# AWS のユーザーパスワード
<a name="id_credentials_passwords"></a>

アカウント内の IAM ユーザーのパスワードを管理できます。IAM ユーザーが AWS マネジメントコンソール にアクセスするには、パスワードが必要です。ユーザーが、AWS Tools for Windows PowerShell、AWS CLI SDK または API を使用してプログラムで AWS リソースにアクセスする場合、パスワードは必要ありません。このような環境では、IAM ユーザーに[アクセスキー](id_credentials_access-keys.md)を割り当てることができます。ただし、アクセスキーに代わるより安全な代替手段が他にもあり、最初に検討することをお勧めします。詳細については、「[AWS セキュリティ認証情報](security-creds.md)」を参照してください。

**注記**  
いずれかの IAM ユーザーがパスワードを紛失したり、忘れたりした場合は、IAM からパスワードを取得*することはできません*。設定に応じて、ユーザーまたは管理者のいずれかが新しいパスワードを作成する必要があります。

**Topics**
+ [IAM ユーザー用のアカウントパスワードポリシーを設定する](id_credentials_passwords_account-policy.md)
+ [IAM ユーザーのパスワードを管理する](id_credentials_passwords_admin-change-user.md)
+ [IAM ユーザーに自分のパスワード変更を許可する](id_credentials_passwords_enable-user-change.md)
+ [IAM ユーザーが自分のパスワードを変更する方法](id_credentials_passwords_user-change-own.md)

# IAM ユーザー用のアカウントパスワードポリシーを設定する
<a name="id_credentials_passwords_account-policy"></a>

IAM ユーザーのパスワードの複雑度の要件や必須のローテーション期間を指定するためのカスタムパスワードポリシーを AWS アカウント に設定できます。カスタムパスワードポリシーを設定しない場合、IAM ユーザーのパスワードはデフォルトの AWS パスワードポリシーの要件を満たす必要があります。詳細については、「[カスタムパスワードポリシーのオプション](#password-policy-details)」を参照してください。

**Topics**
+ [パスワードポリシーの設定に関するルール](#password-policy-rules)
+ [パスワードポリシーを設定するために必要なアクセス許可](#default-policy-permissions-required)
+ [デフォルトのパスワードポリシー](#default-policy-details)
+ [カスタムパスワードポリシーのオプション](#password-policy-details)
+ [パスワードポリシーを設定するには (コンソール)](#IAMPasswordPolicy)
+ [パスワードポリシーを変更するには (コンソール)](#id_credentials_passwords_account-policy-section-1)
+ [カスタムパスワードポリシーを削除するには (コンソール)](#id_credentials_passwords_account-policy-section-2)
+ [パスワードポリシーの設定 (AWS CLI)](#PasswordPolicy_CLI)
+ [パスワードポリシーの設定 (AWS API)](#PasswordPolicy_API)

## パスワードポリシーの設定に関するルール
<a name="password-policy-rules"></a>

IAM パスワードポリシーは、AWS アカウントのルートユーザー パスワードまたは IAM ユーザー アクセスキーには適用されません。パスワードの有効期限が切れた場合、IAM ユーザーは AWS マネジメントコンソール にサインインできなくなりますが、引き続きアクセスキーを使用できます。

パスワードポリシーを作成または変更する場合、パスワードポリシーの設定の多くは、ユーザーが次回パスワードを変更するときに適用されます。ただし、一部の設定はすぐに適用されます。例: 
+ 最小文字数と文字タイプの要件が変更されると、これらの設定はユーザーが次回パスワードを変更するときに適用されます。既存のパスワードが更新されたパスワードポリシーに従っていない場合でも、ユーザーは既存のパスワードの変更を強制されません。
+ パスワードの有効期限を設定した場合、有効期限は直ちに適用されます。例えば、パスワードの有効期限を 90 日に設定したとします。この場合、既存のパスワードが作成されてから 90 日を超える期間が経過しているすべての IAM ユーザーのパスワードが失効します。これらのユーザーは、次回サインインするときにパスワードを変更する必要があります。

