Почему для создания сервиса в AWS ECS требуется разрешение ecs: CreateService для всех ресурсов?

Я пытаюсь создать сервис на AWS ECS, используя CloudFormation. Пользователь, пытающийся создать службу, имеет роль, предоставляющую ему разрешение ecs: CreateService в кластере, в котором будет размещена служба. Однако службе не удается создать с этим сообщением об ошибке:

Пользователь: (пользователь ARN) не авторизован для выполнения: ecs: CreateService на ресурсе: *

Почему это разрешение необходимо, если я указал кластер Я' m создание службы?