IAM ユーザーに自分のパスワード変更を許可する - AWS Identity and Access Management

IAM ユーザーに自分のパスワード変更を許可する

注記

フェデレーション ID を持つユーザーは、ID プロバイダーが定義したプロセスを使用してパスワードを変更します。ベストプラクティスとして、人間のユーザーが一時的な認証情報を使用して AWS にアクセスするには、ID プロバイダーとのフェデレーションの使用を必須とします。

IAM ユーザーに、AWS Management Console にサインインするためのパスワードを変更するアクセス許可を付与できます。これには以下の 2 つの方法があります。

重要

IAM ユーザーが強力なパスワードを作成することを求めるカスタムパスワードポリシーを設定することをお勧めします。

すべての IAM ユーザーが自分のパスワードを変更できるようにします。

実行する手順に応じたタブを選択します。

IAM console
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [アカウント設定] をクリックします。

  3. [パスワードポリシー] セクションで、[編集] を選択します。

  4. カスタムパスワードポリシーを使用するには、[カスタム] を選択します。

  5. [ユーザーにパスワードの変更を許可] を選択し、[変更の保存] をクリックします。これにより、アカウントのすべてのユーザーに、そのユーザーだけに対する iam:ChangePassword アクションと iam:GetAccountPasswordPolicy アクションへのアクセスが付与されます。

  6. パスワードを変更するための次の手順をユーザーに提供します: IAM ユーザーが自分のパスワードを変更する方法

AWS CLI

次のコマンドを実行します。

API

AWS Management Console のサインインページの URL のエイリアスを作成するには、以下のオペレーションを呼び出します。

選択された IAM ユーザーが自分のパスワードを変更可能にするには

実行する手順に応じたタブを選択します。

IAM console
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [アカウント設定] をクリックします。

  3. [パスワードポリシー] セクションで、[ユーザーにパスワードの変更を許可] が選択されていないことを確認します。このチェックボックスがオンになっている場合、すべてのユーザーが自分のパスワードを変更できます。(前の手順を参照)。

  4. パスワードの変更が許可されている必要があるユーザーを作成します (まだ存在していない場合)。詳細については、「AWS アカウント で IAM ユーザーを作成する」を参照してください。

  5. (オプション) 自分のパスワードの変更を許可するユーザーに対して IAM グループを作成し、そのグループに前のステップのユーザーを追加します。詳細については、「IAM ユーザーグループ」を参照してください。

  6. 以下のポリシーをグループに割り当てます 詳細については、「IAM ポリシーを管理する」を参照してください。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:GetAccountPasswordPolicy", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

    このポリシーでは、ユーザーに ChangePassword (パスワードの変更) アクションへのアクセスを許可して、コンソール、AWS CLI、Tools for Windows PowerShell、または API から自分のパスワードのみを変更できるようにします。また、GetAccountPasswordPolicy アクションへのアクセス権も付与します。これにより、ユーザーは現在のパスワードポリシーを表示できます。このアクセス許可は、ユーザーが [パスワードの変更] ページでアカウントパスワードポリシーを表示できるようにするために必要です。変更されたパスワードがポリシーの要件を確実に満たしているようにするために、ユーザーは現在のパスワードポリシーの読み取りが許可されている必要があります。

  7. パスワードを変更するための次の手順をユーザーに提供します: IAM ユーザーが自分のパスワードを変更する方法

詳細情報

認証情報の管理の詳細については、次のトピックを参照してください。