Menetapkan kebijakan kata sandi akun untuk IAM pengguna - AWS Identity and Access Management
Aturan untuk menetapkan kebijakan kata sandiIzin yang diperlukan untuk menetapkan kebijakan kata sandiKebijakan kata sandi defaultOpsi kebijakan kata sandi kustomMengatur kebijakan kata sandi (konsol)Mengatur kebijakan kata sandi (AWS CLI)Mengatur kebijakan kata sandi (AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menetapkan kebijakan kata sandi akun untuk IAM pengguna

Anda dapat menetapkan kebijakan kata sandi khusus Akun AWS untuk menentukan persyaratan kompleksitas dan periode rotasi wajib untuk kata sandi IAM pengguna Anda. Jika Anda tidak menetapkan kebijakan kata sandi khusus, kata sandi IAM pengguna harus memenuhi kebijakan AWS kata sandi default. Untuk informasi selengkapnya, lihat Opsi kebijakan kata sandi kustom.

Aturan untuk menetapkan kebijakan kata sandi

Kebijakan IAM kata sandi tidak berlaku untuk Pengguna root akun AWS kata sandi atau kunci akses IAM pengguna. Jika kata sandi kedaluwarsa, IAM pengguna tidak dapat masuk AWS Management Console tetapi dapat terus menggunakan kunci aksesnya.

Saat Anda membuat atau mengubah kebijakan kata sandi, sebagian besar pengaturan kebijakan kata sandi diterapkan saat pengguna Anda mengubah kata sandinya. Namun, beberapa pengaturan diterapkan dengan segera. Sebagai contoh:

  • Saat persyaratan panjang dan jenis karakter minimum berubah, pengaturan ini diterapkan di lain waktu saat pengguna Anda mengubah kata sandinya. Pengguna tidak dipaksa untuk mengubah kata sandi yang sudah ada, sekalipun kata sandi yang sudah ada tidak mematuhi kebijakan kata sandi yang diperbarui.

  • Saat Anda menetapkan periode kedaluwarsa kata sandi, periode kedaluwarsa tersebut akan segera diberlakukan. Misalnya, anggaplah Anda mengatur masa kedaluwarsa kata sandi selama 90 hari. Dalam hal ini, kata sandi kedaluwarsa untuk semua IAM pengguna yang kata sandi yang ada lebih dari 90 hari. Pengguna tersebut harus mengubah kata sandi saat masuk lagi.

Anda tidak dapat membuat “kebijakan penguncian” untuk mengunci pengguna keluar dari akun setelah sejumlah percobaan masuk gagal yang ditentukan. Untuk keamanan yang lebih baik, kami sarankan Anda menggabungkan kebijakan kata sandi yang kuat dengan otentikasi multi-faktor ()MFA. Untuk informasi lebih lanjut tentangMFA, lihatAWS Otentikasi multi-faktor di IAM.

Izin yang diperlukan untuk menetapkan kebijakan kata sandi

Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (pengguna atau peran) melihat atau mengedit kebijakan kata sandi akun mereka. Anda dapat menyertakan tindakan kebijakan kata sandi berikut dalam IAM kebijakan:

  • iam:GetAccountPasswordPolicy – Memungkinkan entitas untuk melihat kebijakan kata sandi untuk akun mereka

  • iam:DeleteAccountPasswordPolicy – Memungkinkan entitas untuk menghapus kebijakan kata sandi kustom untuk akun mereka dan kembali ke kebijakan kata sandi default

  • iam:UpdateAccountPasswordPolicy – Memungkinkan entitas untuk membuat atau mengubah kebijakan kata sandi untuk akun mereka

Kebijakan berikut memungkinkan akses penuh untuk melihat dan mengedit kebijakan kata sandi akun. Untuk mempelajari cara membuat IAM kebijakan menggunakan contoh dokumen JSON kebijakan ini, lihatMembuat kebijakan menggunakan JSON editor.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Untuk informasi tentang izin yang diperlukan bagi IAM pengguna untuk mengubah kata sandi mereka sendiri, lihatIzinkan IAM pengguna untuk mengubah kata sandi mereka sendiri.

Kebijakan kata sandi default

Jika administrator tidak menetapkan kebijakan kata sandi khusus, kata sandi IAM pengguna harus memenuhi kebijakan AWS kata sandi default.

Kebijakan kata sandi default memberlakukan kondisi berikut:

  • Panjang kata sandi minimum adalah 8 karakter dan panjang maksimal 128 karakter

  • Minimal tiga dari campuran tipe karakter berikut: huruf besar, huruf kecil, angka, dan karakter non-alfanumerik () ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Tidak identik dengan Akun AWS nama atau alamat email Anda

  • Jangan pernah kedaluwarsa kata sandi

Opsi kebijakan kata sandi kustom

Saat Anda mengonfigurasi kebijakan kata sandi khusus untuk akun Anda, Anda dapat menentukan kondisi berikut:

  • Panjang minimum kata sandi – Anda dapat menentukan minimal 6 karakter dan maksimal 128 karakter.

