IAM ユーザーに自分のパスワード変更を許可する
注記
フェデレーション ID を持つユーザーは、ID プロバイダーが定義したプロセスを使用してパスワードを変更します。ベストプラクティスとして、人間のユーザーが一時的な認証情報を使用して AWS にアクセスするには、ID プロバイダーとのフェデレーションの使用を必須とします。
IAM ユーザーに、AWS Management Console にサインインするためのパスワードを変更するアクセス許可を付与できます。これには以下の 2 つの方法があります。
-
選択した IAM ユーザーだけが自分のパスワードを変更できるようにします。このシナリオでは、すべてのユーザーが各自のパスワードを変更するオプションを無効にし、一部のユーザーにのみアクセス許可を付与する IAM ポリシーを使用します。この方法では、ユーザーは各自のパスワードと、必要に応じて各自のアクセスキーなどの他の認証情報を変更できます。
重要
IAM ユーザーが強力なパスワードを作成することを求めるカスタムパスワードポリシーを設定することをお勧めします。
すべての IAM ユーザーが自分のパスワードを変更できるようにします。
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで [Account settings] (アカウント設定) をクリックします。
-
[Password policy] (パスワードポリシー) セクションで、[Edit] (編集) を選択します。
-
カスタムパスワードポリシーを使用するには、[Custom] (カスタム) を選択します。
-
[Allow users to change their own password] (ユーザーにパスワードの変更を許可) を選択し、[save changes] (変更の保存) をクリックします。これにより、アカウントのすべてのユーザーに、そのユーザーだけに対する
iam:ChangePassword
アクションとiam:GetAccountPasswordPolicy
アクションへのアクセスが付与されます。 -
パスワードを変更するための次の手順をユーザーに提供します: IAM ユーザーが自分のパスワードを変更する方法。
アカウントのパスワードポリシー (ユーザーに自分のパスワードの変更を許可する設定を含む) の変更に使用できる AWS CLI、Tools for Windows PowerShell、および API コマンドの詳細については、「パスワードポリシーの設定 (AWS CLI)」を参照してください。
選択された IAM ユーザーが自分のパスワードを変更可能にするには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで [Account settings] (アカウント設定) をクリックします。
-
[Password policy] (パスワードポリシー) セクションで、[Allow users to change their own password] (ユーザーにパスワードの変更を許可) が選択されていないことを確認します。このチェックボックスがオンになっている場合、すべてのユーザーが自分のパスワードを変更できます (前の手順を参照)。
-
パスワードの変更が許可されている必要があるユーザーを作成します (まだ存在していない場合)。詳細については、「AWS アカウント で IAM ユーザーを作成する」を参照してください。
-
(オプション) 自分のパスワードの変更を許可するユーザーに対して IAM グループを作成し、そのグループに前のステップのユーザーを追加します。詳細については、「IAM ユーザーグループ」を参照してください。
-
以下のポリシーをグループに割り当てます 詳細については、「IAM ポリシーを管理する」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:GetAccountPasswordPolicy", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }
このポリシーでは、ユーザーに ChangePassword (パスワードの変更) アクションへのアクセスを許可して、コンソール、AWS CLI、Tools for Windows PowerShell、または API から自分のパスワードのみを変更できるようにします。また、GetAccountPasswordPolicy アクションへのアクセス権も付与します。これにより、ユーザーは現在のパスワードポリシーを表示できます。このアクセス許可は、ユーザーが [Change password] (パスワードの変更) ページでアカウントパスワードポリシーを表示できるようにするために必要です。変更されたパスワードがポリシーの要件を確実に満たしているようにするために、ユーザーは現在のパスワードポリシーの読み取りが許可されている必要があります。
-
パスワードを変更するための次の手順をユーザーに提供します: IAM ユーザーが自分のパスワードを変更する方法。
詳細情報
認証情報の管理の詳細については、次のトピックを参照してください。