Я настраиваю доступ пользователей IAM только к определенным объектам папки сегментов для загрузки и ограничивает другие группы и подпапки
{
"Version": "2012-10-17",
"Statement":[
{
"Sid":"AllowListBucketIfSpecificPrefixIsIncludedInRequest",
"Action":["s3:ListBucket"],
"Effect":"Allow",
"Resource":["arn:aws:s3:::mybucket"],
"Condition":{
"StringLike":{"s3:prefix":["downloads/*"]
}
}
},
{
"Sid":"AllowUserToReadWriteObjectDataInDownloadsFolder",
"Action":["s3:GetObject"],
"Effect":"Allow",
"Resource":["arn:aws:s3:::mybucket/downloads/*"]
}
]
}