Parece haver uma opção iam_role na página man:
iam_role (default is no role) - set the IAM Role that will supply the credentials from the instance meta-data.
Uma visão geral superficial do código-fonte sugere que ele obterá o token e girará quando expirarem ...
veja também link para obter detalhes sobre como obter essas credenciais, tokens, etc.