AWS: IAM ユーザーが [セキュリティ認証情報] ページで自分のコンソールパスワードを変更できるようにします

この例は、IAM ユーザーが [セキュリティ認証情報] ページで自分の AWS Management Console パスワードを変更できるようにする ID ベースポリシーを作成する方法を示しています。この AWS Management Console ページにはアカウントとユーザー情報が表示されますが、ユーザーは自分のパスワードにアクセスすることしかできません。ユーザーに MFA を使用して自らのすべての認証情報を管理することを許可するには、「AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の認証情報を管理できるようにします」を参照してください。ユーザーに MFA を使用せずに自らの認証情報を管理することを許可するには、「AWS: IAM ユーザーが [セキュリティ認証情報] ページで自分の認証情報を管理できるようにします」を参照してください。

ユーザーが [セキュリティ認証情報] ページにアクセスする方法については、「IAM ユーザー自身によるパスワードの変更方法 (コンソール)」を参照してください。

このポリシーで行うこと

ViewAccountPasswordRequirements ステートメントでは、ユーザーは自分の IAM ユーザーパスワードを変更しながらアカウントパスワードの要件を確認できます。
ChangeOwnPassword ステートメントを使用すると、ユーザーは自分のパスワードを変更できます。このステートメントには GetUser アクションも含まれています。これは、[My security credentials] (セキュリティ認証情報) ページのほとんどの情報を表示するために必要です。

このポリシーでは、IAM コンソールで [ユーザー] ページを表示したり、そのページを使用して自分のユーザー情報にアクセスすることはできません。これを許可するには、iam:ListUsers アクションを ViewAccountPasswordRequirements ステートメントに追加します。また、ユーザーが自分のユーザーページで自分のパスワードを変更することはできません。これを許可するには、iam:GetLoginProfile および iam:UpdateLoginProfile アクションを ChangeOwnPasswords ステートメントに追加します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS: MFA デバイスの自己管理 ([セキュリティ認証情報])

AWS: パスワード、アクセスキー、および SSH パブリックキーの自己管理 ([My security credentials] (セキュリティ認証情報))