IAM

AWS側でデフォルトポリシーが用意されている

例：IAMReadOnlyAccess

ポリシーを自分で作ることもできる

GUIのサポートが有る

User,, Group

Roles

IAM Roleのユースケースは、九分九厘、EC2インスタンスに対して権限委譲を行うこと

一般的にユーザを作ったらAPIキー作成やパスワード設定を行い、APIアクセスなり（略）

グループを作ったら、ユーザを追加したり削除したりで権限のコントロールをしますね。

ではロールを作ったら何に使うんでしょうか

その答えはsts:AssumeRoleです。

AssumeRoleはRoleArnを入力するとCredentialsを返すAPI

For example, if a set of permissions hasn’t been used in 90 days, the Cloud IAM Recommender may recommend that you apply a less permissive role. In this case, Cloud IAM recommendations are generated by analyzing the Cloud IAM permissions over a 90 day period for each customer individually. They serve to create an overall model that is used to recommend more secure Cloud IAM policies. Unlike rule-based recommendations, these models and recommendations improve over time.