не мог делегировать ec2 управление экземпляром для группировки (политика IAM)
Вам, вероятно, не нужны профили роуминга для Ваших пользователей - Просто устанавливают сценарий входа в систему или предпочтение Групповой политики для подключения пользовательских дисков к соответствующим удаленным долям. После того как Вы отключаете профили роуминга, необходимо найти, что вход в систему спадает до нескольких секунд.
Если это не делает, проверяет, что Ваши групповые политики так просты, как они могут быть (поскольку слишком многие могут расширить времена ожидания входа в систему), и проверьте, что сценарии/политики входа в систему установлены работать асинхронно. Если Вы полны решимости сохранить профили роуминга, гарантировать, что домашние папки пользователей установлены на отдельную долю (и не синхронизируемый как часть профиля), что временная история файлов/IE всегда очищается при выходе из системы (для предотвращения их синхронизировавший), и отключены офлайновые файлы.
Это невозможно. Служба поддержки Amazon ответила на это:
К сожалению, нет возможности увидеть только определенный экземпляр (на основе ec2-tag, идентификатор vpc и т. д.). Действия API "ec2: Describe *" не поддерживать любые условия или ARN на уровне ресурсов. Однако у вас может быть политика, при которой вся группа IAM сможет видеть все экземпляры, но сможет выполнять такие действия, как запуск, остановка, перезагрузка и завершение экземпляров только на экземплярах с определенным tag