Pourquoi ai-je reçu le message d'erreur « Utilisateur : l'anonymat n'est pas autorisé » lorsque j'ai essayé d'accéder à mon cluster OpenSearch Service ?

Lecture de 4 minute(s)
0

J'ai essayé d'accéder à mon domaine Amazon OpenSearch Service ou à mes tableaux de bord OpenSearch et j'ai reçu le message d'erreur « Utilisateur : anonyme non autorisé ».

Brève description

L'erreur suivante s'affiche lorsque les demandes ne sont pas signées et proviennent d'une adresse IP source non autorisée dans la politique d'accès :

"User: anonymous is not authorized"

Résolution

Client qui ne prend pas en charge la signature des demandes

Si vous utilisez un client qui ne prend pas en charge la signature des demandes (tel qu'un navigateur), tenez compte des points suivants :

  • Utilisez une stratégie d'accès basée sur IP. Les politiques basées sur IP autorisent les requêtes non signées vers un domaine OpenSearch Service.
  • Assurez-vous que les adresses IP spécifiées dans la politique d'accès utilisent la notation CIDR. Les politiques d'accès utilisent la notation CIDR lors de la vérification de l'adresse IP par rapport à la politique d'accès.
  • Vérifiez que les adresses IP spécifiées dans la politique d'accès sont les mêmes que celles utilisées pour accéder à votre cluster. Vérifiez l'adresse IP publique de votre ordinateur local à l'adresse https://checkip.amazonaws.com/.

Remarque : Si vous recevez une erreur d'autorisation, vérifiez si vous utilisez une adresse IP publique ou privée. Les politiques d'accès basées sur IP ne peuvent pas être appliquées aux domaines OpenSearch Service qui résident dans un cloud privé virtuel (VPC). Cela est dû au fait que les groupes de sécurité appliquent déjà des politiques d'accès basées sur IP. Si vous utilisez l'accès public, les politiques basées sur IP sont toujours disponibles. Pour plus d'informations, consultez la section À propos des politiques d'accès sur les domaines VPC.

Client qui prend en charge la signature des demandes

Si vous utilisez un client qui prend en charge la signature des demandes, vérifiez les points suivants :

  • Assurez-vous que vos demandes sont correctement signées. AWS utilise le processus de la version 4 de signature pour ajouter des informations d'authentification aux demandes AWS. Les demandes émanant de clients qui ne sont pas compatibles avec la version 4 de Signature sont rejetées avec le message d'erreur « Utilisateur : anonyme n'est pas autorisé ». Pour des exemples de demandes correctement signées adressées à OpenSearch Service, consultez la section Création et signature de demandes OpenSearch Service.
  • Vérifiez que le nom de ressource Amazon (ARN) correct est spécifié dans la politique d'accès.

Si votre domaine OpenSearch Service réside dans un VPC, configurez une politique d'accès ouvert avec ou sans serveur proxy. Utilisez ensuite des groupes de sécurité pour contrôler l'accès. Pour plus d'informations, consultez la section À propos des politiques d'accès sur les domaines VPC.

Points de terminaison des tableaux de bord OpenSearch

Si vous ne pouvez pas accéder aux tableaux de bord OpenSearch, notez les points suivants :

Pour plus d'informations sur l'accès au service OpenSearch depuis les tableaux de bord OpenSearch, consultez la section Contrôle de l'accès aux tableaux de bord OpenSearch.

Informations connexes

Configuration de l'authentification Amazon Cognito pour les tableaux de bord OpenSearch

Résolution des problèmes liés à Amazon OpenSearch Service

Contrôle de l'accès aux tableaux de bord OpenSearch

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois