Amazon Web Services ブログ

AWS Security Token Service グローバルエンドポイントの今後の変更のお知らせ

本ブログは 2025 年 1 月 22 日に公開された Blog “Announcing upcoming changes to the AWS Security Token Service global endpoint” を翻訳したものです。

AWS は、2011 年 8 月に、AWS 米国東部 (バージニア北部) リージョンでホストされている単一のグローバルエンドポイント (https://sts.amazonaws.com)AWS Security Token Service (AWS STS) をリリースしました。単一のリージョンへの依存を減らすために、AWS は 2015 年 2 月に AWS STS リージョンエンドポイント (https://sts.{Region_identifier}.{partition_domain}) をリリースしました。これらのリージョンエンドポイントを使用すると、ワークロードと同じリージョンで STS を使用できるため、パフォーマンスと信頼性が向上します。

しかし、多くのお客様やサードパーティのツールは引き続き STS グローバルエンドポイントを呼び出しており、その結果、これらのお客様は STS リージョンエンドポイントのメリットを受けられていません。今回、アプリケーションの耐障害性とパフォーマンスを向上させるために、お客様側での対応を必要とせずに、STS グローバルエンドポイントに変更を加えることにしました。これらの変更は今後数週間でリリースされる予定です。

本ブログでは、STS グローバルエンドポイントの今後の変更とその利点について説明し、今後使用する STS エンドポイントに関する推奨事項を説明します。

STS グローバルエンドポイントの変更点

STS グローバルエンドポイントに加えられる変更は、信頼性を高め、パフォーマンスを向上させるのに役立ちます。2025 年 1 月現在、STS グローバルエンドポイントへのすべてのリクエストは、米国東部 (バージニア北部) リージョンで処理されています。2025 年初頭から、STS グローバルエンドポイントへのリクエストは、AWS にデプロイされたワークロードと同じリージョンで自動的に処理されるようになります。例えば、アプリケーションが米国西部 (オレゴン) リージョンから sts.amazonaws.com を呼び出す場合、その呼び出しは米国東部 (バージニア北部) リージョンではなく、米国西部 (オレゴン) リージョンでローカルに処理されます。

この変更により、リクエストが デフォルトで利用可能なリージョン から送信された場合、STS グローバルエンドポイントへのリクエストはローカルで処理されます。1 ただし、リクエストがオプトインが必要なリージョンから送信された場合、または AWS 外部 (オンプレミスネットワークやデータセンターなど) から STS を使用する場合、STS グローバルエンドポイントへのリクエストは引き続き米国東部 (バージニア北部) リージョンで処理されます。

この変更は、デフォルトで利用可能な AWS リージョンに 2025 年半ばまでに順次展開されます。まず欧州 (ストックホルム)から開始予定です。

既存のプロセスの中断を防ぐために、以下の対策を講じています

  • AWS CloudTrail では、STS グローバルエンドポイントに対するリクエストのログは、リクエストがローカルで処理された場合でも、米国東部 (バージニア北部) リージョンに送信されます。STS リージョンエンドポイントに対するリクエストの処理は、引き続き CloudTrail のそれぞれのリージョンに記録され続けます。
  • STS グローバルおよびリージョンエンドポイントによって実行された操作の CloudTrail ログには、endpointTypeawsServingRegion の追加フィールドが含まれ、リクエストを提供したエンドポイントとリージョンを明確にします。
  • sts.amazonaws.com エンドポイントに対するリクエストは、どのリージョンがリクエストを処理したかに関係なく、aws:RequestedRegion 条件キーの値として us-east-1 になります。
  • sts.amazonaws.com エンドポイントによって処理されたリクエストは、STS リージョンエンドポイントとリクエストクォータを共有しません。

1. さらに、ローカルでリクエストを処理するには、sts.amazonaws.com への DNS リクエストを、Amazon Virtual Private Cloud (Amazon VPC) の Amazon DNS サーバー (Amazon Route 53 Resolver) で処理する必要があります。

推奨事項

可能な限り、適切な STS リージョンエンドポイント を使用することを引き続き推奨します。オンプレミスのネットワークやデータセンターなど、AWS の外部から STS を使用している場合は、STS 認証情報を使ってアクセスしたい AWS リソースと、同じリージョンの STS リージョンエンドポイントを使用することを推奨します。アジアパシフィック (香港) やアジアパシフィック (ジャカルタ) などのオプトインリージョンで開発している場合、ワークロードをホストしているオプトインリージョンの STS エンドポイントを使用することを推奨します。ブログ記事 リージョナル AWS STS エンドポイントの使用方法 の手順に従うことで、まだグローバル STS エンドポイントを使用しているワークロードを特定し、必要に応じて再構成する方法についての手順や方法を理解することができます。

このブログについて質問がある場合は、AWS Support に連絡してください。

Palak Arora
Palak Arora

Palak は AWS Identity の Senior Product Manager です。彼女は 8 年以上のサイバーセキュリティ経験を持ち、特に Identity and Access Management (IAM) 分野に特化しています。彼女は様々な業界の顧客がエンタープライズおよび顧客の IAM ロードマップと戦略を定義し、全体的な技術リスク環境を改善するのを支援してきました。
Liam Wadman
Liam Wadman

Liam は AWS Identity チームの Principal Solutions Architect です。AWS でエキサイティングなソリューションを構築したり、顧客を支援したりしていないときは、ブリティッシュコロンビアの丘でマウンテンバイクに乗っていることが多いです。Liam は、LIAM を綴るには IAM が欠かせないと指摘します。

本ブログは Security Solutions Architect の 中島 章博 が翻訳しました。