ユーザー権限がありません

ユーザーには、管理者によってポリシー・ステートメントを介したセキュリティ・アクセス権が付与されている必要があります。コンソール、SDKでのREST API、またはCLIのどちらを使用しているかにかかわらず、認可が必要です。権限がない、または未認可であることを示すメッセージが表示された場合は、OCIテナンシ管理者に連絡して、アクセス権のタイプおよび作業するコンパートメントを確認してください。

データベース・ツールの接続マネージャのポリシーの例:

allow group <group_name> to use virtual-network-family in compartment <compartment_name>
allow group <group_name> to read database-family in compartment <compartment_name>
allow group <group_name> to read autonomous-database-family in compartment <compartment_name>
allow group <group_name> to use vaults in compartment <compartment_name>
allow group <group_name> to use keys in compartment <compartment_name>
allow group <group_name> to manage secret-family in compartment <compartment_name>
allow group <group_name> to use database-tools-family in compartment <compartment_name>
allow group <group_name> to manage database-tools-connections in compartment <compartment_name>
allow group <group_name> to use database-tools-connections in compartment <compartment_name> 
where target.resource.id != <dbtools-connection-ocid>

関連項目:

• Oracle Database接続のIAMポリシー
• MySQL Database接続のIAMポリシー

間違ったコンパートメントが指定されている

コンソール内で、操作するデータベース・ツール接続またはプライベート・エンドポイントを含むコンパートメントを選択していることを確認します。また、管理者が、そのコンパートメント内のデータベース・ツール・リソースへのアクセス権を付与していることを確認します。接続を作成したコンパートメントは、ターゲットのAutonomous Database、Oracleベース・データベースまたはMySQL DBシステムを含むコンパートメントと異なる場合があります。

新しいデータベース・ツール接続に関する一般的な問題を確認します。

ユーザー入力またはデータベース・ユーザー状態が正しくありません

新しい接続を作成するには、作成プロセス中にユーザーからの入力または選択が必要です。接続に対して次の詳細が正しく選択または入力されていることを確認します:

• 接続文字列、ホストおよびTCPポート
• データベース名
• ボールト・サービスに格納されているデータベース・パスワード
• ボールト・サービスに格納されているWalletファイル

データベース・ユーザーは有効な状態である必要があります。この接続について次のことを確認します。

• データベース・ユーザーに必要なすべてのデータベース権限または権限
• データベース・ユーザー・パスワードが失効していません
• データベース・ユーザー・アカウントがロックされていないか、無効です

可能な場合は、データベース・ユーザーが、要塞を介してクラウド・シェル、SQLcl、mysqlshなどの他のツールを使用して、同じ接続文字列および認証の詳細でデータベースにアクセスできるかどうかを確認します。

接続の表示および管理の詳細は、Oracle Cloud Infrastructure Consoleの使用を参照してください。

ネットワーク構成が正しくありません

Database Toolsサービスを使用すると、Oracle Cloud Infrastructure仮想クラウド・ネットワーク(VCN)を介してネットワーク・トラフィックを安全にルーティングすることで、テナンシ内のデータベースに接続できます。VCN、サブネット、適用可能なゲートウェイ、ルート表およびセキュリティ・リストまたはネットワーク・セキュリティ・グループが構成されると、データベースに接続するようにデータベース・ツール接続を構成できます。

ネットワークまたは接続のタイムアウト関連のエラーまたはアクセス不可能なデータベース・ホストが発生した場合は、次の点を確認する必要があります。

• プライベート・エンドポイントが、プライベート・サブネット内のデータベースにアクセスするように構成されていることを確認します(該当する場合)。
• VCN構成によって、データベース・ツールのサービス・トラフィックが、指定されたIPアドレスおよびTCPポートでターゲット・サブネット内のデータベースに到達することを許可していることを確認します。
• アクセス制御リスト(ACL)でパブリックIPアドレスを使用して共有されるADBの場合、許可されるアドレスまたは許可されるCIDRブロックのACLルールが正しく構成されていることを確認してください。
• 顧客管理OracleまたはMySQLデータベースの場合、ホスト・オペレーティング・システムで実行されているファイアウォールでは、通常、ネットワーク・トラフィックがデータベース固有のTCPポートに到達できるようにするルールが必要です。

プライベート・エンドポイントの使用の詳細は、「データベース・ツールでのプライベート・エンドポイントの使用」を参照してください。仮想クラウド・ネットワークの構成の詳細は、VCNsおよびサブネットの概要を参照してください。

不正なデータベースの状態/構成

データベース・ツール・サービスは、データベース・サービスまたはデータベース構成を管理しません。データベース管理者に確認して、ターゲット・データベースを確認します。

