IAM 사용자에게 자신의 암호 변경 허용
IAM 사용자에게 AWS Management Console에 로그인할 때 사용하는 자신의 암호를 변경할 권한을 부여할 수 있습니다. 이 작업을 두 가지 방법으로 수행할 수 있습니다.
-
선택된 IAM 사용자에게만 자신의 암호 변경을 허용합니다. 이 시나리오에서는 모든 사용자의 암호 변경 옵션을 비활성화한 후 IAM 정책을 사용하여 일부 사용자에게만 자신의 암호를 변경할 수 있는 권한을 부여합니다. 이 방법을 사용하면 사용자가 자신의 암호를 변경할 수 있으며 필요에 따라 액세스 키와 같은 다른 자격 증명을 변경할 수 있습니다.
IAM 사용자에게 강력한 암호를 생성할 것을 요구하는 사용자 지정 암호 정책을 설정하는 것이 좋습니다.
모든 IAM 사용자에게 자신의 암호 변경을 허용하려면
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
탐색 창에서 [계정 설정(Account settings)]을 클릭합니다.
-
계정에 기본 암호 정책을 사용하는 경우 [암호 정책(Password policy)] 섹션에서 [암호 정책 변경(Change password policy)]을 선택합니다. 계정에 사용자 지정 암호 정책을 사용하는 경우 [변경(Change)]을 선택합니다.
-
사용자 자신의 암호 변경 허용(Allow users to change their own password)을 선택한 다음 변경 사항 저장(Save changes)을 선택합니다. 이렇게 하면 계정의 모든 사용자에게 해당 사용자의
iam:ChangePassword
작업과iam:GetAccountPasswordPolicy
작업에 대한 액세스 권한만 허용됩니다. -
사용자에게 암호 변경에 대한 다음 지침을 제공합니다. IAM 사용자가 자신의 암호를 변경하는 방법.
계정의 암호 정책(모든 사용자가 직접 암호를 변경하게 하는 정책 포함) 변경에 사용할 수 있는 AWS CLI, Tools for Windows PowerShell 및 API 명령에 대한 자세한 내용은 암호 정책 설정(AWS CLI) 섹션을 참조하세요.
선택된 IAM 사용자에게 자신의 암호 변경을 허용하려면
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
탐색 창에서 [계정 설정(Account settings)]을 클릭합니다.
-
[암호 정책(Password policy)] 섹션에서 [사용자 자신의 암호 변경 허용(Allow users to change their own password)] 확인란이 선택 취소되어 있는지 확인합니다. 이 확인란을 선택하면 모든 사용자가 직접 암호를 변경할 수 있게 됩니다. (위 절차 참조).
-
암호 변경을 허용할 사용자가 아직 없다면 사용자를 만듭니다. 자세한 내용은 섹션을 참조하세요AWS 계정의 IAM 사용자 생성
-
직접 암호를 변경하게 할 IAM 사용자 그룹을 만든 다음 앞 단계에서 만든 사용자를 그룹에 추가합니다. 자세한 내용은 첫 번째 IAM 관리자 및 사용자 그룹 생성 및 IAM 사용자 그룹 관리 섹션을 참조하세요.
이 단계는 선택 사항이지만 그룹을 사용하여 권한을 관리하는 것이 모범 사례입니다. 이렇게 하면 사용자를 추가 및 제거하고 그룹 전체에 대한 권한을 변경할 수 있습니다.
-
그룹에 다음 정책을 할당합니다. 자세한 정보는 IAM 정책 관리을 참조하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:GetAccountPasswordPolicy", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::
account-id
:user/${aws:username}" } ] }이 정책은 암호 변경 작업에 대한 액세스 권한을 부여하여 사용자가 콘솔, AWS CLI, Tools for Windows PowerShell 또는 API로부터 본인의 암호만을 변경할 수 있게 합니다. 또한 사용자가 현재 암호 정책을 볼 수 있도록 GetAccountPasswordPolicy 작업에 대한 액세스 권한도 부여합니다. 이 권한은 사용자가 [암호 변경(Change password)] 페이지에서 계정 암호를 보는 데 필요합니다. 사용자가 현재 암호 정책을 읽고 변경된 암호가 정책의 요건을 충족하는지 확인할 수 있도록 허용해야 합니다.
-
사용자에게 암호 변경에 대한 다음 지침을 제공합니다. IAM 사용자가 자신의 암호를 변경하는 방법.
자세한 정보
자격 증명 관리에 대한 자세한 내용은 다음 주제를 참조하세요.