IAMユーザー初回ログイン時のパスワード変更の注意点
DI部近藤です。
先日プチハマりした事象について、今年の終わりに共有しておきたいと思います。
事象
IAMユーザーを作成して利用者に付与したところ、初回ログイン時のパスワードの変更ができずマネジメントコンソールが利用できない旨の連絡がありました。具体的には、パスワード変更画面で変更しようとしても「iam:ChangePassword の実行権がありません」と表示され、パスワードの変更ができないとのこと。
連絡を受けて、IAMユーザーに"iam:ChangePassword"のポリシーを割り当てたのですが解決せず、そのままハマってしまいました。
原因
変更ができなかったのは、新しく入力したパスワードが短すぎて、パスワードポリシーを守っていなかったことが原因でした。デフォルトでのIAMユーザー用のアカウントパスワードポリシーは「6文字以上で構成されている」なので、6文字以上の新パスワードを入力してもらうと変更できました。
ハマリポイント
IAMユーザーのパスワード変更のとき、ポリシーに沿わないパスワードを入力すると「パスワードを変更できません。古いパスワードが正しいこと、新しいパスワードがアカウントパスワードポリシーに準拠していること、パスワードを変更するアクセス許可があることを確認します。」と表示されます。
しかし、初回パスワード変更のときは、「iam:ChangePassword の実行権がありません」(英語だと"User is not authorized to perform iam:ChangePassword.")と表示されて、ミスリードされるのです。
皆様もハマらぬよう、お気をつけください。
それでは良いお年を。