Eu sei que você pode configurar uma política do IAM para restringir o acesso aos serviços. No entanto, é possível configurar uma política para permitir o acesso a uma parte de um serviço.

Por exemplo. Eu sou duas instâncias do EC2. Eu preciso criar dois usuários para que eles tenham acesso ao console da AWS, mas somente a uma instância do EC2.