AWS:允許 IAM 使用者在安全登入資料頁面上變更自己的主控台密碼 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS:允許 IAM 使用者在安全登入資料頁面上變更自己的主控台密碼

此範例顯示如何建立身分型政策,讓 IAM 使用者在安全登入資料頁面上變更自己的 AWS Management Console 密碼。此 AWS Management Console 頁面顯示帳戶和使用者資訊,但使用者只能存取自己的密碼。若要允許使用者使用 MFA 管理自己的所有憑證,請參閱AWS:允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的登入資料。若要允許使用者在不使用 MFA 的情況下管理自己的憑證,請參閱AWS:允許 IAM 使用者在安全登入資料頁面上管理自己的登入資料

若要瞭解使用者如何存取安全認證頁面,請參閱IAM 使用者如何變更他們自己的密碼 (主控台)

此政策的功能為何?

  • ViewAccountPasswordRequirements 陳述式可讓使用者檢視帳戶密碼需求,同時變更自己的 IAM 使用者密碼。

  • ChangeOwnPassword 陳述式可讓使用者變更自己的密碼。此陳述式也包括檢視 My Security Credentials (我的安全憑證) 頁面上大部分資訊所需的 GetUser 動作。

此政策不允許使用者檢視 IAM 主控台中的 Users (使用者) 頁面,或使用該頁面存取自己的使用者資訊。若要允許此操作,請將 iam:ListUsers 動作加入 ViewAccountPasswordRequirements 陳述式。它也不允許使用者在自己的使用者頁面上變更密碼。若要允許此操作,請將 iam:GetLoginProfileiam:UpdateLoginProfile 動作加入 ChangeOwnPasswords 陳述式。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}