我来给你理清楚这个问题的核心——EC2的IAM角色是和实例绑定的，不是和你登录的ec2-user这类操作系统用户绑定的，具体运作方式是这样的：

• 当你给EC2实例附加IAM角色并启动后，AWS会自动通过实例元数据服务（IMDS）给实例分配临时安全凭证。这些凭证会定期自动刷新，你完全不用手动维护。AWS CLI、SDK或者任何基于AWS工具链的程序，都会默认去IMDS获取这些凭证（路径是http://169.254.169.254/latest/meta-data/iam/security-credentials/[你的角色名]），所以不需要执行aws configure输入密钥。

• 不管你用哪个操作系统用户登录实例（ec2-user、root，甚至你自己创建的其他用户），只要在这个实例上运行AWS相关命令或程序，默认都会使用这个实例角色的权限。因为凭证是存储在实例层面的，和你当前登录的OS用户没有直接关联。比如你用ec2-user跑aws s3 ls，和切换到root跑同样的命令，用的都是同一个实例角色的权限。

• 如果你想给不同的OS用户分配不同的AWS权限，那实例角色就满足不了需求了。这种情况下，你需要给每个OS用户单独配置AWS凭证：比如在用户的~/.aws/credentials文件里添加不同IAM用户的密钥，或者使用像aws-vault这类工具来管理多用户凭证。但这已经脱离了实例角色的范畴，属于本地凭证管理的范畴。

简单总结：实例角色是给整个EC2实例授权的，所有在实例内运行的进程默认都继承这个角色的权限，和你用哪个OS用户登录无关。如果要限制OS用户的AWS权限，得靠本地凭证配置，而非实例角色。

内容的提问来源于stack exchange，提问作者Victori