ローカルPCに残る資格情報は長期キーではなく、
STS(AssumeRole)の一時的なセッショントークンです。

・最大12時間で自動失効し、再利用不可
・暗号的に AWS が発行し、クラックは不可能
・CloudTrail に完全記録される
・IAM Identity Center(AWS SSO)と同じ仕組み

つまり、資格情報が残ってもそれは「残っているように見えるだけ」で、
実際には一定時間後に必ず無効化される安全仕様です。

長期キーを発行する場合よりも圧倒的にリスクが低く、
AWS 公式の推奨パターンに沿った最も安全な方法です。

CloudShell が使えない場合、
AWS 側で完全に管理できる実行環境として EC2(SSM 管理)を利用するのが
AWS のセキュア運用上のベストプラクティスです。

・EC2 はパブリックIPなしの private subnet
・NAT 経由で Route53 API のみ利用
・EC2 に IAM ロール付与 → 資格情報は一切残らない
・接続は SSM のみ → ローカルPCは AWS に直接アクセスしない
・CloudTrail / SSM で操作証跡も残る

ローカルPCに資格情報が残らず、
AWS管理範囲の中だけで完結するため、
セキュリティとガバナンスの両面で最も安全です。