AWS Identity and Access Management
ユーザーガイド

IAM ユーザー用のアカウントパスワードポリシーの設定

AWS アカウントで、IAM ユーザーのパスワードの複雑な要件や必須の更新期間を指定するパスワードポリシーを設定できます。

パスワードポリシーを使用して、次の操作を実行できます。

  • パスワードの最小の長さを設定する。

  • 大文字、小文字、数値、およびアルファベット以外の文字を含む特定の文字型が必要です。パスワードでは大文字と小文字が区別されることに必ずユーザーに知らせてください。

  • すべての IAM ユーザーが自分のパスワードを変更できるようにします。

    注記

    IAM ユーザーが自分のパスワードを変更できるようにすると、IAM により自動的にパスワードポリシーの表示がユーザーに許可されます。IAM ユーザーがポリシーに準拠したパスワードを作成するには、アカウントのパスワードポリシーを表示するアクセス許可が必要です。

  • 指定した期間が経過したら、IAM ユーザーにパスワードを変更するように要求します (パスワードの失効を許可します)。

  • IAM ユーザーが以前のパスワードを再利用できないようにします。

  • IAM ユーザーがパスワードの失効を許可したときに、アカウント管理者への連絡を強制します。

重要

ここで説明するパスワード設定は IAM ユーザーに割り当てられたパスワードのみに適用され、ユーザーが持っている可能性のあるアクセスキーには影響がありません。パスワードの有効期限が切れると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ただし、ユーザーが有効なアクセスキーを持っている場合は、引き続き AWS CLI コマンドまたは Tools for Windows PowerShell コマンドを実行できます。また、ユーザーのアクセス許可で許可されるアプリケーションを通じて、API オペレーションを呼び出すこともできます。

パスワードポリシーを作成または変更する場合、パスワードポリシーの設定の多くは、ユーザーが次回パスワードを変更するときに適用されます。ただし、一部の設定はすぐに適用されます。例:

  • 最小長と文字タイプの要件を設定すると、その設定はユーザーが次回パスワードを変更するときに適用されます。既存のパスワードが更新されたパスワードポリシーに従っていない場合でも、ユーザーは既存のパスワードの変更を強制されません。

  • パスワードの有効期限を設定した場合、有効期限は直ちに適用されます。たとえば、パスワードの有効期限を 90 日に設定したとします。この場合、現在使用しているパスワードが 90 日より古いすべての IAM ユーザーは、次回のサインイン時にパスワードの変更を求められます。

パスワードポリシーの設定に必要な権限の詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

IAM パスワードポリシーは、AWS アカウントのルートユーザーのパスワードには適用されません。

現在使用可能なオプションでは、一般に「ロックアウトポリシー」と呼ばれるものを作成することは許可されません。 このようなポリシーでは、サインインの試行の失敗が指定した回数を超えると、ユーザーはアカウントからロックアウトされます。この種類の強化されたセキュリティを実現するには、パスワードポリシーと Multi-Factor Authentication (MFA) を組み合わせることをお勧めします。MFA の詳細については、「AWS での多エレメント認証 (MFA) の使用」を参照してください

パスワードポリシーのオプション

次のリストではアカウントのパスワードポリシーを設定するときに使用できるオプションについて説明します。

パスワードの最小長

IAM ユーザーパスワードで許容される最小文字数を指定できます。6〜128 の文字数を入力できます。

少なくとも 1 つの大文字が必要

IAM ユーザーパスワードに最低 1 個の ISO ラテンアルファベットの大文字 (A ~ Z) が含まれることを要件として設定できます。

少なくとも 1 つの小文字が必要

IAM ユーザーパスワードに最低 1 個の ISO ラテンアルファベットの小文字 (a ~ z) が含まれることを要件として設定できます。

少なくとも 1 つの数字が必要

IAM ユーザーパスワードに最低 1 個の数字 (0 ~ 9) が含まれることを要件として設定できます。

少なくとも 1 つのアルファベット以外の文字が必要

IAM ユーザーパスワードに以下の英数字以外の文字が最低 1 個は含まれることを要件として設定できます。

! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

ユーザーにパスワードの変更を許可

お客様のアカウントのすべての IAM ユーザーが IAM コンソールを使用して自分のパスワードを変更することを許可できます。詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

