コンバンハ、千葉(幸)です。 今回想定しているのは以下のようなケースです。 IAM グループに MFA 強制ポリシーをアタッチしている 新規の IAM ユーザーを IAM グループに所属させる形で作成する IAM ユーザーには初回サインイン時のパスワードリセットを求める設定とする 当該ユーザーがパスワードリセットを試みた際にエラーが発生する 回避策をご紹介します。 先にまとめ 初回ログイン時のパスワード変更はiam:ChangePasswordというアクションを呼び出している 公式ドキュメントのポリシーを参考にする際は必要に応じてカスタマイズが必要 最低限iam:ChangePasswordを禁止対象から除外することで対応する iam:ChangePasswordを明示的に Allow する必要があるかどうかはアカウントのポリシーに依存する MFA 強制ポリシーとは 公式にそういった名称の