En el area de IAM de AWS al momento de crear un usuario con las políticas PowerUser, IAMUserChangePassword y Force_MFA al momento de que el usuario entra por primera vez e intenta cambiar su contraseña temporal el usuario obtiene el siguiente mensaje de error.
Either user is not authorized to perform
iam:ChangePasswordor entered password does not comply with account password policy set by administrator
Esto se debe a que la política Force_MFA sugerida por Amazon le hacen falta dos parámetros para permitir que el usuario cambie su contraseña sin tener activado un MFA, la solución es la siguiente:
Hay que agregar los siguientes dos parametros dentro del "Sid": "DenyAllExceptListedIfNoMFA":
iam:ChangePassword
iam:CreateLoginProfile
Ejemplo de la política ya con los parametros agregados.
Con estos cambios el usuario puede utilizar la contraseña temporal para accesar y crear una contraseña permanente, luego tiene que asignar un MFA y salir de la cuenta, al volver a ingresar con su nueva contraseña y su MFA va a tener acceso a todo lo designado.