Quando provo a effettuare l'accesso sul cluster OpenSearch Service, ricevo il messaggio di errore "L’utente anonimo non è autorizzato"

Ultimo aggiornamento: 23-09-2021

Quando provo ad accedere al mio dominio Amazon OpenSearch Service (successore di Amazon Elasticsearch Service) o a OpenSearch Dashboards, ricevo un errore. Come posso risolvere questo problema?

Breve descrizione

Viene visualizzato il seguente errore quando le richieste non sono firmate e provengono da un indirizzo IP di origine non consentito nella policy di accesso:

"User: anonymous is not authorized"

Le richieste restituiscono questo errore anche quando si verifica un errore nella sintassi della policy di accesso.

Risoluzione

Client che non supporta la firma delle richieste

Se si utilizza un client che non supporta la firma delle richieste (ad esempio un browser), prendere in considerazione quanto segue:

  • Utilizza una policy di accesso basata su IP. Le policy basate su IP consentono richieste non firmate a un dominio di OpenSearch Service.
  • Accertarsi che gli indirizzi IP specificati nella policy di accesso utilizzino la notazione CIDR. Le policy di accesso utilizzano la notazione CIDR durante il controllo dell'indirizzo IP rispetto al criterio di accesso.
  • Verificare che gli indirizzi IP specificati nella policy di accesso siano gli stessi utilizzati per accedere al cluster. È possibile ottenere l'indirizzo IP pubblico del computer locale all'indirizzo https://checkip.amazonaws.com/.

Nota: se compare un errore di autorizzazione, controlla se stai utilizzando un indirizzo IP pubblico o privato. Le policy di accesso basate su IP non possono essere applicate ai domini di OpenSearch Service che risiedono all'interno di un Virtual Private Cloud (VPC). Questo perché i gruppi di sicurezza applicano già policy di accesso basate su IP. Se si utilizza l'accesso pubblico, le policy basate su IP sono ancora disponibili. Per ulteriori informazioni, consulta Informazioni sulle policy di accesso sui domini VPC.

Client che supporta la firma delle richieste

Se viene utilizzato un client che supporta la firma delle richieste, controllare quanto segue:

Se il proprio dominio OpenSearch Service risiede all'interno di un VPC, configurare un criterio di accesso aperto con o senza un server proxy. Quindi, utilizzare i gruppi di sicurezza per controllare l'accesso. Per ulteriori informazioni, consulta Informazioni sulle policy di accesso sui domini VPC.

Endpoint OpenSearch Dashboards

Se non riesci ad accedere a OpenSearch Dashboards, tieni presente quanto segue:

Per ulteriori informazioni sull'accesso al servizio OpenSearch di OpenSearch Dashboards, consulta Controllo dell'accesso a OpenSearch Dashboards.