AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

为 IAM 用户设置账户密码策略

您可以在 AWS 账户上设置密码策略,以便指定您的 IAM 用户密码的复杂性要求和强制轮换期。

您可以使用密码策略执行这些操作:

  • 设置最短密码长度。

  • 要求特定字符类型,包括大写字母、小写字母、数字和非字母数字字符。请务必提醒用户,密码区分大小写。

  • 允许所有 IAM 用户更改自己的密码。

    注意

    如果您允许您的 IAM 用户更改其密码,IAM 自动允许他们查看密码策略。IAM 用户需要查看账户密码策略的权限,才能创建符合策略的密码。

  • 要求 IAM 用户在指定的时段后更改其密码(启用密码过期)。

  • 防止 IAM 用户重新使用以前的密码。

  • 在 IAM 用户允许其密码过期后强制该用户与账户管理员联系。

重要

此处描述的密码设置只适用于分配给 IAM 用户的密码,不影响其可能使用的任何访问密钥。如果密码过期,用户将无法登录 AWS 管理控制台。但是,如果用户拥有有效的访问密钥,则仍可运行任何 AWS CLI 或 Windows PowerShell 工具 命令。用户还可以通过用户权限允许的应用程序调用任何 API 操作。

创建或更改密码策略时,大多数密码策略设置会在用户下次更改其密码时实施。但是,一些设置将立即实施。例如:

  • 在设置最小长度和字符类型要求后,会在用户下次更改其密码时实施该设置。不强制用户更改其现有密码,即使这些密码不符合更新后的密码策略。

  • 设置密码有效期时,有效期立即生效。例如,假定您将密码有效期设置为 90 天。在这种情况下,当前拥有的现有密码超过 90 天的所有 IAM 用户必须在下次登录时更改其密码。

有关设置密码策略所需的权限的信息,请参阅允许 IAM 用户更改自己的密码

IAM 密码策略不适用于 AWS 账户根用户密码。

目前提供的选项不允许您创建通常称为的“锁定策略”。这种策略会在尝试指定的登录失败次数后锁定用户账户。若要获得这样的增强的安全性,建议您将密码策略与 Multi-Factor Authentication (MFA) 相结合。有关 MFA 的更多信息,请参阅 在 AWS 中使用多重验证 (MFA)

密码策略选项

以下列表介绍在为账户配置密码策略时可用的选项。

最短密码长度

可以指定 IAM 用户密码中允许的最小字符数。您可以键入 6 到 128 之间的任何数字。

至少需要一个大写字母

可以要求 IAM 用户密码至少包含 ISO 基本拉丁字母字符中的一个大写字符 (A 到 Z)。

至少需要一个小写字母

可以要求 IAM 用户密码至少包含 ISO 基本拉丁字母字符中的一个小写字符 (a 到 z)。

至少需要一个数字

可以要求 IAM 用户密码至少包含一个数字字符 (0 到 9)。

至少需要一个非字母数字字符

可以要求 IAM 用户密码包含至少下列非字母数字字符之一:

! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

允许用户更改其密码

您可以允许账户中的所有 IAM 用户使用 IAM 控制台更改其密码,如允许 IAM 用户更改自己的密码中所述。

或者,您可以只允许某些用户管理他们自己的或其他人的密码。为此,请清除 Allow users to change their own password 复选框。有关使用策略来限制哪些人可以管理密码的更多信息,请参阅允许 IAM 用户更改自己的密码

注意

如果您允许您的 IAM 用户更改其密码,IAM 自动允许他们查看密码策略。IAM 用户需要查看账户密码策略的权限,才能创建符合策略的密码。

启用密码过期

可以将 IAM 用户密码设置为仅在指定天数内有效。您指定密码在设置之后保持有效的天数。例如,启用密码过期并将密码有效期设置为 90 天时,IAM 用户可以将密码最多使用 90 天。90 天之后,密码将过期,IAM 用户必须在访问 AWS 管理控制台之前设置新密码。您可以选择介于 1 到 1095 天 (含) 之间的密码有效期。

注意

AWS 管理控制台会在 IAM 用户密码过期前的 15 天之内警告用户。IAM 用户可以随时更改其密码 (只要向他们授予执行此操作的权限)。他们设置新密码时,该密码的轮换期就会开始。IAM 用户同时只能有一个有效密码。

防止密码重复使用

您可以阻止 IAM 用户重复使用指定数量的前密码。您可以设置从 1 到 24 (含) 的前密码数量。

密码过期需要管理员重置

可以阻止 IAM 用户在其当前密码过期之后选择新密码。例如,密码策略可以指定密码有效期。如果 IAM 用户未在有效期结束前选择新密码,则 IAM 用户无法设置新密码。这种情况下,IAM 用户必须向账户管理员请求密码重置才能重新获取 AWS 管理控制台的访问权限。您也可以将此复选框保持为清除状态。如果 IAM 用户允许其密码过期,则该场景中的用户需要在访问 AWS 管理控制台之前设置新密码。

警告

启用此选项之前,请确保您的 AWS 账户具有多个具备管理权限(即,用于重置 IAM 用户密码的权限)的用户。或者,您可以确保管理员也拥有访问密钥,使其能够从 AWS 管理控制台 单独使用 AWS CLI 或 Windows PowerShell 工具。如果启用此选项,一个管理员的密码过期时,需要另一个管理员登录控制台来重置第一个管理员的过期密码。但是,如果密码过期的管理员拥有有效的访问密钥,则其可以运行 AWS CLI 或 Windows PowerShell 工具 命令。这些命令可以重置管理员的密码。仅当第一名管理员的密码过期且其没有访问密钥时,才需要第二名管理员介入。

设置密码策略(控制台)

您可使用 AWS 管理控制台创建、更改或删除密码策略。在管理密码策略时,您可以允许所有用户管理他们自己的密码。

创建或更改密码策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,单击 Account Settings (账户设置)

  3. Password Policy (密码策略) 部分中,选择您要应用于密码策略的选项。

  4. 单击 Apply Password Policy (应用密码策略)

如要删除密码策略

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,单击 Account Settings (账户设置),然后在 Password Policy (密码策略) 部分中,单击 Delete Password Policy (删除密码策略)

设置密码策略 (AWS CLI)

要从 AWS CLI 管理账户密码策略,请运行以下命令:

设置密码策略 (AWS API)

要从 AWS API 管理账户密码策略,请调用以下操作: