Ilyesmit úgy szoktam hogy fogom a default-ot role-t aztán szétkapom belőle a policy-ket majd saját role-t gyártok.
Ami nem ad túl sok jogot ott meghagyom az AWS managed policy-t, ha meg nem akkor azokat is egyesével rakom össze így minél kevesebb hozzáférése legyen adott szolgáltatásokhoz, pl ecr:push nem kell.