Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe - AWS Identity and Access Management
Pour autoriser tous les utilisateurs IAM à modifier leurs propres mots de passePour autoriser des utilisateurs IAM sélectionnés à modifier leurs propres mots de passe

Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe

Note

Les utilisateurs dotés d'identités fédérées utiliseront le processus défini par leur fournisseur d'identité pour modifier leurs mots de passe. Nous vous recommandons vivement d'exiger de vos utilisateurs humains qu'ils utilisent une identité fédérée liée à un fournisseur d'identité pour accéder à AWS avec des informations d'identification temporaires.

Vous pouvez accorder aux utilisateurs IAM l'autorisation de modifier leurs propres mots de passe lors de la connexion à la AWS Management Console. Vous pouvez effectuer cette opération de deux manières :

Important

Nous vous recommandons de définir une politique de mot de passe personnalisée qui oblige les utilisateurs IAM à créer des mots de passe d'un niveau de sécurité élevé.

Pour autoriser tous les utilisateurs IAM à modifier leurs propres mots de passe

Console

  1. Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, cliquez sur Paramètres du compte.

  3. Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).

  4. Choisissez Custom (Personnalisé) pour utiliser une politique de mot de passe personnalisée.

  5. Sélectionnez Allow users to change their own password (Autoriser les utilisateurs à modifier leur propre mot de passe), puis cliquez sur Save changes (Enregistrer les modifications). Cela permet à tous les utilisateurs du compte d'accéder à l'action iam:ChangePassword uniquement pour leur propre utilisateur et à l'action iam:GetAccountPasswordPolicy.

  6. Fournissez aux utilisateurs les instructions suivantes pour modifier leurs mots de passe : Modification par l'utilisateur IAM de son propre mot de passe.

AWS CLI

Exécutez la commande suivante:

API

Pour créer un alias pour votre URL de la page de connexion de l'AWS Management Console, appelez l'opération suivante :

Pour autoriser des utilisateurs IAM sélectionnés à modifier leurs propres mots de passe

Console

  1. Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, cliquez sur Paramètres du compte.

  3. Dans la section Paramètres du compte, vérifiez que l'option Autoriser les utilisateurs à modifier leur propre mot de passe n'est pas sélectionnée. Si cette case à cocher est activée, tous les utilisateurs peuvent modifier leurs propres mots de passe. (Reportez-vous à la procédure précédente.)

  4. Créez les utilisateurs qui devraient être autorisés à modifier leurs propres mots de passe, s'il n'existe pas encore. Pour en savoir plus, consultez Création d’un utilisateur IAM dans votre Compte AWS.

  5. (Facultatif) Créez un groupe IAM pour les utilisateurs qui doivent être autorisés à modifier leurs mots de passe, puis ajoutez les utilisateurs de l'étape précédente au groupe. Pour en savoir plus, consultez Groupes d'utilisateurs IAM.

  6. Affectez la politique suivante au groupe. Pour plus d’informations, veuillez consulter Gestion des politiques IAM.

    JSON
    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:GetAccountPasswordPolicy",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ChangePassword",
      "Resource": "arn:aws:iam::*:user/${aws:username}"
    }
  ]
}

    Cette politique accorde l'accès à l'action ChangePassword, qui permet aux utilisateurs de ne modifier que leurs propres mots de passe à partir de la console, de la AWS CLI, des Tools for Windows PowerShell ou de l'API. Elle accorde également l'accès à l'action GetAccountPasswordPolicy qui permet à l'utilisateur d'afficher la politique de mot de passe actuelle. Cette autorisation est requise pour que l'utilisateur puisse afficher la politique de mot du compte sur la page Modifier le mot de passe. L'utilisateur doit être autorisé à lire la politique de mot de passe actuelle pour s'assurer que le mot de passe satisfait les exigences de politique.

  7. Fournissez aux utilisateurs les instructions suivantes pour modifier leurs mots de passe : Modification par l'utilisateur IAM de son propre mot de passe.

Pour plus d'informations

Pour plus d'informations sur la gestion des informations d'identification, consultez les rubriques suivantes :