Необходимые разрешения s3cmd S3 для PUT/Sync

При переходе на AWS EC2 я хочу ограничить права пользователей своих экземпляров по уважительной причине. Одна вещь, которую должны сделать экземпляры, — это получить доступ к файлам на S3 и записать туда файлы. Однако я не могу найти способ добиться этого без предоставления всех разрешений этому пользователю .

s3cmd позволяет мне вызывать «ls» и «du» в корзинах s3, которым я дал разрешение политики, но всегда терпит неудачу с ошибкой 403 при попытке PUT / синхронизации с одной из этих папок. Если я использую свои корневые учетные данные, передача пройдет без проблем.

Итак, я не понимаю, почему, если я даю пользователю все разрешения для указанных корзин, он не может PUT, но если я даю ему arn :aws :s3:::*(все ведра )то можно. Для меня это не имеет смысла.

Кто-нибудь еще имел дело с этим раньше?