Abe Estrada

AWS PowerUser + Force_MFA

En el area de IAM de AWS al momento de crear un usuario con las políticas PowerUser, IAMUserChangePassword y Force_MFA al momento de que el usuario entra por primera vez e intenta cambiar su contraseña temporal el usuario obtiene el siguiente mensaje de error.

Either user is not authorized to perform iam:ChangePassword or entered password does not comply with account password policy set by administrator

Esto se debe a que la política Force_MFA sugerida por Amazon le hacen falta dos parámetros para permitir que el usuario cambie su contraseña sin tener activado un MFA, la solución es la siguiente:

Hay que agregar los siguientes dos parametros dentro del "Sid": "DenyAllExceptListedIfNoMFA":

iam:ChangePassword
iam:CreateLoginProfile

Ejemplo de la política ya con los parametros agregados.

Con estos cambios el usuario puede utilizar la contraseña temporal para accesar y crear una contraseña permanente, luego tiene que asignar un MFA y salir de la cuenta, al volver a ingresar con su nueva contraseña y su MFA va a tener acceso a todo lo designado.

Fuente