允许 IAM 用户更改自己的密码
注意
具有联合身份的用户将使用其身份提供商定义的流程来更改密码。作为最佳实践,要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 Amazon。
您可以向 IAM 用户授予更改其用于登录 Amazon Web Services Management Console 的密码的权限。您可以通过两种方式之一来执行此操作:
-
仅允许选定的 IAM 用户更改自己的密码。在此情况下,您禁用可供所有用户用来更改其密码的选项,并使用 IAM policy 仅向某些用户授予权限。这种方法允许这些用户更改自己的密码和可选的其他凭证,例如他们自己的访问密钥。
重要
我们建议您设置自定义密码策略,要求 IAM 用户创建强密码。
允许所有 IAM 用户更改自己的密码
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,单击 Account settings(账户设置)。
-
如果您的账户使用默认密码策略,请在 Password policy(密码策略)部分选择 Change password policy(更改密码策略)。如果您的账户使用自定义密码策略,请选择 Change(更改)。
-
选择 Allow users to change their own password(允许用户更改其密码),然后选择 Save changes(保存更改)。这样账户中的所有用户就可以仅访问其用户的
iam:ChangePassword
操作和iam:GetAccountPasswordPolicy
操作。 -
向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码。
有关可用来更改账户的密码策略(包括允许所有用户更改自己的密码)的 Amazon CLI、Tools for Windows PowerShell 和 API 命令的信息,请参阅 设置密码策略 (Amazon CLI)。
允许选定的 IAM 用户更改自己的密码
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,单击 Account settings(账户设置)。
-
在 Password policy(密码策略)部分中,确保未选择 Allow users to change their own password(允许用户更改其密码)。如果已选中此复选框,所有用户均可更改其密码。(请参阅上一个过程。)
-
创建允许更改其密码的用户(如果之前没有这样的用户)。有关详细信息,请参阅 在您的 Amazon Web Services 账户 中创建 IAM 用户。
-
(可选)为可以更改自己密码的用户创建 IAM 组,然后将上一步骤中的用户添加到该组。有关详细信息,请参阅 管理 IAM 用户组。
-
将下列策略分配到该组。有关更多信息,请参阅管理 IAM policy。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:GetAccountPasswordPolicy", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }
此策略授予对 ChangePassword 操作的访问权限,这让用户可从控制台、Amazon CLI、Tools for Windows PowerShell 或 API 仅更改他们自己的密码。它还授予对 GetAccountPasswordPolicy 操作的访问权限,这可让用户查看当前的密码策略。用户需要此权限才能在 Change password(更改密码)页面上查看账户密码策略。用户必须能阅读当前密码策略以确保更改后的密码符合策略的要求。
-
向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码。
有关更多信息
有关管理凭证的更多信息,请参阅以下主题: