AWS Web Console から各IAMユーザー自身でパスワード変更およびMFAを設定できるIAM Policy
普段AWSのWebコンソールを利用していると、IAMで権限管理している人が多いと思います。
よくあるケースとして、IAMユーザーを新規発行してあげたときに、他の人にアカウントを作って初期パスワードを教えてあげたけど、その後はそのユーザー本人が自分でパスワードの変更やMFAの設定をしてほしいな思いました。
こんなとき、権限管理はちゃんとしたいから、余計な権限をあげたくないけど、どんな権限を与えたらいいのか分からなかったので、
Web コンソールからIAMユーザー本人がIAMユーザーのパスワードとMFAの設定をできる
という権限を設定できるIAMポリシーを作りました。
下記のようになります。
※ <account-id>の部分をあなたのAWSアカウントIDに置き換えてください
Policyの中にある ${aws:username} みたいなのは IAM Policy Variables といってユーザー名などを動的に取得する事ができる記述方法です。
IAM Policy Variables について 詳しい説明はこちら。
IAM Policy Variables Overview - AWS Identity and Access Management
本日は以上です。
P.S. AWSってアドベントカレンダーないのかな?