要限制访问特定子网的AWS IAM策略，你可以使用VPC条件键和ec2:VpcId条件，以及允许的特定子网ID。

下面是一个示例IAM策略，展示了如何限制用户只能访问指定子网的EC2实例：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccessToSpecificSubnet",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:VpcId": "your-vpc-id",
                    "ec2:SubnetId": "your-subnet-id"
                }
            }
        }
    ]
}

在上面的示例中，你需要将"your-vpc-id"替换为你的VPC的ID，将"your-subnet-id"替换为你要限制访问的子网的ID。

这个策略将允许用户执行DescribeInstances、StartInstances和StopInstances操作，但仅限于指定的子网。对于其他子网中的EC2实例，用户将没有权限进行这些操作。

请注意，此策略只适用于EC2实例级别的访问控制，并不会对其他AWS资源（如S3存储桶）施加限制。如果你需要限制对其他资源的访问，请在该策略中添加适当的条件。