はじめに
概要
本ドキュメントは、AWSのIAMユーザーが自分のパスワードを安全に変更する方法を分かりやすく説明します。具体的には次の3つを扱います。
– AWSマネジメントコンソールでのパスワード変更手順
– IAMパスワードポリシーの設定方法
– AWS CLIを使ったパスワードリセット方法
これらを通して、アカウントの安全性を高め、日常的なパスワード管理を支援します。
誰に向けているか
- IAMユーザーとして自身のパスワードを変更したい方
- 管理者として組織のパスワード方針を整えたい方
- CLIでの操作に慣れたい運用担当者
重要性
不適切なパスワード管理は不正アクセスの原因になります。例えば、使い回しや簡単な文字列はリスクが高いです。安全なパスワードと定期的な変更、MFAの併用で保護を強化できます。
本ドキュメントの使い方
章ごとに手順を示します。実作業の前に権限やログイン情報を確認してください。管理者向けの設定は権限が必要です。具体例や注意点を交えて、できるだけ簡潔に説明します。
前提条件
- AWSアカウントにログインできること
- 自分で変更する場合はユーザー名と現在のパスワード
- 管理者が設定を行う場合は該当するIAM権限を持っていること
注意点
- パスワードは長く複雑にし、パスワードマネージャーを利用すると便利です。MFAを有効にすることもおすすめします。
IAMユーザーのパスワード変更手順
はじめに
ここでは、AWSのIAMユーザーが自分のコンソールパスワードを安全に変更する手順を分かりやすく説明します。操作は短時間で終わりますが、パスワードのルールに注意してください。
前提条件
- 現在のパスワードが分かっていること
- ブラウザでAWSマネジメントコンソールにアクセスできること
手順
- AWSマネジメントコンソールにログインします。サインインURLは組織から案内されたものを使ってください。
- 画面右上のユーザー名(またはアカウント)をクリックし、表示されるメニューから「セキュリティ認証情報」を選択します。
- 「AWS IAM 認証情報」タブを開き、「コンソールパスワードの更新」をクリックします。
- ポップアップで「現在のパスワード」「新しいパスワード」「パスワードを確認」の欄にそれぞれ入力し、「パスワードを変更」をクリックします。
- 変更が成功したら、一度サインアウトして新しいパスワードで再度サインインして動作を確認してください。
補足とトラブル対処
- 新しいパスワードは組織のポリシー(長さや文字種)に合っている必要があります。エラーが出たらポリシーを確認してください。
- 「セキュリティ認証情報」が見つからない場合は、画面上部の検索で「IAM」を検索し、IAMコンソールから自分のユーザーを選んで同様の操作を試してください。
- 現在のパスワードを忘れた場合は、サインイン画面の「パスワードを忘れた場合」や組織の管理者にリセットを依頼してください。
以上の手順で、安全にパスワードを変更できます。必要なら手順のスクリーンショットや補足を用意しますのでお知らせください。
IAMパスワードポリシーの設定
概要
IAMアカウントのパスワードポリシーは、全ユーザーのパスワード安全性を統一できます。ここでは設定項目とTerraformでの具体例、注意点を分かりやすく説明します。
ポリシーで設定する主な項目
- 最小パスワード長:最低文字数を決めます(例:8〜14文字)。
- 文字種の要件:大文字、小文字、数字、記号の使用を必須にできます。
- パスワード有効期限:定期的な変更を促せます(例:90日)。
- 再利用制限:過去に使ったパスワードの再利用を防げます。
Terraformの例
resource "aws_iam_account_password_policy" "default" {
minimum_password_length = 12
require_uppercase_characters = true
require_lowercase_characters = true
require_numbers = true
require_symbols = true
max_password_age = 90
password_reuse_prevention = 5
allow_users_to_change_password = true
}
各項目の説明(具体例)
- minimum_password_length:12にすると、短い推測されやすいパスワードを防ぎます。
- require_*:それぞれONにすると、例えば数字や記号を必ず含めるよう強制します。
- max_password_age:90日であれば3か月ごとに変更を求めます。
- password_reuse_prevention:5にすれば直近5回のパスワードは使えません。
注意点
- 強すぎる要件はユーザー負担になるため、運用に合わせて調整してください。アプリやサービスのログイン要件と整合することも確認してください。
AWS CLIを使用したパスワードリセット
前提条件
- AWS CLIがインストールされ、認証情報(aws configure)で設定済みであること。
- 実行するIAMユーザーに iam:UpdateLoginProfile の権限があること。
基本コマンド
特定ユーザーのパスワードを変更し、次回ログイン時に変更を要求するには次のコマンドを使います。
aws iam update-login-profile \
--user-name ユーザー名 \
--password '新しいパスワード' \
--password-reset-required
例:
aws iam update-login-profile –user-name alice –password ‘TempP@ssw0rd1’ –password-reset-required
スクリプトでの例(単一ユーザー)
#!/bin/bash
USER="alice"
NEWPASS="TempP@ssw0rd1"
aws iam update-login-profile --user-name "$USER" --password "$NEWPASS" --password-reset-required
複数ユーザーをファイルから処理する例
CSV(user,password)の例を用います。
while IFS=, read -r user pass; do
aws iam update-login-profile --user-name "$user" --password "$pass" --password-reset-required
done < users.csv
注意点
- 対象ユーザーにログインプロファイルが存在しない場合はエラーになります。その際は create-login-profile を使ってください。
- 組織のパスワードポリシーに合った値を指定してください。ポリシーに沿わないとコマンドが失敗します。
- パスワードをスクリプトに平文で置くとリスクがあります。環境変数やシークレットマネージャーの利用を検討してください。
以上の手順で、AWS CLIから効率よくIAMユーザーのパスワードをリセットできます。