サインインが指定された回数失敗したユーザーをアカウントからロックアウトするために、「ロックアウトポリシー」を作成することはできません。セキュリティを強化するために、強力なパスワードポリシーと Multi-Factor Authentication (MFA) を組み合わせることをお勧めします。MFA の詳細については、「[IAM の AWS 多要素認証](id_credentials_mfa.md)」を参照してください。

## パスワードポリシーを設定するために必要なアクセス許可
<a name="default-policy-permissions-required"></a>

IAM エンティティ (ユーザーまたはロール) がアカウントのパスワードポリシーを表示または編集することを許可するには、アクセス許可を設定する必要があります。ポリシーには、IAM ポリシーに次のパスワードポリシーアクションを含めることができます。
+ `iam:GetAccountPasswordPolicy` – エンティティが各自のアカウントのパスワードポリシーを表示することを許可します
+ `iam:DeleteAccountPasswordPolicy` – エンティティが各自のアカウントのカスタムパスワードポリシーを削除し、デフォルトのパスワードポリシーに戻すことを許可します
+ `iam:UpdateAccountPasswordPolicy` – エンティティが各自のアカウントのカスタムパスワードポリシーを作成または変更することを許可します

次のポリシーは、アカウントのパスワードポリシーを表示および編集するためのフルアクセスを許可します。この例の JSON ポリシードキュメントを使用して IAM ポリシーを作成する方法については、「[JSON エディターを使用したポリシーの作成](access_policies_create-console.md#access_policies_create-json-editor)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

------

IAM ユーザーが各自のパスワードを変更するために必要なアクセス許可の詳細については、「[IAM ユーザーに自分のパスワード変更を許可する](id_credentials_passwords_enable-user-change.md)」をご参照ください。

## デフォルトのパスワードポリシー
<a name="default-policy-details"></a>

管理者がカスタムパスワードポリシーを設定しない場合、IAM ユーザーパスワードはデフォルトの AWS パスワードポリシーの要件を満たす必要があります。

デフォルトのパスワードポリシーでは、次の条件が適用されます。
+ パスワードの文字数制限: 8～128 文字
+ 大文字、小文字、数字、英数字以外の文字 (`! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`) のうち、最低 3 つの文字タイプの組み合わせ
+ AWS アカウント 名または E メールアドレスと同じでないこと
+ 有効期限のないパスワード

## カスタムパスワードポリシーのオプション
<a name="password-policy-details"></a>

アカウントのカスタムパスワードポリシーを設定する場合、次の条件を指定できます。
+ **パスワードの最小文字数** – 6～128 文字の間で指定できます。
+ **パスワードの強度** – 次のいずれかのチェックボックスをオンにして、IAM ユーザーパスワードの強度を定義できます。
  + ラテンアルファベットの大文字 (A–Z) が少なくとも 1 つ必要
  + ラテンアルファベットの小文字 (a–z) が少なくとも 1 つ必要
  + 少なくとも 1 つの数字が必要
  + 少なくとも 1 つの英数字以外の文字 `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '` が必要 
+ **パスワードの有効期限をオンにする** – IAM ユーザーのパスワードが設定されてから有効な期間を 1～1,095 日の間で選択して指定できます。例えば、90 日間の有効期限を指定すると、すぐにすべてのユーザーに影響します。変更後、90 日を超える古いパスワードのユーザーがコンソールにログインする場合は、新しいパスワードを設定する必要があります。75 日から 89 日が経過したパスワードのユーザーは、パスワードの有効期限について AWS マネジメントコンソール から警告を受け取ります。IAM ユーザーは、アクセス許可があれば、いつでもパスワードを変更できます。新しいパスワードを設定すると、そのパスワードの有効期間が始まります。IAM ユーザーは一度に 1 つだけ有効なパスワードを持つことができます。
+ **[パスワードの失効に管理者のリセットを必要とする]** – パスワードが失効した後に IAM ユーザーが AWS マネジメントコンソール を使用して各自のパスワードを更新できないようにするには、このオプションを選択します。このオプションを選択する前に、AWS アカウント で複数のユーザーが IAM ユーザーパスワードをリセットするための管理アクセス許可を持っていることを確認します。管理者ユーザーの `iam:UpdateLoginProfile` 権限は IAM ユーザーパスワードをリセットできます。IAM ユーザーの `iam:ChangePassword` 権限キーとアクティブアクセスキーは、IAM ユーザーコンソールのパスワードをプログラムでリセットできます。このチェックボックスをオフにした場合、パスワードが失効している IAM ユーザーは、AWS マネジメントコンソール にアクセスする前に新しいパスワードを設定する必要があります。
+ **[ユーザーが各自のパスワードを変更することを許可]** – お客様のアカウント内のすべての IAM ユーザーが各自のパスワードを変更することを許可できます。これにより、そのユーザーだけに対する `iam:ChangePassword` アクションと `iam:GetAccountPasswordPolicy` アクションへのアクセスがユーザーに付与されます。このオプションでは、各ユーザーにアクセス許可ポリシーがアタッチされません。あるいは、IAM ではすべてのユーザーにアカウントレベルでアクセス許可が適用されます。あるいは、一部のユーザーのみが、自分自身のパスワードを管理できるように許可できます。これを行うには、このチェックボックスをオフにします。パスワードを管理できるユーザーを限定するポリシーの使用方法については、「[IAM ユーザーに自分のパスワード変更を許可する](id_credentials_passwords_enable-user-change.md)」を参照してください。
+ **パスワードの再利用を禁止** – 指定した数の以前のパスワードを IAM ユーザーが再利用することを禁止できます。再利用できない以前のパスワードの数を 1～24 個の間で指定できます。

