Je reçois une erreur « User: anonymous is not authorized » (Utilisateur : anonyme non autorisé) lorsque j'essaie d'accéder à mon cluster Elasticsearch

Dernière mise à jour : 22/07/2021

Lorsque j'essaie d'accéder à mon domaine Amazon Elasticsearch Service (Amazon ES) ou à Kibana, je reçois le message d'erreur suivant : « User: anonymous is not authorized » (Utilisateur : anonyme non autorisé). Comment éliminer cette erreur ?

Brève description

Les demandes renvoient cette erreur lorsqu'elles sont non signées et proviennent d'une adresse IP source qui n'est pas autorisée dans la politique d'accès. Les demandes renvoient également cette erreur en cas d'erreur dans la syntaxe de la politique d'accès.

Résolution

Client qui ne prend pas en charge la signature de demandes

Si vous utilisez un client qui ne prend pas en charge la signature de demandes (par exemple, un navigateur), tenez compte des éléments suivants :

  • Utilisez une stratégie d'accès basée sur l'adresse IP. Les politiques basées sur l'adresse IP autorisent les demandes non signées vers un domaine Amazon ES.
  • Assurez-vous que les adresses IP spécifiées dans la politique d'accès utilisent la notation CIDR. Les politiques d'accès utilisent la notation CIDR lors de la vérification de l'adresse IP par rapport à la politique d'accès.
  • Vérifiez que les adresses IP spécifiées dans la politique d'accès sont les mêmes que celles utilisées pour accéder à votre cluster Elasticsearch. Vous pouvez obtenir l'adresse IP publique de votre ordinateur local à l'adresse https://checkip.amazonaws.com/.

Remarque : si vous rencontrez une erreur d'autorisation, vérifiez alors si vous utilisez une adresse IP publique ou privée. Les stratégies d'accès basées sur l'adresse IP ne peuvent pas être appliquées aux domaines Amazon ES qui résident dans un Virtual Private Cloud (VPC). Cela est dû au fait que les groupes de sécurité appliquent déjà des stratégies d'accès basées sur l'adresse IP. Si vous utilisez l'accès public, les stratégies basées sur l'adresse IP sont toujours disponibles. Pour plus d'informations, consultez À propos des stratégies d'accès sur les domaines VPC.

Client qui prend en charge la signature de demandes

Si vous utilisez un client qui prend en charge la signature de demandes, vérifiez les points suivants :

  • Assurez-vous que vos demandes sont correctement signées. AWS utilise le processus de signature Signature Version 4 pour ajouter des informations d'authentification aux demandes AWS. Les demandes de clients qui ne sont pas compatibles avec Signature Version 4 sont rejetées avec l'erreur « Utilisateur : anonyme n'est pas autorisé ». Pour obtenir des exemples de demandes correctement signées à Amazon ES, consultez Envoi et signature de demandes Amazon ES.
  • Vérifiez que l'Amazon Resource Name (ARN) correct est spécifié dans la stratégie d'accès.

Si votre domaine Amazon ES réside dans un VPC, configurez une stratégie d'accès ouvert avec ou sans serveur proxy. Ensuite, utilisez des groupes de sécurité pour contrôler l'accès. Pour plus d'informations, consultez À propos des stratégies d'accès sur les domaines VPC.

Points de terminaison Kibana

Si vous ne pouvez pas accéder à Kibana, notez les points suivants :

Pour plus d'informations sur l'accès à Amazon ES depuis Kibana, consultez Contrôle de l'accès à Kibana.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?