---
title: "Tag Validation Tool"
type: concept
tags: [AWS, Tagging, Validation, SRE, Python, Boto3, Automation]
last_updated: 2026-04-14
---

## Definition

AWS Tag Validation Tool（SRE 团队开发的 AWS 标签验证工具）是一个基于 Python 和 Boto3 的自动化审计工具，用于扫描 AWS 账户中的资源标签合规性。该工具通过 YAML 配置文件（`variables.yaml`）定义每个账户的合法标签键及允许值，自动扫描 EC2、安全组（Security Groups）、负载均衡器（Load Balancers）和 Lambda 函数等资源类型，将扫描结果与预期值进行比对，最终生成详细的 CSV 审计报告。

## Aliases
- AWS Tag Validator
- Tag Audit Tool
- Tag Compliance Scanner

## Core Components

### Architecture
```
variables.yaml  →  Python/Boto3 扫描器  →  CSV 审计报告
     ↑                                    ↑
  合法标签配置                      不合规资源列表
  (per account)                      (Resource ID + 问题描述)
```

### Technology Stack
| 组件 | 技术 |
|------|------|
| 语言 | Python |
| AWS SDK | Boto3 |
| 环境管理 | Poetry |
| 扫描对象 | EC2, Security Groups, Load Balancers, Lambda |
| 配置格式 | YAML |
| 输出格式 | CSV |

### Configuration (variables.yaml)
```yaml
tags:
  Environment:
    allowed_values:
      - dev
      - staging
      - prod
  CostCenter:
    allowed_values:
      - CC-001
      - CC-002
```

## Context in This Wiki

该工具解决了 Checkpoint 防火墙依赖标签配置网络访问策略所带来的合规性问题：

- **问题背景**：SCPs（Service Control Policies）仅能阻止不合规资源的新建，无法修复已存在的存量资源
- **解决方案**：该工具扫描存量资源，识别缺失或值错误的标签，生成 CSV 报告供团队修复
- **工具定位**：属标签治理闭环的第三环——制定规范（Topic 10）→ 强制执行（SCPs）→ 审计发现（Topic 28）

## Related Concepts

- [[AWS-Tags]]：被验证的 AWS 资源标签
- [[AWS-Tagging-Standards]]：标签规范的定义
- [[Variables-YAML]]：工具的核心配置文件
- [[Service-Control-Policies-SCPs]]：上游强制机制（阻止新资源创建但无法处理存量）
- [[Boto3]]：工具使用的 AWS Python SDK
- [[Poetry]]：工具的环境管理工具
- [[Checkpoint-Firewall]]：依赖正确标签值配置网络访问策略

## Sources

- [[ctp-topic-28-aws-tag-validation-tool]]