OpenSearch Service クラスターにアクセスしようとすると、「User: anonymous is not authorized」というエラーが発生する原因を教えてください。

解決策

アクセスポリシーで許可されていない送信元 IP アドレスから、署名のないリクエストが発生すると、「User: anonymous is not authorized」というエラーメッセージが表示されます。この問題をトラブルシューティングするには、ユースケースに最適な解決策を実行してください。

クライアントは署名リクエストをサポートしていない場合

ブラウザなどの署名リクエストをサポートしていないクライアントを使用している場合は、IP ベースのアクセスポリシーを使用してください。IP ベースのポリシーでは、OpenSearch Service ドメインへの署名なしのリクエストが許可されます。

アクセスポリシーで指定する IP アドレスには、CIDR ブロック表記を使用する必要があります。OpenSearch Service が IP アドレスをアクセスポリシーと照合する際、OpenSearch Service は CIDR ブロック表記を使用します。

クラスターへのアクセスには、アクセスポリシーの IP アドレスを使用していることを確認してください。ローカルコンピュータのパブリック IP アドレスは、checkip.amazonaws.com/ に移動すると確認できます。

注: 認証エラーが発生した場合は、パブリック IP アドレス、プライベート IP アドレスのどちらを使用しているかを確認してください。IP ベースのアクセスポリシーを、仮想プライベートクラウド (VPC) 内の OpenSearch Service ドメインに適用することはできません。VPC セキュリティグループでは、既に IP ベースのアクセスポリシーを適用しています。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

クライアントは署名リクエストをサポートしている場合

署名リクエストをサポートするクライアントを使用している場合は、リクエストの署名が適切であることを確認してください。AWS は、AWS Signature Version 4 (SigV4) 署名プロセスを使用して AWS リクエストに認証情報を追加します。OpenSearch Service は、SigV4 非互換のクライアントからのリクエストを拒否し、「User: anonymous is not authorized」エラーを返します。OpenSearch Service への正しい署名を含むリクエストの例については、「OpenSearch Service リクエストの作成と署名」を参照してください。

アクセスポリシーに正しい Amazon リソースネーム (ARN) を指定したかどうかを確認します。

OpenSearch Service ドメインが VPC 内にある場合は、プロキシサーバーの有無にかかわらず、オープンアクセスポリシーを設定してください。アクセスの制御には、セキュリティグループを使用します。

OpenSearch ダッシュボードにアクセスできない場合

OpenSearch ダッシュボードにアクセスできない原因を次に示します。

• OpenSearch ダッシュボードエンドポイントは署名付きリクエストをサポートしていない。
• アクセスコントロールポリシーで AWS Identity and Access Management (IAM) ユーザーまたはロールのドメインアクセスが許可されているものの、OpenSearch ダッシュボードで Amazon Cognito 認証を設定済みでない場合。
• VPC の外部から、VPC 内の OpenSearch Service ドメインにアクセスしようとしているため、リクエストがタイムアウトします。

アクセスの問題を解決する方法については、「ダッシュボードへのアクセスを制御する」を参照してください。