Hm, nochmal eine kurze Frage:
was muss man denn bei dem Modul alles online stellen, bzw. welche Ordner kann man weglassen? Ich würde sagen documentation + tests, und wenn fertig installiert evtl. auch _db, richtig? Aber was ist (mal wieder) mit vendor? Ich finde die oft verwirrend groß und unübersichtlich. Klar, dass sich composer daraus bedient, aber warum müssen quasi die Sources online sein, wenn man dort eben (noch) nicht mit composer arbeitet, sondern nur mit FTP?
Vendor muss man eigentlich komplett hochladen. Das Amazon-Modul braucht z.B. das Amazon-SDK und ein paar andere Sachen.
Na gut, dann muss man sich wohl echt daran gewöhnen, und ich will den Nutzen auch nicht generell anzweifeln, aber bei so vielen “fremden” Ordnern und Dateien frage ich mich jedes mal, ob das auch alles koscher ist, d.h. genug abgesichert gegen unbefugte Zugriffe von außen? Z.b. wird ja berechtigterweise versucht, die OXID-Versionsnr. o.ä. nicht nach außen zu posaunen, damit man es “Angreifern” nicht zu einfach macht. Aber auf der anderen Seite stehen immer mehr Dinge im Netz wie Dokumentationen, changelog, readme.md, git-files und was weiß ich nicht alles, die ja auch eine Menge preisgeben, evtl. auch nur deren bloße Existenz. Da komme ich schon lange nicht mehr ganz mit. Müssten da nicht wenigstens erheblich mehr .htaccess-Sperren zum Einsatz kommen, bzw. macht sich da überhaupt noch jmd. großartig Gedanken zu in heutiger Zeit? Oder mach ich mir zu viele? 
So, alles klar, das Modul (v3.2.1) scheint zu laufen, eben lief der Sandbox-Test auf dem Live-Server erfolgreich durch. Danke nochmal für allen geistigen Beistand! Ich würde es nun auch gerne bald ohne Sandbox freigeben, aber eine Sache fiel mir noch auf: die Übersichtsseite (cl=order) ist ja beim Amazon-Nutzung nicht wirklich hübsch, also kaum Flow-Look, zumindest oben, und recht große graue Ändern-Buttons etc. Aber ich denke mal, das ist normal und wg. des iFrames auch schlecht beeinflussbar, richtig?
Und als allerletztes (zumindest für heute) frage ich mich (und somit euch) nun, was der explizite “Amazon-Login” sein soll, für den man wohl diese Client-ID benötigt? Die hätte ich zwar auch vom Kunden, aber letztlich passiert doch auch jetzt schon (also ohne Haken+ID) genau dies: man loggt sich bei Amazon ein und kann dann mit seinen Daten bezahlen, wie auch sonst? Ich komme da wohl mit den Begrifflichkeiten durcheinander.