# AWS STS 区域和端点
**注意**
AWS 已对[默认启用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)的区域中的 AWS Security Token Service (AWS STS) 全局端点 (`https://sts.amazonaws.com`) 进行了更改,以增强其恢复能力和性能。发往全局端点的 AWS STS 请求将自动在与您的工作负载相同的 AWS 区域中处理。这些更改不会部署到选择加入的区域。我们建议您使用适当的 AWS STS 区域端点。有关更多信息,请参阅 [AWS STS 全局端点更改](#reference_sts_global_endpoint_changes)。
下表列出了区域及其终端节点。其中指示哪些是默认激活的,哪些是可激活或停用的。
| 区域名称 | 端点 | 默认情况下激活 | 手动激活/停用 |
| --- | --- | --- | --- |
| --全球-- | sts.amazonaws.com |  是 |  不支持 |
| 美国东部(俄亥俄州) | sts.us-east-2.amazonaws.com |  是 |  是 |
| 美国东部(弗吉尼亚州北部) | sts.us-east-1.amazonaws.com |  是 |  不支持 |
| 美国西部(北加利福尼亚) | sts.us-west-1.amazonaws.com |  是 |  是 |
| 美国西部(俄勒冈州) | sts.us-west-2.amazonaws.com |  是 |  是 |
| 非洲(开普敦) | sts.af-south-1.amazonaws.com |  否¹ |  不支持 |
| 亚太地区(香港) | sts.ap-east-1.amazonaws.com |  否¹ |  不支持 |
| 亚太地区(海得拉巴) | sts.ap-south-2.amazonaws.com |  否¹ |  不支持 |
| 亚太地区(雅加达) | sts.ap-southeast-3.amazonaws.com |  否¹ |  不支持 |
| 亚太地区(马来西亚) | sts.ap-southeast-5.amazonaws.com |  否¹ |  不支持 |
| 亚太地区(墨尔本) | sts.ap-southeast-4.amazonaws.com |  否¹ |  不支持 |
| 亚太地区(孟买) | sts.ap-south-1.amazonaws.com |  是 |  是 |
| 亚太地区(大阪) | sts.ap-northeast-3.amazonaws.com |  是 |  是 |
| 亚太地区(首尔) | sts.ap-northeast-2.amazonaws.com |  是 |  是 |
| 亚太地区(新加坡) | sts.ap-southeast-1.amazonaws.com |  是 |  是 |
| 亚太地区(悉尼) | sts.ap-southeast-2.amazonaws.com |  是 |  是 |
| 亚太地区(泰国) | sts.ap-southeast-7.amazonaws.com |  否¹ |  不支持 |
| 亚太地区(东京) | sts.ap-northeast-1.amazonaws.com |  是 |  是 |
| 加拿大(中部) | sts.ca-central-1.amazonaws.com |  是 |  是 |
| 加拿大西部(卡尔加里) | sts.ca-west-1.amazonaws.com |  否¹ |  不支持 |
| 中国(北京) | sts---cn-north-1.amazonaws.com.rproxy.goskope.com.cn |  是² | 否 |
| 中国(宁夏) | sts---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn |  是² |  是 |
| 欧洲地区(法兰克福) | sts.eu-central-1.amazonaws.com |  是 |  是 |
| 欧洲地区(爱尔兰) | sts.eu-west-1.amazonaws.com |  是 |  是 |
| 欧洲地区(伦敦) | sts.eu-west-2.amazonaws.com |  是 |  是 |
| 欧洲地区(米兰) | sts.eu-south-1.amazonaws.com |  否¹ |  不支持 |
| 欧洲地区(巴黎) | sts.eu-west-3.amazonaws.com |  是 |  是 |
| 欧洲(西班牙) | sts.eu-south-2.amazonaws.com |  否¹ |  不支持 |
| 欧洲地区(斯德哥尔摩) | sts.eu-north-1.amazonaws.com |  是 |  是 |
| 欧洲(苏黎世) | sts.eu-central-2.amazonaws.com |  否¹ |  不支持 |
| 以色列(特拉维夫) | sts.il-central-1.amazonaws.com |  否¹ |  不支持 |
| 墨西哥(中部) | sts.mx-central-1.amazonaws.com |  否¹ |  不支持 |
| 中东(巴林) | sts.me-south-1.amazonaws.com |  否¹ |  不支持 |
| 中东(阿联酋): | sts.me-central-1.amazonaws.com |  否¹ |  不支持 |
