AWS STS のリージョンとエンドポイント
注記
回復性とパフォーマンスを向上させるために、AWS は、デフォルトで有効になっているリージョンの AWS Security Token Service (AWS STS) グローバルエンドポイント (https://sts.amazonaws.com) を変更しました。グローバルエンドポイントへの AWS STS リクエストは、ワークロードと同じ AWS リージョン で自動的に処理されます。これらの変更はオプトインリージョンにはデプロイされません。適切な AWS STS リージョンエンドポイントを使用することをお勧めします。詳細については、「AWS STS グローバルエンドポイントの変更」を参照してください。
次の表に、リージョンとそのエンドポイントを一覧表示します。ここには、デフォルトでアクティブ化されるものや、ユーザーがアクティブ化または非アクティブ化できるものが示されています。
| リージョン名 | Endpoint | デフォルトでアクティブ | 手動でアクティブ化/非アクティブ化 |
|---|---|---|---|
| --グローバル-- | sts.amazonaws.com | ||
| 米国東部 (オハイオ) | sts.us-east-2.amazonaws.com | ||
| 米国東部 (バージニア北部) | sts.us-east-1.amazonaws.com | ||
| 米国西部 (北カリフォルニア) | sts.us-west-1.amazonaws.com | ||
| 米国西部 (オレゴン) | sts.us-west-2.amazonaws.com | ||
| アフリカ (ケープタウン) | sts.af-south-1.amazonaws.com | ||
| アジアパシフィック (香港) | sts.ap-east-1.amazonaws.com | ||
| アジアパシフィック (ハイデラバード) | sts.ap-south-2.amazonaws.com | ||
| アジアパシフィック (ジャカルタ) | sts.ap-southeast-3.amazonaws.com | ||
| アジアパシフィック (マレーシア) | sts.ap-southeast-5.amazonaws.com | ||
| アジアパシフィック (メルボルン) | sts.ap-southeast-4.amazonaws.com | ||
| アジアパシフィック (ムンバイ) | sts.ap-south-1.amazonaws.com | ||
| アジアパシフィック (大阪) | sts.ap-northeast-3.amazonaws.com | ||
| アジアパシフィック (ソウル) | sts.ap-northeast-2.amazonaws.com | ||
| アジアパシフィック (シンガポール) | sts.ap-southeast-1.amazonaws.com | ||
| アジアパシフィック (シドニー) | sts.ap-southeast-2.amazonaws.com | ||
| アジアパシフィック (タイ) | sts.ap-southeast-7.amazonaws.com | ||
| アジアパシフィック (東京) | sts.ap-northeast-1.amazonaws.com | ||
| カナダ (中部) | sts.ca-central-1.amazonaws.com | ||
| カナダ西部 (カルガリー) | sts.ca-west-1.amazonaws.com | ||
| 中国 (北京) | sts---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn | ||
| 中国 (寧夏) | sts---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn | ||
| 欧州 (フランクフルト) | sts.eu-central-1.amazonaws.com | ||
| 欧州 (アイルランド) | sts.eu-west-1.amazonaws.com | ||
| 欧州 (ロンドン) | sts.eu-west-2.amazonaws.com | ||
| 欧州 (ミラノ) | sts.eu-south-1.amazonaws.com | ||
| 欧州 (パリ) | sts.eu-west-3.amazonaws.com | ||
| 欧州 (スペイン) | sts.eu-south-2.amazonaws.com | ||
| 欧州 (ストックホルム) | sts.eu-north-1.amazonaws.com | ||
| 欧州 (チューリッヒ) | sts.eu-central-2.amazonaws.com | ||
| イスラエル (テルアビブ) | sts.il-central-1.amazonaws.com | ||
| メキシコ (中部) | sts.mx-central-1.amazonaws.com | ||
| 中東 (バーレーン) | sts.me-south-1.amazonaws.com | ||
| 中東 (アラブ首長国連邦) | sts.me-central-1.amazonaws.com | ||
| 南米 (サンパウロ) | sts.sa-east-1.amazonaws.com |
¹リージョンで使用するには、リージョンを有効にする必要があります。これにより、AWS STS が自動的にアクティブになります。これらのリージョンで AWS STS を手動でアクティブ化または非アクティブ化することはできません。
²中国で AWS を使用するには、中国内の AWS に特化されたアカウントと認証情報が必要です。
