Amazon:允许 IAM 用户在的“安全凭证”页面上更改自己的控制台密码 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon:允许 IAM 用户在的“安全凭证”页面上更改自己的控制台密码

此示例演示了如何创建基于身份的策略,以允许 IAM 用户在安全凭证页面上更改其 Amazon Web Services Management Console 密码。此 Amazon Web Services Management Console 页面显示账户和用户信息,但是用户只能访问他们自己的密码。要允许用户使用 MFA 管理他们自己的所有凭证,请参阅Amazon:允许使用 MFA 完成身份验证的 IAM 用户在“安全凭证”页面上管理自己的凭证。。要允许用户在不使用 MFA 的情况下管理自己的凭证,请参阅Amazon:允许 IAM 用户在“安全凭证”页面上管理自己的凭证

要了解用户如何访问安全凭证页面,请参阅 IAM 用户如何更改自己的密码(控制台)

此策略有何作用?

  • ViewAccountPasswordRequirements 语句允许用户查看账户密码要求,同时更改他们自己的 IAM 用户密码。

  • ChangeOwnPassword 语句还允许用户更改他们自己的密码。此语句还包括 GetUser 操作,查看 My Security Credentials(我的安全凭证)页面上的大多数信息都需要此操作。

此策略不允许用户在 IAM 控制台中查看 Users(用户)页面,或使用该页面访问自己的用户信息。要允许此操作,请将 iam:ListUsers 操作添加到 ViewAccountPasswordRequirements 语句。它也不允许用户在自己的用户页面上更改密码。要允许此操作,请将 iam:GetLoginProfileiam:UpdateLoginProfile 操作添加到 ChangeOwnPasswords 语句。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}