---
title: "AWS Tagging Standards"
type: concept
tags: [AWS, Tagging, Governance, Compliance, Policy]
last_updated: 2026-04-14
---

## Definition

AWS Tagging Standards（AWS 标签规范）是企业级 AWS Landing Zone 治理框架的核心组成部分，定义了 AWS 资源上必须使用的标准标签键（Mandatory Tags）、命名约定（Naming Conventions）和允许值列表（Allowed Values）。标签规范是企业云治理的第一道防线，直接影响网络安全策略、成本分配和资源管理效率。

## Aliases
- Tagging Policy
- Tag Standard
- AWS Tagging Policy
- Tag Governance

## Core Components

### 1. Mandatory Tags（强制标签）
组织定义的必须存在于所有 AWS 资源上的标签键，例如：
- `Environment`: `dev | staging | prod`
- `CostCenter`: 成本中心代码
- `Owner`: 资源负责人
- `Application`: 应用名称
- `Project`: 项目名称

### 2. Naming Conventions（命名约定）
资源命名的标准化规则，例如：
- `prod-web-server-001`
- `dev-db-postgres-01`

### 3. Allowed Values（允许值列表）
每个标签键对应的允许值集合，例如：
```yaml
Environment:
  - dev
  - staging
  - prod
  - uat
CostCenter:
  - CC-001
  - CC-002
```

## Context in This Wiki

在该组织的 AWS Landing Zone 环境中，标签规范具有双重关键性：

1. **Checkpoint 防火墙安全策略**：Checkpoint 防火墙读取 EC2、安全组和负载均衡器的标签值来配置网络访问策略，标签缺失或无效将直接导致流量被拦截。
2. **服务控制策略（SCPs）**：AWS Organizations 的 SCPs 基于标签规范阻止不合规资源的新建，但仅能阻止新资源，无法处理存量不合规资源。
3. **标签验证工具（Tag Validation Tool）**：SRE 团队开发的 Python/Boto3 工具，通过 `variables.yaml` 配置文件扫描所有现有资源并与规范比对，生成 CSV 审计报告。
4. **未来成本核算**：标签计划用于区分同一账户下不同产品的资源消耗，支持 FinOps 成本分摊。

## Related Concepts

- [[AWS-Tags]]：AWS 资源标签的基础定义
- [[Tag-Validation-Tool]]：基于标签规范的自动化审计工具
- [[Service-Control-Policies-SCPs]]：基于标签规范的上游强制机制
- [[Variables-YAML]]：标签验证工具的核心配置文件
- [[FinOps]]：利用标签实现成本分摊

## Sources

- [[ctp-topic-28-aws-tag-validation-tool]]
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]