Невозможно подключиться к Cognito с помощью интерфейса командной строки AWS.

Я создал экземпляр с голым AL2023. С этим экземпляром связана роль IAM, имеющая единую политику.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "cognito-idp:ListUserPools"
            ],
            "Resource": "*"
        }
    ]
}

У экземпляра открыт весь исходящий трафик. Если я позвонюaws s3api list-buckets --region eu-central-1он работает нормально. Однако, если я позвонюaws cognito-idp list-user-pools --max-results 1 --region eu-central-1он застревает и никогда не возвращается. Запускаем его с--debugоно застревает в

      2023-03-21 15:51:48,435 - MainThread - urllib3.connectionpool - DEBUG - Starting new HTTPS connection (1): cognito-idp.eu-central-1.amazonaws.com:443

Учетные данные загружены правильно

      2023-03-21 15:51:48,335 - MainThread - botocore.credentials - DEBUG - Found credentials from IAM Role: xxx

Если я возьму сгенерированные заголовки, которые выводит отладка, и сделаю запрос на скручивание из того же экземпляра, он будет успешным.

      > curl -X POST -d '{"MaxResults": 1}' \
-H 'X-Amz-Target: AWSCognitoIdentityProviderService.ListUserPools' -H 'Content-Type: application/x-amz-json-1.1' -H 'User-Agent: aws-cli/2.9.19 Python/3.9.16 Linux/6.1.15-28.43.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/cognito-idp.list-user-pools' -H 'X-Amz-Date: 20230321T160116Z' -H 'X-Amz-Security-Token: XXX' -H 'Authorization: XXX' -H 'Content-Length: 17' \
 https://cognito-idp.eu-central-1.amazonaws.com:443
{"NextToken":"xxx","UserPools":[{"CreationDate":xxx,"Id":"xxx","LastModifiedDate":xxx,"Name":"xxx"}]}

Что происходит? почему CLI не может выполнить запрос при вызове Cognito? Экземпляр имеет доступ к Cognito (я могу нормально скручиваться).