IAMロールとアクセスキーのベストプラクティスの危険性について

たとえばEC2からS3を使用するとき、権限の付与についてのベストプラクティスは、アクセスキーを発行してそのアプリから使うというものではなく、そのS3にアクセスするためだけのIAMロールを作って、それをEC2インスタンスにアタッチするものだと思います。

アクセスキーはそれを知ってさえいれば、世界中どこからでも無制限に使用できてしまうので、AWS外からのアクセス以外では使用しないようにするのがベストプラクティスだ、という理屈はわかります。

ここで、ある1つのEC2インスタンスでWebアプリが動いているとします。このアプリはS3を使用しています。IAMロールをアタッチする方式の場合は、このインスタンス外からこのS3バケットにアクセスすることはできないので安全なように見えます。しかしながら、このインスタンス上で任意のコードを実行できれば、そのコードを実行するのがこのWebアプリとは全く無関係のUNIXユーザであったとしても、誰でもS3バケットにアクセスできてしまいます。

アクセスキーを使う方式であれば、そのキーがWebアプリのユーザとして保持されていて、権限が0600になっていれば、もしインタンス上の他のアプリやミドルウェアなどが乗っ取られたとしても、このWebアプリのユーザ(またはroot)の権限が乗っ取られない限りは、S3へのアクセス権限が奪取されることはありません。

もちろんアクセスキーの漏洩はないという前提ではありますが、ベストプラクティスを守ってIAMロールを使った方が、UNIXユーザによる権限の分離が全て無効になり、かえって危険性が上がってしまうように感じるのですが、これについては皆様はどうお考えでしょうか?