## パスワードポリシーを設定するには (コンソール)
<a name="IAMPasswordPolicy"></a>

AWS マネジメントコンソール を使用して、カスタムパスワードポリシーを作成、変更、および削除できます。パスワードポリシーの変更は、このポリシーの変更後に作成された新しい IAM ユーザーに適用され、既存の IAM ユーザーにはパスワードを変更するときに適用されます。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[アカウント設定]** を選択します。

1. **[パスワードポリシー]** セクションで、**[編集]** を選択します。

1. カスタムパスワードポリシーを使用するには、**[カスタム]** を選択します。

1. パスワードポリシーに適用するオプションを選択し、**[変更の保存]** を選択します。

1. **[カスタムを設定]** を選択して、カスタムパスワードポリシーを設定することを確認します。

コンソールには、IAM ユーザーのパスワード要件が更新されたことを通知するステータスメッセージが表示されます。

------

## パスワードポリシーを変更するには (コンソール)
<a name="id_credentials_passwords_account-policy-section-1"></a>

AWS マネジメントコンソール を使用して、カスタムパスワードポリシーを作成、変更、および削除できます。パスワードポリシーの変更は、このポリシーの変更後に作成された新しい IAM ユーザーに適用され、既存の IAM ユーザーにはパスワードを変更するときに適用されます。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[アカウント設定]** を選択します。

1. **[パスワードポリシー]** セクションで、**[編集]** を選択します。

1. パスワードポリシーに適用するオプションを選択し、**[変更の保存]** を選択します。

1. **[カスタムを設定]** を選択して、カスタムパスワードポリシーを設定することを確認します。

コンソールには、IAM ユーザーのパスワード要件が更新されたことを通知するステータスメッセージが表示されます。

------

## カスタムパスワードポリシーを削除するには (コンソール)
<a name="id_credentials_passwords_account-policy-section-2"></a>

AWS マネジメントコンソール を使用して、カスタムパスワードポリシーを作成、変更、および削除できます。パスワードポリシーの変更は、このポリシーの変更後に作成された新しい IAM ユーザーに適用され、既存の IAM ユーザーにはパスワードを変更するときに適用されます。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[アカウント設定]** を選択します。

