AWS安全令牌服务全球端点即将变更

关键要点

AWS于2011年8月推出了 AWS安全令牌服务AWS STS，当时只设有一个全球端点 (https//stsamazonawscom)，位于美国东部弗吉尼亚北部区域。为了减少对单一区域的依赖，STS在2015年2月推出了 AWS STS区域端点 (https//sts{Regionidentifier}{partitiondomain})，允许用户在与其工作负载相同的区域使用STS，从而提高性能和可靠性。

然而，许多客户和第三方工具仍然调用STS全球端点，导致这些用户无法享受STS区域端点的好处。为了提高您的应用程序的韧性和性能，我们正在对STS全球端点进行更改，客户无需采取任何措施。这些更改将在未来几周内发布。

在此博客中，我们将讨论STS全球端点的即将变更及其好处，并提供关于未来使用哪个STS端点的建议。

STS全球端点的即将变更

对STS全球端点的更改将帮助增强韧性并改善性能。目前，所有对STS全球端点的请求都由美国东部弗吉尼亚北部区域处理。从2025年初开始，通过STS全球端点的请求将自动在与您的AWS工作负载相同的区域进行处理。例如，如果您的应用程序从美国西部俄勒冈区域调用 stsamazonawscom，您的请求将会在美国西部俄勒冈区域本地处理，而不是通过美国东部弗吉尼亚北部区域。

通过这项更改，来自 默认启用的AWS区域 发送的请求将会本地处理。但是，如果您的请求来自选择性启用的区域，或您在AWS外部例如在本地网络或数据中心使用STS，则请求将继续由美国东部弗吉尼亚北部区域处理。

我们预计到2025年中旬将逐步推出该更改，首先将从欧洲斯德哥尔摩区域开始。

为帮助避免对您现有流程的干扰，我们已采取以下措施：

通过 stsamazonawscom 端点处理的请求将不会与区域STS端点共享请求配额。

此外，要确保请求本地处理，您对 stsamazonawscom 的DNS请求必须由Amazon VPC中的Amazon DNS服务器处理。

我们的建议

我们仍然建议您尽可能使用合适的 STS区域端点。如果您在AWS外部例如在本地网络或数据中心使用STS，我们建议您使用托管在与您需要STS凭证访问的AWS资源相同区域的STS区域端点。如果您正在选项启用区域如亚太地区香港或亚太地区雅加达中构建，建议您使用托管在该区域的STS端点。通过遵循博客文章 如何使用区域AWS STS端点，可以识别仍在使用全球STS端点的工作负载，并获取在需要时重新配置它们的见解。

如果您对这篇博客文章有反馈意见，请在本文下方的 评论 区域提交留言。如您对该帖子有任何疑问，请 联系AWS支持。

Palak AroraPalak是AWS身份管理部门的高级产品经理，拥有超过八年的网络安全经验，专注于身份和访问管理IAM领域。她帮助各行各业的客户制定企业和客户IAM路线图及策略，并改善整体技术风险状况。

Liam WadmanLiam是AWS身份团队的首席解决方案架构师。当他不在AWS开发激动人心的解决方案或帮助客户时，他常常骑着山地自行车出现在不列颠哥伦比亚省的山丘上。Liam指出，您不能拼写“LIAM”而不使用“IAM”。

标签：AWS身份与访问管理IAM、AWS STS、安全博客

在 Amazon Security Lake 中消耗自定义日志源的模式 安全博客

在 Amazon Security Lake 中使用自定义日志源的模式关键要点在这篇文章中，我们将介绍三种模式，旨在帮助企业有效地集中管理来自多种来源的日志数据。这将有助于安全团队在面对不断发展的安全...