Почему моя политика корзины AWS S3 не переопределяет мою политику IAM?

У меня есть пользователь в моей учетной записи IAM с именем «testuser», у которого есть права администратора, например:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

И затем у меня есть политика в моей корзине S3, которая запрещает этому пользователю доступ, вот так:

{
  "Statement": [
    {
  "Effect": "Deny",
  "Principal": {
    "AWS": "my-account-id:user/testuser"
  },
  "Action": "s3:*",
  "Resource": "arn:aws:s3:::my-bucket-name/*"
    }
  ]
}

Итак, явный запрет в политике корзины S3 должен переопределять разрешение политики IAM, верно? Но когда я вхожу в систему как тестовый пользователь, у меня по-прежнему есть доступ ко всему в этой корзине -. У меня даже есть доступ к изменению или удалению политики корзины для этой корзины (и для всех остальных корзин тоже ). Почему мой явный отказ ничего не делает?