Использование IAM для обмена EC2 с группой

Мне нужно поделиться образовательным грантом с группой студентов. Я ознакомился с IAM, но не могу понять, как настроить группу так, чтобы учащиеся могли запускать и контролировать экземпляры / группы безопасности, не позволяя им испортить мою личную работу.

У меня есть эта конфигурация, которую я читаю как "разрешить что угодно, если экземпляр не помечен как False for Student".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1385328762000",
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ec2:ResourceTag/Student": "False"
        }
      }
    }
  ]
}

Похоже, это ничего не делает, основываясь на теге "Студент". Я также попробовал две политики: одну разрешить всем на ec2, а другую запретить все, если тег Student имеет значение False, как показано ниже. Это позволяет мне быть тем, кто должен помнить, чтобы пометить мои вещи, и студенты могут делать все, что угодно. Опять же, это не имеет значения, учетные записи студентов, с которыми я тестирую, могут видеть все, что они хотят, политика разрешить все заменяет политику запрета, если она помечена.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1385328762000",
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*"
    }
  ]
}
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt138235328000",
      "Effect": "Deny",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Student": "False"
        }
      }
    }
  ]
}