Determine os requisitos do IAM para o Cloudformation Stack

Atualmente, estou desenvolvendo e lançando uma pilha de cloud computing relativamente simples. Apenas algumas coisas simples do RDS, acionadas por meio do serviço externo de CI + CD.

No entanto, meu ciclo atual de desenvolvimento é incrivelmente ineficiente, simplesmente porque não entendo quais permissões do IAM precisam ser para o grupo de IAM Integração Contínua que configuramos.

Tentarei executar a implantação do modelo Cloudformation, apenas para configurar alguma configuração de erro e iniciar uma reversão. A reversão falhará, pois requer uma permissão diferente para remover o que foi gerenciado para criar até o momento. Eu adicionei as duas novas permissões que descobri, excluo a pilha porque está no estado ROLLBACK_FAILED e tente novamente.

Eu posso apenas curingar todas as permissões para todos os serviços de que preciso, mas isso não pode ser uma boa prática ao entregar algumas credenciais da AWS a um serviço externo.

Por causa disso. Existe uma maneira de saber quais permissões do IAM eu preciso especificamente configurar com base em um modelo de cloudformation? Como alternativa, há alguma lista de permissões do IAM esperadas para cada Cloudformation Resource? Estou sendo muito pedante para tentar limitar o máximo de permissões possíveis? Ou eu estou sempre destinado a este teste de permissão do IAM?