IAM 사용자에게 자신의 암호 변경 허용

참고

페더레이션형 ID를 가진 사용자는 ID 제공업체가 정의한 프로세스를 사용하여 암호를 변경합니다. 가장 좋은 방법은 인간 사용자가 ID 제공업체와의 페더레이션을 사용하여 임시 보안 인증으로 AWS에 액세스하도록 하는 것입니다.

IAM 사용자에게 AWS Management Console에 로그인할 때 사용하는 자신의 암호를 변경할 권한을 부여할 수 있습니다. 이 작업을 두 가지 방법으로 수행할 수 있습니다.

• 계정의 모든 IAM 사용자에게 자신의 암호 변경을 허용합니다.

• 선택된 IAM 사용자에게만 자신의 암호 변경을 허용합니다. 이 시나리오에서는 모든 사용자의 암호 변경 옵션을 비활성화한 후 IAM 정책을 사용하여 일부 사용자에게만 자신의 암호를 변경할 수 있는 권한을 부여합니다. 이 방법을 사용하면 사용자가 자신의 암호를 변경할 수 있으며 필요에 따라 액세스 키와 같은 다른 자격 증명을 변경할 수 있습니다.

중요

IAM 사용자에게 강력한 암호를 생성할 것을 요구하는 사용자 지정 암호 정책을 설정하는 것이 좋습니다.

모든 IAM 사용자에게 자신의 암호 변경을 허용하려면

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 [계정 설정(Account settings)]을 클릭합니다.

3. Password policy(암호 정책) 섹션에서 Edit(편집)를 선택합니다.

4. Custom(사용자 지정)을 선택하여 사용자 지정 암호 정책을 사용합니다.

5. 사용자 자신의 암호 변경 허용(Allow users to change their own password)을 선택한 다음 변경 사항 저장(Save changes)을 선택합니다. 이렇게 하면 계정의 모든 사용자에게 해당 사용자의 iam:ChangePassword 작업과 iam:GetAccountPasswordPolicy 작업에 대한 액세스 권한만 허용됩니다.

6. 사용자에게 암호 변경에 대한 다음 지침을 제공합니다. IAM 사용자가 자신의 암호를 변경하는 방법.

계정의 암호 정책(모든 사용자가 직접 암호를 변경하게 하는 정책 포함) 변경에 사용할 수 있는 AWS CLI, Tools for Windows PowerShell 및 API 명령에 대한 자세한 내용은 암호 정책 설정(AWS CLI) 섹션을 참조하세요.

선택된 IAM 사용자에게 자신의 암호 변경을 허용하려면

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 [계정 설정(Account settings)]을 클릭합니다.

3. [암호 정책(Password policy)] 섹션에서 [사용자 자신의 암호 변경 허용(Allow users to change their own password)] 확인란이 선택 취소되어 있는지 확인합니다. 이 확인란을 선택하면 모든 사용자가 직접 암호를 변경할 수 있게 됩니다. (위 절차 참조).

4. 암호 변경을 허용할 사용자가 아직 없다면 사용자를 만듭니다. 자세한 내용은 AWS 계정에서 IAM 사용자 생성 섹션을 참조하세요.

5. (선택 사항) 직접 암호를 변경하게 할 IAM 사용자 그룹을 만든 다음 앞 단계에서 만든 사용자를 그룹에 추가합니다. 자세한 내용은 IAM 사용자 그룹 관리 섹션을 참조하세요.

6. 그룹에 다음 정책을 할당합니다. 자세한 내용은 IAM 정책 관리 섹션을 참조하세요.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }

   이 정책은 암호 변경 작업에 대한 액세스 권한을 부여하여 사용자가 콘솔, AWS CLI, Tools for Windows PowerShell 또는 API로부터 본인의 암호만을 변경할 수 있게 합니다. 또한 사용자가 현재 암호 정책을 볼 수 있도록 GetAccountPasswordPolicy 작업에 대한 액세스 권한도 부여합니다. 이 권한은 사용자가 [암호 변경(Change password)] 페이지에서 계정 암호를 보는 데 필요합니다. 사용자가 현재 암호 정책을 읽고 변경된 암호가 정책의 요건을 충족하는지 확인할 수 있도록 허용해야 합니다.

7. 사용자에게 암호 변경에 대한 다음 지침을 제공합니다. IAM 사용자가 자신의 암호를 변경하는 방법.

자세한 정보

자격 증명 관리에 대한 자세한 내용은 다음 주제를 참조하세요.

• IAM 사용자에게 자신의 암호 변경 허용

• AWS에서 사용자 암호 관리

• IAM 사용자의 계정 암호 정책 설정

• IAM 정책 관리

• IAM 사용자가 자신의 암호를 변경하는 방법