Je reçois le message d'erreur « Utilisateur : anonyme non autorisé » lorsque j'essaie d'accéder à mon cluster Amazon OpenSearch Service

Date de la dernière mise à jour : 23/09/2021

Lorsque j'essaie d'accéder à mon domaine Amazon OpenSearch Service (successeur d'Amazon Elasticsearch Service) ou à OpenSearch Dashboards, je reçois le message d'erreur suivant : Comment puis-je résoudre ce problème ?

Brève description

Vous recevez l'erreur suivante lorsque les requêtes sont non signées et proviennent d'une adresse IP source qui n'est pas autorisée dans la stratégie d'accès :

"User: anonymous is not authorized"

Les demandes renvoient également cette erreur en cas d'erreur dans la syntaxe de la politique d'accès.

Résolution

Client qui ne prend pas en charge la signature de demandes

Si vous utilisez un client qui ne prend pas en charge la signature de demandes (par exemple, un navigateur), tenez compte des éléments suivants :

  • Utilisez une stratégie d'accès basée sur l'adresse IP. Les politiques basées sur l'IP autorisent les demandes non signées vers un domaine OpenSearch Service.
  • Assurez-vous que les adresses IP spécifiées dans la stratégie d'accès utilisent la notation CIDR. Les stratégies d'accès utilisent la notation CIDR lors de la vérification de l'adresse IP par rapport à la stratégie d'accès.
  • Vérifiez que les adresses IP spécifiées dans la stratégie d'accès sont les mêmes que celles utilisées pour accéder à votre cluster. Vous pouvez obtenir l'adresse IP publique de votre ordinateur local à l'adresse https://checkip.amazonaws.com/.

Remarque : si vous recevez un message d'erreur d'autorisation, vérifiez alors si vous utilisez une adresse IP publique ou privée. Les stratégies d'accès basées sur l'adresse IP ne peuvent pas être appliquées aux domaines OpenSearch Service qui résident dans un Virtual Private Cloud (VPC). En effet, les groupes de sécurité appliquent déjà des stratégies d'accès basées sur l'adresse IP. Si vous utilisez l'accès public, les stratégies basées sur l'adresse IP sont toujours disponibles. Pour plus d'informations, veuillez consulter la rubrique À propos des politiques d'accès sur les domaines VPC.

Client qui prend en charge la signature de demandes

Si vous utilisez un client qui prend en charge la signature de demandes, vérifiez les points suivants :

  • Assurez-vous que vos demandes sont correctement signées. AWS utilise le processus de signature Signature Version 4 pour ajouter des informations d'authentification aux demandes AWS. Les demandes de clients qui ne sont pas compatibles avec Signature Version 4 sont rejetées avec le message d'erreur « Utilisateur : anonyme n'est pas autorisé ». Pour des exemples de requêtes adressées à OpenSearch Service correctement signées, veuillez consulter la rubrique Création et signature de requêtes OpenSearch Service.
  • Vérifiez que l'Amazon Resource Name (ARN) adéquat est spécifié dans la stratégie d'accès.

Si votre domaine OpenSearch Service réside dans un VPC, configurez une stratégie d'accès ouvert avec ou sans serveur proxy. Ensuite, utilisez des groupes de sécurité pour contrôler l'accès. Pour plus d'informations, veuillez consulter la rubrique À propos des politiques d'accès sur les domaines VPC.

Points de terminaison d'OpenSearch Dashboards

Si vous ne pouvez pas accéder à OpenSearch Dashboards, notez ce qui suit :

Pour plus d'informations sur l'accès à OpenSearch Service à partir de tableaux de bord OpenSearch, veuillez consulter la rubrique Contrôle de l'accès à OpenSearch Dashboards.