允许 IAM 用户更改自己的密码 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

允许 IAM 用户更改自己的密码

您可以向 IAM 用户授予更改其用于登录 Amazon Web Services Management Console 的密码的权限。您可以通过两种方式之一来执行此操作:

重要

我们建议您设置自定义密码策略,要求 IAM 用户创建强密码。

允许所有 IAM 用户更改自己的密码

  1. 登录 Amazon Web Services Management Console,打开 IAM 控制台 https://console.aws.amazon.com/iam/

  2. 在导航窗格中,单击 Account settings(账户设置)。

  3. 如果您的账户使用默认密码策略,请在 Password policy(密码策略)部分选择 Change password policy(更改密码策略)。如果您的账户使用自定义密码策略,请选择 Change(更改)。

  4. 选择 Allow users to change their own password(允许用户更改其密码),然后单击 save changes(保存更改)。

  5. 向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码

有关可用来更改账户的密码策略(包括允许所有用户更改自己的密码)的 Amazon CLI、Tools for Windows PowerShell 和 API 命令的信息,请参阅 设置密码策略 (Amazon CLI)

允许选定的 IAM 用户更改自己的密码

  1. 登录 Amazon Web Services Management Console,打开 IAM 控制台 https://console.aws.amazon.com/iam/

  2. 在导航窗格中,单击 Account settings(账户设置)。

  3. Password policy(密码策略)部分中,确保未选择 Allow users to change their own password(允许用户更改其密码)。如果已选中此复选框,所有用户均可更改其密码。(请参阅上一个过程。)

  4. 创建允许更改其密码的用户(如果之前没有这样的用户)。有关详细信息,请参阅在您的 Amazon 账户中创建 IAM 用户

  5. 为可以更改自己密码的用户创建 IAM 组,然后将上一步骤中的用户添加到该组。有关详细信息,请参阅 创建您的第一个 IAM 管理员用户和用户组管理 IAM 用户组

    此为可选步骤,但是最佳做法是使用组管理权限。这样,您就可以添加和删除用户以及更改整个组的权限。

  6. 将下列策略分配到该组。有关更多信息,请参阅 管理 IAM 策略

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:GetAccountPasswordPolicy", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::account-id-without-hyphens:user/${aws:username}" } ] }

    此策略授予对 ChangePassword 操作的访问权限,这让用户可从控制台、Amazon CLI、Tools for Windows PowerShell 或 API 仅更改他们自己的密码。它还授予对 GetAccountPasswordPolicy 操作的访问权限,这可让用户查看当前的密码策略。用户需要此权限才能在 Change password(更改密码)页面上查看账户密码策略。用户必须能阅读当前密码策略以确保更改后的密码符合策略的要求。

  7. 向用户提供有关更改密码的以下说明:IAM 用户如何更改自己的密码

有关

有关管理凭证的更多信息,请参阅以下主题: