AWS 在 2011 年 8 月推出了 AWS 安全令牌服務 (AWS STS),並在美國東部 (北維吉尼亞) AWS 區域設置了一個全球端點 (https://sts.amazonaws.com)。為了減少對單一區域的依賴,STS 在 2015 年 2 月推出了 AWS STS 區域端點 (https://sts.{Region_identifier}.{partition_domain})。這些區域端點允許您在與工作負載相同的區域中使用 STS,從而提高性能和可靠性。
然而,許多客戶和第三方工具仍然呼叫 STS 全球端點,因此這些客戶無法享受 STS 區域端點的好處。為了幫助提高應用程式的韌性和性能,我們正在對 STS 全球端點進行更改,客戶不需要採取任何行動。這些更改將在未來幾週內發布。
在這篇博客文章中,我們討論了即將對 STS 全球端點進行的更改及其好處,並提供我們對未來應使用哪個 STS 端點的建議。
即將對 STS 全球端點進行的更改
對 STS 全球端點進行的更改將有助於增強韌性並提高性能。目前,所有對 STS 全球端點的請求都由美國東部 (北維吉尼亞) 區域處理。從 2025 年初開始,對 STS 全球端點的請求將自動在與您的 AWS 部署工作負載相同的區域中處理。例如,如果您的應用程式從美國西部 (奧勒岡) 區域呼叫 sts.amazonaws.com,您的請求將在美國西部 (奧勒岡) 區域本地處理,而不是由美國東部 (北維吉尼亞) 區域處理。
隨著這一變化,如果您的請求來自預設啟用的 AWS 區域,對 STS 全球端點的請求將在本地處理。然而,如果您的請求來自選擇加入的區域,或者您從 AWS 外部使用 STS(例如在內部網路或數據中心中),則對 STS 全球端點的請求將繼續在美國東部 (北維吉尼亞) 區域處理。
我們將從 2025 年中期開始,逐步將這一變化推廣到預設啟用的 AWS 區域,首先從歐洲 (斯德哥爾摩) 區域開始。
我們已採取以下措施以幫助避免對您現有流程的干擾:
- 對 STS 全球端點的請求所產生的 AWS CloudTrail 日誌將發送到美國東部 (北維吉尼亞) 區域。即使請求在本地處理,STS 區域端點所處理的請求的 CloudTrail 日誌將繼續記錄到其各自的區域。
- 由 STS 全球和區域端點執行的操作的 CloudTrail 日誌將包含額外的欄位 endpointType 和 awsServingRegion,以澄清哪個端點和區域處理了請求。
- 對 sts.amazonaws.com 端點的請求將對 aws:RequestedRegion 條件鍵有一個 us-east-1 的值,無論哪個區域處理了請求。
- 由 sts.amazonaws.com 端點處理的請求不會與區域 STS 端點共享請求配額。
1. 此外,為了讓您的請求在本地處理,您的 sts.amazonaws.com 的 DNS 請求必須由 Amazon 虛擬私有雲 (Amazon VPC) 中的 Amazon DNS 伺服器處理。
我們的建議
我們繼續建議您在可能的情況下使用適當的 STS 區域端點。如果您從 AWS 外部使用 STS,例如在內部網路或數據中心中,我們建議您使用與您需要 STS 憑證來訪問的 AWS 資源位於相同區域的 STS 區域端點。如果您在選擇加入的區域(例如亞太地區 (香港) 或亞太地區 (雅加達))中構建,我們建議您使用承載您工作負載的選擇加入區域的 STS 端點。通過遵循博客文章「如何使用區域 AWS STS 端點」中的步驟,您可以識別仍在使用全球 STS 端點的工作負載,並在需要時獲得重新配置它們的見解。
如果您對這篇博客文章有反饋,請在下方的評論區提交評論。如果您對這篇文章有疑問,請聯繫 AWS 支援。
Liam Wadman
Liam 是 AWS Identity 團隊的首席解決方案架構師。當他不在 AWS 上構建令人興奮的解決方案或幫助客戶時,他通常會在不列顛哥倫比亞省的山丘上騎山地自行車。Liam 指出,您無法拼寫 LIAM 而不使用 IAM。
本文由 AI 台灣 運用 AI 技術編撰,內容僅供參考,請自行核實相關資訊。
歡迎加入我們的 AI TAIWAN 台灣人工智慧中心 FB 社團,
隨時掌握最新 AI 動態與實用資訊!
