Autorización para que los usuarios de IAM cambien sus contraseñas

nota

Los usuarios con identidades federadas utilizarán el proceso definido por su proveedor de identidades para cambiar sus contraseñas. Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales.

Puede permitir a los usuarios de IAM que cambien sus propias contraseñas para iniciar sesión en la AWS Management Console. Puede hacerlo de una de las dos formas siguientes:

Permitir a todos los usuarios de IAM de la cuenta cambiar sus propias contraseñas.
Permitir solo a usuarios de IAM determinados cambiar sus propias contraseñas. En este caso, desactive la opción para que todos los usuarios cambien sus propias contraseñas y utilice una política de IAM para otorgar permisos solo a algunos usuarios. Este enfoque permite a esos usuarios cambiar sus propias contraseñas y, de manera opcional, otras credenciales, como sus propias claves de acceso.

importante

Se recomienda establecer una política de contraseñas personalizada que requiera que los usuarios de IAM creen contraseñas seguras.

Para permitir que todos los usuarios de IAM cambien sus contraseñas

Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.
En el panel de navegación, haga clic en Account settings (Configuración de la cuenta).
En la sección Password policy (Política de contraseñas), elija Edit (Editar).
Elija Custom (Personalizado) para usar una política de contraseñas personalizada.
Seleccione Allow users to change their own password (Permitir que los usuarios cambien su propia contraseña) y, a continuación, elija Save changes (Guardar cambios). Esto permite a todos los usuarios de la cuenta acceder a la acción iam:ChangePassword solo para su usuario y a la acción iam:GetAccountPasswordPolicy.
Proporcione a los usuarios las siguientes instrucciones para cambiar sus contraseñas: Cómo un usuario de IAM cambia su propia contraseña.

Para obtener información sobre los comandos de la AWS CLI, Tools for Windows PowerShell y la API que puede utilizar para cambiar la política de contraseñas de la cuenta (que incluye permitir a todos los usuarios cambiar sus propias contraseñas), consulte Configuración de una política de contraseñas (AWS CLI).

Para permitir a usuarios de IAM determinados cambiar sus propias contraseñas

Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.
En el panel de navegación, haga clic en Account settings (Configuración de la cuenta).
En la sección Password policy (Política de contraseñas), asegúrese de que la opción Allow users to change their own password (Permitir que los usuarios cambien su propia contraseña) no esté seleccionada. Si la casilla de verificación está marcada, todos los usuarios podrán cambiar sus contraseñas. (Lea el procedimiento previo.)
Cree usuarios que puedan cambiar sus propias contraseñas, si no existen todavía. Para obtener más información, consulte Creación de un usuario de IAM en su Cuenta de AWS.
(Opcional) Cree un grupo de IAM para los usuarios que deberían poder cambiar sus contraseñas y, a continuación, agregue los usuarios del paso anterior al grupo. Para obtener más información, consulte Administración de grupos de usuarios de IAM.
Asigne la siguiente política al grupo. Para obtener más información, consulte Administración de políticas de IAM.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:GetAccountPasswordPolicy",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ChangePassword",
      "Resource": "arn:aws:iam::*:user/${aws:username}"
    }
  ]
}
```
Esta política otorga acceso a la acción cambiar contraseña, que permite a los usuarios cambiar únicamente sus propias contraseñas desde la consola, la AWS CLI, Tools for Windows PowerShell o la API. También otorga acceso a la acción GetAccountPasswordPolicy, que permite al usuario ver la política de contraseñas actual. Este permiso es necesario para que el usuario pueda ver la política de contraseñas de cuentas en la página Change Password (Cambiar contraseña). El usuario debe poder leer la política de contraseñas actual para asegurarse de que la contraseña cambiada cumpla los requisitos de la política.
Proporcione a los usuarios las siguientes instrucciones para cambiar sus contraseñas: Cómo un usuario de IAM cambia su propia contraseña.

Para obtener más información

Para obtener más información acerca de cómo administrar credenciales, consulte los siguientes temas:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de las contraseñas de usuarios

Cómo un usuario de IAM cambia su propia contraseña