O erro “User: anonymous is not authorized” (Usuário: anônimo não está autorizado) é exibido quando tento acessar meu cluster do Amazon OpenSearch Service

Última atualização: 23/09/2021

Você recebe o seguinte erro quando as solicitações não são assinadas e vêm de um endereço IP de origem que não é permitido na política de acesso:

As solicitações também retornam esse erro quando há um erro na sintaxe da política de acesso.

Se você estiver usando um cliente que não oferece suporte à assinatura de solicitações (como um navegador), avalie as seguintes possibilidades:

• Usar uma política de acesso baseada em IP. As políticas baseadas em IP permitem solicitações não assinadas para um domínio do OpenSearch Service.
• Confirmar se os endereços IP especificados na política de acesso usam a notação CIDR. As políticas de acesso usam a notação CIDR ao verificar o endereço IP em relação à política de acesso.
• Verificar se os endereços IP especificados na política de acesso são os mesmos usados para acessar o cluster. É possível obter o endereço IP público de seu computador local em https://checkip.amazonaws.com/.

Observação: se você receber um erro de autorização, verifique se está usando um endereço IP público ou privado. As políticas de acesso baseadas em IP não podem ser aplicadas a domínios do OpenSearch Service que residam em uma Virtual Private Cloud (VPC). Isso ocorre porque os grupos de segurança já aplicam políticas de acesso baseadas em IP. Se você usar o acesso público, as políticas baseadas em IP ainda estarão disponíveis. Para obter mais informações, consulte Sobre políticas de acesso em domínios da VPC.

Se você estiver usando um cliente que ofereça suporte à assinatura de solicitações, verifique o seguinte:

• Certifique-se de que suas solicitações estejam assinadas corretamente. A AWS usa o processo de assinatura do Signature versão 4 para adicionar informações de autenticação às solicitações da AWS. Solicitações de clientes que não são compatíveis com o Signature Versão 4 são rejeitadas com um erro “User: anonymous is not authorized” (Usuário: anônimo não está autorizado). Para obter exemplos de solicitações assinadas corretamente ao OpenSearch Service, consulte Criação e assinatura de solicitações do OpenSearch Service.
• Verifique se o nome do recurso da Amazon (ARN) correto está especificado na política de acesso.

Se o domínio do OpenSearch Service residir em uma VPC, configure uma política de acesso aberta com ou sem um servidor proxy. Em seguida, use grupos de segurança para controlar o acesso. Para obter mais informações, consulte Sobre políticas de acesso em domínios da VPC.

Se você não conseguir acessar o OpenSearch Dashboards, observe o seguinte:

• O endpoint do OpenSearch Dashboards não oferece suporte a solicitações assinadas.
• Se sua política de controle de acesso permitir que certos usuários ou funções do AWS Identity Access Management (IAM) acessem o domínio, configure sua autenticação do Amazon Cognito para OpenSearch Dashboards. Caso contrário, a função ou o usuário do IAM receberá um erro ao acessar o domínio OpenSearch Dashboards.
• Se o domínio do Amazon OpenSearch Service usar o acesso à VPC, o tempo de sua solicitação poderá se esgotar.

Para obter mais informações sobre como acessar o OpenSearch Service no OpenSearch Dashboards, consulte Controlar o acesso ao OpenSearch Dashboards.