Это не общий ответ, а ответ на мою проблему. Мой вариант использования заключался в том, чтобы разрешить заданиям запускать экземпляры EC2. Amazon предоставляет функции, позволяющие заданиям на определенных экземплярах получать доступ к функциям AWS без сохранения учетных данных в самом экземпляре: http://docs.aws.amazon.com/IAM/latest/UserGuide/role-usecase-ec2app.html