AWS STS グローバルエンドポイントの変更
耐障害性およびパフォーマンスを強化するために、AWS は、デフォルトで有効になっているリージョンの AWS Security Token Service (AWS STS) グローバルエンドポイント (https://sts.amazonaws.com) を変更しました。以前、AWS STS グローバルエンドポイントへのすべてのリクエストは、単一の AWS リージョン である米国東部 (バージニア北部) によって処理されていました。デフォルトで有効化されたリージョンでは、AWS STS グローバルエンドポイントへのリクエストは、米国東部 (バージニア北部) リージョンではなく、リクエスト元のリージョンで自動的に処理されます。これらの変更はオプトインリージョンにはデプロイされません。
この変更により、AWS STS は、リクエスト元のリージョンと使用された DNS リゾルバーに基づいてリクエストを処理します。AWS STS グローバルエンドポイントへのリクエストは、AWS STS グローバルエンドポイントの DNS リクエストがデフォルトで有効になっているリージョンの Amazon DNS サーバーによって処理される場合、AWS デプロイされたワークロードと同じリージョンで処理されます。リクエストがオプトインリージョンから行われた場合、またはリクエストが Amazon DNS サーバー以外の DNS リゾルバーを使用して解決された場合、AWS STS グローバルエンドポイントへのリクエストは米国東部 (バージニア北部) リージョンで引き続き処理されます。詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「Amazon DNS サーバー」を参照してください。
次の表は、DNS プロバイダーに基づいて AWS STS グローバルエンドポイントへのリクエストをルーティングする方法を示します。
| DNS リゾルバー | AWS STS グローバルエンドポイントへのリクエストはローカル AWS リージョン にルーティングされますか? |
|---|---|
|
デフォルトで有効になっているリージョンの Amazon VPC の Amazon DNS リゾルバー |
はい |
|
オプトインリージョンの Amazon VPC の Amazon DNS リゾルバー |
いいえ、リクエストは米国東部 (バージニア北部) リージョンにルーティングされます |
|
ISP、パブリック DNS プロバイダー、その他の DNS プロバイダーによって提供される DNS リゾルバー |
いいえ、リクエストは米国東部 (バージニア北部) リージョンにルーティングされます |
既存のプロセスの中断を最小限に抑えるため、AWS で次の対策が実施しました。
-
AWS STS グローバルエンドポイントに対して行われたリクエストの AWS CloudTrail ログは、米国東部 (バージニア北部) リージョンに送信されます。AWS STS リージョンエンドポイントによって処理されたリクエストの CloudTrail ログは、CloudTrail のそれぞれのリージョンに引き続きログ記録されます。
-
AWS STS グローバルエンドポイントおよびリージョンエンドポイントによって実行されるオペレーションの CloudTrail ログには、リクエストを処理したエンドポイントおよびリージョンを示す追加フィールド
endpointTypeおよびawsServingRegionが含まれます。CloudTrail ログの例については、「CloudTrail ログファイルのグローバルエンドポイントを使用した AWS STS API イベントの例」を参照してください。 -
リクエストを処理するリージョンとは関係なく、AWS STS グローバルエンドポイントに対して行われるリクエストでは
aws:RequestedRegion条件キーにus-east-1の値が含まれます。 -
AWS STS グローバルエンドポイントによって処理されたリクエストでは、リージョンの AWS STS エンドポイントと 1 秒あたりのリクエストクォータが共有されません。
オプトインリージョンでワークロードがあり、AWS STS グローバルエンドポイントをまだ使用している場合、耐障害性およびパフォーマンスを強化するために AWS STS リージョンのエンドポイントに移行することをお勧めします。リージョン AWS STS エンドポイントの設定の詳細については、「AWS SDK およびツールリファレンスガイド」の「AWS STS リージョンエンドポイント」を参照してください。
AWS CloudTrail とリージョンのエンドポイント
リージョンのエンドポイントとグローバルエンドポイントへの呼び出しは、AWS CloudTrail の [tlsDetails] フィールドに記録されます。us-east-2.amazonaws.com などのリージョンのエンドポイントへの呼び出しは、CloudTrail で適切なリージョンに記録されます。グローバルエンドポイント sts.amazonaws.com への呼び出しは、グローバルサービスへの呼び出しとして記録されます。グローバル AWS STS エンドポイントのイベントは us-east-1 に記録されます。
注記
tlsDetails は、このフィールドをサポートするサービスに対してのみ表示できます。AWS CloudTrail ユーザーガイドの「CloudTrail で TLS の詳細をサポートするサービス」を参照してください。
詳細については、「AWS CloudTrail による IAM および AWS STS の API コールのログ記録」を参照してください。
