Создание учетной записи только для чтения для AWS RDS PostgreSQL

Я хотел бы создать учетную запись только для чтения для всех наших экземпляров RDS в AWS (PostGreSQL). Я начал с создания группы IAM и присоединил к ней политику AmazonRDSReadOnlyAccess. Я создал нового пользователя IAM и поместил его в эту группу. Я не могу подключиться к нашей базе данных с этим новым пользователем только для чтения (успешно протестировано с нашей учетной записью администратора). Теперь я понимаю, что у меня нет пользователя с доступом только для чтения в самой базе данных. Что вызывает у меня три вопроса:

1. Есть ли смысл создавать пользователя IAM только для чтения для наших экземпляров RDS, если я могу создать пользователя БД только для чтения внутри базы данных?
2. Когда я получаю доступ к базе данных через командную строку, например. psql --host = имя сервера --port = номер порта --username = имя пользователя --password --dbname = имя базы данных. Насколько я понимаю, это имя пользователя БД, так есть ли смысл создавать отдельного пользователя RDS IAM только для чтения?
3. Если у меня есть пользователь IAM только для чтения для RDS, существует ли опасность, что они все еще могут иметь доступ на запись, если, скажем, кто-то другой создал для них учетную запись записи в БД?