Найдите минимальные политики в AWS, которые нужны пользователю

Но каковы точные минимальные политики? https://console.aws.amazon.com/iam/home?#policies что должно быть разрешено Пользователю для этой (или любой другой конкретной) команды?

Нет ни одной "минимальной" политики, о которой вы спрашиваете, за исключением политики "AdministratorAccess", которая дает вам возможность выполнять все команды. Но иметь столько власти опасно и не следует использовать ее без причины.

Каждая из политик разработана для определенных комбинаций команд, которые вы можете захотеть выполнить. Некоторые из них предоставляют полный доступ для функций только для чтения (например, функции describe*) и не имеют полномочий что-либо «изменять». Другие предоставляют полный контроль для определенных служб AWS (например, разрешение EC2, но не RDS).

Если вы действительно хотите "минимальный", то встроенные политики вам не нужны. Вместо этого вы хотите использовать генератор политик IAM для создания пользовательской политики, специфичной для того, что вам нужно выполнить.

В вашем случае, чтобы выполнить aws ec2 describe-instances, вам просто понадобится ec2:DescribeInstancesтакая политика, как

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1432001253000",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Обычно существует однозначное соответствие между командами и политиками, необходимыми для их выполнения. Для большинства сервисов AWS (таких как EC2 и RDS) необходимая политика имитирует имя команды CLI/API.

Например, ec2:DescribeInstancesдля aws ec2 describe-instances.

К сожалению, для Amazon S3 команды немного отличаются и не совсем однозначны.

Если вы хотите добавить aws ec2 describe-snapshotsразрешенные команды, то вам просто нужно добавить их ec2:DescribeSnapshotsв список «Действие» в приведенной выше политике.