允许 IAM 用户更改自己的密码

登录 Amazon Web Services Management Console，然后使用以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

在导航窗格中，单击 Account settings（账户设置）。

在 Password policy（密码策略）部分，选择 Edit（编辑）。

选择 Custom（自定义）以使用自定义密码策略。

选择 Allow users to change their own password（允许用户更改其密码），然后选择 Save changes（保存更改）。这样账户中的所有用户就可以仅访问其用户的 iam:ChangePassword 操作和 iam:GetAccountPasswordPolicy 操作。

向用户提供有关更改密码的以下说明：IAM 用户如何更改自己的密码。

登录 Amazon Web Services Management Console，然后使用以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

在导航窗格中，单击 Account settings（账户设置）。

在 Password policy（密码策略）部分中，确保未选择 Allow users to change their own password（允许用户更改其密码）。如果已选中此复选框，则所有用户均可更改其密码。（请参阅上一个过程。）

创建允许更改其密码的用户（如果之前没有这样的用户）。有关更多信息，请参阅 在 Amazon Web Services 账户 中创建 IAM 用户。

（可选）为可以更改自己密码的用户创建 IAM 组，然后将上一步骤中的用户添加到该组。有关更多信息，请参阅 IAM 用户组。

将下列策略分配到该组。有关更多信息，请参阅 管理 IAM 策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:GetAccountPasswordPolicy",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ChangePassword",
      "Resource": "arn:aws:iam::*:user/${aws:username}"
    }
  ]
}

此策略授予对 ChangePassword 操作的访问权限，这让用户可从控制台、Amazon CLI、Tools for Windows PowerShell 或 API 仅更改他们自己的密码。它还授予对 GetAccountPasswordPolicy 操作的访问权限，这可让用户查看当前的密码策略。用户需要此权限才能在 Change password（更改密码）页面上查看账户密码策略。用户必须能阅读当前密码策略以确保更改后的密码符合策略的要求。

向用户提供有关更改密码的以下说明：IAM 用户如何更改自己的密码。