Мне нужен пользователь Amazon S3 с полным доступом к одной корзине

У меня есть пользователь foo со следующими привилегиями (он не является членом какой-либо группы):

{
  "Statement": [
    {
      "Sid": "Stmt1308813201865",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::bar"
    }
  ]
}

Однако этот пользователь, похоже, не может загружать или выполнять большую часть чего-либо, пока я не предоставлю полный доступ аутентифицированным пользователям (что может относиться к любому). Это по-прежнему не позволяет пользователю изменять разрешение, поскольку boto выдает ошибку после загрузки, когда он пытается сделать key.set_acl ('public-read') .

В идеале этот пользователь должен иметь полный доступ к сегменту bar и ни к чему другому, что я делаю не так?