O erro “User: anonymous is not authorized” (Usuário: anônimo não está autorizado) é exibido quando tento acessar meu cluster do Amazon OpenSearch Service
Última atualização: 2021-09-23
Quando tento acessar meu domínio do Amazon OpenSearch Service ou OpenSearch Dashboards, recebo um erro. Como resolver isso?
Breve descrição
Você recebe o seguinte erro quando as solicitações não são assinadas e vêm de um endereço IP de origem que não é permitido na política de acesso:
"User: anonymous is not authorized"
As solicitações também retornam esse erro quando há um erro na sintaxe da política de acesso.
Resolução
Cliente que não oferece suporte à assinatura de solicitações
Se você estiver usando um cliente que não oferece suporte à assinatura de solicitações (como um navegador), avalie as seguintes possibilidades:
- Usar uma política de acesso baseada em IP. As políticas baseadas em IP permitem solicitações não assinadas para um domínio do OpenSearch Service.
- Confirmar se os endereços IP especificados na política de acesso usam a notação CIDR. As políticas de acesso usam a notação CIDR ao verificar o endereço IP em relação à política de acesso.
- Verificar se os endereços IP especificados na política de acesso são os mesmos usados para acessar o cluster. É possível obter o endereço IP público de seu computador local em https://checkip.amazonaws.com/.
Observação: se você receber um erro de autorização, verifique se está usando um endereço IP público ou privado. As políticas de acesso baseadas em IP não podem ser aplicadas a domínios do OpenSearch Service que residam em uma Virtual Private Cloud (VPC). Isso ocorre porque os grupos de segurança já aplicam políticas de acesso baseadas em IP. Se você usar o acesso público, as políticas baseadas em IP ainda estarão disponíveis. Para obter mais informações, consulte Sobre políticas de acesso em domínios da VPC.
Cliente que oferece suporte à assinatura de solicitações
Se você estiver usando um cliente que ofereça suporte à assinatura de solicitações, verifique o seguinte:
- Certifique-se de que suas solicitações estejam assinadas corretamente. A AWS usa o processo de assinatura do Signature versão 4 para adicionar informações de autenticação às solicitações da AWS. Solicitações de clientes que não são compatíveis com o Signature Versão 4 são rejeitadas com um erro "User: anonymous is not authorized" (Usuário: anônimo não está autorizado). Para obter exemplos de solicitações assinadas corretamente ao OpenSearch Service, consulte Criação e assinatura de solicitações do OpenSearch Service.
- Verifique se o nome do recurso da Amazon (ARN) correto está especificado na política de acesso.
Se o domínio do OpenSearch Service residir em uma VPC, configure uma política de acesso aberta com ou sem um servidor proxy. Em seguida, use grupos de segurança para controlar o acesso. Para obter mais informações, consulte Sobre políticas de acesso em domínios da VPC.
Endpoints do OpenSearch Dashboards
Se você não conseguir acessar o OpenSearch Dashboards, observe o seguinte:
- O endpoint do OpenSearch Dashboards não oferece suporte a solicitações assinadas.
- Se sua política de controle de acesso permitir que certos usuários ou funções do AWS Identity Access Management (IAM) acessem o domínio, configure sua autenticação do Amazon Cognito para OpenSearch Dashboards. Caso contrário, o perfil ou o usuário do IAM receberá um erro ao acessar o domínio OpenSearch Dashboards.
- Se o domínio do OpenSearch Service usar o acesso à VPC, o tempo de sua solicitação poderá se esgotar.
Para obter mais informações sobre como acessar o OpenSearch Service no OpenSearch Dashboards, consulte Controlar o acesso ao OpenSearch Dashboards.
Informações relacionadas
Este artigo ajudou?
Precisa de ajuda com faturamento ou suporte técnico?