Geralmente, há uma correspondência de um para um entre as funções da API ec2 e as permissões. Então, muito do que você tem em sua política é bom.
Você precisa adicionar a permissão iam:PassRole
. Isso ocorre porque sua solicitação pontual provavelmente está fornecendo uma função do IAM para que suas novas instâncias do EC2 sejam executadas.
A permissão iam:PassRole
é necessária porque sua função lambda está potencialmente criando uma instância com permissões mais altas do que a própria. Isso pode levar a cenários de segurança perigosos. Portanto, essa permissão extra é necessária e, geralmente, é restrita a uma lista finita de funções que pode ser atribuída usando a propriedade Resource
.