允许 IAM 用户更改自己的密码 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

允许 IAM 用户更改自己的密码

注意

具有联合身份的用户将使用其身份提供商定义的流程来更改密码。作为最佳实践,要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 Amazon。

您可以向 IAM 用户授予更改其用于登录 Amazon Web Services Management Console 的密码的权限。您可以通过两种方式之一来执行此操作:

重要

我们建议您设置自定义密码策略,要求 IAM 用户创建强密码。

允许所有 IAM 用户更改自己的密码
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,单击 Account settings(账户设置)。

  3. Password policy(密码策略)部分,选择 Edit(编辑)。

  4. 选择 Custom(自定义)以使用自定义密码策略。

  5. 选择 Allow users to change their own password(允许用户更改其密码),然后选择 Save changes(保存更改)。这样账户中的所有用户就可以仅访问其用户的 iam:ChangePassword 操作和 iam:GetAccountPasswordPolicy 操作。

  6. 向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码

有关可用来更改账户的密码策略(包括允许所有用户更改自己的密码)的 Amazon CLI、Tools for Windows PowerShell 和 API 命令的信息,请参阅 设置密码策略 (Amazon CLI)

允许选定的 IAM 用户更改自己的密码
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,单击 Account settings(账户设置)。

  3. Password policy(密码策略)部分中,确保未选择 Allow users to change their own password(允许用户更改其密码)。如果已选中此复选框,所有用户均可更改其密码。(请参阅上一个过程。)

  4. 创建允许更改其密码的用户(如果之前没有这样的用户)。有关详细信息,请参阅 在您的 Amazon Web Services 账户 中创建 IAM 用户

  5. (可选)为可以更改自己密码的用户创建 IAM 组,然后将上一步骤中的用户添加到该组。有关详细信息,请参阅 管理 IAM 用户组

  6. 将下列策略分配到该组。有关更多信息,请参阅管理 IAM policy

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:GetAccountPasswordPolicy", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

    此策略授予对 ChangePassword 操作的访问权限,这让用户可从控制台、Amazon CLI、Tools for Windows PowerShell 或 API 仅更改他们自己的密码。它还授予对 GetAccountPasswordPolicy 操作的访问权限,这可让用户查看当前的密码策略。用户需要此权限才能在 Change password(更改密码)页面上查看账户密码策略。用户必须能阅读当前密码策略以确保更改后的密码符合策略的要求。

  7. 向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码

有关更多信息

有关管理凭证的更多信息,请参阅以下主题: