O erro “User: anonymous is not authorized” (Usuário: anônimo não está autorizado) é exibido quando tento acessar meu cluster do Amazon OpenSearch Service

Última atualização: 23/09/2021

Quando tento acessar meu domínio do Amazon OpenSearch Service (sucessor do Amazon Elasticsearch Service) ou OpenSearch Dashboards, é exibido um erro. Como resolver isso?

Breve descrição

Você recebe o seguinte erro quando as solicitações não são assinadas e vêm de um endereço IP de origem que não é permitido na política de acesso:

"User: anonymous is not authorized"

As solicitações também retornam esse erro quando há um erro na sintaxe da política de acesso.

Resolução

Cliente que não oferece suporte à assinatura de solicitações

Se você estiver usando um cliente que não oferece suporte à assinatura de solicitações (como um navegador), avalie as seguintes possibilidades:

  • Usar uma política de acesso baseada em IP. As políticas baseadas em IP permitem solicitações não assinadas para um domínio do OpenSearch Service.
  • Confirmar se os endereços IP especificados na política de acesso usam a notação CIDR. As políticas de acesso usam a notação CIDR ao verificar o endereço IP em relação à política de acesso.
  • Verificar se os endereços IP especificados na política de acesso são os mesmos usados para acessar o cluster. É possível obter o endereço IP público de seu computador local em https://checkip.amazonaws.com/.

Observação: se você receber um erro de autorização, verifique se está usando um endereço IP público ou privado. As políticas de acesso baseadas em IP não podem ser aplicadas a domínios do OpenSearch Service que residam em uma Virtual Private Cloud (VPC). Isso ocorre porque os grupos de segurança já aplicam políticas de acesso baseadas em IP. Se você usar o acesso público, as políticas baseadas em IP ainda estarão disponíveis. Para obter mais informações, consulte Sobre políticas de acesso em domínios da VPC.

Cliente que oferece suporte à assinatura de solicitações

Se você estiver usando um cliente que ofereça suporte à assinatura de solicitações, verifique o seguinte:

Se o domínio do OpenSearch Service residir em uma VPC, configure uma política de acesso aberta com ou sem um servidor proxy. Em seguida, use grupos de segurança para controlar o acesso. Para obter mais informações, consulte Sobre políticas de acesso em domínios da VPC.

Endpoints do OpenSearch Dashboards

Se você não conseguir acessar o OpenSearch Dashboards, observe o seguinte:

Para obter mais informações sobre como acessar o OpenSearch Service no OpenSearch Dashboards, consulte Controlar o acesso ao OpenSearch Dashboards.