---
title: "Resource Tagging"
type: concept
tags: ["AWS", "Tagging", "Cloud-Governance", "Cost-Allocation", "Security"]
sources: ["ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security", "public-cloud-learning-sessions-opentext-tagging-standard-v2"]
last_updated: 2026-04-28
---

## Definition
Resource Tagging（资源标签）是 AWS 及其他云平台中的元数据体系——在云资源上附加键值对，用于描述资源的业务属性、安全分类、运营信息等。标签是云环境动态化、自动化治理的基础。

## Standard Tag Taxonomy
在 OpenText/Micro Focus 云转型环境中，核心标签维度包括：

| 标签键 | 说明 | 示例 |
|--------|------|------|
| `Owner` | 资源所有者（优先使用 PDL） | `Steve.Jarman@opentext.com` |
| `Team` | 团队名称 | `ADM`, `ITOM` |
| `Type` | 资源类型 | `R&D`, `Production` |
| `BU` / `BusinessUnit` | 业务单元 | `Octane`, `ArcSight` |
| `Product` | 所属产品 | `IDM`, `Operations` |
| `Environment` | 环境 | `Production`, `UAT`, `Dev` |
| `ServerRole` | 服务器角色 | `Web`, `DB`, `App` |
| `AppID` | 应用标识 | `OCT-HUB-001` |
| `Account` | AWS 账号 | `123456789012` |

## Tagging as Security Foundation
在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中，Steve Jarman 强调：
- **迁移规划前提**：在将资产迁移至云之前，必须先收集机器信息 → 理解迁移范围 → 应用正确标签
- **标签即安全凭证**：传统基于 IP 的防火墙规则无法适应云环境动态性，标签成为安全策略的动态依据
- **SCP 强制执行**：通过 [[SCP-Security-Control-Policy]] 拒绝标签不合规的资源创建
- **Checkpoint 标签驱动**：Checkpoint Firewall 读取资源标签决定网络访问策略，标签缺失或错误导致流量被拦截

## Tagging Governance Workflow
```
制定标签标准 → IaC 自动打标 → SCP 强制合规 → Tag Validation Tool 审计 → 修正不合规资源
```
（参考 [[ctp-topic-28-aws-tag-validation-tool]]）

## Connections
- [[SCP-Security-Control-Policy]] — 标签是 SCP 的执行依据
- [[Checkpoint-Firewall]] — 标签驱动防火墙策略
- [[AWS-Landing-Zone]] — 标签体系是 LZ 治理的核心
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]
- [[public-cloud-learning-sessions-opentext-tagging-standard-v2]]