nexus/wiki/sources/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md

title, type, tags, date

title	type	tags	date
CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security	source	AWS Landing-Zone Tagging Security CTP	2026-04-14

Source File

• Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security

Summary（用中文描述）

• 核心主题：AWS Landing Zone 部署流程中的数据收集策略，以及基于标签（Tagging）的云原生安全架构设计
• 问题域：企业从传统基于 IP 的网络安全向基于身份和元数据的云安全转型过程中，如何规划 Landing Zone 并确保标签策略被强制执行
• 方法/机制：①部署前摸底 BU 资产清单、IP 地址空间及数据敏感性；②用 AWS 标签替代 IP 作为安全凭证；③通过 OU + SCP 强制标签合规；④Checkpoint 防火墙有序层（Ordered Layer）实现基于标签的流量过滤
• 结论/价值：为 CTP 系列的 Landing Zone 标签治理闭环（制定规范 → 强制执行 → 流量控制）提供了完整的端到端设计思路

Key Claims（用中文描述）

• SRE 团队通过自动化脚本实现了 DNS 和 Transit Gateway 等基础服务的高度自动化，部署前必须先完成 BU 资产清单和数据敏感性评估
• 基于标签的安全控制机制替代传统基于 IP 的防火墙规则，Checkpoint 防火墙通过读取 AWS 标签动态配置网络访问策略
• SCP 的"显式拒绝"逻辑能够强制执行标签规范，防止用户通过篡改标签绕过安全审计
• Checkpoint 防火墙的有序层（Ordered Layer）按顺序执行地理屏蔽、BU 隔离、产品隔离、环境隔离（Dev vs Prod）等策略

Key Quotes

"在部署 Landing Zone 前，必须深入了解业务部门的资产清单、IP 地址空间及数据敏感性，以便制定合适的安全姿态。" — Steve Jarman，部署规划原则 "通过 SCP 的显式拒绝逻辑，系统能够强制执行标签规范，确保资源在创建时即具备正确的归属（BU、产品、环境）。" — Pradeep，标签强制机制

Key Concepts

• Landing-Zone-Architecture：AWS Landing Zone 是一种按照最佳实践快速设置安全且多账号 AWS 环境的基础架构框架，本视频是其标签治理设计的重要实践补充
• AWS-Tagging-Standards：标签方法论，通过为资源定义标准化的元数据（如 Owner、BU、Product、Environment）作为自动化管理和安全策略执行的基础，本视频是该方法论的核心设计来源
• Service-Control-Policies-SCPs：服务控制策略，本视频中用于强制执行标签合规性，防止未经授权的标签更改，属于标签治理闭环的强制执行层
• Ordered Layer（有序层）：Checkpoint 防火墙策略的组织方式，按顺序执行地理屏蔽、BU 隔离、环境隔离等逻辑，是基于标签的流量过滤实现机制
• Tagging-Based Security Control（基于标签的安全控制）：用 AWS 标签作为安全凭证替代传统基于 IP 的防火墙规则，是云原生安全架构的核心转型方向

Key Entities

• Steve-Jarman：CTP 系列讲师，主导本次 Landing Zone 部署规划与自动化策略分享
• Pradeep：CTP 系列讲师，演示基于标签的 SCP 强制执行机制与 Checkpoint 防火墙策略
• Checkpoint：防火墙供应商，依赖 AWS 标签值配置网络访问策略的有序层（Ordered Layer）
• SRE-Team：站点可靠性工程团队，负责 Landing Zone 部署中的 DNS、Transit Gateway 等基础服务的自动化脚本编写

Connections

• Landing-Zone-Architecture ← foundational ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
• AWS-Tagging-Standards ← extends ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
• Service-Control-Policies-SCPs ← extends ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
• ctp-topic-28-aws-tag-validation-tool ← extends ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
• ctp-topic-47-enterprise-architecture-cloud-standards ← extends ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security

Contradictions

• 与 ctp-topic-1-gruntwork-landing-zone-architecture 视角差异：
  • 冲突点：Landing Zone 部署的自动化粒度
  • 当前观点（Topic 10）：DNS、Transit Gateway 等基础服务已由 SRE 团队高度自动化，强调标签驱动的安全控制
  • 对方观点（Topic 1）：强调 Gruntwork 架构中 Jenkins 服务器和 Git 分支工作流作为自动化核心，标签治理描述相对简略
  • 说明：两者互补而非冲突——Topic 1 提供账户结构和 IaC 基础，Topic 10 补充了标签驱动的安全运营闭环