Amazon web services 允许特定AWS权限（Lambda、S3）/角色在同一AWS帐户内执行特定Jenkins作业

我们有一个AWS帐户，其中有一个安装了Jenkins的Ec2实例正在运行，我们已将IAM角色附加到该帐户，并具有s3访问权限

我们有需要aws权限的Jenkins作业，特定于Lambda或CodeCommit等通用作业，还有一些作业需要敏感作业，如getParameters和ssh

通过搜索许多论坛和文章，everone建议将这些权限附加到附加到EC2实例的IAM角色

所以我担心的是

任何访问服务器的用户都可以访问getParameters，并且可以通过CLI命令检索信息。 如果一个作业需要getParameters访问权限，而另一个作业不需要，我们可以将这些权限限制为单个作业吗？ 问题:

到目前为止，我一直在考虑在AWS中创建新角色，特定于作业，将特定权限分组，并通过假定角色在Jenkin作业中使用它们。但是我找不到任何与此相关的主题，因为假设角色将在Ec2中切换当前角色，我假设，但不确定，因为我测试了一次，但未能执行作业。 我还读了很多关于跨帐户角色访问的文章，但我不能这样做，因为我只有一个帐户

那么，是否有任何方法可以在每个作业中临时使用角色（在与EC2附加角色相同的aws帐户中创建）

如果我想实现相同的功能，那么最佳实践是什么。我还考虑过根据严重性对权限进行分组（从通用到敏感），并使用角色为特定作业授予权限？ 请让我知道是否有人应用了上述流程，如果无法应用上述流程，请建议是否有其他方法。谢谢