AWS STS グローバルエンドポイントの仕様変更を東京リージョンで確かめてみた

AWS STS グローバルエンドポイントの仕様変更を東京リージョンで確かめてみた

AWS STSグローバルエンドポイントの仕様変更により、デフォルト有効リージョンからのリクエストが同一リージョン内で処理されるようになりました。
#AWS STS
#AWS
#AWS CLI
#IAM
suzuki.ryo

suzuki.ryo

facebook logohatena logotwitter logo
Clock Icon2025.05.03

2025年2月、本年の半ばまでに順次展開されると告知されていた AWS Security Token Service (AWS STS) グローバルエンドポイント sts.amazonaws.com の仕様変更が、2025年4月にリリースされました。

この変更により、東京、大阪リージョンを含む、デフォルトで有効なリージョンからSTSグローバルエンドポイント宛てのリクエストは、従来の米国東部 (バージニア北部) リージョン (us-east-1) ではなく、リクエスト元のリージョンと同じリージョン内で処理されるようになり、レイテンシーの改善や、リージョン障害発生時の影響範囲抑制が期待できるようになりました。

今回、このAWS STSグローバルエンドポイントの仕様変更について、AWS東京リージョンの名前解決の挙動から確認を試みましたので、その結果を紹介します。

確認と結果

東京リージョン (Amazon Provided DNS利用)

AWS東京リージョンのCloudShellを利用して、STSグローバルエンドポイント sts.amazonaws.com. の名前解決を試みました。

$ dig  sts.amazonaws.com

;; ANSWER SECTION:
sts.amazonaws.com.      300     IN      CNAME   reg.sts-ge.amazonaws.com.
reg.sts-ge.amazonaws.com. 300   IN      CNAME   apn1.sts-ge.amazonaws.com.
apn1.sts-ge.amazonaws.com. 12   IN      CNAME   apn1-r.sts-ge.amazonaws.com.
apn1-r.sts-ge.amazonaws.com. 300 IN     CNAME   sts-global.ap-northeast-1.amazonaws.com.
sts-global.ap-northeast-1.amazonaws.com. 12 IN A 99.77.58.155

最終的にCNAMEが sts-global.ap-northeast-1.amazonaws.com (東京リージョン固有のエンドポイント名) を指し、東京リージョン内のIPアドレスが返されていることが確認できました。

GeoLite2 ライブラリを利用してIPアドレスの位置情報を確認した所、東京の住所であることが確認できました。

IPアドレス表示

外部DNS利用時

外部のパブリックDNSサーバー(Google)を利用した確認を試みました。

$ dig  sts.amazonaws.com @8.8.8.8 

;; ANSWER SECTION:
sts.amazonaws.com.      5373    IN      CNAME   reg.sts-ge.amazonaws.com.
reg.sts-ge.amazonaws.com. 3896  IN      CNAME   use1-default-r.sts-ge.amazonaws.com.
use1-default-r.sts-ge.amazonaws.com. 4531 IN CNAME sts-global-default.us-east-1.amazonaws.com.
sts-global-default.us-east-1.amazonaws.com. 9 IN A 209.54.180.124

従来のグローバルエンドポイントである米国東部 (バージニア北部) リージョンのIPアドレスが返されました。

オプトインリージョン

今回の仕様変更は、デフォルトで有効なリージョンが対象であり、利用に際してオプトインが必要なリージョンは対象外です。

オプトインが必要なジャカルタ リージョン (ap-southeast-3) のCloudShell環境から名前解決を試みました。

~ $ echo $AWS_DEFAULT_REGION
ap-southeast-3

~ $ dig  sts.amazonaws.com 
;; ANSWER SECTION:
sts.amazonaws.com.      270     IN      CNAME   reg.sts-ge.amazonaws.com.
reg.sts-ge.amazonaws.com. 270   IN      CNAME   use1-default-r.sts-ge.amazonaws.com.
use1-default-r.sts-ge.amazonaws.com. 270 IN CNAME sts-global-default.us-east-1.amazonaws.com.
sts-global-default.us-east-1.amazonaws.com. 12 IN A 52.119.198.216

外部DNS利用時と同様に、米国東部 (バージニア北部) リージョンのエンドポイント情報が返されました。

まとめ

STS利用時のレイテンシー改善やリージョン障害の影響抑制のため、AWSはリージョナルSTSエンドポイント(sts.<region>.amazonaws.com)の利用を推奨しています。

https://dev.classmethod.jp/articles/why-aws-sts-regional-endpoints-are-recommended/

最新バージョンのAWS CLIやSDKの多くは、デフォルトでリージョナルエンドポイントを使用するように設定されていますが、古いバージョンを使用している場合や、互換性の理由などからグローバルエンドポイントを指定していたワークロードにおいても、今回の変更により自動的に同一リージョン内のエンドポイントが利用されるようになりました。

ただし、オンプレミスのDNSサーバーやActive DirectoryのDNSなど、Amazon Provided DNS以外を利用して、グローバルエンドポイントの名前解決を行うと、従来通り米国東部(バージニア北部)のエンドポイントが返される可能性があります。このような環境や、オプトインが必要なリージョンを利用する場合、レイテンシー改善や障害影響を回避するため、従来どおりリージョナルSTSエンドポイントを明示的に指定する必要がある点にご留意ください。

また、今回の変更に伴い CloudTrailログに、STSのエンドポイントやリージョンに関係する項目の追加が発生しています。STSのイベントを対象とした ログ監視や EventBridge設定などを行っている場合には、その影響についても確認頂くことをおすすめします。

Share this article

facebook logohatena logotwitter logo

関連記事

【小ネタ】 AWS GetCallerIdentity:権限不要APIの特徴と活用方法

【小ネタ】 AWS GetCallerIdentity:権限不要APIの特徴と活用方法

User avatar
梶原大使
2025.02.21
クロスアカウントフェデレーションサインインするための URL を発行する Lambda 関数を作成してみる

クロスアカウントフェデレーションサインインするための URL を発行する Lambda 関数を作成してみる

User avatar
いわさ
2025.02.04
マルチセッションを有効にしたコンソールで多段スイッチロールを試してみた

マルチセッションを有効にしたコンソールで多段スイッチロールを試してみた

User avatar
suzuki.ryo
2025.01.25
[レポート]「Amazon Q Business Chat APIを安全に呼び出す方法を学ぶ」というセッションに参加しました #AIM405 #AWSreInvent

[レポート]「Amazon Q Business Chat APIを安全に呼び出す方法を学ぶ」というセッションに参加しました #AIM405 #AWSreInvent

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.