メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ユーザー用のアカウントパスワードポリシーの設定

IAM ユーザーのパスワードの複雑な要件や必須のローテーション期間を指定するパスワードポリシーを、AWS アカウントに設定することができます。パスワードポリシーを使用して、次の操作を実行できます。

  • パスワードの最小の長さを設定する。

  • 大文字、小文字、数値、およびアルファベット以外の文字を含む特定の文字型が必要です。パスワードでは大文字と小文字が区別されることに必ずユーザーに知らせてください。

  • すべての IAM ユーザーが自分のパスワードを変更できるようにします。

    注記

    IAM ユーザーが自分のパスワードを変更できるようにすると、IAM により自動的にパスワードポリシーの表示がユーザーに許可されます。IAM ユーザーがポリシーに準拠したパスワードを作成するには、アカウントのパスワードポリシーを表示するアクセス許可が必要です。

  • 指定した期間が経過したら、IAM ユーザーにパスワードを変更するように要求します (パスワードの失効を許可します)。

  • IAM ユーザーが以前のパスワードを再利用できないようにします。

  • IAM ユーザーがパスワードの失効を許可したときに、アカウント管理者への連絡を強制します。

重要

ここで説明するパスワード設定は IAM ユーザーに割り当てられたパスワードのみに適用され、ユーザーが持っている可能性のあるアクセスキーには影響がありません。パスワードの有効期限が切れると、ユーザーは AWS マネジメントコンソールにサインインできなくなります。ただし、ユーザーが有効なアクセスキーを持っている場合、ユーザーのアクセス権限で許可されるアプリケーションを通じて任意の AWS CLI または Tools for Windows PowerShell コマンドを実行したり、API を呼び出したりできます。

パスワードポリシーを作成または変更する場合、パスワードポリシーの設定の多くは、ユーザーが次回パスワードを変更するときに適用されます。ただし、一部の設定はすぐに適用されます。以下に例を示します。

  • 最小長と文字タイプの要件を設定すると、その設定はユーザーが次回パスワードを変更するときに適用されます。既存のパスワードが更新されたパスワードポリシーに従っていない場合でも、ユーザーは既存のパスワードの変更を強制されません。

  • パスワードの有効期限を設定した場合、有効期限は直ちに適用されます。たとえば、パスワードの有効期限を 90 日に設定した場合、90 日以上前に設定したパスワードを現在使用しているすべての IAM ユーザーは、次回サインインするときにパスワードの変更を強制されます。

パスワードポリシーの設定に必要な権限の詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

パスワードポリシーのオプション

次のリストではアカウントのパスワードポリシーを設定するときに使用できるオプションについて説明します。

パスワードの最小長

IAM ユーザーパスワードで許容される最小文字数を指定できます。6 ~ 128 の任意の数値を入力できます。

少なくとも 1 つの大文字が必要

IAM ユーザーパスワードに最低 1 個の ISO ラテンアルファベットの大文字(A ~ Z)が含まれることを要件として設定できます。

少なくとも 1 つの小文字が必要

IAM ユーザーパスワードに最低 1 個の ISO ラテンアルファベットの小文字(a ~ z)が含まれることを要件として設定できます。

少なくとも 1 つの数字が必要

IAM ユーザーパスワードに最低 1 個の数字(0 ~ 9)が含まれることを要件として設定できます。

少なくとも 1 つのアルファベット以外の文字が必要

IAM ユーザーパスワードに以下の英数字以外の文字が最低 1 個は含まれることを要件として設定できます。

! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

ユーザーにパスワードの変更を許可

お客様のアカウント内のすべての IAM ユーザーが IAM コンソールを使用して自分のパスワードを変更することを許可できます。詳しくは、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

また、一部のユーザーにのみ、自分自身または他のユーザーのパスワードを管理させるよう設定することもできます。そのためには、[Allow users to change their own password] チェックボックスをオフにします。パスワードを管理できるユーザーを限定するポリシーの使用方法については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

注記

IAM ユーザーが自分のパスワードを変更できるようにすると、IAM により自動的にパスワードポリシーの表示がユーザーに許可されます。IAM ユーザーがポリシーに準拠したパスワードを作成するには、アカウントのパスワードポリシーを表示するアクセス許可が必要です。

パスワードの失効を許可

IAM ユーザーパスワードが、指定した日数だけ有効になるように設定できます。設定してからパスワードが有効である日数を指定します。たとえば、パスワードの有効期限を有効にし、パスワードの有効期間を 90 日間に設定した場合、IAM ユーザーはパスワードを最大 90 日間使用できます。90 日後、パスワードは失効し、IAM ユーザーは AWS マネジメントコンソールにアクセスする前に新しいパスワードを設定する必要があります。パスワードの有効期間は 1~1095 日の範囲で選択できます。

注記

IAM ユーザーのパスワードの有効期限まで 15 日以内になると、AWS マネジメントコンソールに警告メッセージが表示されます。IAM ユーザーはいつでも自分のパスワードを変更できます(権限が付与されている場合)。ユーザーが新しいパスワードを設定すると、そのパスワードのローテーション期間は最初から開始されます。IAM ユーザーは一度に 1 つだけ有効なパスワードを持つことができます。

パスワードの再利用を禁止

指定した数の以前のパスワードを IAM ユーザーが再利用することを禁止できます。以前のパスワードの数を 1 ~ 24 の範囲で設定できます。

パスワードの有効期限で管理者のリセットが必要

現在のパスワードの有効期限が切れた後、IAM ユーザーが新しいパスワードを選択することを禁止できます。たとえば、パスワードポリシーでパスワードの有効期間が設定されているときに、有効期間が終了する前に IAM ユーザーが新しいパスワードを選択できなかった場合、IAM ユーザーは新しいパスワードを設定できません。この場合、IAM ユーザーが AWS マネジメントコンソールに再びアクセスするには、アカウント管理者にパスワードのリセットをリクエストする必要があります。このチェックボックスがオフのままで、パスワードの有効期限が切れた場合、IAM ユーザーは、AWS マネジメントコンソールにアクセスする前に新しいパスワードを設定するよう求められます。

警告

このオプションを有効にする前に、AWS アカウントに管理者権限 (つまり、IAM のユーザーパスワードをリセットするアクセス権限) を持つ複数のユーザーがいるか、AWS マネジメントコンソールとは別に AWS CLI または Tools for Windows PowerShell を使用できるようにするアクセスキーも管理者が持っていることを必ず確認します。このオプションが有効になっており、1 人の管理者のパスワードの有効期限が切れた場合、コンソールにサインインしてこの管理者の期限切れのパスワードをリセットするには、別の管理者が必要です。ただし、期限切れのパスワードの管理者が有効なアクセスキーを持っている場合、その管理者は AWS CLI または Tools for Windows PowerShell コマンドを実行して、パスワードをリセットすることができます。2 番目の管理者の要件は、パスワードの有効期限が切れていて、最初の管理者にアクセスキーがない場合にのみ適用されます。

パスワードポリシーの設定(AWS マネジメントコンソール)

AWS マネジメントコンソールを使用して、パスワードポリシーを作成、変更、削除することができます。パスワードポリシーの管理の一環として、すべてのユーザーが自らのパスワードを管理できるように設定できます。

パスワードポリシーを作成または変更するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Account Settings] をクリックします。

  3. [Password Policy] セクションで、パスワードポリシーに適用するオプションを選択します。

  4. [Apply Password Policy] をクリックします。

パスワードポリシーを削除するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Account Settings] をクリックし、[Password Policy] セクションで [Delete Password Policy] をクリックします。

パスワードポリシーの設定(AWS CLI、Tools for Windows PowerShell、または AWS API)

AWS CLI、Tools for Windows PowerShell、または AWS API を使用してアカウントパスワードポリシーを管理するには、以下のコマンドを使用します。

パスワードポリシーを作成または変更するには

パスワードポリシーを取得するには

パスワードポリシーを削除するには