Как вы принудительно используете MFA для пользователей AWS IAM, но позволяете им сменить пароль при первом входе в систему?
Если вы следуете Документам AWS иПринудительно MFA, новые пользователи не могут изменить пароль, когда они впервые получают свои учетные записи.
Я знаю, что вы можете либо принудительно MFA или не и позволить пользователям управлять своим собственным паролеми полномочия. Кроме того, в AWS есть способ обойти эту проблему, но это не рекомендуется:
Этот пример политики не позволяет пользователям сбрасывать пароль при входе в систему. Новые пользователи и пользователи с просроченным паролем могут попробоватьсделать это. Вы можете разрешить это, добавив iam: ChangePassword в оператор DenyAllExceptListedIfNoMFA. Однако IAM не рекомендует этого. Разрешение пользователям изменять свой пароль без MFA может быть угрозой безопасности.
Так, каков «рекомендуемый» способ?
Этот вопрос был также задан на форуме AWS без реального ответа.