1. **[パスワードポリシー]** セクションで、**[編集]** を選択します。

1. **[IAM のデフォルト]** を選択してカスタムパスワードポリシーを削除し、**[変更を保存]** を選択します。

1. **[デフォルトを設定]** を選択して、IAM デフォルトパスワードポリシーを設定することを確認します。

コンソールには、パスワードポリシーが IAM のデフォルトに設定されていることを通知するステータスメッセージが表示されます。

------

## パスワードポリシーの設定 (AWS CLI)
<a name="PasswordPolicy_CLI"></a>

AWS Command Line Interface を使用して、パスワードポリシーを設定できます。

**AWS CLI からアカウントのカスタムパスワードポリシーを管理するには**  
以下の コマンドを実行します。
+ カスタムパスワードポリシーを作成または変更するには: [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ パスワードポリシーを表示するには: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html) 
+ カスタムパスワードポリシーを削除するには: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html) 

## パスワードポリシーの設定 (AWS API)
<a name="PasswordPolicy_API"></a>

AWS API オペレーションを使用して、パスワードポリシーを設定できます。

**AWS API からアカウントのカスタムパスワードポリシーを管理するには**  
以下のオペレーションを呼び出します。
+ カスタムパスワードポリシーを作成または変更するには: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ パスワードポリシーを表示するには: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 
+ カスタムパスワードポリシーを削除するには: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html) 

# IAM ユーザーのパスワードを管理する
<a name="id_credentials_passwords_admin-change-user"></a>

AWS マネジメントコンソール を使用して AWS リソースを操作する IAM ユーザーには、サインインのためのパスワードが必要です。AWS アカウントの IAM ユーザーのパスワードを作成、変更、削除できます。

