Что такое IAM Roles и когда их использовать?

IAM Role — набор прав без постоянных ключей. EC2 инстанс с ролью автоматически получает временные credentials через Instance Metadata Service. Это безопаснее, чем хранить ключи в приложении. Также роли используют для cross-account access (один аккаунт assume role в другом), для Lambda и ECS tasks. AssumeRole через STS возвращает временные credentials с TTL.