Моя политика паролей настроена так, чтобы разрешить пользователям изменять свои пароли, но когда я создаю нового пользователя с опцией «необходимо изменить пароль», пользователю сообщается, что ему нужно разрешение «iam: ChangePassword».
Они получают аналогичное сообщение, когда пытаются изменить его с помощью интерфейса командной строки.
Есть идеи, как это диагностировать и исправить?
У меня была такая же проблема. Новые пользователи получали следующее сообщение об ошибке:
Либо пользователь не авторизован для выполнения iam: ChangePassword, либо введенный пароль не соответствует политике паролей учетной записи, установленной администратором.
И это несмотря на то, что установлен параметр «Разрешить пользователям изменять собственный пароль». Явно добавляя iam:ChangePassword разрешение тоже не помогло.
В моем случае проблема заключалась в том, что у нас была политика принудительной аутентификации MFA, но когда пользователь только что вошел в систему в первый раз, очевидно, что MFA еще не настроен.
Удаление политики MFA решило проблему для меня.
Вы не включили политики, которые вы установили, но из сообщения об ошибке ясно, что у пользователя нет ChangePassword разрешения.
В приведенной ниже ссылке приведены все подробности, но в целом вам необходимо убедиться, что к вашему использованию прилагается политика, которая соответствует следующему:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:GetAccountPasswordPolicy",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:ChangePassword",
"Resource": "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
}
]
}
Ссылка