本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS STS 区域终端节点
**注意**
如需了解设置页面布局或解释后面的 Support b **y AWS SDKs 和 tools** 表格的帮助,请参阅[了解本指南的设置页面](settings-reference.md#settingsPages)。
AWS Security Token Service (AWS STS) 既提供全球服务,也提供区域服务。其中一些 AWS SDKs和默认 CLIs 使用全球服务终端节点 (`https://sts.amazonaws.com`),而有些则使用区域服务终端节点 (`https://sts.{region_identifier}.{partition_domain}`)。在[默认启](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)用的区域中,向 AWS STS 全球终端节点发出的请求会自动在请求发起的同一区域中提供服务。在可选区域中,向 AWS STS 全球终端节点发出的请求由一个 AWS 区域美国东部(弗吉尼亚北部)提供服务。有关 AWS STS 终端节点的更多信息,请参阅 *AWS Security Token Service API 参考 AWS STS *[中的[终](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html#sts-endpoints)端节点或*AWS Identity and Access Management 用户指南 AWS 区域*中的管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)。
AWS 最佳做法是尽可能使用区域终端节点并配置您的终端节点[AWS 区域](feature-region.md)。非商业[分区](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?id=docs_gateway#partition)中的客户必须使用区域性端点。并非所有 SDKs 工具都支持此设置,但所有工具都围绕全球和区域端点定义了行为。有关更多信息,请参阅下文的 部分。
**注意**
AWS 已对[默认启用的](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)区域中的 AWS Security Token Service (AWS STS) 全球终端节点 (`https://sts.amazonaws.com`) 进行了更改,以增强其弹性和性能。 AWS STS 对全局终端节点的请求将自动以与您的工作负载 AWS 区域 相同的方式处理。这些更改不会部署到选择加入的区域。我们建议您使用适当的 AWS STS 区域终端节点。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》中的 [AWS STS 全局端点更改](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_region-endpoints.html#reference_sts_global_endpoint_changes)**。
对于支持此设置的 SDKs 和工具,客户可以使用以下方式配置功能:
**`sts_regional_endpoints`-共享 AWS `config`文件设置`AWS_STS_REGIONAL_ENDPOINTS` - 环境变量**
此设置指定 SDK 或工具如何确定用于与 AWS Security Token Service (AWS STS) 通信的 AWS 服务 端点。
**默认值:**`regional`,相关例外详见下表。
2022 年 7 月之后发布的所有新 SDK 主要版本都将默认为`regional`。新的 SDK 主要版本可能会删除此设置并使用`regional`行为。为了减少此变更对未来的影响,我们建议您尽可能在应用程序中开始使用`regional`。
**有效值:***(建议的值:`regional`)*
+ **`legacy`**— 使用全局 AWS STS 终端节点`sts.amazonaws.com`。
+ **`regional`**— SDK 或工具始终使用当前配置区域的 AWS STS 终端节点。例如,如果将客户端配置为使用`us-west-2`,则对的所有调用都将 AWS STS 发送到区域终端节点`sts.us-west-2.amazonaws.com`,而不是全球`sts.amazonaws.com`终端节点。要在启用此设置时向全局端点发送请求,您可以将区域设置为 `aws-global`。
在 `config` 文件中设置这些值的示例:
```
[default]
sts_regional_endpoints = regional
```
Linux/macOS 通过命令行设置环境变量的示例:
```
export AWS_STS_REGIONAL_ENDPOINTS=regional
```
Windows 通过命令行设置环境变量的示例:
```
setx AWS_STS_REGIONAL_ENDPOINTS regional
```
## Support AWS SDKs by 和工具
**注意**
AWS 最佳做法是尽可能使用区域终端节点并配置您的终端节点[AWS 区域](feature-region.md)。
下表汇总了 SDK 或工具的下列配置:
+ **支持设置**:是否支持 STS 区域性端点的共享 `config` 文件变量和环境变量。
+ **默认设置值**:该设置(如果支持)的默认值。
+ **默认服务客户端目标 STS 端点**:即使更改默认端点的设置不可用,客户端也会使用的默认端点。
+ **服务客户端回退行为**:当 SDK 本应使用区域性端点但尚未配置区域时的行为。无论使用区域性端点是属于默认行为,还是因为该设置选择了 `regional`,都会出现这种行为。
