OpenSearch Service クラスターにアクセスしようとしたときに「ユーザー: 匿名は許可されていません」というエラーが表示されるのはなぜですか?

簡単な説明

リクエストが署名されておらず、アクセスポリシーで許可されていない送信元 IP アドレスから送信された場合は、次のエラーが表示されます。

"User: anonymous is not authorized"

解決策

リクエスト署名をサポートしていないクライアント

リクエスト署名をサポートしていないクライアント (ブラウザなど) を使用している場合は、次の点を検討してください。

• IP ベースのアクセスポリシーを使用してください。IP ベースのポリシーでは、OpenSearch Service ドメインへの署名なしのリクエストが許可されます。
• アクセスポリシーで指定されている IP アドレスが CIDR 表記を使用しているかを確認してください。アクセスポリシーでは、IP アドレスをアクセスポリシーと照合する際に CIDR 表記を使用します。
• アクセスポリシーで指定されている IP アドレスが、クラスターへのアクセスに使用される IP アドレスと同じであるかを確認します。ローカルコンピューターのパブリック IP アドレスを https://checkip.amazonaws.com/ で確認してください。

**注:**認証エラーを受け取った場合は、パブリック IP アドレスとプライベート IP アドレスのどちらを使用しているかを確認してください。IP ベースのアクセスポリシーは、仮想プライベートクラウド (VPC) 内にある OpenSearch Service ドメインには適用することができません。これは、セキュリティグループがすでに IP ベースのアクセスポリシーを適用しているためです。パブリックアクセスを使用する場合でも、IP ベースのポリシーを使用可能です。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

リクエスト署名をサポートするクライアント

リクエスト署名をサポートするクライアントを使用している場合は、以下を確認してください。

• リクエストが正しく署名されているかを確認してください。AWS はSignature Version 4 の署名プロセスを使用して AWS リクエストに認証情報を追加します。Signature Version 4 と互換性のないクライアントからのリクエストは、「ユーザー:匿名は許可されていません」というエラーで拒否されます。OpenSearch Service への正しく署名されたリクエストの例については、「OpenSearch サービスリクエストの作成と署名」を参照してください。
• アクセスポリシーに正しい Amazon リソースネーム (ARN) が指定されているかどうかを確認します。

OpenSearch Service ドメインが VPC 内にある場合は、プロキシサーバーの有無にかかわらず、オープンアクセスポリシーを設定します。次に、セキュリティグループを使用してアクセスを制御します。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

OpenSearch ダッシュボードのエンドポイント

OpenSearch ダッシュボードにアクセスできない場合は、次の点に注意してください。

• OpenSearch ダッシュボードエンドポイントは署名付きリクエストをサポートしていません。
• アクセスコントロールポリシーで AWS Identity Access Management (IAM) ユーザーまたはロールのドメインアクセスが許可されている場合は、OpenSearch ダッシュボードの Amazon Cognito 認証を設定してください。そうしないと、IAM ロールまたはユーザーが OpenSearch ダッシュボードのドメインにアクセスするときにエラーを受け取ります。
• VPC の外部から VPC 内の OpenSearch Service ドメインにアクセスしようとすると、リクエストはタイムアウトします。

OpenSearch ダッシュボードから OpenSearch サービスにアクセスする方法の詳細については、「OpenSearch ダッシュボードへのアクセスの制御」を参照してください。

関連情報

OpenSearch ダッシュボードの Amazon Cognito 認証の設定

Amazon OpenSearch サービスのトラブルシューティング

OpenSearch ダッシュボードへのアクセスの制御