Как принудительно использовать MFA для пользователей AWS IAM, но разрешить им сменить пароль при первом входе в систему?
Если вы подписаны на Документы AWS и принудительно MFA, новые пользователи не могут изменить пароль при первом получении своей учетной записи.
Я знаю, что вы можете либо принудительно MFA или не и разрешить пользователям управлять своими паролями и учетными данными. Кроме того, у AWS есть способ обойти эту проблему, но это не рекомендуется:
Этот пример политики не позволяет пользователям сбрасывать пароль при входе в систему. Новые пользователи и пользователи с просроченным паролем могут попытаться это сделать. Вы можете разрешить это, добавив iam:ChangePassword в инструкцию DenyAllExceptListedIfNoMFA. Однако IAM не рекомендует этого. Разрешение пользователям изменять свой пароль без MFA может быть угрозой безопасности.
Итак, что такое «рекомендуемый» способ?
Этот вопрос также был задан на форуме AWS без реального ответа.