允许 IAM 用户更改自己的密码 - AWS Identity and Access Management

允许 IAM 用户更改自己的密码

注意

具有联合身份的用户将使用其身份提供商定义的流程来更改密码。作为最佳实践,要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 AWS。

您可以向 IAM 用户授予更改其用于登录 AWS Management Console 的密码的权限。您可以通过两种方式之一来执行此操作:

重要

我们建议您设置自定义密码策略,要求 IAM 用户创建强密码。

允许所有 IAM 用户更改自己的密码

选择您要遵循的步骤的选项卡:

IAM console
  1. 登录 AWS Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,单击 Account settings(账户设置)。

  3. Password policy(密码策略)部分,选择 Edit(编辑)。

  4. 选择 Custom(自定义)以使用自定义密码策略。

  5. 选择 Allow users to change their own password(允许用户更改其密码),然后选择 Save changes(保存更改)。这样账户中的所有用户就可以仅访问其用户的 iam:ChangePassword 操作和 iam:GetAccountPasswordPolicy 操作。

  6. 向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码

AWS CLI

运行以下命令:

API

要为 AWS Management Console 登录页面 URL 创建别名,请调用以下操作:

允许选定的 IAM 用户更改自己的密码

选择您要遵循的步骤的选项卡:

IAM console
  1. 登录 AWS Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,单击 Account settings(账户设置)。

  3. Password policy(密码策略)部分中,确保未选择 Allow users to change their own password(允许用户更改其密码)。如果已选中此复选框,所有用户均可更改其密码。(请参阅上一个过程。)

  4. 创建允许更改其密码的用户(如果之前没有这样的用户)。有关详细信息,请参阅在 AWS 账户 中创建 IAM 用户

  5. (可选)为可以更改自己密码的用户创建 IAM 组,然后将上一步骤中的用户添加到该组。有关详细信息,请参阅IAM 用户组

  6. 将下列策略分配到该组。有关更多信息,请参阅 管理 IAM 策略

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:GetAccountPasswordPolicy", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

    此策略授予对 ChangePassword 操作的访问权限,这让用户可从控制台、AWS CLI、Tools for Windows PowerShell 或 API 仅更改他们自己的密码。它还授予对 GetAccountPasswordPolicy 操作的访问权限,这可让用户查看当前的密码策略。用户需要此权限才能在 Change password(更改密码)页面上查看账户密码策略。用户必须能阅读当前密码策略以确保更改后的密码符合策略的要求。

  7. 向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码

有关更多信息

有关管理凭证的更多信息,请参阅以下主题: