人が使う IAM ロール(信頼されたエンティティが AWS サービスでない IAM ロール)だけを棚卸しする | DevelopersIO
完全に「人が使う IAM ロール(信頼されたエンティティが AWS サービスでない IAM ロール)」に合致しているわけではないですが、多くのケースでは充足するかと思います。考え方の参考にしてもらえればと思います。