Help us understand the problem. What is going on with this article?

IAMユーザで初めてAWSコンソールにログインする時にパスワード変更できない件

More than 1 year has passed since last update.

問題

新規IAMユーザ発行時に 次回のサインインで新しいパスワードを作成するようユーザに求める にチェックを入れてユーザに連絡したが、AWSコンソール初回ログイン時に新しいパスワードを設定しようとすると、 iam:ChangePassword の実行権がありません。 というエラーが発生してパスワードが変更できない。

試しに AdministratorAccess の管理ポリシーをアタッチしたり、
パスワード変更の権限を付与するカスタムポリシーを作成して明示的にアタッチしたりして、権限は持っているはずなのに同様のエラーでパスワードが変更できない。

という問題が発生した。

原因と解決索

本当の原因は変更しようとしていた新しいパスワードがIAMパスワードポリシーに違反していることだった。
IAMパスワードポリシーに則り、パスワードをより複雑なものに変更したところ問題は解決した。

そもそもエラーメッセージが間違っていて iam:ChangePassword の実行権は、ちゃんとIAMユーザに付与されており、結局エラーメッセージが間違っていることが問題だった。

AWS側ではっきり パスワードのポリシー違反です。 的なエラーメッセージが表示されるようになるまでは、同じような問題にハマるAWS管理者はゼロにならないと思われますが、
エラーメッセージが間違っている事が判明したので、仮パスワードを連絡する際にパスワードポリシーのルールも伝えるようにしようと思いました。。

2018/03/30 追記

ユーザーに iam:ChangePassword を実行する権限がないか、入力されたパスワードが管理者によって設定されたアカウントパスワードポリシーに準拠していません

というメッセージが表示されるようになり、アカウントパスワードポリシーに準拠していないことに気づけるようになっていました!

Why do not you register as a user and use Qiita more conveniently?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away