Моя политика паролей настроена так, чтобы разрешить пользователям изменять свои пароли, но когда я создаю нового пользователя с« необходимо изменить пароль » вариант, пользователю сообщается, что ему нужен iam:ChangePassword ".
Они получают аналогичное сообщение, когда пытаются изменить его с помощью интерфейса командной строки.
Есть идеи, как диагностировать и исправить это?
Вы не включали политики, которые Вы помещаете на месте, но из сообщения об ошибке ясно, что пользователь не имеет ChangePassword
полномочия.
ссылка ниже дает все подробности, но в целом, необходимо удостовериться, что существует политика, присоединенная к использованию, который соответствует следующему:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:GetAccountPasswordPolicy",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:ChangePassword",
"Resource": "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
}
]
}
Ссылка
У меня была такая же проблема. Новые пользователи получали следующее сообщение об ошибке:
Либо пользователь не авторизован для выполнения iam:ChangePassword, либо введен пароль не соответствует политике паролей учетной записи, установленной администратор
И это несмотря на установленную опцию «Разрешить пользователям изменять свой пароль». Явное добавление разрешения iam:ChangePassword
также не помогло.
В моем случае проблема заключалась в том, что у нас была политика принудительной аутентификации MFA, но когда пользователь только что вошел в систему в первый раз, у него, очевидно, еще не настроена MFA.
Удаление политики MFA устранило проблему.
Войдите в систему и выполните следующие действия:
Настройки учетной записи > Политика паролей > разрешить пользователям изменять свои пароли, а затем нажмите «Применить политику паролей»
У меня была та же проблема, я узнал, что вы можете освободить действия от необходимости иметь mfa: { "Sid": "DenyAllExceptListedIfNoMFA", «Эффект»: «Запретить», "Не действие": [ "iam:CreateVirtualMFADevice", "iam:EnableMFADevice", "ЯМ:ПолучитьПользователя", "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice", "sts:GetSessionToken", "iam:Изменить пароль" ], "Ресурс": "*", "Состояние": { "Булесли есть": { "aws:MultiFactorAuthPresent": "ложь" } } } Это сгенерированная политика, которая не имеет changepassword в списке исключений. Политика запрещает любой доступ без mfa, кроме действий в списке NotAction. Вам нужно добавить «iam:ChangePassword» в список