我在嘗試存取 Amazon OpenSearch Service 叢集時收到「使用者：匿名未經授權」錯誤

上次更新日期：2021 年 9 月 23 日

當請求未簽署，而且來自存取政策中不允許的來源 IP 地址時，您會收到下列錯誤：

"User: anonymous is not authorized"

當存取政策的語法發生錯誤時，請求也會傳回此錯誤。

如果您使用的用戶端不支援請求簽名 (例如瀏覽器)，請考慮以下幾點：

• 使用以 IP 為基礎的存取政策。以 IP 為基礎的政策允許 OpenSearch Service 網域的未簽署請求。
• 請確定存取政策中指定的 IP 地址使用 CIDR 標記法。針對存取政策檢查 IP 地址時，存取政策會使用 CIDR 標記法。
• 確認存取政策中指定的 IP 地址與用於存取叢集的 IP 地址相同。您可以從 https://checkip.amazonaws.com/ 取得本機電腦的公有 IP 地址。

注意：如果您收到授權錯誤，請檢查您使用的是公有還是私有 IP 地址。以 IP 為基礎的存取政策無法套用至位於 Virtual Private Cloud (VPC) 內的 OpenSearch Service 網域。這是因為安全群組已強制執行以 IP 為基礎的存取政策。如果您使用公有存取，則以 IP 為基礎的政策仍然可用。如需詳細資訊，請參閱關於 VPC 網域上的存取政策。

如果您使用的是支援請求簽署的用戶端，請檢查以下內容：

• 請確定您的請求已正確簽署。AWS 使用簽章版本 4 簽署程序，將身分驗證資訊新增至 AWS 請求。來自與簽章版本 4 不相容的用戶端請求會遭到拒絕，並顯示「使用者：匿名未授權」錯誤。如需正確簽署 OpenSearch Service 請求的範例，請參閱製作和簽署 OpenSearch Service 請求。
• 確認存取政策中指定了正確的 Amazon 資源名稱 (ARN)。

如果您的 OpenSearch Service 網域位於 VPC 內，請設定開放存取政策 (包含或不包含代理伺服器)。然後，使用安全群組來控制存取。如需詳細資訊，請參閱關於 VPC 網域上的存取政策。

如果您無法存取 OpenSearch Dashboards，請注意下列事項：

• OpenSearch Dashboards 端點不支援已簽署的請求。
• 如果您的存取控制政策允許某些 AWS Identity Access Management (IAM) 使用者或角色網域存取，則 為 OpenSearch Dashboards 設定 Amazon Cognito 身分驗證。否則，IAM 角色或使用者在存取 OpenSearch Dashboards 網域時會收到錯誤。
• 如果您的 Amazon OpenSearch Service 網域使用 VPC 存取，則您的請求可能會逾時。

如需從 OpenSearch Dashboards 存取 OpenSearch Service 的詳細資訊，請參閱控制對 OpenSearch Dashboards 的存取。

Amazon OpenSearch Service 是 Amazon Elasticsearch Service 的後繼者。

相關資訊

設定適用於 OpenSearch Dashboards 的 Amazon Cognito 身分驗證

Amazon OpenSearch Service 的疑難排解

控制對 OpenSearch Dashboards 的存取