如何使用API​​网关资源策略条件（例如“或”操作）？

Question

我要允许特定的Ips或特定的AWS VPC。

{
    "Effect": "Allow",
    "Principal": "*",
    "Action": "execute-api:Invoke",
    "Resource": "arn:aws:execute-api:ap-northeast-2:1111111:22222222/*/*/*",
    "Condition": {
        "IpAddress": {
            "aws:SourceIp": "220.1.5.0/24"
        },
        "StringEquals":{
            "aws:SourceVpc": "vpc-1a2b3c4d"
        }
    }
}

但是当我在允许的源IP中访问api时，返回403错误