Warum erhalte ich die Fehlermeldung „User: anonymous is not authorized“, wenn ich versuche, auf meinen OpenSearch-Service-Cluster zuzugreifen?

Lösung

Wenn du unsignierte Anfragen von einer Quell-IP-Adresse hast, die in der Zugriffsrichtlinie nicht zulässig ist, erhältst du die Fehlermeldung „User: anonymous is not authorized“. Um dieses Problem zu beheben, schließe die Lösung ab, die am besten zu deinem Anwendungsfall passt.

Dein Client unterstützt keine Signaturanfragen

Wenn du einen Client verwendest, der Signieranfragen nicht unterstützt, z. B. einen Browser, verwende eine IP-basierte Zugriffsrichtlinie. IP-basierte Richtlinien ermöglichen unsignierte Anfragen an eine OpenSearch-Service-Domain.

Stelle sicher, dass du die CIDR-Blocknotation für die IP-Adressen verwendest, die du in der Zugriffsrichtlinie angibst. Wenn OpenSearch Service die IP-Adresse anhand der Zugriffsrichtlinie überprüft, verwendet OpenSearch Service die CIDR-Blocknotation.

Stelle sicher, dass du die IP-Adressen aus der Zugriffsrichtlinie für den Zugriff auf deinen Cluster verwendest. Um die öffentliche IP-Adresse deines lokalen Computers zu sehen, gehe zu checkip.amazonaws.com.

Hinweis: Wenn du einen Autorisierungsfehler erhältst, überprüfe, ob du eine öffentliche oder private IP-Adresse verwendest. Du kannst keine IP-basierten Zugriffsrichtlinien auf OpenSearch-Service-Domains anwenden, die sich in einer Virtual Private Cloud (VPC) befinden. VPC-Sicherheitsgruppen setzen bereits IP-basierte Zugriffsrichtlinien durch. Weitere Informationen findest du unter Informationen zu Zugriffsrichtlinien für VPC-Domains.

Dein Client unterstützt Signaturanfragen

Wenn du einen Client verwendest, der Signaturanfragen unterstützt, stelle sicher, dass du deine Anfragen korrekt signierst. AWS verwendet den AWS Signature Version 4 (SigV4)-Signaturvorgang, um AWS-Anfragen Authentifizierungsinformationen hinzuzufügen. OpenSearch Service lehnt Anfragen von Clients, die nicht mit SigV4 kompatibel sind, mit dem Fehler „User: anonymous is not authorized“ ab. Beispiele für korrekt signierte Anfragen an OpenSearch Service findest du unter OpenSearch-Service-Anfragen erstellen und signieren.

Stelle sicher, dass du in der Zugriffsrichtlinie den richtigen Amazon-Ressourcennamen (ARN) angibst.

Wenn sich deine OpenSearch-Service-Domain in einer VPC befindet, konfiguriere eine Open-Access-Richtlinie mit oder ohne Proxyserver. Verwende Sicherheitsgruppen, um den Zugriff zu steuern.

Du kannst nicht auf OpenSearch-Dashboards zugreifen

Du kannst aus den folgenden Gründen nicht auf OpenSearch-Dashboards zugreifen:

• Der OpenSearch-Dashboards-Endpunkt unterstützt keine Signaturanfragen.
• Die Zugriffskontrollrichtlinie ermöglicht AWS Identity and Access Management (IAM)-Benutzern und -Rollen den Domain-Zugriff, aber du hast deine Amazon-Cognito-Authentifizierung für OpenSearch-Dashboards nicht konfiguriert.
• Die Anfrage läuft ab, weil du versuchst, von außerhalb der VPC auf die OpenSearch-Service-Domain innerhalb einer VPC zuzugreifen.

Informationen zur Behebung von Zugriffsproblemen findest du unter Steuern des Zugriffs auf Dashboards.