  • Kekuatan kata sandi - Anda dapat memilih salah satu kotak centang berikut untuk menentukan kekuatan kata sandi IAM pengguna Anda:

    • Memerlukan setidaknya satu huruf besar dari alfabet Latin (A—Z)

    • Memerlukan setidaknya satu huruf kecil dari alfabet Latin (a-z)

    • Diperlukan setidaknya satu angka

    • Diperlukan setidaknya satu karakter nonalfanumerik ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Aktifkan kedaluwarsa kata sandi — Anda dapat memilih dan menentukan minimal 1 dan maksimum 1.095 hari bahwa kata sandi IAM pengguna valid setelah disetel. Misalnya, jika Anda menentukan kedaluwarsa 90 hari, itu langsung berdampak pada semua pengguna Anda. Untuk pengguna dengan kata sandi yang lebih tua dari 90 hari, ketika mereka masuk ke konsol setelah perubahan, mereka harus menetapkan kata sandi baru. Pengguna dengan kata sandi berusia 75-89 hari menerima AWS Management Console peringatan tentang kedaluwarsa kata sandi mereka. IAMpengguna dapat mengubah kata sandi mereka kapan saja jika mereka memiliki izin. Saat mereka mengatur kata sandi baru, periode kedaluwarsa kata sandi tersebut dimulai ulang. IAMPengguna hanya dapat memiliki satu kata sandi yang valid dalam satu waktu.

  • Kedaluwarsa kata sandi memerlukan pengaturan ulang administrator - Pilih opsi ini untuk mencegah IAM pengguna menggunakan AWS Management Console untuk memperbarui kata sandi mereka sendiri setelah kata sandi kedaluwarsa. Sebelum Anda memilih opsi ini, konfirmasikan bahwa Anda Akun AWS memiliki lebih dari satu pengguna dengan izin administratif untuk mengatur ulang kata sandi IAM pengguna. Administrator dengan iam:UpdateLoginProfile izin dapat mengatur ulang kata sandi IAM pengguna. IAMpengguna dengan iam:ChangePassword izin dan kunci akses aktif dapat mengatur ulang kata sandi konsol IAM pengguna mereka sendiri secara terprogram. Jika Anda menghapus kotak centang ini, IAM pengguna dengan kata sandi kedaluwarsa masih harus menetapkan kata sandi baru sebelum mereka dapat mengakses. AWS Management Console

  • Izinkan pengguna mengubah kata sandi mereka sendiri — Anda dapat mengizinkan semua IAM pengguna di akun Anda untuk mengubah kata sandi mereka sendiri. Ini memberi pengguna akses ke iam:ChangePassword tindakan hanya untuk pengguna mereka dan iam:GetAccountPasswordPolicy tindakan. Opsi ini tidak melampirkan kebijakan izin untuk setiap pengguna. Sebaliknya, IAM menerapkan izin di tingkat akun untuk semua pengguna. Atau, Anda hanya dapat mengizinkan beberapa pengguna untuk mengelola kata sandi mereka sendiri. Untuk melakukannya, kosongkan kotak centang ini. Untuk informasi selengkapnya tentang penggunaan kebijakan untuk membatasi siapa yang dapat mengelola kata sandi, lihat Izinkan IAM pengguna untuk mengubah kata sandi mereka sendiri.

  • Mencegah penggunaan kembali kata sandi — Anda dapat mencegah IAM pengguna menggunakan kembali sejumlah kata sandi sebelumnya yang ditentukan. Anda dapat menentukan jumlah minimum 1 dan jumlah maksimum 24 dari kata sandi sebelumnya yang dapat diulang.

Mengatur kebijakan kata sandi (konsol)

Anda dapat menggunakan kebijakan AWS Management Console untuk membuat, mengubah, atau menghapus kata sandi khusus.

Untuk membuat kebijakan kata sandi khusus (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengaturan akun.

  3. Di bagian Kebijakan kata sandi, pilih Edit.

  4. Pilih Kustom untuk menggunakan kebijakan kata sandi khusus.

  5. Pilih opsi yang ingin Anda terapkan ke kebijakan kata sandi Anda dan pilih Simpan perubahan.

  6. Konfirmasikan bahwa Anda ingin menetapkan kebijakan kata sandi khusus dengan memilih Setel kustom.

Untuk mengubah kebijakan kata sandi khusus (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengaturan akun.

  3. Di bagian Kebijakan kata sandi, pilih Edit.

  4. Pilih opsi yang ingin Anda terapkan ke kebijakan kata sandi Anda dan pilih Simpan perubahan.

  5. Konfirmasikan bahwa Anda ingin menetapkan kebijakan kata sandi khusus dengan memilih Setel kustom.

Untuk menghapus kebijakan kata sandi khusus (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengaturan akun.

  3. Di bagian Kebijakan kata sandi, pilih Edit.

  4. Pilih IAMdefault untuk menghapus kebijakan kata sandi khusus dan pilih Simpan perubahan.

  5. Konfirmasikan bahwa Anda ingin mengatur kebijakan kata sandi IAM default dengan memilih Set default.

Mengatur kebijakan kata sandi (AWS CLI)

Anda dapat menggunakan AWS Command Line Interface untuk menetapkan kebijakan kata sandi.

Untuk mengelola kebijakan kata sandi akun kustom dari AWS CLI

Jalankan perintah berikut.

Mengatur kebijakan kata sandi (AWS API)

Anda dapat menggunakan AWS API operasi untuk menetapkan kebijakan kata sandi.

Untuk mengelola kebijakan kata sandi akun kustom dari AWS API

Hubungi operasi berikut ini: