Скорее всего не хватает каких-то ролей. Для того чтобы это дебажить нужно перейти в Instance Group'у, которая создается для Node Group'ы. Там будут сообщения об ошибках.
Я предполагаю, что не хватает роли
vpc.publicAdmin, так как вы создаете группу с `NAT=true` она нужна SA, который будет в нод группе.