MFA 強制ポリシーを適用した IAM ユーザーで初回ログイン時のパスワード変更(リセット)ができない時の対処法 | DevelopersIO
明示的な Deny と iam:ChangePassword がキーワードです。
dev.classmethod.jp