EC2 IAM - ограничить разрешение CreateTags экземплярами, которые были запущены из AMI с определенным тегом

Кто-нибудь знает, как создать следующее разрешение на AWS IAM:

• Позволяет пометить любой экземпляр EC2 при условии, что:
  • AMI, из которого был создан экземпляр, имеет тег «foo» со значением «bar».

Я вижу, как создать генерал CreateTags разрешение и разрешение пометить конкретный экземпляр, указанный идентификатором экземпляра, но я пока изо всех сил пытаюсь найти способ создать ограничение, которое я хочу.