本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 IAM 使用者設定帳戶密碼政策
您可以在 上設定自訂密碼政策 AWS 帳戶 ,以指定 IAM 使用者密碼的複雜性要求和強制輪換期間。如果您未設定自訂密碼政策,IAM 使用者密碼必須符合預設 AWS 密碼政策。如需詳細資訊,請參閱自訂密碼政策選項。
主題
設定密碼政策的規則
IAM 密碼政策不適用於 AWS 帳戶根使用者 密碼或 IAM 使用者存取金鑰。如果密碼過期,IAM 使用者無法登入 , AWS Management Console 但可以繼續使用其存取金鑰。
當您建立或變更密碼政策時,大多數密碼政策設定將在使用者下次變更密碼時強制執行。但是,某些設定會立即強制執行。例如:
-
當最短長度和字元類型要求變更時,將在使用者下次變更密碼時強制執行這些設定。即使現有的密碼不遵守更新的密碼政策,也不會強制使用者變更現有的密碼。
-
當您設定密碼過期期間時,會立即強制執行過期期間。例如,假設您將密碼過期期間設定為 90 天。在這種情況下,現有密碼超過 90 天的所有 IAM 使用者的密碼會過期。這些使用者必須在下次登入時變更其密碼。
在指定次數的登入嘗試失敗之後,您無法建立「鎖定政策」來鎖定使用者帳戶。為了增強安全性,我們建議您結合強式密碼政策與多重要素驗證 (MFA)。如需 MFA 的詳細資訊,請參閱 AWS 多因素身份驗證 IAM。
設定密碼政策所需的許可
您必須設定許可,以允許 IAM 實體 (使用者或角色) 檢視或編輯其帳戶密碼政策。您可以在 IAM 政策中包含下列密碼政策動作:
-
iam:GetAccountPasswordPolicy
– 允許實體檢視其帳戶的密碼政策 -
iam:DeleteAccountPasswordPolicy
– 允許實體刪除其帳戶的自訂密碼政策,並還原為預設密碼政策 -
iam:UpdateAccountPasswordPolicy
– 允許實體建立或變更其帳戶的自訂密碼政策
下列政策允許完整存取權以檢視和編輯帳戶密碼政策。若要了解如何使用此範例 IAM 政策文件建立 JSON 政策,請參閱 使用 JSON 編輯器建立政策。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }
如需 IAM 使用者變更自己的密碼所需的許可資訊,請參閱 允許 IAM 使用者變更自己的密碼。
預設密碼政策
如果管理員未設定自訂密碼政策,IAM 使用者密碼必須符合預設 AWS 密碼政策。
預設密碼政策會強制執行下列條件:
-
密碼長度最短為 8 個字元,最長為 128 個字元。
-
至少混用 3 種下列類型字元:大寫、小寫、數字和非英數字元 (
! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
) -
與 AWS 帳戶 您的姓名或電子郵件地址不同
-
保證密碼不會過期
自訂密碼政策選項
當您設定帳戶的自訂密碼政策時,您可以指定下列條件:
-
密碼最小長度 – 您可以指定至少 6 個字元,最多可指定 128 個字元。
-
密碼強度 – 您可以選取下列任一核取方塊來定義 IAM 使用者密碼的強度:
-
至少需要一個拉丁字母 (A–Z) 的大寫字母
-
至少需要一個拉丁字母 (a–z) 的小寫字母
-
至少需要有一個數字
-
至少需要一個非英數字元的字元
! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
-
-
開啟密碼過期 – 您可以選擇並指定 IAM 使用者密碼在設定後生效的最少 1 天,最多 1,095 天。例如,如果您指定 90 天的到期日,它會立即影響所有使用者。對於密碼超過 90 天的使用者,當他們在變更後登入主控台時,必須設定新密碼。密碼為 75-89 天的使用者會收到密碼過期的 AWS Management Console 警告。如果 IAM 使用者可以隨時變更其密碼,如果他們擁有許可。當他們設定新的密碼時,該密碼的到期期間將重新開始。IAM 使用者一次只能有一個有效的密碼。
-
密碼過期需要管理員重設 – 選取此選項,以防止 IAM 使用者在密碼過期後使用 AWS Management Console 更新自己的密碼。選取此選項之前,請確認您的 AWS 帳戶 具有多個具有管理許可的使用者,以重設 IAM 使用者密碼。具有
iam:UpdateLoginProfile
許可的管理員可以重設 IAM 使用者密碼。具有iam:ChangePassword
許可和作用中存取金鑰的 IAM 使用者可以透過程式設計方式重設自己的 IAM 使用者主控台密碼。如果您清除此核取方塊,密碼過期的 IAM 使用者仍必須設定新密碼,才能存取 AWS Management Console。 -
允許使用者變更自己的密碼 – 您可以允許帳戶中的所有 IAM 使用者變更自己的密碼。這可讓使用者僅針對其使用者存取
iam:ChangePassword
動作,並存取iam:GetAccountPasswordPolicy
動作。此選項不會將許可政策連接到每個使用者。相反地,IAM 會將 許可套用至所有使用者的帳戶層級。或者,您只允許一些使用者管理自己的密碼。若要這麼做,請清除此核取方塊。如需有關使用政策以限制誰可以管理密碼的詳細資訊,請參閱 允許 IAM 使用者變更自己的密碼。 -
防止密碼重複使用 – 您可以防止 IAM 使用者重複使用指定數量的先前密碼。您可以指定長度下限為 1,以及長度上限為 24 的舊密碼,無法重複使用。
設定密碼政策 (主控台)
您可以使用 AWS Management Console 來建立、變更或刪除自訂密碼政策。密碼政策的變更適用於此政策變更後建立的新 IAM 使用者,以及變更其密碼的現有 IAM 使用者。
若要變更密碼政策 (主控台)
您可以使用 AWS Management Console 來建立、變更或刪除自訂密碼政策。密碼政策的變更適用於此政策變更後建立的新 IAM 使用者,以及變更其密碼的現有 IAM 使用者。
要刪除自訂密碼政策 (主控台)
您可以使用 AWS Management Console 來建立、變更或刪除自訂密碼政策。密碼政策的變更適用於此政策變更後建立的新 IAM 使用者,以及變更其密碼的現有 IAM 使用者。
設定密碼政策 (AWS CLI)
您可以使用 AWS Command Line Interface 來設定密碼政策。
從 管理自訂帳戶密碼政策 AWS CLI
執行下列命令:
-
若要建立或變更自訂密碼政策:
aws iam update-account-password-policy
-
若要檢視密碼政策:
aws iam get-account-password-policy
-
若要刪除自訂密碼政策:
aws iam delete-account-password-policy
設定密碼政策 (AWS API)
您可以使用 AWS API 操作來設定密碼政策。
從 AWS API 管理自訂帳戶密碼政策
呼叫以下操作:
-
若要建立或變更自訂密碼政策:
UpdateAccountPasswordPolicy
-
若要檢視密碼政策:
GetAccountPasswordPolicy
-
若要刪除自訂密碼政策:
DeleteAccountPasswordPolicy