• 正しく構成および起動されます。
• 新しい接続を受け入れています。

プロキシ・ユーザーはプロキシ・クライアントとしての接続を許可されていません

データベース・ツール・サービスは、Oracle Database接続のプロキシ・セッション・サポートを提供します。つまり、プロキシ・ユーザーを使用してパスワードを知らずに他のデータベース・ユーザーに接続します。

プロキシ・ユーザー関連のエラーが発生した場合は、次の内容を確認する必要があります。

• プロキシ・ユーザー・アカウントを正しく構成し、ユーザーがそのアカウントを介して接続することを許可します。Oracle Databasesでのプロキシ・ユーザーの認証および接続のドキュメントを参照してください。
• プロキシ認証を有効にし、プロキシ・クライアント・データベースのユーザー名とパスワードを構成します。
• プロキシ・クライアント・データベースのユーザー名とパスワードが正しいことを確認してください。

ユーザー権限取消または変更済

接続の作成後にIAMポリシー、グループ・メンバーシップまたはデータベース・ユーザー権限が変更される可能性があります。テナンシ管理者およびデータベース管理者に確認して、次を確認します:

• OCIユーザーは、グループ・メンバーシップの変更、IAMポリシーの変更またはコンパートメントの変更のためにアクセスを失いませんでした。
• ロールまたは権限の変更により、データベース・ユーザーはアクセス権を失いませんでした。

ネットワーク構成の変更

データベース・ツール接続で以前にデータベースと通信できたが、突然ネットワーク関連の問題が報告された場合、データベースの状態または後続のVCN構成の変更が原因である可能性があります。

• データベース・サービスが実行中であり、TCP接続を受け入れていることを確認します。
• ターゲット・サブネットまたはVCN構成で変更が行われたかどうかを確認します。
• VCN構成によって、データベース・ツールのサービス・トラフィックが、指定されたIPアドレスおよびTCPポートでターゲット・サブネット内のデータベースに到達することを許可していることを確認します。
• アクセス制御リスト(ACL)でパブリックIPアドレスを使用して共有されるADBの場合、許可されるアドレスのACLルールが正しく構成されていることを確認してください。
• 顧客管理OracleまたはMySQLデータベースの場合、ホスト・オペレーティング・システムで実行されているファイアウォール(該当する場合)でデータベース固有のTCPポートへのアクセスが許可されていることを確認します。

プライベート・エンドポイントの使用の詳細は、「データベース・ツールでのプライベート・エンドポイントの使用」を参照してください。仮想クラウド・ネットワークの構成の詳細は、VCNsおよびサブネットの概要を参照してください。

データベース構成が変更されました

接続の作成後にデータベース構成が変更された可能性があります。データベース構成またはユーザー認証の詳細への変更は、データベース・ツール・サービスでは管理されないため、接続で更新する必要がある場合があります。

次のいずれかが発生したことを確認し、データベース、データベース・ユーザーまたはデータベース・ツールの接続を適宜更新します。

• データベース・ユーザーは削除されたか、権限が取り消されましたか。
• データベース・ユーザー・アカウントがロックされているか、パスワードが失効していますか。
• ADB共有データベースの場合、インスタンス・ウォレットまたはリージョナル・ウォレットはローテーションされましたか。(この場合、ボールト・シークレットで更新する必要があります)
• PDBは削除されましたか。
• 使用されていなかったため、データベース・インスタンスは停止または一時停止していますか。

接続の更新の詳細は、Oracle Cloud Infrastructure Consoleの使用を参照してください。

Free TierアカウントでネットワークACLを使用したADB-Sへの接続はサポートされていません

Free Tierアカウントを使用して、Oracle Services NetworkのOCIサービスへのアクセス権を付与するネットワーク・アクセス・ルールを使用してAutonomous Database–Shared (ADB-S)への接続を作成しようとしています。

原因: ADB-Sのネットワーク・アクセス制御リスト(ACL)機能では、Oracle Services NetworkでOCIサービスへのアクセス権を付与するネットワーク・アクセス・ルールがサポートされていません。回避策として、プライベート・エンドポイントを使用して接続を作成し、アクセス制御ルールをADB-Sインスタンスに追加して、プライベート・エンドポイントのリバース接続ソースIPからのトラフィックを許可します。リバース接続ソースIPはプライベートIPアドレスであるため、ADB-SのパブリックIPに接続するには、サービス・ゲートウェイまたはNAT Gatewayを使用する必要があります。Free Tierアカウントは、VCNsにサービス・ゲートウェイまたはNAT Gatewayを作成することはできず、ネットワークACLを使用してADB-Sインスタンスにアクセスすることもできません。