Роли IAM используются для предоставления учетных данных для вызова API на AWS. Например, это могут быть вызовы для запуска экземпляров Amazon EC2 или для изменения сетевых настроек.
На основе вашего описания ваш бастионный сервер не должен делать какие-либо вызовы API для AWS, поэтому Роль IAM не требуется .
Аутентификация для S SH выполняется операционной системой Linux с использованием пар ключей. Это «обычный» Linux и не включает AWS (за исключением того, что AWS может генерировать пары ключей для вас, если вы не можете sh импортировать свои собственные пары ключей).
Кстати вместо использования S SH через сервер Bastion вы можете рассмотреть возможность использования AWS диспетчера сессий Systems Manager , который может обеспечить S SH -подобное подключение, в том числе к экземплярам в частных подсетях.