IAMロール
IAMユーザと違い、AWS上のリソースに対して付与できる
https://gyazo.com/14909f55ce62ed457673793d97cc4911
この画面から分かるように、それ以外のものに対しても付与できる
別のAWSアカウント
web ID
指定された外部ウェブ ID プロバイダまたは OpenID Connect (OIDC) プロバイダによってフェデレーションされたユーザーがこのロールを引き受けてお客様のアカウントでアクションを実行することを許可します
つまりAWS側が認めたなにかか、オープンな仕様に基づいた認証プロトコルに付与できる
SAML 2.0 フェデレーション
https://ja.wikipedia.org/wiki/Security_Assertion_Markup_Language
よくわからんがシングルサインオンとかID連携とかで使うらしい
https://qiita.com/montama/items/90bb8a3973d101be4690
http://blog.serverworks.co.jp/tech/2018/02/16/understarnd_iam_role/
IAMユーザと対比すると、IAMユーザは(たしか)個別に何らかのクレデンシャルを保有して、それを伝えることで認証する
IAMロールの場合は、AWSサービスなら内部的に信頼を担保する
他の場合も、各種のプロトコルに則って信頼を確認する
https://e-book-info.com/difference-between-iam-user-and-iam-role/