Можете ли вы использовать роли IAM для подключения из приложения, отличного от AWS, к сервисам AWS?

У нас есть некоторая гибридная среда, в которой некоторые приложения работают в нашем собственном центре обработки данных, а другие сервисы работают в облаке AWS.

Теперь у нас есть приложение, которое должно записывать файлы в S3. В нашем текущем решении мы создали пользователя IAM (с ключами доступа), у которого есть встроенная политика для записи / перечисления / удаления объектов в определенном сегменте.

Это работает, но это не так безопасно, вероятно, потому что учетные данные безопасности постоянный. Одним из основных преимуществ использования ролей AWS является то, что учетные данные меняются в определенном временном интервале и сохраняются в виде метаданных.

Я знаю, что вы можете назначить роль для EC2, и поэтому EC2 может безопасно подключаться (например) ведро S3 и делать свои разрешенные вещи. Но как мы должны справиться с этим для приложений, которые НЕ работают на AWS, но нуждаются в подключении к сервису AWS?