法；禁用企业邮箱绑定个人账号；务必开启‘重要邮件优先推送’。建议单独注册一个Gmail，仅用于AWS+Stripe+GitHub等关键账户，每周手动检查一次收件箱。

❸ 建立‘双钥匙’灾备机制
主账号配MFA（推荐YubiKey或Google Authenticator），同时创建一个只读审计子账户，赋予SecurityAudit托管策略，并将其MFA绑定到另一台设备。万一主账号失联，你还能用子账户查日志、导备份、联系Support——毕竟AWS Support只会认‘能证明你是你’的那个账户。

最后说句掏心窝的话

AWS不是慈善机构，它是按秒计费的基础设施公司。它不负责帮你记住密码，不替你保管邮箱，更不会因为你刚入职三个月就手忙脚乱而网开一面。它的规则冷酷、透明、可预期——就像天气预报说‘明早有雨’，你不带伞被淋湿，怪不了气象局。

所以，与其祈祷账号永不失联，不如每天花30秒做件事：打开AWS Console，点一下右上角头像，看一眼账户名是否还在那里。

那行小小的文字，是你在数字世界里，最朴素的不动产证。