IAMユーザー初回ログイン時のパスワード変更の注意点

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

DI部近藤です。

先日プチハマりした事象について、今年の終わりに共有しておきたいと思います。

事象

IAMユーザーを作成して利用者に付与したところ、初回ログイン時のパスワードの変更ができずマネジメントコンソールが利用できない旨の連絡がありました。具体的には、パスワード変更画面で変更しようとしても「iam:ChangePassword の実行権がありません」と表示され、パスワードの変更ができないとのこと。

連絡を受けて、IAMユーザーに"iam:ChangePassword"のポリシーを割り当てたのですが解決せず、そのままハマってしまいました。

原因

変更ができなかったのは、新しく入力したパスワードが短すぎて、パスワードポリシーを守っていなかったことが原因でした。デフォルトでのIAMユーザー用のアカウントパスワードポリシーは「6文字以上で構成されている」なので、6文字以上の新パスワードを入力してもらうと変更できました。

ハマリポイント

IAMユーザーのパスワード変更のとき、ポリシーに沿わないパスワードを入力すると「パスワードを変更できません。古いパスワードが正しいこと、新しいパスワードがアカウントパスワードポリシーに準拠していること、パスワードを変更するアクセス許可があることを確認します。」と表示されます。

しかし、初回パスワード変更のときは、「iam:ChangePassword の実行権がありません」(英語だと"User is not authorized to perform iam:ChangePassword.")と表示されて、ミスリードされるのです。

皆様もハマらぬよう、お気をつけください。

それでは良いお年を。