＃このBlogは某社の某IAM好きBloggerへ向けての私信です

まこたんが経験した事として
F1. IAM userはuserが作られた後に出来た新規サービス(actionは除く)はadminグループに属していてもアクセスできない
arn:xxx:yyy... のxxxがアクセス不可までは経験済み
F2. IAM roleの作成と利用のactionは存在している
F3. IAM roleはそれを作成したユーザしかEC2割り当て時にはadminグループに属していても表示されない
F4. IAM roleはマネージメントコンソールへのログインが出来ないなどの制約が強い

ここから推測
G1. F1からIAM userは作成された時点のサービスで固定される
G2. F1からIAM userのActionは作成された時点のactionでは固定されない
G3. F3からIAM roleはIAM userに紐付けられて管理されている
G4. G1からIAM userには暗黙的なresource制約が存在している
G5. G3とG4からIAM roleがIAM userの暗黙的な制約(resourceのみ？)に依存している可能性は高い
G6. F4からIAM roleはIAM user以上に暗黙的制約や制限が設定されている可能性が高い

ということは
G1とG3とG5とG6を考慮するとIAM roleはIAM userの権限を越えられないという確率は非常に高い
さらにF2からパワーユーザにIAM roleの作成と利用の権限を割り当てるのは実用的であるという予想