- 新しい順
- 投票が多い順
- コメントが多い順
該当のユーザーには他に何かIAMポリシーが設定されていますか?
エラー内容を見る限りはAIの自動回答に記載されている通り「iam:ChangePassword」が拒否されるポリシーが設定されているのではと思いました。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_access-denied.html
該当のユーザーのみが変更できないということなので関係ないかもしれませんが、パスワードポリシーなども確認してみてください。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_passwords_enable-user-change.html#proc_letalluserschangepassword
このエラーメッセージは、IAMユーザーのパスワード変更アクションが明示的に拒否されていることを示しています。原因としては、以下のようなケースが考えられます:
-
ユーザーに適用されているIAMポリシーに、パスワード変更アクション(例:iam:ChangePassword)に対する明示的な拒否(Deny)ステートメントが含まれている可能性があります。
-
AWS Organizations のサービスコントロールポリシー(SCP)によって、アカウント全体でパスワード変更アクションが制限されている可能性があります。
-
パーミッションバウンダリーが設定されており、パスワード変更アクションを制限している可能性があります。
対処方法としては、以下のステップを試してみてください:
-
IAMコンソールで該当するユーザーに適用されているポリシーを確認し、パスワード変更アクションを明示的に拒否しているステートメントがないか確認します。
-
AWS Organizationsを使用している場合は、組織の管理アカウントにアクセスし、適用されているSCPを確認します。パスワード変更アクションを制限しているSCPがあれば、必要に応じて編集、削除、またはデタッチします。
-
ユーザーにパーミッションバウンダリーが設定されている場合は、そのバウンダリーポリシーを確認し、パスワード変更アクションが許可されているか確認します。
-
必要な権限を持つ管理者に問題をエスカレーションし、ポリシーの更新を依頼することも検討してください。
これらの手順を実行した後、再度パスワード変更を試みてください。問題が解決しない場合は、さらに詳細なトラブルシューティングが必要かもしれません。
Sources
Troubleshoot access denied error messages - AWS Identity and Access Management
Troubleshoot SCPs explicit deny errors in AWS Organizations | AWS re:Post
Permissions boundaries for IAM entities - AWS Identity and Access Management
関連するコンテンツ
- 質問済み 6ヶ月前
ご回答ありがとうございます。 「iam:ChangePassword」が拒否されるポリシーは確認できませんでした。 パスワードポリシーを満たしていない可能性は考えられるため、そちらの確認を行いたいと思います。