限制S3存储桶访问少数特定角色

Question

我正在尝试编写一个存储桶策略，我希望将当前存储桶访问限制为仅限2个特定角色（具有此角色的任何人都可以访问该存储桶）。以下是我写的政策，但它不起作用。任何可能出错的信息或可能正确的方法都会受到赞赏。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::role-tester",
                "arn:aws:s3:::role-tester/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:userId": [
                        "RoleID1:*",
                        "RoleID2:*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::role-tester"
        }
    ]
}