IAM ユーザーに自分のパスワードを変更する権限を付与する

注記

フェデレーション ID を持つユーザーは、ID プロバイダーが定義したプロセスを使用してパスワードを変更します。ベストプラクティスとして、人間のユーザーが一時的な認証情報を使用して AWS にアクセスするには、ID プロバイダーとのフェデレーションの使用を必須とします。

IAM ユーザーに、AWS Management Console にサインインするためのパスワードを変更するアクセス許可を付与できます。これには以下の 2 つの方法があります。

• アカウントのすべての IAM ユーザーが自分のパスワードを変更できるようにします。

• 選択した IAM ユーザーだけが自分のパスワードを変更できるようにします。このシナリオでは、すべてのユーザーが各自のパスワードを変更するオプションを無効にし、一部のユーザーにのみアクセス許可を付与する IAM ポリシーを使用します。この方法では、ユーザーは各自のパスワードと、必要に応じて各自のアクセスキーなどの他の認証情報を変更できます。

重要

IAM ユーザーが強力なパスワードを作成することを求めるカスタムパスワードポリシーを設定することをお勧めします。

すべての IAM ユーザーが自分のパスワードを変更できるようにします。

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで [Account settings] (アカウント設定) をクリックします。

3. [Password policy] (パスワードポリシー) セクションで、[Edit] (編集) を選択します。

4. カスタムパスワードポリシーを使用するには、[Custom] (カスタム) を選択します。

5. [Allow users to change their own password] (ユーザーにパスワードの変更を許可) を選択し、[save changes] (変更の保存) をクリックします。これにより、アカウントのすべてのユーザーに、そのユーザーだけに対する iam:ChangePassword アクションと iam:GetAccountPasswordPolicy アクションへのアクセスが付与されます。

6. パスワードを変更するための次の手順をユーザーに提供します: IAM ユーザーが自分のパスワードを変更する方法。

アカウントのパスワードポリシー (ユーザーに自分のパスワードの変更を許可する設定を含む) の変更に使用できる AWS CLI、Tools for Windows PowerShell、および API コマンドの詳細については、「パスワードポリシーの設定 (AWS CLI)」を参照してください。

選択された IAM ユーザーが自分のパスワードを変更可能にするには

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで [Account settings] (アカウント設定) をクリックします。

3. [Password policy] (パスワードポリシー) セクションで、[Allow users to change their own password] (ユーザーにパスワードの変更を許可) が選択されていないことを確認します。このチェックボックスがオンになっている場合、すべてのユーザーが自分のパスワードを変更できます （前の手順を参照）。

4. パスワードの変更が許可されている必要があるユーザーを作成します (まだ存在していない場合)。詳細については、「AWS アカウント での IAM ユーザーの作成」を参照してください。

5. (オプション) 自分のパスワードの変更を許可するユーザーに対して IAM グループを作成し、そのグループに前のステップのユーザーを追加します。詳細については、「IAM ユーザーグループの管理」を参照してください。

6. 以下のポリシーをグループに割り当てます 詳細については、「IAM ポリシーを管理する」を参照してください。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }

   このポリシーでは、ユーザーに ChangePassword (パスワードの変更) アクションへのアクセスを許可して、コンソール、AWS CLI、Tools for Windows PowerShell、または API から自分のパスワードのみを変更できるようにします。また、GetAccountPasswordPolicy アクションへのアクセス権も付与します。これにより、ユーザーは現在のパスワードポリシーを表示できます。このアクセス許可は、ユーザーが [Change password] (パスワードの変更) ページでアカウントパスワードポリシーを表示できるようにするために必要です。変更されたパスワードがポリシーの要件を確実に満たしているようにするために、ユーザーは現在のパスワードポリシーの読み取りが許可されている必要があります。

7. パスワードを変更するための次の手順をユーザーに提供します: IAM ユーザーが自分のパスワードを変更する方法。

詳細情報

認証情報の管理の詳細については、次のトピックを参照してください。

• IAM ユーザーに自分のパスワードを変更する権限を付与する

• AWS でのユーザーパスワードの管理

• IAM ユーザー用のアカウントパスワードポリシーの設定

• IAM ポリシーを管理する

• IAM ユーザーが自分のパスワードを変更する方法