Je rencontre l'erreur « Utilisateur : anonyme non autorisé » lorsque j'essaie d'accéder à mon cluster Elasticsearch.

Date de la dernière mise à jour : 18/09/2020

Lorsque j'essaie d'accéder à mon domaine Amazon Elasticsearch Service (Amazon ES) ou à Kibana, je reçois le message d'erreur suivant : « Utilisateur : anonyme non autorisé ». Comment éliminer cette erreur ?

Brève description

Les demandes renvoient cette erreur lorsqu'elles sont non signées et proviennent d'une adresse IP source qui n'est pas autorisée dans la politique d'accès. Les demandes renvoient également cette erreur en cas d'erreur dans la syntaxe de la politique d'accès.

Solution

Si vous utilisez un client qui ne prend pas en charge la signature de demande (par exemple, un navigateur), tenez compte des éléments suivants :

  • Utilisez une politique d'accès basée sur l'adresse IP. Les politiques basées sur l'adresse IP autorisent les demandes non signées vers un domaine Amazon ES.
  • Assurez-vous que les adresses IP spécifiées dans la politique d'accès utilisent la notation CIDR. Les politiques d'accès utilisent la notation CIDR lors de la vérification de l'adresse IP par rapport à la politique d'accès.
  • Vérifiez que les adresses IP spécifiées dans la politique d'accès sont les mêmes que celles utilisées pour accéder à votre cluster Elasticsearch. Vous pouvez obtenir l'adresse IP publique de votre ordinateur local à l'adresse https://checkip.amazonaws.com/.

Remarque : si vous rencontrez une erreur d'autorisation, vérifiez si vous utilisez une adresse IP publique ou privée. Les politiques d'accès basées sur l'adresse IP ne peuvent pas être appliquées aux domaines Amazon ES qui résident dans un Virtual Private Cloud (VPC). Cela est dû au fait que les groupes de sécurité appliquent déjà des politiques d'accès basées sur l'adresse IP. Pour l'accès public, les politiques basées sur l'adresse IP sont toujours disponibles. Pour plus d'informations, consultez la section À propos des politiques d'accès sur les domaines VPC.

Si vous utilisez un client qui prend en charge la signature des demandes, vérifiez les points suivants :

  • Assurez-vous que vos demandes sont correctement signées. AWS utilise le processus de signature Signature Version 4 pour ajouter des informations d'authentification aux demandes AWS. Les demandes de clients qui ne sont pas compatibles avec Signature Version 4 sont rejetées avec l'erreur « Utilisateur : anonyme n'est pas autorisé ». Pour obtenir des exemples de demandes correctement signées à Amazon ES, consultez Envoi et signature de demandes Amazon ES.
  • Vérifiez que l'Amazon Resource Name (ARN) correct est spécifié dans la politique d'accès.

Si votre domaine Amazon ES réside dans un VPC, configurez une politique d'accès ouvert avec ou sans serveur proxy. Ensuite, utilisez des groupes de sécurité pour contrôler l'accès. Pour plus d'informations, consultez la section À propos des politiques d'accès sur les domaines VPC.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?