Есть ли способ использовать IAM в качестве метода аутентификации для PAM?

Это может быть не то, что вы ищете, но, безусловно, подходит как способ использования IAM в качестве «метода» аутентификации для PAM:

Денис Михалкин (denismo) aws-iam-ldap-bridge периодически заполняет расположение каталога LDAP пользователями, группами и ролями из AWS IAM, что, в свою очередь, позволяет использовать libpam-ldap или libpam-ldapd и тем самым неявно аутентифицировать пользователей Linux в AWS IAM, используя их секретные ключи AWS IAM в качестве паролей.

Обратите внимание на следующие довольно существенные оговорки:

1. В настоящее время для подключаемого модуля требуется пользовательская версия ApacheDS, поэтому ручная настройка маловероятна — см. Настройка существующего сервера ApacheDS LDAP
2. Конфигурация по умолчанию НЕЗАЩИЩЕНА, однако вы можете изменить ее в соответствии со своими требованиями — см. Примечания по безопасности

Личная оценка

В то время как встроенная интеграция IAM PAM была бы отличной (а также позволяла бы использовать расширенные варианты использования, такие как многофакторная аутентификация AWS (MFA)), мне нравится прагматичный подход, заключающийся в том, чтобы просто упростить широко используемую интеграцию LDAP, но я определенно предпочел бы решение, которое идеально работает с любым совместимым сервером LDAP или, по крайней мере, со стандартным ApacheDS, чтобы упростить установку, обслуживание и оценку безопасности.