パスワードポリシーの管理
IAM ユーザーのパスワードの複雑な要件や必須のローテーション期間を指定するパスワードポリシーを、AWS アカウントに設定することができます。
- パスワード最小の長さを設定する。
- 大文字、小文字、数値、、アルファベット以外の文字を含む特定の文字型が必要です。
- すべての IAM ユーザーが自分のパスワードを変更できるようにします。
IAM ユーザーが自分のパスワードを変更できるようにすると、IAM により自動的にパスワードポリシーの表示がユーザーに許可されます。
IAM ユーザーがポリシーに準拠したパスワードを作成するには、アカウントのパスワードポリシーを表示するアクセス許可が必要です。 - 指定した期間が経過したら、IAM ユーザーにパスワードを変更するように要求します
- IAM ユーザーが以前のパスワードを再利用できないようにします。
- IAM ユーザーがパスワードの失効を許可したときに、アカウント管理者への連絡を強制します。
ここで説明するパスワード設定は IAM ユーザーに割り当てられたパスワードのみに適用され、ユーザーが持っている可能性のあるアクセスキーには影響がありません。
パスワードポリシーを作成または変更する場合、パスワードポリシーの設定の多くは、ユーザーが次回パスワードを変更するときに適用されます。
ただし、一部の設定はすぐに適用されます。
パスワードポリシーのオプション
パスワードの最小長
IAM ユーザーパスワードで許容される最小文字数を指定できます。6 ~ 128 の任意の数値を入力できます。
少なくとも1つの大文字が必要
IAM ユーザーパスワードに最低 1 個の ISO ラテンアルファベットの大文字(A ~ Z)が含まれることを要件として設定できます。
少なくとも1つの小文字が必要
IAM ユーザーパスワードに最低 1 個の ISO ラテンアルファベットの小文字(a ~ z)が含まれることを要件として設定できます。
少なくとも1つの数字が必要
IAM ユーザーパスワードに最低 1 個の数字(0 ~ 9)が含まれることを要件として設定できます。
少なくとも1つのアルファベット以外の文字が必要
IAM ユーザーパスワードに以下の英数字以外の文字が最低 1 個は含まれることを要件として設定できます。! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
ユーザーにパスワード変更を許可
お客様のアカウント内のすべての IAM ユーザーが IAM コンソールを使用して自分のパスワードを変更することを許可できます。
IAM ユーザーが自分のパスワードを変更できるようにすると、IAM により自動的にパスワードポリシーの表示がユーザーに許可されます。
IAM ユーザーがポリシーに準拠したパスワードを作成するには、アカウントのパスワードポリシーを表示するアクセス許可が必要です。
パスワードの失効を許可
IAM ユーザーパスワードが、指定した日数だけ有効になるように設定できます。
設定してからパスワードが有効である日数を指定します。
たとえば、パスワードの有効期限を有効にし、パスワードの有効期間を 90 日間に設定した場合、IAM ユーザーはパスワードを最大 90 日間使用できます。
90 日後、パスワードは失効し、IAM ユーザーは AWS マネジメントコンソールにアクセスする前に新しいパスワードを設定する必要があります。
パスワードの有効期間は 1~1095 日の範囲で選択できます。
IAM ユーザーのパスワードの有効期限まで 15 日以内になると、AWS マネジメントコンソールに警告メッセージが表示されます。
IAM ユーザーはいつでも自分のパスワードを変更できます(権限が付与されている場合)。
ユーザーが新しいパスワードを設定すると、そのパスワードのローテーション期間は最初から開始されます。
パスワードの再利用を禁止
指定した数の以前のパスワードを IAM ユーザーが再利用することを禁止できます。
以前のパスワードの数を 1 ~ 24 の範囲で設定できます。
パスワードの有効期限で管理者のリセットが必要
現在のパスワードの有効期限が切れた後、IAM ユーザーが新しいパスワードを選択することを禁止できます。
たとえば、パスワードポリシーでパスワードの有効期間が設定されているときに、有効期間が終了する前に IAM ユーザーが新しいパスワードを選択できなかった場合、IAM ユーザーは新しいパスワードを設定できません。
この場合、IAM ユーザーが AWS マネジメントコンソールに再びアクセスするには、アカウント管理者にパスワードのリセットをリクエストする必要があります。
このチェックボックスがオフのままで、パスワードの有効期限が切れた場合、IAM ユーザーは、AWS マネジメントコンソールにアクセスする前に新しいパスワードを設定するよう求められます。