Auto-sync: 2026-04-24 00:02

2026-04-24 00:03:01 +08:00
parent bea2c71242
commit 4e9ee6f51e
74 changed files with 4235 additions and 152 deletions
--- a/wiki/concepts/AWS-Tagging-Standards.md
+++ b/wiki/concepts/AWS-Tagging-Standards.md
@@ -0,0 +1,66 @@
+---
+title: "AWS Tagging Standards"
+type: concept
+tags: [AWS, Tagging, Governance, Compliance, Policy]
+last_updated: 2026-04-14
+---
+
+## Definition
+
+AWS Tagging Standards（AWS 标签规范）是企业级 AWS Landing Zone 治理框架的核心组成部分，定义了 AWS 资源上必须使用的标准标签键（Mandatory Tags）、命名约定（Naming Conventions）和允许值列表（Allowed Values）。标签规范是企业云治理的第一道防线，直接影响网络安全策略、成本分配和资源管理效率。
+
+## Aliases
+- Tagging Policy
+- Tag Standard
+- AWS Tagging Policy
+- Tag Governance
+
+## Core Components
+
+### 1. Mandatory Tags（强制标签）
+组织定义的必须存在于所有 AWS 资源上的标签键，例如：
+- `Environment`: `dev | staging | prod`
+- `CostCenter`: 成本中心代码
+- `Owner`: 资源负责人
+- `Application`: 应用名称
+- `Project`: 项目名称
+
+### 2. Naming Conventions（命名约定）
+资源命名的标准化规则，例如：
+- `prod-web-server-001`
+- `dev-db-postgres-01`
+
+### 3. Allowed Values（允许值列表）
+每个标签键对应的允许值集合，例如：
+```yaml
+Environment:
+  - dev
+  - staging
+  - prod
+  - uat
+CostCenter:
+  - CC-001
+  - CC-002
+```
+
+## Context in This Wiki
+
+在该组织的 AWS Landing Zone 环境中，标签规范具有双重关键性：
+
+1. **Checkpoint 防火墙安全策略**：Checkpoint 防火墙读取 EC2、安全组和负载均衡器的标签值来配置网络访问策略，标签缺失或无效将直接导致流量被拦截。
+2. **服务控制策略（SCPs）**：AWS Organizations 的 SCPs 基于标签规范阻止不合规资源的新建，但仅能阻止新资源，无法处理存量不合规资源。
+3. **标签验证工具（Tag Validation Tool）**：SRE 团队开发的 Python/Boto3 工具，通过 `variables.yaml` 配置文件扫描所有现有资源并与规范比对，生成 CSV 审计报告。
+4. **未来成本核算**：标签计划用于区分同一账户下不同产品的资源消耗，支持 FinOps 成本分摊。
+
+## Related Concepts
+
+- [[AWS-Tags]]：AWS 资源标签的基础定义
+- [[Tag-Validation-Tool]]：基于标签规范的自动化审计工具
+- [[Service-Control-Policies-SCPs]]：基于标签规范的上游强制机制
+- [[Variables-YAML]]：标签验证工具的核心配置文件
+- [[FinOps]]：利用标签实现成本分摊
+
+## Sources
+
+- [[ctp-topic-28-aws-tag-validation-tool]]
+- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]