Для Amazon Webservices IAM есть способ, позволяющий создать роль с некоторыми политиками, которые разрешают только чтение в консоли, но позволяют чтение / запись с использованием API / CLI / Terraform.
Цельявляется принудительное использование инфраструктуры как кода, чтобы избежать смещения конфигурации.
Любые идеи или ссылки на лучшие практики приветствуются.