IAMのみによるユーザー管理のみんなのプラクティスを知りたい

回答を集いたいこと

各種ディレクトリサービスやIDプロバイダーとの連携をせず、純粋なAWS IAMのみでユーザーを管理する必要があります。

IAMユーザー管理のインターフェースとして、AWS Management Console、CLI、CloudFormationを使用できます。

ユーザーの総数は50名程度です。但し、組織改編や人事異動により、常に流動的で、継続的に維持管理する必要があります。又、無効としたユーザーも、情報として維持する必要があります。

概ね、以下の管理業務が推測されています。

• 初回登録時のバルク処理
• 不定期のユーザー情報の変更処理（新規追加、情報の置換、無効化）
• 定期的なユーザー情報の棚卸し

人手によりManagement Consoleで維持管理することをミニマル実装とした場合、CLIやCloudFormationを使用してこんな風に効率的にやっているよ、というプラクティスがあれば、お聞きしたいです。

漠然とした懸念

• 細々としたシステム管理上の運用は大変な気がしています。
• CLIで管理するためにスクリプトを作った方が結果的に楽そうだが、既にあるコンソールの二重開発になる気がしてしています。
• CloudFormationでの管理は職人技になり伝承のコストがかかるような気がしています。

今のところの実装予定

• 初回登録作業は、スクリプトを作成し、CLI経由でバッチ処理をします。
• 不定期の変更作業は、Management Consoleで人手により処理をします。
• 定期的な棚卸しは、リストをダンプするスクリプトを作成し、CLI経由で情報をCSVなどでダンプします。そのダンプした情報をみて、あーだこーだと言った結果は、不定期の変更作業と同様に処理をします。