ユーザーにパスワードを割り当てると、ユーザーは、以下のような、アカウント用のサインイン URL を使用して AWS マネジメントコンソール にサインインできます。

```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```

IAM ユーザーの AWS マネジメントコンソール へのサインインの詳細については、AWS サインイン ユーザーガイドの「[AWS にサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。

ユーザーは、パスワードが割り当てられている場合でも、AWS リソースへのアクセスにはやはりアクセス許可が必要です。デフォルトでは、ユーザーには何も権限が与えられていません。ユーザーに必要な権限を与えるには、ユーザーまたはユーザーが属しているグループにポリシーを割り当てます。ユーザーおよびグループの作成の詳細については、[IAM アイデンティティ](id.md)を参照してください。ポリシーを使用するアクセス許可設定の詳細については、[IAM ユーザーのアクセス許可を変更する](id_users_change-permissions.md)を参照してください。

ユーザーに自分のパスワードを変更する権限を付与できます。詳細については、「[IAM ユーザーに自分のパスワード変更を許可する](id_credentials_passwords_enable-user-change.md)」を参照してください。ユーザーがアカウントのサインインページにアクセスする方法の詳細については、AWS サインイン ユーザーガイドの「[AWS へサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。

**Topics**
+ [IAM ユーザーパスワードの作成、変更、削除 (コンソール)](#id_credentials_passwords_admin-change-user_console)

## IAM ユーザーパスワードの作成、変更、削除 (コンソール)
<a name="id_credentials_passwords_admin-change-user_console"></a>

AWS マネジメントコンソール を使用して IAM ユーザーのパスワードを管理できます。

ユーザーのアクセスニーズは、時間の経過とともに変化する可能性があります。CLI アクセスを想定していたユーザーがコンソールにアクセスできるようにしたり、認証情報を含む E メールを受信してユーザーのパスワードを変更できるようにしたり、組織を離れたユーザーや AWS にアクセスする必要がなくなったユーザーを削除できるようにしたりすることが必要になる場合があります。

### IAM ユーザーのパスワードを作成するには (コンソール)
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

この手順を使用して、ユーザー名に関連付けられたパスワードを作成し、ユーザーコンソールへのアクセスを許可します。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. パスワードを作成するユーザーの名前を選択します。

1. **[セキュリティ認証情報]** タブを選択し、**[コンソールサインイン]** で **[コンソールアクセスを有効にする]** を選択します。

1. **[コンソールアクセスを有効にする]** ダイアログボックスで **[パスワードのリセット]** を選択し、IAM によってパスワードを生成するか、カスタムパスワードを作成するかを選択します。
   + IAM によって自動的にパスワードを生成するには、[**Autogenerated password (自動生成パスワード)**] を選択します。
   + カスタムパスワードを作成するには、[**Custom password (カスタムパスワード)**] を選択し、パスワードを入力します。
**注記**  
作成するパスワードは、アカウントの[パスワードポリシー](id_credentials_passwords_account-policy.md)の要件を満たす必要があります。

1. サインイン時に新しいパスワードを作成するようにユーザーに要求する場合は、**[ユーザーは次回のサインインで新しいパスワードを作成する必要があります]** を選択します。

1. ユーザーに新しいパスワードをすぐに使用するように要求するには、**[アクティブなコンソールセッションを取り消す]** を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

1. **[パスワードのリセット]** を選択します。

1. **[コンソールパスワード]** ダイアログで、ユーザーの新しいパスワードを有効にしたことが通知されます。パスワードを表示してユーザーと共有するには、**[コンソールパスワード]** ダイアログボックスで **[表示]** を選択します。**[.csv ファイルのダウンロード]** を選択して、ユーザーの認証情報を含むファイルをダウンロードします。
**重要**  
セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

コンソールには、コンソールアクセスが有効になったことを示すステータスメッセージが表示されます。

------

### IAM ユーザーのパスワードを変更するには (コンソール)
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

この手順を使用して、ユーザー名に関連付けられているパスワードを更新します。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. パスワードを変更するユーザーの名前を選択します。

1. **[セキュリティ認証情報]** タブを選択し、**[コンソールサインイン]** で **[コンソールアクセスの管理]** を選択します。

1. **[コンソールアクセスを管理]** ダイアログボックスで、**[パスワードのリセット]** を選択し、IAM によってパスワードを自動的に生成するか、カスタムパスワードを作成するかを選択します。
   + IAM によって自動的にパスワードを生成するには、[**Autogenerated password (自動生成パスワード)**] を選択します。
   + カスタムパスワードを作成するには、[**Custom password (カスタムパスワード)**] を選択し、パスワードを入力します。
**注記**  
作成するパスワードは、アカウントの[パスワードポリシー](id_credentials_passwords_account-policy.md)の要件を満たす必要があります。

1. サインイン時に新しいパスワードを作成するようにユーザーに要求する場合は、**[ユーザーは次回のサインインで新しいパスワードを作成する必要があります]** を選択します。

1. ユーザーに新しいパスワードをすぐに使用するように要求するには、**[アクティブなコンソールセッションを取り消す]** を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

1. **[パスワードのリセット]** を選択します。

1. **[コンソールパスワード]** ダイアログで、ユーザーの新しいパスワードを有効にしたことが通知されます。パスワードを表示してユーザーと共有するには、**[コンソールパスワード]** ダイアログボックスで **[表示]** を選択します。**[.csv ファイルのダウンロード]** を選択して、ユーザーの認証情報を含むファイルをダウンロードします。
