パスワード・ポリシーの作成

IAMのアイデンティティ・ドメインに最大10個のパスワード・ポリシーを作成し、相対優先度を割り当てて、グループにアタッチします。グループを複数のパスワード・ポリシーに割り当てることはできません。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「設定」をクリックします。
  3. 「パスワード・ポリシー」をクリックします。
  4. 「追加」をクリックします。
  5. ポリシーの名前と説明を入力します。
  6. 「優先度」の値を入力します。

    優先度は、1から10の任意の整数(1が最高優先度、10が最低)にすることができます。既存のパスワード・ポリシーが入力したものと同じ場合は、そのポリシーが次の優先度番号に移動します。たとえば、優先度が2のパスワード・ポリシーと3の別のポリシーがあり、優先度が2のポリシーを作成すると、既存のポリシーの優先度は3と4にリセットされます。

  7. 1つ以上のグループをパスワード・ポリシーに追加するには、「追加」をクリックし、グループを選択してから、「追加」をクリックします。

    各グループに割り当てることができるポリシーは、1つのみです。

    ユーザーが複数のグループに割り当てられている場合、優先度の最も高いパスワード・ポリシーが、ユーザーに適用されるパスワード・ポリシーです。

  8. このアイデンティティ・ドメインに設定するポリシーのタイプ: 「簡易」「標準」または「カスタム」)を選択します。

    「簡易」または「標準」を選択すると、選択したポリシーの基準が表示されます。これらのポリシーの基準は変更できません。

    「カスタム」を選択した場合は、次の基準をカスタマイズできます。

    • パスワード長(最小):パスワードに含める必要がある最小文字数。
    • パスワード長(最大):パスワードに使用できる最大文字数。パスワードは500文字を超えることはできません。
    • Expires after (days):パスワードが期限切れになるまでの日数。このオプションを0に設定すると、パスワードは期限切れになりません。
    • アカウント・ロックしきい値:ユーザー・アカウントがロックされるアイデンティティ・ドメインへの連続、失敗のログイン試行回数。0を入力した場合、ユーザーのアカウントはロックされません。
    • 自動アカウント・ロック解除の有効化:ロックされているユーザー・アカウントは、構成された時間が経過すると自動的にロック解除されます。
    • アカウントの自動ロック解除まで(分):ロックされたユーザー・アカウントが自動的にロック解除されるまでの時間(分)。5分から24時間の範囲で値を設定できます。
    • 記憶された前のパスワード:以前使用したパスワードを再使用する前にユーザーが使用する必要のある一意の新しいパスワードの数。
    • アルファベット(最小):パスワードに含める必要があるアルファベット文字の数。
    • 数値(最小):パスワードに含める必要があるアルファベットの数。
    • 特殊(最小):パスワードに含める必要がある数字の数。
    • 小文字(最小):パスワードに含める必要がある小文字の数。
    • 大文字(最小):パスワードに含める必要がある大文字の数。
    • 一意(最小):パスワードに含める必要がある一意の文字の数。パスワードの一意文字の数を増やすことで、推測されやすい反復シーケンスを回避して、パスワードの強度を上げることができます。
    • 繰返し(最大):パスワードに使用できる繰返し文字の数。パスワードでの繰返し文字の使用を制限すると、ユーザーは、同じ文字が複数回繰り返されるような推測されやすいパスワードを指定できなくなり、セキュリティが向上します。
    • 英数字で始まる:すべてのパスワードの最初の文字を英数字にするように強制するには、このチェック・ボックスを選択します。
    • 必須文字:パスワードに含める必要がある英数字または特殊文字をカンマで区切って指定します。
    • パスワードに使用不可: ユーザーの名:ユーザーの名がパスワードのすべてまたは一部として使用されないようにします
    • パスワードに指定不可: ユーザーの姓:パスワードの全部または一部としてユーザーの姓が使用されないようにします。
    • Password must not contain: The user's username:ユーザーのユーザー名がパスワードの全部または一部として使用されないようにします
    • 許可されない文字:パスワードで許可されない英数字または特殊文字をカンマで区切って指定します。
    • 空白:空白文字がパスワードの一部として使用されないようにします。空白文字は水平方向の空白を表す文字です。たとえば、表示名がJohn Smithの場合、「John」の「Smith」の間のスペースは空白文字です
    • 辞書の単語:カスタム辞書にある単語のすべてのパスワードをスクリーニングします。カスタム・ディクショナリには、OWASPの最上位パスワード・リストから導出された一連の単語が含まれており、一般的な置換('a'の場合は@'、's'の場合は$')、これらの単語は禁止されています。
  9. 完了後、「追加」をクリックします。