また、一部のユーザーにのみ、自分自身または他のユーザーのパスワードを管理させるよう設定することもできます。そのためには、[ユーザーにパスワードの変更を許可] チェックボックスをオフにします。パスワードを管理できるユーザーを限定するポリシーの使用方法については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

注記

IAM ユーザーが自分のパスワードを変更できるようにすると、IAM により自動的にパスワードポリシーの表示がユーザーに許可されます。IAM ユーザーがポリシーに準拠したパスワードを作成するには、アカウントのパスワードポリシーを表示するアクセス許可が必要です。

パスワードの失効を許可

IAM ユーザーパスワードが、指定した日数だけ有効になるように設定できます。設定してからパスワードが有効である日数を指定します。たとえば、パスワードの有効期限を有効にし、パスワードの有効期間を 90 日間に設定した場合、IAM ユーザーはパスワードを最大 90 日間使用できます。90 日後、パスワードは失効し、IAM ユーザーは AWS マネジメントコンソールにアクセスする前に新しいパスワードを設定する必要があります。パスワードの有効期間は 1~1095 日の範囲で選択できます。

注記

パスワード有効期限の15 日以内になると、AWS マネジメントコンソール で IAM ユーザーに警告します。IAM ユーザーはいつでもパスワードを変更できます (そのためのアクセス許可が付与されている場合のみ)。新しいパスワードを設定すると、そのパスワードの更新期間が始まります。IAM ユーザーは一度に 1 つだけ有効なパスワードを持つことができます。

パスワードの再利用を禁止

指定した数の以前のパスワードを IAM ユーザーが再利用することを禁止できます。以前のパスワードの数を 1 ~ 24 の範囲で設定できます。

パスワードの有効期限で管理者のリセットが必要

現在のパスワードの有効期限が切れた後、IAM ユーザーが新しいパスワードを選択することを禁止できます。たとえば、パスワードポリシーでパスワードの有効期限を指定できます。IAM ユーザーは、有効期間が終了する前に新しいパスワードを選択しなかった場合、新しいパスワードを設定できません。この場合、IAM ユーザーが AWS マネジメントコンソールに再びアクセスするには、アカウント管理者にパスワードのリセットをリクエストする必要があります。このチェックボックスをオフのままにすることもできます。IAM ユーザーがパスワードを失効させた場合は、AWS マネジメントコンソール にアクセスする前に新しいパスワードを設定するように求められます。

警告

このオプションを有効にする前に、AWS アカウントで複数のユーザーが管理アクセス許可 (つまり、IAM ユーザーパスワードをリセットするアクセス許可) を持っていることを確認します。または、AWS マネジメントコンソール とは別に AWS CLI または Tools for Windows PowerShell を使用するためのアクセスキーも管理者が持っていることを確認できます。このオプションが有効になっており、1 人の管理者のパスワードの有効期限が切れた場合、コンソールにサインインしてこの管理者の期限切れのパスワードをリセットするには、別の管理者が必要です。ただし、管理者のパスワードが期限切れになっても有効なアクセスキーを持っている場合は、AWS CLI コマンドまたは Tools for Windows PowerShell コマンドを実行できます。これらのコマンドでは、管理者のパスワードをリセットできます。2 番目の管理者の要件は、パスワードの有効期限が切れていて、最初の管理者にアクセスキーがない場合にのみ適用されます。

パスワードポリシーの設定 (コンソール)

AWS マネジメントコンソールを使用して、パスワードポリシーを作成、変更、削除することができます。パスワードポリシーの管理の一環として、すべてのユーザーが自らのパスワードを管理できるように設定できます。

パスワードポリシーを作成または変更するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [アカウント設定] をクリックします。

  3. [パスワードポリシー] セクションで、パスワードポリシーに適用するオプションを選択します。

  4. [パスワードポリシーの適用] をクリックします。

パスワードポリシーを削除するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [アカウント設定] をクリックし、[パスワードポリシー] セクションで [パスワードポリシーの削除] をクリックします。

パスワードポリシーの設定 (AWS CLI)

AWS CLI からアカウントのパスワードポリシーを管理するには、以下のコマンドを実行します。

パスワードポリシーの設定 (AWS API)

AWS API からアカウントのパスワードポリシーを管理するには、以下のオペレーションを呼び出します。