Согласно официальной документации AWS, роли IAM могут также быть привязанным к пользователям IAM, а не только к службам.
Каков допустимый вариант использования для назначения роли IAM пользователю IAM?
Разве не все случаи покрываются прямым предоставлением (разрешением / отказом) политик IAM пользователям?
TBH, мое первое впечатление было то, что роли IAM служили для авторизации для сервисов AWS (чтобы они могли взаимодействовать с другими сервисами), поскольку последние не могут быть адресованы в контексте пользователя.