Creación de la function IAM falla con AdministratorAccess

Tengo un usuario de IAM con la directiva AdministratorAccess asignada. Tiene un par de keys de acceso / secreto generado y funcionan:

 $ aws-vault exec profile aws sts get-caller-identity { "UserId": "...", "Account": "123...", "Arn": "arn:aws:iam::123...:user/..." } 

Sin embargo, cuando quiero crear un nuevo rol con esa count, obtendré:

 $ aws-vault exec profile aws iam create-role --role-name Test-Role --assume-role-policy-document file://doc.json An error occurnetworking (InvalidClientTokenId) when calling the CreateRole operation: The security token included in the request is invalid 

¿Cuál podría ser la razón del fracaso?

Los tokens de session dados por aws-vault no son utilizables para algunas acciones como crear roles. En lugar de ello, se debe utilizar aws-vault exec -n profile ... para usar el perfil raíz (no la session).