2.5 KiB
2.5 KiB
title, type, tags, last_updated
| title | type | tags | last_updated | |||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Tag Validation Tool | concept |
|
2026-04-14 |
Definition
AWS Tag Validation Tool(SRE 团队开发的 AWS 标签验证工具)是一个基于 Python 和 Boto3 的自动化审计工具,用于扫描 AWS 账户中的资源标签合规性。该工具通过 YAML 配置文件(variables.yaml)定义每个账户的合法标签键及允许值,自动扫描 EC2、安全组(Security Groups)、负载均衡器(Load Balancers)和 Lambda 函数等资源类型,将扫描结果与预期值进行比对,最终生成详细的 CSV 审计报告。
Aliases
- AWS Tag Validator
- Tag Audit Tool
- Tag Compliance Scanner
Core Components
Architecture
variables.yaml → Python/Boto3 扫描器 → CSV 审计报告
↑ ↑
合法标签配置 不合规资源列表
(per account) (Resource ID + 问题描述)
Technology Stack
| 组件 | 技术 |
|---|---|
| 语言 | Python |
| AWS SDK | Boto3 |
| 环境管理 | Poetry |
| 扫描对象 | EC2, Security Groups, Load Balancers, Lambda |
| 配置格式 | YAML |
| 输出格式 | CSV |
Configuration (variables.yaml)
tags:
Environment:
allowed_values:
- dev
- staging
- prod
CostCenter:
allowed_values:
- CC-001
- CC-002
Context in This Wiki
该工具解决了 Checkpoint 防火墙依赖标签配置网络访问策略所带来的合规性问题:
- 问题背景:SCPs(Service Control Policies)仅能阻止不合规资源的新建,无法修复已存在的存量资源
- 解决方案:该工具扫描存量资源,识别缺失或值错误的标签,生成 CSV 报告供团队修复
- 工具定位:属标签治理闭环的第三环——制定规范(Topic 10)→ 强制执行(SCPs)→ 审计发现(Topic 28)
Related Concepts
- AWS-Tags:被验证的 AWS 资源标签
- AWS-Tagging-Standards:标签规范的定义
- Variables-YAML:工具的核心配置文件
- Service-Control-Policies-SCPs:上游强制机制(阻止新资源创建但无法处理存量)
- Boto3:工具使用的 AWS Python SDK
- Poetry:工具的环境管理工具
- Checkpoint-Firewall:依赖正确标签值配置网络访问策略