Quando você deseja permitir que um grupo acesse um bucket do S3, é bastante comum esquecer que você precisa conceder acesso ao bucket e ao seu conteúdo.
Esta é uma política típica do Amazon IAM:
"Statement": [
{
"Action": "s3:*",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket","arn:aws:s3:::mybucket/*"]
}]
Sem o primeiro recurso, você não terá permissão para listar o conteúdo do intervalo.