该表还使用了下列值:
+ **全局端点**:`https://sts.amazonaws.com`
+ **区域性端点**:基于应用程序使用的 [AWS 区域](feature-region.md)配置。
+ **`us-east-1`(区域性)**:使用 `us-east-1` 区域性端点,但会话令牌要比典型的全局请求长。
| SDK | 支持设置 | 默认设置值 | 默认服务客户端目标 STS 端点 | 服务客户端回退行为 | 备注或更多信息 |
| --- | --- | --- | --- | --- | --- |
| [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/) v2 | 否 | 不适用 | 区域端点 | 全局端点 | |
| [AWS CLI v1](https://docs.aws.amazon.com/cli/v1/userguide/cli-chap-welcome.html) | 是 | legacy | 全局端点 | 全局端点 | |
| [适用于 C\$1\$1 的 SDK](https://docs.aws.amazon.com/sdk-for-cpp/latest/developer-guide/) | 否 | 不适用 | 区域端点 | us-east-1(区域性) | |
| [适用于 Go V2 (1.x) 的 SDK](https://docs.aws.amazon.com/sdk-for-go/v2/developer-guide/) | 否 | 不适用 | 区域端点 | 请求失败 | |
| [适用于 Go 1.x(V1)的 SDK](https://docs.aws.amazon.com/sdk-for-go/latest/developer-guide/) | 是 | legacy | 全局端点 | 全局端点 | 要使用共享 config 文件设置,必须开启从配置文件加载的功能;请参阅[会话](https://docs.aws.amazon.com/sdk-for-go/api/aws/session/)。 |
| [适用于 Java 2.x 的 SDK](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/) | 否 | 不适用 | 区域端点 | 请求失败 | 如果未配置区域,则 `AssumeRole` 和 `AssumeRoleWithWebIdentity` 将使用全局 STS 端点。 |
| [适用于 Java 1.x 的 SDK](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/) | 是 | legacy | 全局端点 | 全局端点 | |
| [适用于 JavaScript 3.x 的软件开发工具包](https://docs.aws.amazon.com/sdk-for-javascript/latest/developer-guide/) | 否 | 不适用 | 区域端点 | us-east-1(区域性) | |
| [适用于 JavaScript 2.x 的 SDK](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/) | 是 | legacy | 全局端点 | 全局端点 | |
| [适用于 Kotlin 的 SDK](https://docs.aws.amazon.com/sdk-for-kotlin/latest/developer-guide/) | 否 | 不适用 | 区域端点 | 全局端点 | |
| [适用于.NET 4.x 的 SDK](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/) | 否 | 不适用 | 区域端点 | us-east-1(区域性) | |
| [适用于 .NET 3.x 的 SDK](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/) | 是 | regional | 全局端点 | 全局端点 | |
| [适用于 PHP 3.x 的 SDK](https://docs.aws.amazon.com/sdk-for-php/latest/developer-guide/) | 是 | regional | 全局端点 | 请求失败 | |
| [适用于 Python (Boto3) 的 SDK](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html) | 是 | regional | 全局端点 | 全局端点 | |
| [适用于 Ruby 3.x 的 SDK](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/) | 是 | regional | 区域端点 | 请求失败 | |
| [适用于 Rust 的 SDK](https://docs.aws.amazon.com/sdk-for-rust/latest/dg/) | 否 | 不适用 | 区域端点 | 请求失败 | |
| [适用于 Swift 的 SDK](https://docs.aws.amazon.com/sdk-for-swift/latest/developer-guide/) | 否 | 不适用 | 区域端点 | 请求失败 | |
| [适用于 PowerShell V5 的工具](https://docs.aws.amazon.com/powershell/latest/userguide/) | 是 | regional | 全局端点 | 全局端点 | |
| [适用于 PowerShell V4 的工具](https://docs.aws.amazon.com/powershell/v4/userguide/) | 是 | regional | 全局端点 | 全局端点 | |