| 南美洲(圣保罗) | sts.sa-east-1.amazonaws.com |  是 |  是 |
您必须[启用区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)才能使用它。这会自动激活 AWS STS。您无法在这些区域中手动激活或停用 AWS STS。
²要在中国使用 AWS,您需要中国 AWS 的特定账户和凭证。
## AWS STS 全局端点更改
AWS 已对[默认启用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)的区域中的 AWS Security Token Service (AWS STS) 全局端点 (`https://sts.amazonaws.com`) 进行了更改,以增强其恢复能力和性能。以前,发往 AWS STS 全局端点的所有请求都由 AWS 区域美国东部(弗吉尼亚州北部)处理。现在,在[默认启用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)的区域中,发往 AWS STS 全局端点的请求将自动在请求发起的同一区域(而非美国东部(弗吉尼亚州北部)区域)中处理。这些更改不会部署到选择加入的区域。
通过此更改,AWS STS 将根据使用的原始区域和 DNS 解析程序处理您的请求。如果 AWS STS 全局端点的 DNS 请求由默认启用的区域中的 Amazon DNS 服务器处理,则发往 AWS 全局端点的请求将在与您部署的 AWS STS 工作负载相同的区域中处理。如果您的请求源自选择加入区域,或者使用 Amazon DNS 服务器以外的 DNS 解析程序解析您的请求,则发往 AWS STS 全局端点的请求将继续在美国东部(弗吉尼亚州北部)区域处理。有关 Amazon DNS 的更多信息,请参阅《*Amazon Virtual Private Cloud 用户指南*》中的 [Amazon DNS 服务器](https://docs.aws.amazon.com/vpc/latest/userguide/AmazonDNS-concepts.html#AmazonDNS)。
下表显示了如何根据您的 DNS 提供商路由发往 AWS STS 全局端点的请求。
| DNS 解析程序 | 发往 AWS STS 全局端点的请求是否路由到本地 AWS 区域? |
| --- | --- |
| 默认启用的区域中的 Amazon VPC 中的 Amazon DNS 解析程序 | 是 |
| 选择加入区域中的 Amazon VPC 中的 Amazon DNS 解析程序 | 不,请求将路由到美国东部(弗吉尼亚州北部)区域 |
| 由您的 ISP、公共 DNS 提供商或任何其他 DNS 提供商提供的 DNS 解析程序 | 不,请求将路由到美国东部(弗吉尼亚州北部)区域 |
为了确保最大限度地减少对现有流程的干扰,AWS 已实施以下措施:
+ 对 AWS STS 全局端点发出的请求的 AWS CloudTrail 日志将发送到美国东部(弗吉尼亚州北部)区域。由 AWS STS 区域端点处理的请求的 CloudTrail 日志将继续记录到 CloudTrail 中的相应区域。
+ AWS STS 全局端点和区域端点执行的操作的 CloudTrail 日志将包含附加字段 `endpointType` 和 `awsServingRegion`,以指示哪个端点和区域处理了请求。有关 CloudTrail 日志示例,请参阅[CloudTrail 日志文件中使用全局端点的示例 AWS STS 事件](cloudtrail-integration.md#stscloudtrailexample-assumerole-sts-global-endpoint)。
+ 无论哪个区域处理请求,发往 AWS STS 全局端点的请求的 `aws:RequestedRegion` 条件键的值都将为 `us-east-1`。
+ AWS STS 全局端点处理的请求不会与区域 AWS STS 端点共享每秒请求数配额。
如果您在选择加入区域中拥有工作负载并且仍在使用 AWS STS 全局端点,我们建议您迁移到 AWS STS 区域端点以提高恢复能力和性能。有关配置区域 AWS STS 端点的更多信息,请参阅《*AWS SDK 和工具参考指南*》中的 [AWS STS Regional endpoints](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)。
## AWS CloudTrail 和区域端点
对区域性和全球性端点的调用将在 AWS CloudTrail 的 `tlsDetails` 字段中记录。对区域性端点(例如 `us-east-2.amazonaws.com`)的调用将在 CloudTrail 中记录到相应的区域。对全球终端节点 (如 `sts.amazonaws.com`) 的调用会记录为对全球服务的调用。全球性 AWS STS 端点的事件将记录到 us-east-1 区域。
**注意**
只能对支持此字段的服务查看 `tlsDetails`。请参阅《*AWS CloudTrail 用户指南*》中的[在 CloudTrail 中支持 TLS 详细信息的服务](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-supported-tls-details.html)
有关更多信息,请参阅 [使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用](cloudtrail-integration.md)。