Проще говоря, роль IAM - это документ , определение того, кто (ваше приложение, AWS сервис и c) может использовать что (список вызовов API) при каких условиях ( перечень условий услуги c, необязательно). Роли управляются IAM сервисом .
STS - это AWS сервис , который используется для получения временных учетных данных. Если вы хотите взять на себя роль, вы запрашиваете эти учетные данные через службу STS. Если у вашего приложения есть разрешения на роль, IAM-сервис предоставит вам разрешения (список вызовов API), которые позволяет эта роль, а STS-сервис вернет вам ваши учетные данные.
Теперь, "когда использовать какой" - не совсем правильный вопрос, учитывая объяснение выше. Но я понимаю, откуда вы взяли эту идею, и, на мой взгляд, лучшим вопросом будет: «Когда использовать службу STS, чтобы взять на себя роль, а когда нет».
Ответ на это, как правило, thumb, если ваше приложение работает на AWS (EC2, Elasti c Beanstalk, Lambda et c), используйте роли напрямую, то есть прикрепите роль к экземпляру. Если ваше приложение использует AWS SDK для любого языка, оно подхватит его без проблем.
Исключением будет случай, если вы захотите выполнить некоторые действия в совершенно другой учетной записи. Затем вам нужно использовать службу STS напрямую, чтобы взять на себя роль в другой учетной записи.
Если ваша полезная нагрузка работает за пределами AWS, используйте STS.