http://teketeke55.hatenablog.com/entry/2012/12/11/151743

ここに書いているように、ConditionにStringLikeでpathを指定してListBucketの権限を指定すると特定ディレクトリの許可は一応できる。
しかしそうするとルートの一覧が見れない。グラフィカルなツールでフォルダをだとっていくことが出来ない。

特定ディレクトリの拒否は仕様上出来ない気がするけどもどうなんだろう。
ディレクトリと書いているけれど厳密にはKVSのキーであり、s3:prefix は prefix の指定にマッチして許可/拒否する。
prefix無し＆delimiter無しでルートから一覧表示されたら s3:prefix での Deny 指定が効かない。

制限をしようとしたら、基本拒否のルールで特定pathを決め打ちするしかないのかな。