为何我在尝试访问 OpenSearch Service 集群时会收到错误“User: anonymous is not authorized”?
我想解决在访问我的 Amazon OpenSearch Service 域或 OpenSearch Dashboards 时收到的“User: anonymous is not authorized”错误。
解决方法
如果您有来自访问策略中不允许的源 IP 地址的未签名请求,则会收到“User: anonymous is not authorized”错误消息。要解决此问题,请完成最适合您的用例的解决方法。
您的客户端不支持签署请求
如果您使用不支持签署请求的客户端(例如浏览器),请使用基于 IP 的访问策略。基于 IP 的策略允许向 OpenSearch Service 域发送未签名的请求。
确保对您在访问策略中指定的 IP 地址使用 CIDR 块表示法。当 OpenSearch Service 根据访问策略检查 IP 地址时,OpenSearch Service 使用 CIDR 块表示法。
确认您使用访问策略中的 IP 地址来访问您的集群。要查看本地计算机的公共 IP 地址,请转到 checkip.amazonaws.com。
**注意:**如果您收到授权错误,请检查您使用的是公共 IP 地址还是私有 IP 地址。您无法将基于 IP 的访问策略应用于虚拟私有云 (VPC) 中的 OpenSearch Service 域。VPC 安全组已经强制执行了基于 IP 的访问策略。有关详细信息,请参阅关于 VPC 域上的访问策略。
您的客户端支持签署请求
如果您使用支持签署请求的客户端,请确保正确签署请求。AWS 使用 AWS 签名版本 4 (SigV4) 签署流程向 AWS 请求添加身份验证信息。OpenSearch Service 会拒绝与 SigV4 不兼容的客户端的请求,并显示“User: anonymous is not authorized”错误。有关正确签署的 OpenSearch Service 请求的示例,请参阅提出和签署 OpenSearch Service 请求。
验证是否在访问策略中指定了正确的 Amazon 资源名称 (ARN)。
如果您的 OpenSearch Service 域位于 VPC 内,请配置一个使用或不使用代理服务器的开放访问策略。要控制访问权限,请使用安全组。
您无法访问 OpenSearch Dashboards
由于以下原因,您无法访问 OpenSearch Dashboards:
- OpenSearch Dashboards 端点不支持已签署的请求。
- 访问控制策略允许 AWS Identity and Access Management (IAM) 用户或角色访问域,但您没有为 OpenSearch Dashboards 配置 Amazon Cognito 身份验证。
- 请求超时是因为您正在尝试从 VPC 外部访问 VPC 内的 OpenSearch Service 域。
要解决访问权限问题,请参阅控制对 Dashboards 的访问权限。
- 语言
- 中文 (简体)
