Документ политики - это не что иное, как набор разрешений для разрешения / запрета доступа к ресурсам AWS.Эта политика может быть привязана к пользователям / ролям / группам.Если эта политика прикреплена к ролям / группам, пользователи, к которым прикреплены роли (или) список пользователей в группе, будут иметь разрешения, определенные в политике.(Например, доступ к EC2 или VPC и т. Д. ...)
AssumeRolePolicy предоставляется в роли, позволяющей включить доверительные отношения для других служб AWS / учетных записей AWS для использования этой роли и получения разрешений.
Например, Lambda понадобится присоединить роль IAM для определения всех разрешений, необходимых для ее выполнения.
Обычная роль IAM не может быть привязана к лямбде, поскольку не определены доверительные отношения, т. Е. Роль не позволяет использовать ее лямбда.Как только отношение доверия добавлено для лямбды, роль может быть присоединена к лямбде, тем самым получая определенные разрешения.
То же самое будет применяться и для доступа к нескольким учетным записям, если идентификатор учетной записи используется в качестве принципала вместо службы лямбда, гдеиспользуя роль в учетной записи A, можно получить доступ к разрешениям, определенным в роли B (т.е. вы можете получить доступ к учетной записи B с доступом к учетной записи A, если установлено доверие)
В доверительных отношениях предполагаемая роль использует безопасностьСлужба токенов (STS), где предоставляются временные учетные данные для доступа к ресурсам AWS.
Надеюсь, это поможет !!!