# 允许 IAM 用户更改自己的密码
**注意**
具有联合身份的用户将使用其身份提供商定义的流程来更改密码。作为[最佳实践](best-practices.md),要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 AWS。
您可以向 IAM 用户授予更改其用于登录 AWS 管理控制台 的密码的权限。您可以通过两种方式之一来执行此操作:
+ [允许账户中的所有 IAM 用户更改自己的密码](#proc_letalluserschangepassword)。
+ [仅允许选定的 IAM 用户更改自己的密码](#proc_letselectuserschangepassword)。在此情况下,您禁用可供所有用户用来更改其密码的选项,并使用 IAM policy 仅向某些用户授予权限。这种方法允许这些用户更改自己的密码和可选的其他凭证,例如他们自己的访问密钥。
**重要**
我们建议您[设置自定义密码策略](id_credentials_passwords_account-policy.md),要求 IAM 用户创建强密码。
## 允许所有 IAM 用户更改自己的密码
------
#### [ Console ]
1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,单击 **Account settings**(账户设置)。
1. 在 **Password policy**(密码策略)部分,选择 **Edit**(编辑)。
1. 选择 **Custom**(自定义)以使用自定义密码策略。
1. 选择 **Allow users to change their own password**(允许用户更改其密码),然后选择 **Save changes**(保存更改)。这样账户中的所有用户就可以仅访问其用户的 `iam:ChangePassword` 操作和 `iam:GetAccountPasswordPolicy` 操作。
1. 向用户提供有关更改密码的以下说明:[IAM 用户如何更改自己的密码](id_credentials_passwords_user-change-own.md)。
------
#### [ AWS CLI ]
运行以下命令:
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`
------
#### [ API ]
要为 AWS 管理控制台 登录页面 URL 创建别名,请调用以下操作:
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)`
------
## 允许选定的 IAM 用户更改自己的密码
------
#### [ Console ]
1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,单击 **Account settings**(账户设置)。
1. 在 **Password policy**(密码策略)部分中,确保未选择 **Allow users to change their own password**(允许用户更改其密码)。如果已选中此复选框,则所有用户均可更改其密码。(请参阅上一个过程。)
1. 创建允许更改其密码的用户(如果之前没有这样的用户)。有关更多信息,请参阅 [在 AWS 账户 中创建 IAM 用户](id_users_create.md)。
1. (可选)为可以更改自己密码的用户创建 IAM 组,然后将上一步骤中的用户添加到该组。有关更多信息,请参阅 [IAM 用户组](id_groups.md)。
1. 将下列策略分配到该组。有关更多信息,请参阅 [管理 IAM 策略](access_policies_manage.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:GetAccountPasswordPolicy",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:ChangePassword",
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
此策略授予对 [ChangePassword](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html) 操作的访问权限,这让用户可从控制台、AWS CLI、Tools for Windows PowerShell 或 API 仅更改他们自己的密码。它还授予对 [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 操作的访问权限,这可让用户查看当前的密码策略。用户需要此权限才能在 **Change password**(更改密码)页面上查看账户密码策略。用户必须能阅读当前密码策略以确保更改后的密码符合策略的要求。
1. 向用户提供有关更改密码的以下说明:[IAM 用户如何更改自己的密码](id_credentials_passwords_user-change-own.md)。
------
### 有关更多信息
有关管理凭证的更多信息,请参阅以下主题:
+ [允许 IAM 用户更改自己的密码](#id_credentials_passwords_enable-user-change)
+ [AWS 中的用户密码](id_credentials_passwords.md)
+ [为 IAM 用户设置账户密码策略](id_credentials_passwords_account-policy.md)
+ [管理 IAM 策略](access_policies_manage.md)
+ [IAM 用户如何更改自己的密码](id_credentials_passwords_user-change-own.md)