src: link
Os tipos "AWS :: IAM :: Role" agora têm um campo "ManagedPolicyArns" onde você pode definir isso. Você só precisa pegar o ARN (fácil de pegar do console IAM) e colocá-lo nesse campo. No exemplo abaixo, criei uma função que fornece acesso ECR somente leitura, para que minha imagem possa extrair contêineres docker do ECR.
ecrRole:
Type: AWS::IAM::Role
Properties:
Path: "/"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly"
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service:
- ec2.amazonaws.com
Action:
- sts:AssumeRole