Как ограничить доступ к конкретному документу ssm, который может запускаться только в конкретном экземпляре ec2?

У меня есть требование создать политику, которая будет иметь доступ к специально созданному документу ssm, который может работать только в указанном экземпляре EC2.

Я пробовал что-то вроде этой политики, но этого недостаточно для управления документом, который будет запускаться в экземпляре.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2messages:DeleteMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:FailMessage",
                "ec2messages:AcknowledgeMessage",
                "ec2messages:SendReply",
                "ec2messages:GetMessages"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssm:UpdateAssociationStatus",
                "ssm:ListInstanceAssociations",
                "ssm:ListAssociations",
                "ssm:UpdateInstanceAssociationStatus"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:xxxxxxxxxx:document/xxxxxxxxxx",
                "arn:aws:ec2:us-east-1:xxxxxxxxxx:instance/*"
            ]
        }
    ]
}

Это выполнимо?

Помощь очень ценится. Спасибо