IAM の Managed Policy で、IAMUserChangePassword と言うのが増えていた。IAM User が AWS Management Console で自分のパスワードを変更できる権限を付与する。これまでは、自分で Policy を書かないといけなかったので、便利になった。

下記がその Policy なのだが、iam:ChangePassword API の対象として、自分自身の IAM User のみにしているのは、これまでやっていなかった。もしかして、他のユーザーのパスワードを変更できていたのかもしれないと思った(実際のところはは知らない)。

 {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "iam:ChangePassword"
             ],
             "Resource": [
                 "arn:aws:iam::*:user/${aws:username}"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "iam:GetAccountPasswordPolicy"
             ],
             "Resource": "*"
         }
     ]
 }

元記事はこちら

IAMUserChangePassword