--- title: "CTP Topic 28 AWS Tag Validation Tool" type: source tags: [AWS, Tagging, Validation, Tool, CTP, Boto3, Checkpoint] date: 2026-04-14 --- ## Source File - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-28-aws-tag-validation-tool]] ## Summary(用中文描述) - 核心主题:SRE 团队开发的 AWS 标签验证工具,用于审计和报告 AWS 资源标签合规性。 - 问题域:Checkpoint 防火墙依赖资源标签配置网络访问策略,标签缺失或无效将导致网络拦截;同时 SCPs 仅能阻止新资源创建,无法处理存量不合规资源。 - 方法/机制:Python + Boto3 工具,通过 `variables.yaml` 配置文件定义每个账户的合法标签值,自动扫描 EC2/安全组/负载均衡器/Lambda 函数,比对预期值,输出 CSV 报告。使用 Poetry 管理 Python 环境。 - 结论/价值:该工具极大提高了标签审计效率,可识别缺失或值错误的资源 ID 和具体问题;标签还可在未来用于成本核算(按产品分摊资源消耗)。 ## Key Claims(用中文描述) - Checkpoint 防火墙通过读取 EC2、安全组、负载均衡器的标签值动态配置网络访问策略,标签无效或缺失时防火墙将拦截相关流量。 - Service Control Policies(SCPs)可在组织层面阻止不合规资源的新建,但不能修复已存在的存量资源。 - AWS 标签验证工具通过 YAML 配置文件定义每个账户的合法标签键和允许值,自动扫描多种 AWS 资源并生成 CSV 审计报告。 - 该工具由 SRE 团队开发和维护,存放于 SRE Tools Repository,使用 Poetry 管理 Python 依赖。 - 标签策略除网络安全用途外,未来还计划用于成本核算,区分同一账户下不同产品的资源消耗。 ## Key Quotes > "Checkpoint Firewall reads the tags on EC2 instances, security groups, and load balancers to configure network access policies — if the tags are missing or invalid, the firewall will block that traffic." — Lewis Brown,阐述标签与网络安全的直接关联 > "The validation tool reads from a YAML file that contains all the expected tag keys and allowed values for a given AWS account." — Lewis Brown,阐述工具的核心工作机制 ## Key Concepts - [[AWS-Tags]]:附加在 AWS 资源上的元数据(键值对),用于识别管理和安全策略执行。 - [[Tag-Validation-Tool]]:SRE 团队开发的 Python 工具,通过 Boto3 扫描 AWS 资源并比对 YAML 配置中的预期标签值。 - [[Service-Control-Policies-SCPs]]:AWS Organizations 策略类型,用于集中强制执行标签规范,阻止不合规资源创建。 - [[Variables-YAML]]:该验证工具的核心配置文件,定义特定账户所期望的合法标签键及允许值列表。 - [[AWS-Tagging-Standards]]:AWS 标签规范,涵盖命名约定、强制标签键、成本标签策略等。 - [[Poetry]]:Python 依赖管理和打包工具,用于该验证工具的环境隔离和依赖管理。 - [[Boto3]]:Python AWS SDK,该验证工具通过 Boto3 调用 AWS API 扫描资源标签。 ## Key Entities - [[Lewis-Brown]]:SRE 团队成员,本次视频讲师,介绍 AWS 标签验证工具。 - [[Checkpoint]]:防火墙供应商,其防火墙产品读取 AWS 资源标签以配置网络访问策略。 - [[SRE-Team]]:开发和维护该标签验证工具的团队,存放工具于 SRE Tools Repository。 - [[SRE-Tools-Repository]]:内部代码仓库,存放该验证工具及其他 SRE 自动化脚本。 - [[Boto3]]:AWS 官方 Python SDK,该工具的技术基础。 - [[Poetry]]:Python 包管理工具,该工具的环境管理方案。 ## Connections - [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← extends ← [[ctp-topic-28-aws-tag-validation-tool]] - [[ctp-topic-10-aws-tagging-deep-dive]] ← related ← [[ctp-topic-28-aws-tag-validation-tool]] - [[AWS-Landing-Zone-Governance]] ← context ← [[ctp-topic-28-aws-tag-validation-tool]] ## Contradictions - 无冲突检测。该工具与 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 构成互补关系——后者聚焦标签收集机制和 Checkpoint 防火墙的安全策略上下文,前者聚焦如何检测和报告不合规资源。两者共同构成完整的标签治理闭环(制定规范 → 强制执行 → 审计发现)。