Ограничение доступа к S3 bucket для AWS Cognito User с использованием роли IAM и ее политики

У меня есть пользователи, сопоставленные с группой в AWS Cognito. Эта группа Cognito имеет следующую роль ARN: arn: aws: iam:: 58VXCXVXC6G5: role / DEV_GRP_MASTER_READONLY_NEW

DEV_GRP_MASTER_READONLY_NEW - это роль IAM со встроенной политикой, которая предположительно обеспечивает доступ к этой роли для доступа только для чтения.

Мое приложение - это приложение для Windows, которое использует имя пользователя и пароль AWS Cognito для входа в систему, и, исходя из этого, я предполагаю, что, поскольку оно находится в определенной группе Cognito, которая имеет сопоставление с ролью IAM, доступ будет предоставлен соответствующим образом. Тем не менее, кажется, что он не работает, и пользователь может писать в корзину.

Роль встроенная политика

   {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket"
                ],
                "Resource": "arn:aws:s3:::my-bucket",
                "Condition": {
                    "StringLike": {
                        "aws:userid": "AROAJDUEHFJ7EN3F4" //Role Id
                    }
                }
            },
            {
                "Sid": "VisualEditor1",
                "Effect": "Allow",
                "Action": [
                    "s3:GetObject"
                ],
                "Resource": [
                    "arn:aws:s3:::my-bucket/MyFolder/Data/Documentation/Metadata",
                    "arn:aws:s3:::my-bucket/MyFolder/Data/Documentation/Metadata/*"
                ],
                "Condition": {
                    "StringLike": {
                        "aws:userid": "AROAJDUEHFJ7EN3F4"
                    }
                }
            }
        ]
    }

Что я здесь не так делаю? AWS Cognito и IAM Role Mapping