Что касается пользователей и группы IAM, передовой практикой для этого варианта использования является реализация двух групп IAM, например, Incident-Security-operation и Incident-Security-operation-admin, и предоставление разрешений каждой из них при необходимости. Затем вы назначаете пользователей для каждой группы по мере необходимости.
Этот подход способствует гораздо лучшему состоянию безопасности, чем кондиционирование разрешений в одной политике.
С точки зрения эксплуатации гораздо проще и прозрачнее перемещать пользователей между соответствующими группами IAM, чем управлять условными логами c в синтаксисе политики. Использование групп IAM также означает, что членство пользователя в каждой группе легко проверяется.