AWS STSRegioni ed endpoint
Nota
AWS ha apportato modifiche all'endpoint globale AWS Security Token Service (AWS STS) (https://sts.amazonaws.com) nelle Regioni abilitate per impostazione predefinita al fine di migliorarne la resilienza e le prestazioni. Le richieste di AWS STS all'endpoint globale vengono servite automaticamente nella stessa Regione AWS in cui vengono serviti i tuoi carichi di lavoro. Queste modifiche non verranno implementate nelle Regioni con attivazione facoltativa. Consigliamo l'utilizzo degli endpoint regionali AWS STS appropriati. Per ulteriori informazioni, consulta Modifiche all'endpoint globale AWS STS.
La seguente tabella elenca le regioni e i relativi endpoint. Indica quali sono attivate per default e quali possono essere attivate o disattivate.
| Nome della Regione | Endpoint | Attivo per impostazione predefinita | Attivazione/disattivazione manuale |
|---|---|---|---|
| --Globale-- | sts.amazonaws.com | ||
| Stati Uniti orientali (Ohio) | sts.us-east-2.amazonaws.com | ||
| Stati Uniti orientali (Virginia settentrionale) | sts.us-east-1.amazonaws.com | ||
| Stati Uniti occidentali (California settentrionale) | sts.us-west-1.amazonaws.com | ||
| Stati Uniti occidentali (Oregon) | sts.us-west-2.amazonaws.com | ||
| Africa (Città del Capo) | sts.af-south-1.amazonaws.com | ||
| Asia Pacifico (Hong Kong) | sts.ap-east-1.amazonaws.com | ||
| Asia Pacifico (Hyderabad) | sts.ap-south-2.amazonaws.com | ||
| Asia Pacifico (Giacarta) | sts.ap-southeast-3.amazonaws.com | ||
| Asia Pacifico (Malesia) | sts.ap-southeast-5.amazonaws.com | ||
| Asia Pacifico (Melbourne) | sts.ap-southeast-4.amazonaws.com | ||
| Asia Pacifico (Mumbai) | sts.ap-south-1.amazonaws.com | ||
| Asia Pacifico (Osaka-Locale) | sts.ap-northeast-3.amazonaws.com | ||
| Asia Pacifico (Seul) | sts.ap-northeast-2.amazonaws.com | ||
| Asia Pacifico (Singapore) | sts.ap-southeast-1.amazonaws.com | ||
| Asia Pacifico (Sydney) | sts.ap-southeast-2.amazonaws.com | ||
| Asia Pacifico (Thailandia) | sts.ap-southeast-7.amazonaws.com | ||
| Asia Pacifico (Tokyo) | sts.ap-northeast-1.amazonaws.com | ||
| Canada (Centrale) | sts.ca-central-1.amazonaws.com | ||
| Canada occidentale (Calgary) | sts.ca-west-1.amazonaws.com | ||
| Cina (Pechino) | sts---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn | ||
| Cina (Ningxia) | sts---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn | ||
| Europa (Francoforte) | sts.eu-central-1.amazonaws.com | ||
| Europa (Irlanda) | sts.eu-west-1.amazonaws.com | ||
| Europa (Londra) | sts.eu-west-2.amazonaws.com | ||
| Europa (Milano) | sts.eu-south-1.amazonaws.com | ||
| Europa (Parigi) | sts.eu-west-3.amazonaws.com | ||
| Europa (Spagna) | sts.eu-south-2.amazonaws.com | ||
| Europa (Stoccolma) | sts.eu-north-1.amazonaws.com | ||
| Europa (Zurigo) | sts.eu-central-2.amazonaws.com | ||
| Israele (Tel Aviv) | sts.il-central-1.amazonaws.com | ||
| Messico (centrale) | sts.mx-central-1.amazonaws.com | ||
| Medio Oriente (Bahrein) | sts.me-south-1.amazonaws.com | ||
| Medio Oriente (Emirati Arabi Uniti) | sts.me-central-1.amazonaws.com | ||
| Sud America (San Paolo) | sts.sa-east-1.amazonaws.com |
¹È necessario abilitare la regione per utilizzarla. Ciò attiva automaticamente AWS STS. Non è possibile attivare o disattivare manualmente AWS STS in queste regioni.
²Per utilizzare AWS in Cina, hai bisogno di un account e delle credenziali specifiche di AWS in quella regione.