**重要**  
セキュリティ上の理由で、この手順を完了するとパスワードにアクセスできなくなりますが、いつでも新しいパスワードを作成できます。

コンソールには、コンソールアクセスが更新されたことを示すステータスメッセージが表示されます。

------

### IAM ユーザーのパスワードを削除 (無効化) するには (コンソール)
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

この手順を使用して、ユーザー名に関連付けられているパスワードを削除し、ユーザーのコンソールアクセスを取り消します。

**重要**  
パスワードを削除することで、AWS マネジメントコンソール への IAM ユーザーアクセスを無効にできます。これにより、サインイン認証情報を使用して AWS マネジメントコンソール にサインインすることができなくなります。権限を変更したり、引き受けたロールを使用してコンソールにアクセスできないようにしたりすることはありません。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き機能し、AWS CLI、Tools for Windows PowerShell、AWS API、またはAWS Console Mobile Application 用のツールを介したアクセスを許可します。

------
#### [ Console ]

1. *AWSサインインユーザーガイド*の「[AWS へのサインイン方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

1. **[IAM コンソールのホーム]** ページの左側のナビゲーションペインで、**[検索の IAM]** テキストボックスにクエリを入力します。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. パスワードを削除するユーザーの名前を選択します。

1. **[セキュリティ認証情報]** タブを選択し、**[コンソールサインイン]** で **[コンソールアクセスの管理]** を選択します。

1. ユーザーにコンソールの使用をすぐに止めるように要求するには、**[アクティブなコンソールセッションを取り消す]** を選択します。これにより、インラインポリシーが IAM ユーザーにアタッチされ、そのユーザーの認証情報がポリシーで指定された時間よりも古い場合はリソースへのユーザーアクセスを拒否します。

1. **[アクセスの無効化]** を選択します。

コンソールには、コンソールアクセスが無効になったことを示すステータスメッセージが表示されます。

------

### IAM ユーザーパスワードの作成、変更、削除 (AWS CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

AWS CLI API を使用して IAM ユーザーのパスワードを管理できます。

**パスワードを作成するには (AWS CLI)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) コマンドを実行します。

1. パスワードを作成するには、[aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html) コマンドを実行します。

**ユーザーのパスワードを変更するには (AWS CLI)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) コマンドを実行します。

1. パスワードを変更するには、[aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html) コマンドを実行します。

**ユーザーのパスワードを削除 (無効化) するには (AWS CLI)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) コマンドを実行します。

1. (オプション) パスワードを前回使用した日付を確認するには、[aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) コマンドを実行します。

1. パスワードを削除するには、[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html) コマンドを実行します。

**重要**  
ユーザーのパスワードを削除すると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「[IAM ユーザーの削除 (AWS CLI)](id_users_remove.md#id_users_deleting_cli)」を参照してください。

**指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS CLI)**

1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

   このインラインポリシーはすべてのアクセス許可を拒否し、`aws:TokenIssueTime` 条件キーを含みます。インラインポリシーの `Condition` 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。`aws:TokenIssueTime` 条件キーの値は、独自の値に置き換えてください。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)

1. (オプション) IAM ユーザーに埋め込まれている名前付きのインラインポリシーを表示するには、次のコマンドを実行します: [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)

### IAM ユーザーパスワードの作成、変更、削除 (AWS API)
<a name="Using_ManagingPasswordsAPI"></a>

AWS API を使用して IAM ユーザーのパスワードを管理できます。

**パスワードを作成するには (AWS API)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html) オペレーションを呼び出します。

1. パスワードを作成するには、[CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html) オペレーションを呼び出します。

**ユーザーのパスワードを変更するには (AWS API)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html) オペレーションを呼び出します。

1. パスワードを変更するには、[UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html) オペレーションを呼び出します。

**ユーザーのパスワードを削除 (無効化) するには (AWS API)**

1. (オプション) ユーザーがパスワードを持っているかどうかを確認するには、[GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html) コマンドを実行します。

1. (オプション) パスワードを前回使用した日付を確認するには、[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) コマンドを実行します。

