Apenas resolvi este problema exato. No meu caso, o usuário Ansible AIM foi criado com permissões de administrador completas dentro da zona única da AWS. Eu escolhi a zona não utilizada anteriormente para este experimento:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ec2:Region": "us-east-2"
}
}
}
]
}
Além de desabilitar RDS
e elasticache
(como descrito nas outras respostas aqui), também limitei o ec2.ini a uma única zona:
regions = us-east-2
Esta foi a última peça do quebra-cabeça "acesso proibido".