IAMグループにDeveloperグループを作り、PowerUserAccessポリシーをアタッチして使っていたが これだけではIAMロールをEC2インスタンスに設定できなかった。（IAMロールを設定する箇所でアクセス許可がないというエラーメッセージが出る） 以下の公式ドキュメントに書いてある通りにIAMポリシーを作り、Developerグループに適用したがやはりだめ。。

docs.aws.amazon.com

以下の設定でいけると書いてるんだけどなぁ。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:RunInstances",
         "ec2:AssociateIamInstanceProfile",
         "ec2:ReplaceIamInstanceProfileAssociation"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*"
    }
  ]
}

結局以下の権限を追加するといけた。ドキュメントが古いのか？

"iam:ListInstanceProfiles",
"iam:AddRoleToInstanceProfile",