Как запретить все действия с определенной папкой внутри корзины S3?

По сути, эта политика предназначена для семейства AWS Transfer. Мне нужно запретить любой доступ к определенной папке внутри корзины S3. Я попробовал указанную ниже политику, но все же смог просмотреть содержимое папки. Но это было отклонено для операций PUT и DELETE.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::${bucket_name}"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject",
        "s3:GetObjectAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::${bucket_name}/*"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "s3:*"
        ],
      "Resource": [
        "arn:aws:s3:::${bucket_name}/app/restricted",
        "arn:aws:s3:::${bucket_name}/app/restricted/*"
      ]
    }
  ]
}

Ожидается: - Отказано в доступе

Поведение: aws s3 ls s3://sample_bucket/app/restricted/data- Список всего содержимого папки