FSx доступ только для чтения к S3?

Поддерживает ли FSx доступ к хранилищу данных S3 только для чтения? Мой вывод из документации - нет.

Я работаю над проектом, в котором автоматизированное пакетное задание записывает некоторые производственные данные в S3. Аналитикам данных необходимо прочитать производственные данные, выполнить некоторый анализ и, возможно, создать свои собственные производные данные ad hoc, которые они сохранят во временном локальном хранилище на своих инстансах EC2. Я хочу открыть S3 для аналитиков, использующих FSx, но я хочу убедиться, что пользователи не могут случайно выполнить обратную запись в S3. Я хочу, чтобы у пользователей не было возможности испортить исходные производственные данные.

Вот несколько обходных путей, которые я могу придумать, но мне не нравится ни один из них. Я бы хотел, чтобы был более прямой способ поддержки импорта без экспорта.

• Запустите какое-нибудь задание cron на экземплярах EC2, которое сделает файлы FSx доступными только для чтения. Я не контролирую компьютеры аналитиков EC2 и поэтому не могу гарантировать существование таких заданий cron.
• Выберите параметр импорта «Не обновлять список моих файлов и каталогов, когда объекты добавляются или изменяются в моей корзине S3». Мне это не нравится, потому что аналитики часто создают долгоживущие машины EC2, а данные в корзине S3 регулярно обновляются. Я хочу, чтобы аналитики всегда имели доступ к последним данным.
• Выберите префикс экспорта (например, trash), отличный от префикса импорта, и добавить некоторую логику (например, с помощью политики корзины или какой-либо другой запланированной настройки), которая превращает префикс, по сути, в бездонную мусорную корзину, удаляющую данные немедленно или с некоторой периодичностью.
• Отключить доступ для записи S3 через роль IAM экземпляра EC2? Это может на самом деле работать, но также может создавать странные баги и ошибки.