我们希望将图像放在 AWS Marketplace 上。该图像将包含一个基于密码的 Web 用户界面。设置该密码的正确方法是什么?
我想到了一些选择:
将密码设置为已知值。首次登录时要求更改密码。希望最终用户不要在无人看管的情况下使用默认密码运行。
将密码设置为随机值。以某种方式将其传达给最终用户。如果是这样,我们如何将其传达给最终用户?是否可以通过正在运行的 EC2 实例中的 API 找出帐户所有者的电子邮件?
创建一个引导 Web 应用程序,通过要求用户提供他们的 EC2 安全凭证来对用户进行身份验证,然后让他们为实际的 Web 应用程序指定密码。
如果有办法在实例配置之前获取用户输入,那么显然我们可以提示输入新密码。在 EC2 上从 AWS 市场配置映像时,有没有办法提示用户输入?
对于上述明显的安全漏洞,我深感抱歉。
上述任何选项都是正确的选择吗?有推荐的方法吗?最不安全的方法是什么?