Ich erhalte die Fehlermeldung „User: anonymous is not authorized“ (Benutzer: anonym ist nicht autorisiert), wenn ich versuche, auf meinen Amazon-OpenSearch-Service-Cluster zuzugreifen

Letzte Aktualisierung: 23.9.2021

Wenn ich versuche, auf meine Amazon-OpenSearch-Service-Domäne (Nachfolger von Amazon Elasticsearch Service) oder die OpenSearch-Dashboards zuzugreifen, erhalte ich eine Fehlermeldung. Wie kann ich dies beheben?

Kurzbeschreibung

Sie erhalten den folgenden Fehler, wenn Anfragen nicht signiert sind und von einer Quell-IP-Adresse stammen, die in der Zugriffsrichtlinie nicht zugelassen ist:

"User: anonymous is not authorized"

Anfragen geben diesen Fehler auch zurück, wenn die Syntax der Zugriffsrichtlinie fehlerhaft ist.

Behebung

Client, der das Signieren von Anfragen nicht unterstützt

Wenn Sie einen Client verwenden, der das Signieren von Anfragen nicht unterstützt (z. B. einen Browser), sollten Sie Folgendes beachten:

  • Verwenden Sie eine IP-basierte Zugriffsrichtlinie. IP-basierte Richtlinien erlauben unsignierte Anfragen an eine OpenSearch Service-Domäne.
  • Achten Sie darauf, dass die in der Zugriffsrichtlinie angegebenen IP-Adressen die CIDR-Notation verwenden. Zugriffsrichtlinien verwenden die CIDR-Notation, wenn die IP-Adresse mit der Zugriffsrichtlinie verglichen wird.
  • Stellen Sie sicher, dass die in der Zugriffsrichtlinie angegebenen IP-Adressen dieselben sind, die für den Zugriff auf Ihren Cluster verwendet wurden. Die öffentliche IP-Adresse Ihres lokalen Computers können Sie unter https://checkip.amazonaws.com/ abrufen.

Hinweis: Wenn Sie einen Autorisierungsfehler erhalten, überprüfen Sie, ob Sie eine öffentliche oder private IP-Adresse verwenden. IP-basierte Zugriffsrichtlinien können nicht auf OpenSearch Service-Domänen angewendet werden, die sich in einer Virtual Private Cloud (VPC) befinden. Dies liegt daran, dass Sicherheitsgruppen bereits IP-basierte Zugriffsrichtlinien durchsetzen. Wenn Sie den öffentlichen Zugriff verwenden, sind IP-basierte Richtlinien weiterhin verfügbar. Weitere Informationen finden Sie unter Informationen zu Zugriffsrichtlinien für VPC-Domänen.

Client, der das Signieren von Anfragen unterstützt

Wenn Sie einen Client verwenden, der das Signieren von Anfragen unterstützt, überprüfen Sie Folgendes:

  • Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind. AWS verwendet den Signaturprozess von Signature Version 4, um AWS-Anfragen Authentifizierungsinformationen hinzuzufügen. Anfragen von Clients, die nicht mit Signature Version 4 kompatibel sind, werden mit dem Fehler „User: anonymous is not authorized“ (Benutzer: anonym ist nicht autorisiert) abgelehnt. Beispiele für korrekt signierte Anfragen an OpenSearch Service finden Sie unter OpenSearch Service-Anfragen stellen und signieren.
  • Stellen Sie sicher, dass der richtige Amazon Resource Name (ARN) in der Zugriffsrichtlinie angegeben ist.

Wenn sich Ihre OpenSearch Service-Domäne in einer VPC befindet, konfigurieren Sie eine Open-Access-Richtlinie mit oder ohne Proxyserver. Verwenden Sie dann Sicherheitsgruppen, um den Zugriff zu steuern. Weitere Informationen finden Sie unter Informationen zu Zugriffsrichtlinien für VPC-Domänen.

OpenSearch Dashboards-Endpunkte

Wenn Sie nicht auf OpenSearch-Dashboards zugreifen können, beachten Sie Folgendes:

Weitere Informationen zum Zugriff auf OpenSearch Service von OpenSearch Dashboards aus finden Sie unter Steuern des Zugriffs auf OpenSearch Dashboards.