設定密碼政策的規則設定密碼政策所需的許可預設密碼政策自訂密碼政策選項若要設定密碼政策 (主控台)若要變更密碼政策 (主控台)要刪除自訂密碼政策 (主控台)設定密碼政策 (AWS CLI)設定密碼政策 (AWS API)

設定 IAM 使用者的帳戶密碼政策

您可以在上設定自訂密碼政策 AWS 帳戶，以指定 IAM 使用者密碼的複雜性要求和強制輪換期間。如果您未設定自訂密碼政策，IAM 使用者密碼必須符合預設 AWS 密碼政策。如需詳細資訊，請參閱自訂密碼政策選項。

主題

設定密碼政策的規則
設定密碼政策所需的許可
預設密碼政策
自訂密碼政策選項
若要設定密碼政策 (主控台)
若要變更密碼政策 (主控台)
要刪除自訂密碼政策 (主控台)
設定密碼政策 (AWS CLI)
設定密碼政策 (AWS API)

設定密碼政策的規則

IAM 密碼政策不適用於 AWS 帳戶根使用者密碼或 IAM 使用者存取金鑰。如果密碼過期，IAM 使用者無法登入， AWS Management Console 但可以繼續使用其存取金鑰。

當您建立或變更密碼政策時，大多數密碼政策設定將在使用者下次變更密碼時強制執行。但是，某些設定會立即強制執行。例如：

當最短長度和字元類型要求變更時，將在使用者下次變更密碼時強制執行這些設定。即使現有的密碼不遵守更新的密碼政策，也不會強制使用者變更現有的密碼。
當您設定密碼過期期間時，會立即強制執行過期期間。例如，假設您將密碼過期期間設定為 90 天。在這種情況下，現有密碼超過 90 天的所有 IAM 使用者的密碼會到期。這些使用者必須在下次登入時變更其密碼。

在指定次數的登入嘗試失敗之後，您無法建立「鎖定政策」來鎖定使用者帳戶。為了增強安全性，我們建議您將強式密碼政策與多重要素驗證 (MFA) 結合。如需有關 MFA 的詳細資訊，請參閱 AWS IAM 中的多重要素驗證。

設定密碼政策所需的許可

您必須設定許可，以允許 IAM 實體 (使用者或角色) 檢視或編輯其帳戶密碼政策。您可以在 IAM 政策中包含下列密碼政策動作：

iam:GetAccountPasswordPolicy – 允許實體檢視其帳戶的密碼政策
iam:DeleteAccountPasswordPolicy – 允許實體刪除其帳戶的自訂密碼政策，並還原為預設密碼政策
iam:UpdateAccountPasswordPolicy – 允許實體建立或變更其帳戶的自訂密碼政策

下列政策允許完整存取權以檢視和編輯帳戶密碼政策。若要了解如何使用此範例 JSON 政策文件來建立 IAM 政策，請參閱正在使用 JSON 編輯器建立政策。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

如需 IAM 使用者變更其自己密碼所需許可的資訊，請參閱允許 IAM 使用者變更自己的密碼。

預設密碼政策

如果管理員未設定自訂密碼政策，IAM 使用者密碼必須符合預設 AWS 密碼政策。

預設密碼政策會強制執行下列條件：

密碼長度最短為 8 個字元，最長為 128 個字元。
至少混用 3 種下列類型字元：大寫、小寫、數字和非英數字元 (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')
與 AWS 帳戶您的姓名或電子郵件地址不同
保證密碼不會過期

自訂密碼政策選項

當您設定帳戶的自訂密碼政策時，您可以指定下列條件：

密碼最小長度 – 您可以指定至少 6 個字元，最多可指定 128 個字元。
密碼強度：您可以選取下列任一核取方塊來定義 IAM 使用者密碼的強度：
- 至少需要一個拉丁字母 (A–Z) 的大寫字母
- 至少需要一個拉丁字母 (a–z) 的小寫字母
- 至少需要有一個數字
- 至少需要一個非英數字元的字元 ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
Turn on password expiration (啟用密碼過期) – 您可以選取並指定至少 1 天，且最長為 1,095 天的 IAM 使用者密碼有效期，設定後生效。例如，如果您指定 90 天的到期日，它會立即影響所有使用者。對於密碼超過 90 天的使用者，當他們在變更後登入主控台時，必須設定新密碼。密碼為 75-89 天的使用者會收到密碼過期的 AWS Management Console 警告。IAM 使用者可隨時變更密碼 (如果他們有許可)。當他們設定新的密碼時，該密碼的到期期間將重新開始。IAM 使用者一次只能有一個有效的密碼。
密碼過期需要管理員重設 – 選取此選項，以防止 IAM 使用者在密碼過期後使用 AWS Management Console 更新自己的密碼。在選取此選項之前，請確認您的 AWS 帳戶有多個具有管理許可的使用者，以重設 IAM 使用者密碼。具有 iam:UpdateLoginProfile 許可的管理員可以重設 IAM 使用者密碼。具有 iam:ChangePassword 許可和作用中存取金鑰的 IAM 使用者可以程式設計方式重設自己的 IAM 使用者主控台密碼。如果您清除此核取方塊，密碼到期的 IAM 使用者仍必須先設定新密碼，然後才能存取 AWS Management Console。
Allow users to change their own password (允許使用者變更自己的密碼) – 您可以允許帳戶中的所有 IAM 使用者變更自己的密碼。這可讓使用者僅針對其使用者存取 iam:ChangePassword 動作，並存取 iam:GetAccountPasswordPolicy 動作。此選項不會將許可政策連接到每個使用者。反之，IAM 會在帳戶層級套用許可到所有使用者。或者，您只允許一些使用者管理自己的密碼。若要執行這項操作，請清除此核取方塊。如需有關使用政策以限制誰可以管理密碼的詳細資訊，請參閱允許 IAM 使用者變更自己的密碼。
防止密碼重複使用 – 您可以防止 IAM 使用者重複使用舊密碼的指定數字。您可以指定長度下限為 1，以及長度上限為 24 的舊密碼，無法重複使用。

若要設定密碼政策 (主控台)

您可以使用 AWS Management Console 來建立、變更或刪除自訂密碼政策。對密碼政策的變更適用於此政策變更後建立的新 IAM 使用者，以及變更密碼時的現有 IAM 使用者。

若要變更密碼政策 (主控台)

要刪除自訂密碼政策 (主控台)

設定密碼政策 (AWS CLI)

您可以使用 AWS Command Line Interface 來設定密碼政策。

從管理自訂帳戶密碼政策 AWS CLI

執行下列命令：

若要建立或變更自訂密碼政策：aws iam update-account-password-policy
若要檢視密碼政策：aws iam get-account-password-policy
若要刪除自訂密碼政策：aws iam delete-account-password-policy

設定密碼政策 (AWS API)

您可以使用 AWS API 操作來設定密碼政策。

從 AWS API 管理自訂帳戶密碼政策

呼叫以下操作：

若要建立或變更自訂密碼政策：UpdateAccountPasswordPolicy
若要檢視密碼政策：GetAccountPasswordPolicy
若要刪除自訂密碼政策：DeleteAccountPasswordPolicy

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用者密碼

管理使用者密碼