要给AWS Secrets Manager资源策略指定拒绝所有角色，除了一个角色，您可以使用以下代码示例：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAllExceptOneRole",
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "secretsmanager:*",
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:role/AllowedRole"
        }
      }
    }
  ]
}

在上面的示例中，我们使用了资源策略语法来定义一条拒绝所有角色的策略，除了一个名为"AllowedRole"的角色。以下是一些关键点的解释：

• Sid是策略语句的唯一标识符。
• Effect指定策略语句的效果，这里设置为"Deny"表示拒绝访问。
• Principal指定允许或拒绝访问的主体。在此示例中，我们使用通配符"*"来拒绝所有角色。
• Action指定要拒绝的操作，这里设置为"secretsmanager:*"表示拒绝所有Secrets Manager操作。
• Condition允许您定义更具体的条件以控制访问。在此示例中，我们使用StringNotEquals函数和aws:PrincipalArn条件键来检查主体的ARN是否等于允许的角色的ARN。

请确保将arn:aws:iam::123456789012:role/AllowedRole替换为允许的角色的实际ARN。

将上述策略添加到您的资源上，将拒绝所有角色的访问，除了允许的角色。