API経由での操作を制限するものなんですね。

マネジメントコンソールでの操作を制限するものなのだとばかり思ってて。

「制限かけたユーザでログインしたマネジメントコンソールがポリシー通りになってない！なんでだ！」
って5日間くらい悩み続けた結果。

アクセスキーや証明書を使ったAPI経由の操作を制限するものだって事に気付いた…。