我在嘗試存取 Amazon OpenSearch Service 叢集時收到「使用者:匿名未經授權」錯誤
上次更新日期:2021 年 9 月 23 日
當我嘗試存取我的 Amazon OpenSearch Service 網域或 OpenSearch Dashboards 時,我會收到錯誤。如何解決此錯誤?
簡短描述
當請求未簽署,而且來自存取政策中不允許的來源 IP 地址時,您會收到下列錯誤:
"User: anonymous is not authorized"
當存取政策的語法發生錯誤時,請求也會傳回此錯誤。
解決方案
不支援請求簽署的用戶端
如果您使用的用戶端不支援請求簽名 (例如瀏覽器),請考慮以下幾點:
- 使用以 IP 為基礎的存取政策。以 IP 為基礎的政策允許 OpenSearch Service 網域的未簽署請求。
- 請確定存取政策中指定的 IP 地址使用 CIDR 標記法。針對存取政策檢查 IP 地址時,存取政策會使用 CIDR 標記法。
- 確認存取政策中指定的 IP 地址與用於存取叢集的 IP 地址相同。您可以從 https://checkip.amazonaws.com/ 取得本機電腦的公有 IP 地址。
注意:如果您收到授權錯誤,請檢查您使用的是公有還是私有 IP 地址。以 IP 為基礎的存取政策無法套用至位於 Virtual Private Cloud (VPC) 內的 OpenSearch Service 網域。這是因為安全群組已強制執行以 IP 為基礎的存取政策。如果您使用公有存取,則以 IP 為基礎的政策仍然可用。如需詳細資訊,請參閱關於 VPC 網域上的存取政策。
支援請求簽署的用戶端
如果您使用的是支援請求簽署的用戶端,請檢查以下內容:
- 請確定您的請求已正確簽署。AWS 使用簽章版本 4 簽署程序,將身分驗證資訊新增至 AWS 請求。來自與簽章版本 4 不相容的用戶端請求會遭到拒絕,並顯示「使用者:匿名未授權」錯誤。如需正確簽署 OpenSearch Service 請求的範例,請參閱製作和簽署 OpenSearch Service 請求。
- 確認存取政策中指定了正確的 Amazon 資源名稱 (ARN)。
如果您的 OpenSearch Service 網域位於 VPC 內,請設定開放存取政策 (包含或不包含代理伺服器)。然後,使用安全群組來控制存取。如需詳細資訊,請參閱關於 VPC 網域上的存取政策。
OpenSearch 儀表板端點
如果您無法存取 OpenSearch Dashboards,請注意下列事項:
- OpenSearch Dashboards 端點不支援已簽署的請求。
- 如果您的存取控制政策允許某些 AWS Identity Access Management (IAM) 使用者或角色網域存取,則 為 OpenSearch Dashboards 設定 Amazon Cognito 身分驗證。否則,IAM 角色或使用者在存取 OpenSearch Dashboards 網域時會收到錯誤。
- 如果您的 Amazon OpenSearch Service 網域使用 VPC 存取,則您的請求可能會逾時。
如需從 OpenSearch Dashboards 存取 OpenSearch Service 的詳細資訊,請參閱控制對 OpenSearch Dashboards 的存取。
Amazon OpenSearch Service 是 Amazon Elasticsearch Service 的後繼者。
相關資訊
設定適用於 OpenSearch Dashboards 的 Amazon Cognito 身分驗證