普段AWSのWebコンソールを利用していると、IAMで権限管理している人が多いと思います。

よくあるケースとして、IAMユーザーを新規発行してあげたときに、他の人にアカウントを作って初期パスワードを教えてあげたけど、その後はそのユーザー本人が自分でパスワードの変更やMFAの設定をしてほしいな思いました。

こんなとき、権限管理はちゃんとしたいから、余計な権限をあげたくないけど、どんな権限を与えたらいいのか分からなかったので、

Web コンソールからIAMユーザー本人がIAMユーザーのパスワードとMFAの設定をできる

という権限を設定できるIAMポリシーを作りました。

下記のようになります。
※ <account-id>の部分をあなたのAWSアカウントIDに置き換えてください

gist7486986

Policyの中にある ${aws:username} みたいなのは IAM Policy Variables といってユーザー名などを動的に取得する事ができる記述方法です。
IAM Policy Variables について 詳しい説明はこちら。
IAM Policy Variables Overview - AWS Identity and Access Management

本日は以上です。

P.S. AWSってアドベントカレンダーないのかな？