AWS ユーザーに iam:ChangePassword を実行する権限がないか現象の解決方法

環境
AWS

現象
新規IAMユーザーが初回ログイン時に、初期パスワード変更しようとすると以下エラーが表示され、パスワードが変更できません。

ユーザーに iam:ChangePassword を実行する権限がないか、
入力されたパスワードが管理者によって設定されたアカウントパスワードポリシーに準拠していません

解決方法

AWSドキュメントに記載の以下のポリシーを制御します

{
      "Sid": "BlockMostAccessUnlessSignedInWithMFA",
      "Effect": "Deny",
      "NotAction": [
            "iam:CreateVirtualMFADevice",
            "iam:EnableMFADevice",
            "iam:ListMFADevices",
            "iam:ListUsers",
            "iam:ListVirtualMFADevices",
            "iam:ResyncMFADevice"
    ],
    "Resource": "*",
    "Condition": {
            "BoolIfExists": {
                "aws:MultiFactorAuthPresent": "false"
            }
    }
}

「NotAction」に「iam:ChangePassword」を追加します。

"NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ListMFADevices",
        "iam:ListUsers",
        "iam:ListVirtualMFADevices",
        "iam:ResyncMFADevice",
        "iam:ChangePassword"
],

 

AWS

Posted by arkgame