本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 IAM 使用者的帳戶密碼政策
<a name="id_credentials_passwords_account-policy"></a>

您可以在 上設定自訂密碼政策 AWS 帳戶 ，以指定 IAM 使用者密碼的複雜性要求和強制輪換期間。如果您未設定自訂密碼政策，IAM 使用者密碼必須符合預設 AWS 密碼政策。如需詳細資訊，請參閱[自訂密碼政策選項](#password-policy-details)。

**Topics**
+ [設定密碼政策的規則](#password-policy-rules)
+ [設定密碼政策所需的許可](#default-policy-permissions-required)
+ [預設密碼政策](#default-policy-details)
+ [自訂密碼政策選項](#password-policy-details)
+ [若要設定密碼政策 (主控台)](#IAMPasswordPolicy)
+ [若要變更密碼政策 (主控台)](#id_credentials_passwords_account-policy-section-1)
+ [要刪除自訂密碼政策 (主控台)](#id_credentials_passwords_account-policy-section-2)
+ [設定密碼政策 (AWS CLI)](#PasswordPolicy_CLI)
+ [設定密碼政策 (AWS API)](#PasswordPolicy_API)

## 設定密碼政策的規則
<a name="password-policy-rules"></a>

IAM 密碼政策不適用於 AWS 帳戶根使用者 密碼或 IAM 使用者存取金鑰。如果密碼過期，IAM 使用者無法登入 ， AWS 管理主控台 但可以繼續使用其存取金鑰。

當您建立或變更密碼政策時，大多數密碼政策設定將在使用者下次變更密碼時強制執行。但是，某些設定會立即強制執行。例如：
+ 當最短長度和字元類型要求變更時，將在使用者下次變更密碼時強制執行這些設定。即使現有的密碼不遵守更新的密碼政策，也不會強制使用者變更現有的密碼。
+ 當您設定密碼過期期間時，會立即強制執行過期期間。例如，假設您將密碼過期期間設定為 90 天。在這種情況下，現有密碼超過 90 天的所有 IAM 使用者的密碼會到期。這些使用者必須在下次登入時變更其密碼。

在指定次數的登入嘗試失敗之後，您無法建立「鎖定政策」來鎖定使用者帳戶。為了增強安全性，我們建議您將強式密碼政策與多重要素驗證 (MFA) 結合。如需有關 MFA 的詳細資訊，請參閱 [AWS IAM 中的多重要素驗證](id_credentials_mfa.md)。

## 設定密碼政策所需的許可
<a name="default-policy-permissions-required"></a>

您必須設定許可，以允許 IAM 實體 (使用者或角色) 檢視或編輯其帳戶密碼政策。您可以在 IAM 政策中包含下列密碼政策動作：
+ `iam:GetAccountPasswordPolicy` – 允許實體檢視其帳戶的密碼政策
+ `iam:DeleteAccountPasswordPolicy` – 允許實體刪除其帳戶的自訂密碼政策，並還原為預設密碼政策
+ `iam:UpdateAccountPasswordPolicy` – 允許實體建立或變更其帳戶的自訂密碼政策

下列政策允許完整存取權以檢視和編輯帳戶密碼政策。若要了解如何使用此範例 JSON 政策文件來建立 IAM 政策，請參閱 [正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

------

如需 IAM 使用者變更其自己密碼所需許可的資訊，請參閱 [允許 IAM 使用者變更自己的密碼](id_credentials_passwords_enable-user-change.md)。

## 預設密碼政策
<a name="default-policy-details"></a>

如果管理員未設定自訂密碼政策，IAM 使用者密碼必須符合預設 AWS 密碼政策。

預設密碼政策會強制執行下列條件：
+ 密碼長度最短為 8 個字元，最長為 128 個字元。
+ 至少混用 3 種下列類型字元：大寫、小寫、數字和非英數字元 (`! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`)
+ 與 AWS 帳戶 您的姓名或電子郵件地址不同
+ 保證密碼不會過期

## 自訂密碼政策選項
<a name="password-policy-details"></a>

當您設定帳戶的自訂密碼政策時，您可以指定下列條件：
+ **密碼最小長度** – 您可以指定至少 6 個字元，最多可指定 128 個字元。
+ **密碼強度**：您可以選取下列任一核取方塊來定義 IAM 使用者密碼的強度：
  + 至少需要一個拉丁字母 (A–Z) 的大寫字母
  + 至少需要一個拉丁字母 (a–z) 的小寫字母
  + 至少需要有一個數字
  + 至少需要一個非英數字元的字元 `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '` 
+ **Turn on password expiration** (啟用密碼過期) – 您可以選取並指定至少 1 天，且最長為 1,095 天的 IAM 使用者密碼有效期，設定後生效。例如，如果您指定 90 天的到期日，它會立即影響所有使用者。對於密碼超過 90 天的使用者，當他們在變更後登入主控台時，必須設定新密碼。密碼為 75-89 天的使用者會收到密碼過期的 AWS 管理主控台 警告。IAM 使用者可隨時變更密碼 (如果他們有許可)。當他們設定新的密碼時，該密碼的到期期間將重新開始。IAM 使用者一次只能有一個有效的密碼。
+ **密碼過期需要管理員重設** – 選取此選項，以防止 IAM 使用者在密碼過期後使用 AWS 管理主控台 更新自己的密碼。在選取此選項之前，請確認您的 AWS 帳戶 有多個具有管理許可的使用者，以重設 IAM 使用者密碼。具有 `iam:UpdateLoginProfile` 許可的管理員可以重設 IAM 使用者密碼。具有 `iam:ChangePassword` 許可和作用中存取金鑰的 IAM 使用者可以程式設計方式重設自己的 IAM 使用者主控台密碼。如果您清除此核取方塊，密碼到期的 IAM 使用者仍必須先設定新密碼，然後才能存取 AWS 管理主控台。
+ **Allow users to change their own password** (允許使用者變更自己的密碼) – 您可以允許帳戶中的所有 IAM 使用者變更自己的密碼。這可讓使用者僅針對其使用者存取 `iam:ChangePassword` 動作，並存取 `iam:GetAccountPasswordPolicy` 動作。此選項不會將許可政策連接到每個使用者。反之，IAM 會在帳戶層級套用許可到所有使用者。或者，您只允許一些使用者管理自己的密碼。若要執行這項操作，請清除此核取方塊。如需有關使用政策以限制誰可以管理密碼的詳細資訊，請參閱 [允許 IAM 使用者變更自己的密碼](id_credentials_passwords_enable-user-change.md)。
+ **防止密碼重複使用** – 您可以防止 IAM 使用者重複使用舊密碼的指定數字。您可以指定長度下限為 1，以及長度上限為 24 的舊密碼，無法重複使用。

