现象
这两天被朋友圈刷屏了吗?
这是一位互联网上卖家的收到的消息, 随着亚马逊发现并开始监管趋于严格, 可能还会有一波卖家会收到这样类似的邮件。这件事对卖家来说挺无辜的, 对与亚马逊 MWS 保持着正常沟通以及合作的三方服务提供上也被黑得很严重,因为失去了卖家的信任。
这些是不把用户信息安全放在首位的服务商给大家带来的多方受损的恶果。
TLDR
后面很长,如果不想细读可以直接阅读这里的结论。
- Amazon MWS API 是亚马逊提供的用于高效与其交互卖家市场销售行为相关的 API,类似还有 Ebay,Wish,JD
- Amazon MWS 是三方服务提供商的接入方式之一,并且是非常重要的一个,要选择合法正规的三方服务提供商。使用获取
Auth Token的他人授权方式。 - 账户所有者应该保护好自己的
Secret Key,不应该共享或者传输给任何其他人,包括亚马逊。 - 了解亚马逊的相关服务,了解他们由不同团队运营,相互独立,避免被误导。
ps: AWS 与亚马逊专业卖家 在国内类似 阿里云与天猫 或者 京东云与京东卖家入住
ps: 2018.9.5 日 Amazon 将旗下所有与广告相关的 Amazon Media Group (AMG), Amazon Marketing Services (AMS), and Amazon Advertising Platform (AAP) 进行了品牌合并,统称为 Amazon Advertising(但各自品牌仍然会存在一段时间),详细阅读官方公告。
为了能够让卖家能够更加安全的使用亚马逊三方软件的服务, EarData 团队来详细介绍一下这里的前前后后。
为什么会这样
如果你使用过不同的亚马逊三方服务的软件,那你一定有感觉几乎每一家需要利用 API 与亚马逊进行自动化信息交互的三方软件服务都需要使用一个名为 MWS 的亚马逊服务。如果你不仔细区分, 有的会被要求给予称为 Secret Key 的东西并且长相类似这样 Gh2h0sntFENdIOw1R/yrpuTp888fqwert56yuio2, 有的则要求称为 MWS Auth Token 的东西长成这样 amzn.mws.b0ab301f-bc56-21e5-8dcc-711e6a9c2c19,这些有什么区别呢?这还得从什么是 MWS 说起。
MWS 是什么?
MWS 全称为 Amazon Marketplace Web Service, 是亚马逊提供的够高效率的进行销售, 减少重复的人工劳动, 并提高与客户的响应速度而提供的一项服务, 这项服务的所包含的内容是比较专业的涉及 listing, orders, payments, reports 等等之类信息的 API。
这项服务面向的人群是谁呢?
首先需要明确的是,亚马逊所提供的 MWS 是一项提高卖家效率的开放 API,只要是合法的接入都是允许的,类似的 Ebay 也有 API, Wish 也有 API, 京东也有 API,但作为合法的三方软件提供商应该合法的遵守你所服务的市场规范,对于 MWS API 其提供了两种授权的方式,对应着卖家使用 MWS API 的两种场景。
如果你自己或公司拥有比较强的开发能力的时候
如果你的团队拥有比较强的技术能力,能力自己构建运行业务的软件,那么你应该成为 MWS Developer,然后获取到自己的开发者凭证,也就是下面两个信息:
Seller ID例如A1ZD08C7OKN228AWS ACCESS KEY ID20 位英文字母加数字, 例如022QF0EXAMPLEH9DHM02AWS SECRET ACCESS KEY(简称Secret Key) 40 位字符kWcrlEXAMPLEM/LtmEENI/aVmYvHNif5zB+d9+ct
自己技术团队开发场的场景,你应该选择左侧
MWS 官方的文档介绍
其中 Secret Key 是一个非常重要的信息,被明确标记警告⚠️,重点如下:
Secret Key应仅仅只有你和 Amazon 应该知道- 必须保护这个信息的安全,以确保自己账户的安全
- 永远不要将
Secret Key使用 email 传输或者将其共享给任何其他人 - 永远不要将
Secret Key使用 email 传输或者将其共享给任何其他人 - 永远不要将
Secret Key使用 email 传输或者将其共享给任何其他人
Secret Key 就相当与你的家的门钥匙,而且是那种你无法更换门锁的门的门钥匙,意味着你给与出去别人就可以肆无忌惮的进出。对于 拥有较强开发能力 的团队,所有的软件代码、系统部署等等都是自己的,那么这的确是一种非常合适的方式,因为所有的东西都是你的,其也有自己的适合场景:
- 软件代码、系统部署都是自己安全可控
- 不需要每隔一段时间重新授权一次,这种授权一劳永逸
如果你使用正规的三方服务,那么则是正规的三方软件服务商
比较强的技术能力团队并不是所有卖家的拥有的,随着术业专攻的趋势,市场上就一定会有技术能力强的团队来为大家提供稳定、安全、正规的提高在亚马逊上进行销售的三方服务软件。而正是因为的需求场景存在,所以亚马逊对 MWS 服务也有第二种授权方式,而这时你应获取两个信息:
Seller ID例如A1ZD08C7OKN228MWS Auth Token例如amzn.mws.cabdz021-903g-5c39-n8zb-17ds75089op7
其中 MWS Auth Token 是比较重要的信息,并且亚马逊知道这是卖家需要授权给到三方服务提供商的,为了避免卖家因为授权而忘记移除这个信息,所以默认给与了一年的有效期。而且因为三方服务提供商是卖家的主动选择,所以亚马逊为 MWS Auth Token 提供 重新授权,移除授权,邮箱验证开通等安全相关的操作,具体操作可见 EarData 的帮助文档。
三方服务商的场景,你应该选择右侧
如果你现在使用的多个三方服务商获取的信息是此形式,那么你的账号就是安全的,因为在这种形势下,要共享这个信息出去,三方服务商自己的信息也需要给予出去。对于将用户信息安全摆在首位的 EarData 团队是绝对不会允许这样的事情发生的。
如何检查并解决
能够坚持阅读到这里,那么你应该能够整体上理解 MWS 的安全的相关问题了,但事情已经发生了,所以我们还需要知道如何检查一下自己是什么情况。
我们授予别人 Secret Key 了吗?
我们访问自己账户的 SellerCentral 并选择下图的 用户权限
如果你没有自己的开发团队,那么使用安全的三方服务商授权方式应该只存在后者,拥有 撤销访问权限 以及能够对 MWS 授权令牌 进行查看。而使用 Secret Key 授权了,那么 MWS 授权令牌 则无查看功能,并且也无法 撤销此访问权限 只能 查看您的凭证 (例如图中的第一行)。
如何收回 Secret Key?
如果已经授权了 Secret Key 并且你也不记得用到授予到哪一些三方服务软件了,那么你应该很想收回这个 Secret Key,但这里亚马逊有约束:
Secret Key无法自己修改或者删除,你需要连接亚马逊的客服让其帮你进行删除。- 如果删除后还需要使用
Secret Key,那么你需要重新注册编辑您的开发人员资料,在删除了原有Secret Key之后再重新生成一下新的。
Resetting your AWS Access Key ID and Secret Key
MWS Auth Token 过期了怎么办?
如果使用了 MWS Auth Token 过了一年后过期了怎么办呢?亚马逊已经帮我们想好了,例如一位 EarData 的用户在欧洲账户(3730-6564-6388 是 EarData 团队的欧洲开发者 ID)授权快一年后,亚马逊会在接近失效的前几天发送一封邮件通知用户对相应的 MWS Auth Token 进行重新授权的操作。
如果已经收到开篇的邮件怎么办?
就如 欧洲KYC审核一样别无他法,你需要全力配合亚马逊邮件,配合其提供邮件中的内容,等待亚马逊接受到相应资料后的操作。这些资料是:
- 您第一次了解使用 MWS 帮助您运营亚马逊业务的第三方服务的方式和地点
解读:亚马逊需要知道你们是如何知道对方的 - 您使用那些服务商来帮助运营使用 MWS 的亚马逊业务(请列出所有服务提供商, 每个服务提供商都有主要的联系信息)
解读: 因为Secret Key无法区分卖家,所以需要将所有的服务提供商都提供出来,以便亚马逊进行筛查,如果有恶意的三方提供商,提供的信息多了,一交叉对比就知道了。 - 这些第三方提供的服务的描述以及您查看或接受的任何信息的副本(例如网站,电子邮件,聊天消息,论坛,其他信息)
解读:亚马逊需要了解你们的对话内容,可能需要确认三方服务商是否有恶意引导的动机。 - 对于每项服务,请告知您开始使用它的日期(月份,年份)
- 请提供每项服务的付款证明(每项服务至少两个月)
- 请确认您已审核并将来遵守上述亚马逊条款
解读:建议根据 如何回收Secret Key中的内容让亚马逊售后协助你删除已经存在的Secret Key,而新的三方服务提供商的接入,则统一使用MWS Auth Token的方式授权。