Как безопасно разрешить веб-приложениям читать / писать в S3? (новый способ с IAM)

Я уже два часа бился головой об стену об этом. Расстраивает то, что Amazon так усложнила это, хотя в этом нет необходимости.

Допустим, у меня есть корзина с именем «test» и новый пользователь IAM «bob» со своим собственным идентификатором ключа и секретным ключом, который веб-приложение будет использовать для доступа к указанному сегменту. Как мне это настроить? Документы Amazon оказались бесполезными.

Вот где я так далеко.

У меня есть политика для предоставления пользователю полного доступа к S3:

И у меня есть идентификатор и секрет ключа пользователя, которые я ввел в Transmit, чтобы проверить, могу ли я подключиться (а я не могу).

Я не уверен, что делать дальше. Я использую ключи пользователя для подключения, и он имеет полный доступ, поэтому я не знаю, что не так. Любая помощь была бы замечательной.