Проблема с Cloudwatch Event Targeting Автоматизация SSM

Я хочу иметь возможность закрыть все экземпляры ec2 с определенным тегом, вызванным запланированным событием cloudwatch. Однако, когда я выбираю SSM Automation в качестве цели и выбираю документ StopEC2Instance, он требует от меня идентификаторов отдельных экземпляров. Поскольку идентификаторы экземпляров могут со временем меняться, я хочу вместо этого нацеливать все экземпляры с помощью конкретного тега, чтобы он был более гибким.

Что еще более расстраивает, так это то, что я могу выполнить документ автоматизации StopEC2Instance непосредственно из консоли диспетчера систем, и когда я делаю это оттуда, у меня есть возможность выбрать "контроль скорости" вместо выполнения по умолчанию. С опцией контроля скорости я могу делать именно то, что мне нужно, целевые идентификаторы экземпляров либо определенной группы ресурсов, либо тега и вручную нажимать кнопку выполнения. Все работает отлично, но это должно быть сделано вручную.

Мне нужна Cloudwatch для запуска SSM Automation, но не требуется, чтобы я называл конкретные идентификаторы intance. Любые предложения по присоединению к этим двум требованиям?

Ради этого вопроса давайте предположим, что я не могу вовлекать лямбду в любом случае (хотя я знаю, что это решило бы проблему).