在存储桶策略中使用CDN且拒绝条件的S3访问

Question

我有一个S3存储桶，并希望实现以下目标：

1. 使用在同一帐户中承担的IAM角色来获取/放置/删除对象权限。
2. 所有其他人只能通过分发访问，只能获得存储桶

我有：

• 创建了一个用户组并附加了担任该角色的策略
• 创建角色并附加了一个内联策略以定义对S3存储桶的访问。
• 创建了一个存储桶策略，以在用户不使用以下条件承担角色时拒绝访问。

现在，当我尝试通过Distribution（Origin Access Identity）访问存储分区时，上述条件不允许CDN访问它。请提出需要进行哪些条件更改以包括分发和允许访问。

"Condition": {"StringNotLike": {"aws:userId": ["AROAEXAMPLEID:*","9988jkjjk99j8"