## 若要設定密碼政策 (主控台)
<a name="IAMPasswordPolicy"></a>

您可以使用 AWS 管理主控台 來建立、變更或刪除自訂密碼政策。對密碼政策的變更適用於此政策變更後建立的新 IAM 使用者，以及變更密碼時的現有 IAM 使用者。

------
#### [ Console ]

1. 按照《AWS ‭‬ 登入使用者指南》‭‬**[如何登入 AWS‭‬](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 主題中適合您使用者類型的登入程序操作。

1. 在 **IAM 主控台首頁**的左側導覽窗格中，在**搜尋 IAM** 文字方塊中輸入查詢。

1. 在導覽窗格中，選擇**帳戶設定**。

1. 在 **Password policy** (密碼政策) 區段中，選擇 **Edit** (編輯)。

1. 選擇 **Custom** (自訂) 以使用自訂密碼政策。

1. 選取要套用至密碼政策的選項，然後選擇 **Save changes (儲存變更)**。

1. 選擇 **Set custom** (設定自訂)，確認您要設定自訂密碼政策。

主控台會顯示狀態訊息，通知您 IAM 使用者的密碼需求已更新。

------

## 若要變更密碼政策 (主控台)
<a name="id_credentials_passwords_account-policy-section-1"></a>

您可以使用 AWS 管理主控台 來建立、變更或刪除自訂密碼政策。對密碼政策的變更適用於此政策變更後建立的新 IAM 使用者，以及變更密碼時的現有 IAM 使用者。

------
#### [ Console ]

1. 按照《AWS ‭‬ 登入使用者指南》‭‬**[如何登入 AWS‭‬](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 主題中適合您使用者類型的登入程序操作。

1. 在 **IAM 主控台首頁**的左側導覽窗格中，在**搜尋 IAM** 文字方塊中輸入查詢。

1. 在導覽窗格中，選擇**帳戶設定**。

1. 在 **Password policy** (密碼政策) 區段中，選擇 **Edit** (編輯)。

1. 選取要套用至密碼政策的選項，然後選擇 **Save changes (儲存變更)**。

1. 選擇 **Set custom** (設定自訂)，確認您要設定自訂密碼政策。

主控台會顯示狀態訊息，通知您 IAM 使用者的密碼需求已更新。

------

## 要刪除自訂密碼政策 (主控台)
<a name="id_credentials_passwords_account-policy-section-2"></a>

您可以使用 AWS 管理主控台 來建立、變更或刪除自訂密碼政策。對密碼政策的變更適用於此政策變更後建立的新 IAM 使用者，以及變更密碼時的現有 IAM 使用者。

------
#### [ Console ]

1. 按照《AWS ‭‬ 登入使用者指南》‭‬**[如何登入 AWS‭‬](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 主題中適合您使用者類型的登入程序操作。

1. 在 **IAM 主控台首頁**的左側導覽窗格中，在**搜尋 IAM** 文字方塊中輸入查詢。

1. 在導覽窗格中，選擇**帳戶設定**。

1. 在 **Password policy** (密碼政策) 區段中，選擇 **Edit** (編輯)。

1. 選擇 **IAM default** (IAM 預設值) 以刪除自訂密碼政策，然後選擇 **Save changes** (儲存變更)。

1. 選擇 **Set default** (設定預設值)，確認您要設定 IAM 預設密碼政策。

主控台會顯示狀態訊息，通知您密碼政策已設定為 IAM 預設。

------

## 設定密碼政策 (AWS CLI)
<a name="PasswordPolicy_CLI"></a>

您可以使用 AWS Command Line Interface 來設定密碼政策。

**從 管理自訂帳戶密碼政策 AWS CLI**  
執行下列命令：
+ 若要建立或變更自訂密碼政策：[https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ 若要檢視密碼政策：[https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html)
+ 若要刪除自訂密碼政策：[https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html)

## 設定密碼政策 (AWS API)
<a name="PasswordPolicy_API"></a>

您可以使用 AWS API 操作來設定密碼政策。

**從 AWS API 管理自訂帳戶密碼政策**  
呼叫以下操作：
+ 若要建立或變更自訂密碼政策：[https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ 若要檢視密碼政策：[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)
+ 若要刪除自訂密碼政策：[https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html)