Infelizmente, o Gerenciamento de identidades e acesso (IAM) da AWS não cobre totalmente esse aspecto específico até hoje, porque são href="http://aws.typepad.com/aws/2013/07/resource-permissions-for-ec2-and-rds-resources.html"> ainda não disponível para todas as ações da API, consulte por exemplo esta nota de Nomes de recursos da Amazon para o Amazon EC2 :
Important Currently, not all API actions support individual ARNs; we'll add support for additional API actions and ARNs for additional Amazon EC2 resources later. For information about which ARNs you can use with which Amazon EC2 API actions, as well as supported condition keys for each ARN, see Supported Resources and Conditions for Amazon EC2 API Actions.
Você descobrirá que todas as ações de ec2:Describe*
ainda estão ausentes de Recursos e condições suportados para ações da API do Amazon EC2 no momento da redação deste documento, que está causando o erro que você está enfrentando.
- Veja minha resposta inicial a Como restringir um usuário a um volume de instância específico na AWS usando a política do IAM para um exemplo como dividir sua política do IAM em relação àquelas partes que não suportam permissões no nível do recurso para evitar esse erro (obviamente, isso não impediria que os usuários vissem toda a sua conta).
Veja também Concedendo permissões necessárias aos usuários do IAM para recursos do Amazon EC2 para obter um resumo conciso dos itens acima e detalhes sobre as chaves de condição ARNs e Amazon EC2 que você pode usar em uma instrução de política do IAM para conceder aos usuários permissão para criar ou modificar recursos específicos do Amazon EC2 - esta página também menciona que a AWS adicionará suporte para ações, ARNs e chaves de condição adicionais em 2014 .
Alternativa / solução alternativa
Dependendo do cenário específico, pode ser mais fácil provisionar apenas uma conta da AWS separada, que pode ser integrada à política do seu IAM por meio de Acesso entre contas: Compartilhamento de recursos entre contas da AWS e faturamento via Faturamento consolidado .