1. パスワードを削除するには、[DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html) コマンドを実行します。

**重要**  
ユーザーのパスワードを削除すると、ユーザーは AWS マネジメントコンソール にサインインできなくなります。ユーザーがアクティブなアクセスキーを持っている場合、それらのキーは引き続き有効で、AWS CLI、Tools for Windows PowerShell、または AWS API 関数呼び出しで使用できます。AWS CLI、Tools for Windows PowerShell、または AWS API を使用してユーザーを AWS アカウント から削除する場合、まずこのオペレーションを使用してパスワードを削除する必要があります。詳細については、「[IAM ユーザーの削除 (AWS CLI)](id_users_remove.md#id_users_deleting_cli)」を参照してください。

**指定した時間より前にユーザーのアクティブなコンソールセッションを取り消すには (AWS API)**

1. 指定した時間より前に IAM ユーザーのアクティブなコンソールセッションを取り消すインラインポリシーを埋め込むには、以下のインラインポリシーを使用して次のコマンドを実行します: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

   このインラインポリシーはすべてのアクセス許可を拒否し、`aws:TokenIssueTime` 条件キーを含みます。インラインポリシーの `Condition` 要素で指定された時間より前に、ユーザーのアクティブなコンソールセッションを取り消します。`aws:TokenIssueTime` 条件キーの値は、独自の値に置き換えてください。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (オプション) IAM ユーザーに埋め込まれているインラインポリシーの名前をリストするには、次のコマンドを実行します: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)

1. (オプション) IAM ユーザーに埋め込まれている名前付きインラインポリシーを表示するには、次のコマンドを実行します: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)

# IAM ユーザーに自分のパスワード変更を許可する
<a name="id_credentials_passwords_enable-user-change"></a>

**注記**  
フェデレーション ID を持つユーザーは、ID プロバイダーが定義したプロセスを使用してパスワードを変更します。[ベストプラクティス](best-practices.md)として、人間のユーザーが一時的な認証情報を使用して AWS にアクセスするには、ID プロバイダーとのフェデレーションの使用を必須とします。

IAM ユーザーに、AWS マネジメントコンソール にサインインするためのパスワードを変更するアクセス許可を付与できます。これには以下の 2 つの方法があります。
+ [アカウントのすべての IAM ユーザーが自分のパスワードを変更できるようにします](#proc_letalluserschangepassword)。
+ [選択した IAM ユーザーだけが自分のパスワードを変更できるようにします](#proc_letselectuserschangepassword)。このシナリオでは、すべてのユーザーが各自のパスワードを変更するオプションを無効にし、一部のユーザーにのみアクセス許可を付与する IAM ポリシーを使用します。この方法では、ユーザーは各自のパスワードと、必要に応じて各自のアクセスキーなどの他の認証情報を変更できます。

**重要**  
IAM ユーザーが強力なパスワードを作成することを求める[カスタムパスワードポリシーを設定](id_credentials_passwords_account-policy.md)することをお勧めします。

## すべての IAM ユーザーが自分のパスワードを変更できるようにします。
<a name="proc_letalluserschangepassword"></a>

------
#### [ Console ]

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで [**アカウント設定**] をクリックします。

1. **[パスワードポリシー]** セクションで、**[編集]** を選択します。

1. カスタムパスワードポリシーを使用するには、**[カスタム]** を選択します。

1. **[ユーザーにパスワードの変更を許可]** を選択し、**[変更の保存]** をクリックします。これにより、アカウントのすべてのユーザーに、そのユーザーだけに対する `iam:ChangePassword` アクションと `iam:GetAccountPasswordPolicy` アクションへのアクセスが付与されます。

1. パスワードを変更するための次の手順をユーザーに提供します: [IAM ユーザーが自分のパスワードを変更する方法](id_credentials_passwords_user-change-own.md)。

------
#### [ AWS CLI ]

次のコマンドを実行します。
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`

------
#### [ API ]

AWS マネジメントコンソール のサインインページの URL のエイリアスを作成するには、以下のオペレーションを呼び出します。
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)` 

------

## 選択された IAM ユーザーが自分のパスワードを変更可能にするには
<a name="proc_letselectuserschangepassword"></a>

------
#### [ Console ]

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. ナビゲーションペインで **[アカウント設定]** をクリックします。

1. **[パスワードポリシー]** セクションで、**[ユーザーにパスワードの変更を許可]** が選択されていないことを確認します。このチェックボックスがオンになっている場合、すべてのユーザーが自分のパスワードを変更できます。（前の手順を参照）。

1. パスワードの変更が許可されている必要があるユーザーを作成します (まだ存在していない場合)。詳細については、「[AWS アカウント で IAM ユーザーを作成する](id_users_create.md)」を参照してください。

1. (オプション) 自分のパスワードの変更を許可するユーザーに対して IAM グループを作成し、そのグループに前のステップのユーザーを追加します。詳細については、「[IAM ユーザーグループ](id_groups.md)」を参照してください。

1. 以下のポリシーをグループに割り当てます 詳細については、「[IAM ポリシーを管理する](access_policies_manage.md)」を参照してください。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }
   ```

