Вопросы Теги

AWS IAM не позволит моим пользователям изменять свои пароли

Моя политика паролей настроена так, чтобы разрешить пользователям изменять свои пароли, но когда я создаю нового пользователя с« необходимо изменить пароль » вариант, пользователю сообщается, что ему нужен iam:ChangePassword ".

Они получают аналогичное сообщение, когда пытаются изменить его с помощью интерфейса командной строки.

Есть идеи, как диагностировать и исправить это?

0
задан 15 November 2019 в 19:03
4 ответа

Вы не включали политики, которые Вы помещаете на месте, но из сообщения об ошибке ясно, что пользователь не имеет ChangePassword полномочия.

ссылка ниже дает все подробности, но в целом, необходимо удостовериться, что существует политика, присоединенная к использованию, который соответствует следующему: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:GetAccountPasswordPolicy",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ChangePassword",
      "Resource": "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
    }
  ]
}

Ссылка

Позволяют Пользователям Изменить Пароли

1
ответ дан 4 December 2019 в 15:35

У меня была такая же проблема. Новые пользователи получали следующее сообщение об ошибке:

Либо пользователь не авторизован для выполнения iam:ChangePassword, либо введен пароль не соответствует политике паролей учетной записи, установленной администратор

И это несмотря на установленную опцию «Разрешить пользователям изменять свой пароль». Явное добавление разрешения iam:ChangePassword также не помогло.

В моем случае проблема заключалась в том, что у нас была политика принудительной аутентификации MFA, но когда пользователь только что вошел в систему в первый раз, у него, очевидно, еще не настроена MFA.

Удаление политики MFA устранило проблему.

11
ответ дан 2 July 2020 в 11:51

Войдите в систему и выполните следующие действия:

Настройки учетной записи > Политика паролей > разрешить пользователям изменять свои пароли, а затем нажмите «Применить политику паролей»

0
ответ дан 3 October 2020 в 16:56

У меня была та же проблема, я узнал, что вы можете освободить действия от необходимости иметь mfa: { "Sid": "DenyAllExceptListedIfNoMFA", «Эффект»: «Запретить», "Не действие": [ "iam:CreateVirtualMFADevice", "iam:EnableMFADevice", "ЯМ:ПолучитьПользователя", "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice", "sts:GetSessionToken", "iam:Изменить пароль" ], "Ресурс": "*", "Состояние": { "Булесли есть": { "aws:MultiFactorAuthPresent": "ложь" } } } Это сгенерированная политика, которая не имеет changepassword в списке исключений. Политика запрещает любой доступ без mfa, кроме действий в списке NotAction. Вам нужно добавить «iam:ChangePassword» в список

1
ответ дан 1 June 2021 в 23:41

Теги

Похожие вопросы