# Amazon STS 区域和端点
**注意**
Amazon 已对[默认启用](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-regions.html)的区域中的 Amazon Security Token Service (Amazon STS) 全局端点 (`https://sts.amazonaws.com`) 进行了更改,以增强其恢复能力和性能。发往全局端点的 Amazon STS 请求将自动在与您的工作负载相同的 Amazon Web Services 区域中处理。这些更改不会部署到选择加入的区域。我们建议您使用适当的 Amazon STS 区域端点。有关更多信息,请参阅 [Amazon STS 全局端点更改](#reference_sts_global_endpoint_changes)。
下表列出了区域及其终端节点。其中指示哪些是默认激活的,哪些是可激活或停用的。
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_region-endpoints.html)
您必须[启用区域](https://docs.amazonaws.cn/general/latest/gr/rande-manage.html)才能使用它。这会自动激活 Amazon STS。您无法在这些区域中手动激活或停用 Amazon STS。
²要在中国使用 Amazon,您需要中国 Amazon 的特定账户和凭证。
## Amazon STS 全局端点更改
Amazon 已对[默认启用](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-regions.html)的区域中的 Amazon Security Token Service (Amazon STS) 全局端点 (`https://sts.amazonaws.com`) 进行了更改,以增强其恢复能力和性能。以前,发往 Amazon STS 全局端点的所有请求都由 Amazon Web Services 区域美国东部(弗吉尼亚州北部)处理。现在,在[默认启用](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-regions.html)的区域中,发往 Amazon STS 全局端点的请求将自动在请求发起的同一区域(而非美国东部(弗吉尼亚州北部)区域)中处理。这些更改不会部署到选择加入的区域。
通过此更改,Amazon STS 将根据使用的原始区域和 DNS 解析程序处理您的请求。如果 Amazon STS 全局端点的 DNS 请求由默认启用的区域中的 Amazon DNS 服务器处理,则发往 Amazon 全局端点的请求将在与您部署的 Amazon STS 工作负载相同的区域中处理。如果您的请求源自选择加入区域,或者使用 Amazon DNS 服务器以外的 DNS 解析程序解析您的请求,则发往 Amazon STS 全局端点的请求将继续在美国东部(弗吉尼亚州北部)区域处理。有关 Amazon DNS 的更多信息,请参阅《*Amazon Virtual Private Cloud 用户指南*》中的 [Amazon DNS 服务器](https://docs.amazonaws.cn/vpc/latest/userguide/AmazonDNS-concepts.html#AmazonDNS)。
下表显示了如何根据您的 DNS 提供商路由发往 Amazon STS 全局端点的请求。
| DNS 解析程序 | 发往 Amazon STS 全局端点的请求是否路由到本地 Amazon Web Services 区域? |
| --- | --- |
| 默认启用的区域中的 Amazon VPC 中的 Amazon DNS 解析程序 | 是 |
| 选择加入区域中的 Amazon VPC 中的 Amazon DNS 解析程序 | 不,请求将路由到美国东部(弗吉尼亚州北部)区域 |
| 由您的 ISP、公共 DNS 提供商或任何其他 DNS 提供商提供的 DNS 解析程序 | 不,请求将路由到美国东部(弗吉尼亚州北部)区域 |
为了确保最大限度地减少对现有流程的干扰,Amazon 已实施以下措施:
+ 对 Amazon STS 全局端点发出的请求的 Amazon CloudTrail 日志将发送到美国东部(弗吉尼亚州北部)区域。由 Amazon STS 区域端点处理的请求的 CloudTrail 日志将继续记录到 CloudTrail 中的相应区域。
+ Amazon STS 全局端点和区域端点执行的操作的 CloudTrail 日志将包含附加字段 `endpointType` 和 `awsServingRegion`,以指示哪个端点和区域处理了请求。有关 CloudTrail 日志示例,请参阅[CloudTrail 日志文件中使用全局端点的示例 Amazon STS 事件](cloudtrail-integration.md#stscloudtrailexample-assumerole-sts-global-endpoint)。
+ 无论哪个区域处理请求,发往 Amazon STS 全局端点的请求的 `aws:RequestedRegion` 条件键的值都将为 `us-east-1`。
+ Amazon STS 全局端点处理的请求不会与区域 Amazon STS 端点共享每秒请求数配额。
如果您在选择加入区域中拥有工作负载并且仍在使用 Amazon STS 全局端点,我们建议您迁移到 Amazon STS 区域端点以提高恢复能力和性能。有关配置区域 Amazon STS 端点的更多信息,请参阅《*Amazon SDK 和工具参考指南*》中的 [Amazon STS Regional endpoints](https://docs.amazonaws.cn/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)。
## Amazon CloudTrail 和区域端点
对区域性和全球性端点的调用将在 Amazon CloudTrail 的 `tlsDetails` 字段中记录。对区域性端点(例如 `us-east-2.amazonaws.com`)的调用将在 CloudTrail 中记录到相应的区域。对全球终端节点 (如 `sts.amazonaws.com`) 的调用会记录为对全球服务的调用。全球性 Amazon STS 端点的事件将记录到 us-east-1 区域。
**注意**
只能对支持此字段的服务查看 `tlsDetails`。请参阅《*Amazon CloudTrail 用户指南*》中的[在 CloudTrail 中支持 TLS 详细信息的服务](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-supported-tls-details.html)
有关更多信息,请参阅 [使用 Amazon CloudTrail 记录 IAM 和 Amazon STS API 调用](cloudtrail-integration.md)。