------

   このポリシーでは、ユーザーに [ChangePassword (パスワードの変更)](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html) アクションへのアクセスを許可して、コンソール、AWS CLI、Tools for Windows PowerShell、または API から自分のパスワードのみを変更できるようにします。また、[GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) アクションへのアクセス権も付与します。これにより、ユーザーは現在のパスワードポリシーを表示できます。このアクセス許可は、ユーザーが **[パスワードの変更]** ページでアカウントパスワードポリシーを表示できるようにするために必要です。変更されたパスワードがポリシーの要件を確実に満たしているようにするために、ユーザーは現在のパスワードポリシーの読み取りが許可されている必要があります。

1. パスワードを変更するための次の手順をユーザーに提供します: [IAM ユーザーが自分のパスワードを変更する方法](id_credentials_passwords_user-change-own.md)。

------

### 詳細情報
<a name="HowToPwdIAMUser-moreinfo"></a>

認証情報の管理の詳細については、次のトピックを参照してください。
+ [IAM ユーザーに自分のパスワード変更を許可する](#id_credentials_passwords_enable-user-change) 
+ [AWS のユーザーパスワード](id_credentials_passwords.md)
+ [IAM ユーザー用のアカウントパスワードポリシーを設定する](id_credentials_passwords_account-policy.md)
+ [IAM ポリシーを管理する](access_policies_manage.md)
+ [IAM ユーザーが自分のパスワードを変更する方法](id_credentials_passwords_user-change-own.md)

# IAM ユーザーが自分のパスワードを変更する方法
<a name="id_credentials_passwords_user-change-own"></a>

IAM ユーザーに自分のパスワードを変更するアクセス許可が付与されている場合、ユーザーは AWS マネジメントコンソール の特別なページを使用してこれを行うことができます。AWS CLI または AWS API を使用することもできます。

**Topics**
+ [必要なアクセス許可](#change-own-passwords-permissions-required)
+ [IAM ユーザー自身によるパスワードの変更方法 (コンソール)](#ManagingUserPwdSelf-Console)
+ [IAM ユーザー自身によるパスワードの変更方法 (AWS CLI または AWS API)](#ManagingUserPwdSelf-CLIAPI)

## 必要なアクセス許可
<a name="change-own-passwords-permissions-required"></a>

IAM ユーザーのパスワードを変更するには、次のポリシーからのアクセス許可が必要です: [AWS: IAM ユーザーが [セキュリティ認証情報] ページで自分のコンソールパスワードを変更できるようにします](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md)。

## IAM ユーザー自身によるパスワードの変更方法 (コンソール)
<a name="ManagingUserPwdSelf-Console"></a>

以下の手順では、IAM ユーザーが AWS マネジメントコンソール を使用して自分のパスワードを変更する方法について説明します。

**IAM ユーザー自身のパスワードを変更するには (コンソール)**

1. AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用して [IAM コンソール](https://console.aws.amazon.com/iam)にサインインします。
**注記**  
利便性のため、AWS サインインページは、ブラウザ cookie を使用して IAM ユーザー名とアカウント情報を記憶します。以前に別のユーザーとしてサインインしたことがある場合は、ページの下部にある**[別のアカウントにサインイン]**を選択し、メインのサインインページに戻ります。そこから、AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトされるようにすることができます。

   AWS アカウント アカウント ID の取得については、管理者にお問い合わせください。

1. 右上のナビゲーションバーで自分のユーザー名を選択し、続いて **[Security credentials]** (セキュリティ認証情報) を選択します。  
![\[AWS マネジメントコンソールのセキュリティ認証情報へのリンク\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. **[AWS IAM 認証情報]** タブで、**[パスワードを変更]** を選択します。

1. [**Current password (現在のパスワード)**] に現在のパスワードを入力します。[**New password (新しいパスワード)**] ボックスおよび [**Confirm new password (新しいパスワードの確認)**] ボックスに新しいパスワードを入力します。その後、**[パスワードを更新]** を選択します。
**注記**  
新しいパスワードは、アカウントのパスワードポリシーの要件を満たしている必要があります。詳細については、「[IAM ユーザー用のアカウントパスワードポリシーを設定する](id_credentials_passwords_account-policy.md)」を参照してください。

## IAM ユーザー自身によるパスワードの変更方法 (AWS CLI または AWS API)
<a name="ManagingUserPwdSelf-CLIAPI"></a>

以下の手順では、IAM ユーザーが AWS CLI または AWS API を使用して自身のパスワードを変更する方法について説明します。

**自身の IAM パスワードを変更するには、以下を使用します。**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API:[https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)