Permettre IAM aux utilisateurs de modifier leurs propres mots de passe

Note

Les utilisateurs dotés d'identités fédérées utiliseront le processus défini par leur fournisseur d'identité pour modifier leurs mots de passe. Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires.

Vous pouvez autoriser IAM les utilisateurs à modifier leur propre mot de passe pour se connecter au AWS Management Console. Vous pouvez effectuer cette opération de deux manières :

Autorisez tous les IAM utilisateurs du compte à modifier leur propre mot de passe.
Autoriser uniquement IAM les utilisateurs sélectionnés à modifier leurs propres mots de passe. Dans ce scénario, vous désactivez l'option permettant à tous les utilisateurs de modifier leurs propres mots de passe et vous utilisez une IAM politique pour n'accorder des autorisations qu'à certains utilisateurs. Cette approche permet à ces utilisateurs de modifier leurs propres mots de passe et éventuellement d'autres informations d'identification telles que leurs propres clés d'accès.

Important

Nous vous recommandons de définir une politique de mot de passe personnalisée qui oblige IAM les utilisateurs à créer des mots de passe forts.

Pour permettre à tous les IAM utilisateurs de modifier leurs propres mots de passe

Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, cliquez sur Paramètres du compte.
Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).
Choisissez Custom (Personnalisé) pour utiliser une politique de mot de passe personnalisée.
Sélectionnez Allow users to change their own password (Autoriser les utilisateurs à modifier leur propre mot de passe), puis cliquez sur Save changes (Enregistrer les modifications). Cela permet à tous les utilisateurs du compte d'accéder à l'action iam:ChangePassword uniquement pour leur propre utilisateur et à l'action iam:GetAccountPasswordPolicy.
Fournissez aux utilisateurs les instructions suivantes pour modifier leurs mots de passe : Modification par l'utilisateur IAM de son propre mot de passe.

Pour plus d'informations sur les AWS CLI outils pour Windows PowerShell et API les commandes que vous pouvez utiliser pour modifier la politique de mot de passe du compte (y compris la possibilité pour tous les utilisateurs de modifier leur propre mot de passe), consultezDéfinition d'une politique de mot de passe (AWS CLI).

Pour autoriser IAM les utilisateurs sélectionnés à modifier leurs propres mots de passe

Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, cliquez sur Paramètres du compte.
Dans la section Paramètres du compte, vérifiez que l'option Autoriser les utilisateurs à modifier leur propre mot de passe n'est pas sélectionnée. Si cette case à cocher est activée, tous les utilisateurs peuvent modifier leurs propres mots de passe. (Reportez-vous à la procédure précédente.)
Créez les utilisateurs qui devraient être autorisés à modifier leurs propres mots de passe, s'il n'existe pas encore. Pour plus de détails, consultez Créez un IAM utilisateur dans votre Compte AWS.
(Facultatif) Créez un IAM groupe pour les utilisateurs qui devraient être autorisés à modifier leur mot de passe, puis ajoutez les utilisateurs de l'étape précédente au groupe. Pour plus de détails, consultez IAMgroupes d'utilisateurs.
Affectez la politique suivante au groupe. Pour de plus amples informations, veuillez consulter Gérer les IAM politiques.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:GetAccountPasswordPolicy",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ChangePassword",
      "Resource": "arn:aws:iam::*:user/${aws:username}"
    }
  ]
}
```
Cette politique donne accès à l'ChangePasswordaction, qui permet aux utilisateurs de modifier uniquement leurs propres mots de passe depuis la console AWS CLI, les outils pour Windows PowerShell ou leAPI. Elle donne également accès à l'GetAccountPasswordPolicyaction, qui permet à l'utilisateur de consulter la politique de mot de passe actuelle ; cette autorisation est requise pour que l'utilisateur puisse consulter la politique de mot de passe du compte sur la page Modifier le mot de passe. L'utilisateur doit être autorisé à lire la politique de mot de passe actuelle pour s'assurer que le mot de passe satisfait les exigences de politique.
Fournissez aux utilisateurs les instructions suivantes pour modifier leurs mots de passe : Modification par l'utilisateur IAM de son propre mot de passe.

Pour plus d'informations

Pour plus d'informations sur la gestion des informations d'identification, consultez les rubriques suivantes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gérer les mots de passe des utilisateurs

Modification par l'utilisateur IAM de son propre mot de passe