Modifiche all'endpoint globale AWS STS
AWS ha apportato modifiche all'endpoint globale AWS Security Token Service (AWS STS) (https://sts.amazonaws.com) nelle Regioni abilitate per impostazione predefinita, per migliorarne la resilienza e le prestazioni. Precedentemente, tutte le richieste all'endpoint globale AWS STS erano servite da un'unica Regione AWS: Stati Uniti orientali (Virginia settentrionale). Ora, nelle Regioni abilitate per impostazione predefinita, le richieste all'endpoint globale AWS STS vengono servite automaticamente nella stessa Regione da cui proviene la richiesta, anziché nella Regione Stati Uniti orientali (Virginia settentrionale). Queste modifiche non verranno implementate nelle Regioni con attivazione facoltativa.
Con questa modifica, AWS STS elaborerà la richiesta in base alla Regione di origine e al resolver DNS utilizzati. Le richieste all'endpoint globale AWS STS vengono servite nella stessa Regione del carico di lavoro AWS implementato se la richiesta DNS per l'endpoint globale AWS STS viene gestita dal server Amazon DNS nelle Regioni abilitate per impostazione predefinita. Le richieste all'endpoint globale AWS STS continueranno a essere servite nella Regione Stati Uniti orientali (Virginia settentrionale) se la richiesta proviene da Regioni con attivazione facoltativa o se la richiesta è stata risolta utilizzando un resolver DNS diverso dal server Amazon DNS. Per ulteriori informazioni su Amazon DNS, consulta Server DNS Amazon nella Guida per l'utente di Amazon Virtual Private Cloud.
La tabella seguente mostra come vengono instradate le richieste all'endpoint globale AWS STS in base al provider DNS.
| Resolver DNS | Le richieste all'endpoint globale AWS STS vengono instradate alla Regione AWS locale? |
|---|---|
|
Resolver DNS Amazon in un Amazon VPC in una Regione abilitata per impostazione predefinita |
Sì |
|
Resolver DNS Amazon in un Amazon VPC in una Regione con attivazione facoltativa |
No, la richiesta verrà instradata nella Regione Stati Uniti orientali (Virginia settentrionale) |
|
Resolver DNS fornito dal tuo ISP, da un provider DNS pubblico o da qualsiasi altro provider DNS |
No, la richiesta verrà instradata nella Regione Stati Uniti orientali (Virginia settentrionale) |
Per garantire un'interruzione minima dei processi esistenti, AWS ha implementato le seguenti misure:
-
I log AWS CloudTrail per le richieste effettuate all'endpoint globale AWS STS vengono inviati nella Regione Stati Uniti orientali (Virginia settentrionale). I log CloudTrail per le richieste servite dagli endpoint regionali AWS STS continueranno a essere registrati nella rispettiva Regione in CloudTrail.
-
I log CloudTrail per le operazioni eseguite dall'endpoint globale AWS STS e dagli endpoint regionali contengono campi aggiuntivi
endpointTypeeawsServingRegionper indicare quale endpoint e quale Regione hanno servito la richiesta. Per esempi di log CloudTrail, consulta Esempio di evento dell'API AWS STS che utilizza l'endpoint globale nel file di log CloudTrail. -
Le richieste effettuate all'endpoint globale AWS STS hanno un valore pari a
us-east-1per la chiave di condizioneaws:RequestedRegion, indipendentemente dalla Regione che ha servito la richiesta. -
Le richieste gestite dall'endpoint globale AWS STS non condividono una quota di richieste al secondo con gli endpoint regionali AWS STS.
Se disponi di carichi di lavoro in una Regione con attivazione facoltativa e stai ancora utilizzando l'endpoint globale AWS STS, ti consigliamo di effettuare la migrazione agli endpoint regionali AWS STS per migliorare la resilienza e le prestazioni. Per ulteriori informazioni sulla configurazione di endpoint regionali AWS STS, consulta AWS STS Regional endpoints nella Guida di riferimento agli strumenti e agli SDK AWS.
AWS CloudTrailEndpoint regionali e
Le chiamate agli endpoint regionali e globali vengono registrate sul campo tlsDetails in AWS CloudTrail. Le chiamate agli endpoint regionali, ad esempio us-east-2.amazonaws.com, vengono registrate in CloudTrail nella regione appropriata. Le chiamate all'endpoint globale, sts.amazonaws.com, vengono registrate come chiamate a un servizio globale. Gli eventi per gli endpoint globali AWS STS vengono registrati su us-east-1.
Nota
tlsDetails può essere visualizzato solo per i servizi che supportano questo campo. Consulta Servizi che supportano i dettagli TLS in CloudTrail nella Guida per l'utente di AWS CloudTrail
Per ulteriori informazioni, consulta Registrazione di chiamate API IAM e AWS STS con AWS CloudTrail.
