Quando provo a effettuare l'accesso sul cluster OpenSearch Service, ricevo il messaggio di errore "L’utente anonimo non è autorizzato"
Quando provo ad accedere al mio dominio Amazon OpenSearch Service o a OpenSearch Dashboards, ricevo un messaggio di errore. Come posso risolvere questo problema?
Breve descrizione
Viene visualizzato il seguente errore quando le richieste non sono firmate e provengono da un indirizzo IP di origine non consentito nella policy di accesso:
"User: anonymous is not authorized"
Le richieste restituiscono questo errore anche quando si verifica un errore nella sintassi della policy di accesso.
Risoluzione
Client che non supporta la firma delle richieste
Se si utilizza un client che non supporta la firma delle richieste (ad esempio un browser), prendere in considerazione quanto segue:
- Utilizza una policy di accesso basata su IP. Le policy basate su IP consentono richieste non firmate a un dominio di OpenSearch Service.
- Accertarsi che gli indirizzi IP specificati nella policy di accesso utilizzino la notazione CIDR. Le policy di accesso utilizzano la notazione CIDR durante il controllo dell'indirizzo IP rispetto al criterio di accesso.
- Verificare che gli indirizzi IP specificati nella policy di accesso siano gli stessi utilizzati per accedere al cluster. È possibile ottenere l'indirizzo IP pubblico del computer locale all'indirizzo https://checkip.amazonaws.com/.
Nota: se compare un errore di autorizzazione, controlla se stai utilizzando un indirizzo IP pubblico o privato. Le policy di accesso basate su IP non possono essere applicate ai domini di OpenSearch Service che risiedono all'interno di un Virtual Private Cloud (VPC). Questo perché i gruppi di sicurezza applicano già policy di accesso basate su IP. Se si utilizza l'accesso pubblico, le policy basate su IP sono ancora disponibili. Per ulteriori informazioni, consulta Informazioni sulle policy di accesso sui domini VPC.
Client che supporta la firma delle richieste
Se viene utilizzato un client che supporta la firma delle richieste, controllare quanto segue:
- Assicurarsi che le richieste siano firmate correttamente. AWS utilizza il processo di firma Signature Version 4 per aggiungere informazioni di autenticazione alle richieste AWS. Le richieste dei client che non sono compatibili con Signature Version 4 vengono rifiutate con un errore “Utente: anonimo non autorizzato”. Per esempi di richieste firmate correttamente al servizio OpenSearch, consulta Creazione e firma di richieste del servizio OpenSearch.
- Verificare che il nome di risorsa Amazon (ARN) corretto sia specificato nella policy di accesso.
Se il proprio dominio OpenSearch Service risiede all'interno di un VPC, configurare un criterio di accesso aperto con o senza un server proxy. Quindi, utilizzare i gruppi di sicurezza per controllare l'accesso. Per ulteriori informazioni, consulta Informazioni sulle policy di accesso sui domini VPC.
Endpoint OpenSearch Dashboards
Se non riesci ad accedere a OpenSearch Dashboards, tieni presente quanto segue:
- L'endpoint OpenSearch Dashboards non supporta le richieste firmate.
- Se la policy di controllo degli accessi consente a determinati utenti o ruoli di AWS Identity Access Management (IAM) di accedere al dominio, configura l'autenticazione Amazon Cognito per OpenSearch Dashboards. In caso contrario, il ruolo o l'utente IAM riceverà un errore quando accede al dominio OpenSearch Dashboards.
- Se il dominio del servizio OpenSearch utilizza l'accesso VPC, la richiesta può scadere.
Per ulteriori informazioni sull'accesso al servizio OpenSearch da OpenSearch Dashboards, consulta Controllo dell'accesso a OpenSearch Dashboards.
Informazioni correlate
Configurazione dell'autenticazione Amazon Cognito per OpenSearch Dashboards
Contenuto pertinente
- AWS UFFICIALEAggiornata 10 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 4 anni fa
- AWS UFFICIALEAggiornata 3 anni fa