当我尝试访问我的 OpenSearch Service 集群时，为什么会出现“用户：匿名未获得授权”错误？

1 分钟阅读

我尝试访问我的 Amazon OpenSearch Service 域或 OpenSearch 控制面板，但出现了“用户：匿名未获得授权”错误。

简短描述

如果请求未签名且来自访问策略中不允许的源 IP 地址，就会出现以下错误：

"User: anonymous is not authorized"

解决方法

不支持请求签名的客户端

如果您使用的客户端不支持请求签名（例如浏览器），则考虑以下事项：

使用基于 IP 的访问策略。基于 IP 的策略允许向 OpenSearch Service 域发送未签名的请求。
确保访问策略中指定的 IP 地址使用 CIDR 表示法。访问策略在根据访问策略检查 IP 地址时使用 CIDR 表示法。
确认访问策略中指定的 IP 地址与用于访问集群的 IP 地址相同。通过 https://checkip.amazonaws.com/ 查看本地计算机的公共 IP 地址。

**注意：**如果您收到授权错误，请检查您使用的是公有还是私有 IP 地址。基于 IP 的访问策略无法应用于位于虚拟私有云（VPC）中的 OpenSearch Service 域。这是因为安全组已经强制执行了基于 IP 的访问策略。如果使用公有访问，则基于 IP 的策略仍然可用。有关详细信息，请参阅关于 VPC 域上的访问策略。

支持请求签名的客户端

如果您使用的客户端支持请求签名，请检查以下各项：

确保您的请求已正确签名。AWS 使用签名版本 4 签名流程向 AWS 请求添加身份验证信息。来自与签名版本 4 不兼容的客户端的请求将被拒绝，并出现“用户：匿名未获得授权”错误。有关正确签名的 OpenSearch Service 请求的示例，请参阅发出 OpenSearch Service 请求及为请求签名。
验证是否在访问策略中指定了正确的 Amazon 资源名称（ARN）。

如果您的 OpenSearch Service 域驻留在 VPC 内，然后配置一个使用或不使用代理服务器的开放访问策略。然后，使用安全组来控制访问权限。有关详细信息，请参阅关于 VPC 域上的访问策略。

OpenSearch Dashboards 端点

如果您无法访问 OpenSearch Dashboards，请注意以下几点：

OpenSearch Dashboards 端点不支持已签名的请求。
如果您的访问控制策略允许 AWS Identity and Access Management（AWS IAM）用户或角色访问域，请为 OpenSearch Dashboards 配置 Amazon Cognito 身份验证。否则，IAM 角色或用户在访问 OpenSearch Dashboards 域时会收到错误。
如果您尝试从 VPC 外部访问 VPC 中的 OpenSearch Service 域，则请求将超时。

有关从 OpenSearch Dashboards 访问 OpenSearch Service 的详细信息，请参阅控制对 OpenSearch Dashboards 的访问。