Найдите минимальные политики в AWS, которые нужны пользователю

Но каковы точные минимальные политики https://console.aws.amazon.com/iam/home?#policies что должно быть разрешено пользователю для этой (или любой другой конкретной) команды?

Не существует единой «минимальной» политики, такой как вы спрашиваете, за исключением политики «Доступ администратора», которая дает вам возможность выполнять все команды. Но такая большая мощность опасна и не должна использоваться без причины.

Каждая из политик предназначена для определенных комбинаций команд, которые вы можете захотеть выполнить. Некоторые из них имеют полный доступ к функциям только для чтения (например, функции описания *) и не имеют права «изменять» что-либо. Другие полностью контролируют определенные сервисы AWS (например, разрешают EC2, но не RDS).

Если вы действительно хотите «минимума», то встроенные политики - не то, что вам нужно. Вместо этого вы хотите использовать генератор политики IAM для создания настраиваемой политики, специфичной для того, что вам нужно выполнить.

В вашем случае для выполнения aws ec2 describe-instances, тебе просто понадобится ec2:DescribeInstances в такой политике, как

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1432001253000",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Обычно существует взаимно однозначное соответствие между командами и политиками, необходимыми для их выполнения. Для большинства сервисов AWS (таких как EC2 и RDS) необходимая политика имитирует имя команды CLI / API.

Например, ec2:DescribeInstances для aws ec2 describe-instances.

К сожалению, для Amazon S3 команды немного другие и не совсем однозначные.

Если вы хотите добавить aws ec2 describe-snapshots к разрешенным командам, тогда вы просто добавляете ec2:DescribeSnapshots в список «Действие» в приведенной выше политике.