前提：正規表現とは

正規表現とは、文字列内で文字の組み合わせを照合するために用いられるパターンです。JavaScript では、正規表現はオブジェクトでもあります。これらのパターンは RegExp の exec および test メソッドや、String の match、 matchAll、replace、search、および split メソッドで使用できます。

上記はMDN^[1]の引用です

前提：AWSのデフォルトのパスワードポリシー

2021/04/24現在、AWSのデフォルトのパスワードポリシー^[2]は以下のように記載されています。

条件１： パスワードの文字数制限: 8～128 文字
条件２： 大文字、小文字、数字、! @ # $ % ^ & * ( ) _ + - = [ ] { } | ' 記号のうち、最低 3つの文字タイプの組み合わせ
条件3： AWSアカウント名またはEメールアドレスと同じでないこと

条件３は、if文で完全一致するかどうかを判別すればいいので、条件１と２を正規表現でチェックします。

実装その１：条件1と2を肯定的先読みを用いて1行で表現する

以下、完成形のソースコードです。

const symbol = "!@#$%^&*()_+\\-=\\]\\[\\{\\}\\|'";
const regex = new RegExp(
 `^((?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])|(?=.*[a-z])(?=.*[A-Z])(?=.*[${symbol}])|(?=.*[A-Z])(?=.*[0-9])(?=.*[${symbol}])|(?=.*[a-z])(?=.*[0-9])(?=.*[${symbol}]))[a-zA-Z0-9${symbol}]{8,128}$`);

// 条件１と条件２を満たしていない
console.log(regex.test('tT'));
> false
// 条件１を満たしていない
console.log(regex.test('tT@'));
> false
// 条件２を満たしていない
console.log(regex.test('testTEST'));
> false
// 条件１と条件２を満たしている
console.log(regex.test('testTEST@'));
> true

正規表現の部分を噛み砕いていきます。まず、改行して整理すると以下のようになります。

const regex = new RegExp(
 `^
 ((?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])            // ①
 |(?=.*[a-z])(?=.*[A-Z])(?=.*[${symbol}])      // ②
 |(?=.*[A-Z])(?=.*[0-9])(?=.*[${symbol}])      // ③
 |(?=.*[a-z])(?=.*[0-9])(?=.*[${symbol}]))     // ④
 [a-zA-Z0-9${symbol}]                          // ⑤
 {8,128}
 $`
 )

外側から順番に見ていきます。^・・・{8,128}$は８文字以上１２８文字以内であればマッチします。

次に①〜④は一旦飛ばして⑤を見ていきます。^[a-zA-Z0-9${symbol}]{8,128}$は大文字、小文字、数字、指定された記号の、８文字以上１２８文字以内の文字列にマッチします。ただ、このままではaaaaaaaaといった１種類の文字だけであってもマッチしてしまうため、条件２の「大文字、小文字、数字、指定された記号の最低3つの文字タイプの組み合わせ」（以降パターンAと定義します）という条件が満たされていません。

①〜④はパターンAを表現しています。つまり、^(①〜④)[a-zA-Z0-9${symbol}]{8,128}$は、最初の(①〜④)の部分でパターンAにマッチするかをみて、満たしていた場合は、その後続く文字が０文字以上の指定した文字かどうかをみて（[a-zA-Z0-9${symbol}]の部分）、文字長が８文字以上１２８文字以内のパターンを表現しています。

①〜④でやっていることを言語化すると以下の通りです。

①対象の文字列が小文字、大文字、数字にのみ一致する
②対象の文字列が小文字、大文字、指定した記号にのみ一致する
③対象の文字列が大文字、数字、指定した記号にのみ一致する
④対象の文字列が小文字、数字、指定した記号にのみ一致する

それぞれを | でつなぐことによって、「①または②または③または④にマッチするかどうか」というパターンができます。では、①を例に、具体的に見ていきます。(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])は(?=.*[文字])というパターンが３回繰り返されたパターンで、(?=.*[a-z])かつ(?=.*[A-Z])かつ(?=.*[0-9])を満たすかどうかをチェックします。
?=は肯定的先読み（lookahead）という表現で、現在いる位置に続く文字が.*[文字]にマッチする場合のみマッチすることができます。つまり、(?=.*[a-z])というパターンはabcABCという文字列に対し、「a」「b」「c」の前の空文字にマッチします。よって①は、文字列の任意の位置で、後に続く文字が小文字、大文字、数字の全てが揃っているかどうかをチェックできます。

以上で実装その１の正規表現の説明を終わります。1行で表現できるため、スタイリッシュなものの、可読性はあまり高くない印象は受けました（自分が未熟なだけかもしれません、、）

実装その2：条件1と2を別の正規表現を定義してチェックする

こちらの表現は実装その１と比べるとシンプルな表現となっています。
下の図のように、大文字、小文字、数字、指定した記号のいずれかにマッチする文字列の組み合わせ（パターン１）から、大文字、小文字、数字、指定した記号の1つ、もしくは２つの文字タイプの組み合わせ（パターン２）を除くと、全ての条件のみを満たした文字列のみがマッチします。

パターン１

大文字、小文字、数字、指定した記号のいずれかにマッチする正規表現は以下のように記述します。

const symbol = "!@#$%^&*()_+\\-=\\]\\[\\{\\}\\|'";
const pass_pattern = new RegExp(`^[a-zA-Z0-9${symbol}]{8,128}$`);

パターン２

大文字、小文字、数字、指定した記号の1つ、もしくは２つの文字タイプの組み合わせの正規表現は以下のように記述します。

const symbol = "!@#$%^&*()_+\\-=\\]\\[\\{\\}\\|'";
const nopass_pattern = new RegExp(`^(([a-zA-Z]+)|([a-z0-9]+)|([a-z${symbol}]+)|([A-Z0-9]+)|([A-Z${symbol}]+)|([0-9${symbol}]+))$`);

まとめ

const symbol = "!@#$%^&*()_+\\-=\\]\\[\\{\\}\\|'";
const pass_pattern = new RegExp(`^[a-zA-Z0-9${symbol}]{8,128}$`);
const nopass_pattern = new RegExp(`^(([a-zA-Z]+)|([a-z0-9]+)|([a-z${symbol}]+)|([A-Z0-9]+)|([A-Z${symbol}]+)|([0-9${symbol}]+))$`);

// 返り値がtrueなら引数の文字列に条件がマッチ
const test = (str: string) => {
  return pass_pattern.test(str) && !nopass_pattern.test(str);
};

// 条件１と条件２を満たしていない
console.log(test('tT'));
> false
// 条件１を満たしていない
console.log(test('tT@'));
> false
// 条件２を満たしていない
console.log(test('testTEST'));
> false
// 条件１と条件２を満たしている
console.log(test('testTEST@'));
> true

参照

https://developer.mozilla.org/ja/docs/Web/JavaScript/Guide/Regular_Expressions#using_parentheses