Encontre políticas mínimas na AWS que o usuário precisa

Mas quais são exatamente as políticas mínimas https://console.aws.amazon.com/iam/home?#policies que deve ser permitido ao usuário para este comando (ou qualquer outro específico)?

Não existe uma única política "mínima", como a que você solicita, com exceção da política "AdministratorAccess", que permite executar todos os comandos. Mas ter tanto poder é perigoso e não deve ser usado sem razão.

Cada uma das políticas é projetada para determinadas combinações de comandos que você deseja executar. Alguns têm acesso total para funções somente leitura (como as funções description*) e não têm poder de "mudar" nada. Outros têm controle total para determinados serviços da AWS (como permitir EC2, mas não RDS).

Se você realmente deseja o "mínimo", as políticas integradas não são o que você deseja. Em vez disso, você deseja usar o IAM Policy Generator para gerar uma política personalizada específica para o que você precisa executar.

No seu caso, para executar aws ec2 describe-instances, você simplesmente precisará ec2:DescribeInstancesde uma política como

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1432001253000",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Geralmente há uma correspondência individual entre os comandos e as políticas necessárias para executá-los. Para a maioria dos serviços AWS (como EC2 e RDS), a política necessária imita o nome do comando CLI/API.

Por exemplo, ec2:DescribeInstancespara aws ec2 describe-instances.

Infelizmente, para o Amazon S3, os comandos são um pouco diferentes e não exatamente iguais.

Se você quiser adicionar aws ec2 describe-snapshotscomandos permitidos, basta adicionar ec2:DescribeSnapshotsà lista "Ação" na política acima.