IAMユーザーのパスワードポリシーを変更した際、既存ユーザーへどのような影響があるのか確認してみた。

はじめに

IAMユーザーがログインする際に設定可能なパスワードにはポリシーの設定が可能です。

デフォルトのポリシーは以下のようになっております[1]。

• パスワードの文字数制限: 8～128 文字
• 大文字、小文字、数字、英数字以外の文字 (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ') のうち、最低 3 つの文字タイプの組み合わせ
• AWS アカウント 名または E メールアドレスと同じでないこと
• 有効期限のないパスワード

デフォルトのポリシーからセキュリティ性を強化したい場合に、パスワードの強度を上げたりその他のオプションを追加するなどの変更が可能です。

このようなパスワードポリシーですが、ポリシーを変更した際に既存ユーザーのパスワードが新たなポリシーの要件を満たさなくなった際に、どのような影響が出るのか気になりましたので、実際に検証してみました。
本投稿では、上記について実際に検証した結果をご紹介いたします。

以下の観点で確認しました。
パスワードポリシー変更後、パスワードポリシーに準拠していない既存ユーザーでログインした際にどのような挙動となるのか。

検証結果

ポリシー変更後、ポリシー要件を満たさなくなった後に既存ユーザーがログインする場合、突然ログインできなくなったり、すぐにパスワード変更を求められることはありませんでした。
現在のパスワードを使用して継続してログインし、マネジメントコンソールの操作が可能です。
ちなみにポリシーを変更しようとすると、以下のようなメッセージが表示されます。
もしかしたら次回ログイン時にすぐに何かしらの影響があるのでは？と不安になるかもしれませんが、実際には影響はありませんでした。

いつ変更後のポリシーに準拠が必要になるのか

では、いつ変更後のポリシーに準拠が必要になるのかというと、次回のパスワード変更の際に、変更後のポリシーへの準拠を求められます。逆に言うと、パスワードを変更するまではログインに際して特に影響はない、ということになります。

まとめ

パスワードポリシーを変更して、既存ユーザーのパスワードがポリシーに準拠しなくなっても、直近でログインの挙動について影響が出ることはありません。
ただし、次回のパスワード変更時に新たなポリシーに準拠したパスワードへの変更が必要となります。

参考

[1] IAM ユーザー用のアカウントパスワードポリシーを設定する - AWS Identity and Access Management
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。