As funções do IAM se aplicam aos seus servidores, não aos do Heroku, então eles não são uma opção aqui.
Sim, você pode - e deve - fornecer acesso usando um usuário do IAM com permissões limitadas, em vez de seu usuário root. Seria legal se Heroku adicionasse isso aos seus documentários, mas imagino que eles queriam manter as pessoas em primeiro lugar mais simples.