AWS STS グローバルエンドポイントの仕様変更を東京リージョンで確かめてみた
2025年2月、本年の半ばまでに順次展開されると告知されていた AWS Security Token Service (AWS STS) グローバルエンドポイント sts.amazonaws.com
の仕様変更が、2025年4月にリリースされました。
この変更により、東京、大阪リージョンを含む、デフォルトで有効なリージョンからSTSグローバルエンドポイント宛てのリクエストは、従来の米国東部 (バージニア北部) リージョン (us-east-1) ではなく、リクエスト元のリージョンと同じリージョン内で処理されるようになり、レイテンシーの改善や、リージョン障害発生時の影響範囲抑制が期待できるようになりました。
今回、このAWS STSグローバルエンドポイントの仕様変更について、AWS東京リージョンの名前解決の挙動から確認を試みましたので、その結果を紹介します。
確認と結果
東京リージョン (Amazon Provided DNS利用)
AWS東京リージョンのCloudShellを利用して、STSグローバルエンドポイント sts.amazonaws.com.
の名前解決を試みました。
$ dig sts.amazonaws.com
;; ANSWER SECTION:
sts.amazonaws.com. 300 IN CNAME reg.sts-ge.amazonaws.com.
reg.sts-ge.amazonaws.com. 300 IN CNAME apn1.sts-ge.amazonaws.com.
apn1.sts-ge.amazonaws.com. 12 IN CNAME apn1-r.sts-ge.amazonaws.com.
apn1-r.sts-ge.amazonaws.com. 300 IN CNAME sts-global.ap-northeast-1.amazonaws.com.
sts-global.ap-northeast-1.amazonaws.com. 12 IN A 99.77.58.155
最終的にCNAMEが
GeoLite2 ライブラリを利用してIPアドレスの位置情報を確認した所、東京の住所であることが確認できました。
外部DNS利用時
外部のパブリックDNSサーバー(Google)を利用した確認を試みました。
$ dig sts.amazonaws.com @8.8.8.8
;; ANSWER SECTION:
sts.amazonaws.com. 5373 IN CNAME reg.sts-ge.amazonaws.com.
reg.sts-ge.amazonaws.com. 3896 IN CNAME use1-default-r.sts-ge.amazonaws.com.
use1-default-r.sts-ge.amazonaws.com. 4531 IN CNAME sts-global-default.us-east-1.amazonaws.com.
sts-global-default.us-east-1.amazonaws.com. 9 IN A 209.54.180.124
従来のグローバルエンドポイントである米国東部 (バージニア北部) リージョンのIPアドレスが返されました。
オプトインリージョン
今回の仕様変更は、デフォルトで有効なリージョンが対象であり、利用に際してオプトインが必要なリージョンは対象外です。
オプトインが必要なジャカルタ リージョン (ap-southeast-3) のCloudShell環境から名前解決を試みました。
~ $ echo $AWS_DEFAULT_REGION
ap-southeast-3
~ $ dig sts.amazonaws.com
;; ANSWER SECTION:
sts.amazonaws.com. 270 IN CNAME reg.sts-ge.amazonaws.com.
reg.sts-ge.amazonaws.com. 270 IN CNAME use1-default-r.sts-ge.amazonaws.com.
use1-default-r.sts-ge.amazonaws.com. 270 IN CNAME sts-global-default.us-east-1.amazonaws.com.
sts-global-default.us-east-1.amazonaws.com. 12 IN A 52.119.198.216
外部DNS利用時と同様に、米国東部 (バージニア北部) リージョンのエンドポイント情報が返されました。
まとめ
STS利用時のレイテンシー改善やリージョン障害の影響抑制のため、AWSはリージョナルSTSエンドポイント(sts.<region>.amazonaws.com)の利用を推奨しています。
最新バージョンのAWS CLIやSDKの多くは、デフォルトでリージョナルエンドポイントを使用するように設定されていますが、古いバージョンを使用している場合や、互換性の理由などからグローバルエンドポイントを指定していたワークロードにおいても、今回の変更により自動的に同一リージョン内のエンドポイントが利用されるようになりました。
ただし、オンプレミスのDNSサーバーやActive DirectoryのDNSなど、Amazon Provided DNS以外を利用して、グローバルエンドポイントの名前解決を行うと、従来通り米国東部(バージニア北部)のエンドポイントが返される可能性があります。このような環境や、オプトインが必要なリージョンを利用する場合、レイテンシー改善や障害影響を回避するため、従来どおりリージョナルSTSエンドポイントを明示的に指定する必要がある点にご留意ください。
また、今回の変更に伴い CloudTrailログに、STSのエンドポイントやリージョンに関係する項目の追加が発生しています。STSのイベントを対象とした ログ監視や EventBridge設定などを行っている場合には、その影響についても確認頂くことをおすすめします。