以下是一个将AWS S3存储桶策略设置为拒绝访问，并使用签名URL打开的代码示例：

import boto3

def create_presigned_url(bucket_name, object_name, expiration=3600):
    # 创建S3客户端
    s3_client = boto3.client('s3')
    
    # 生成签名URL
    response = s3_client.generate_presigned_url(
        'get_object',
        Params={
            'Bucket': bucket_name,
            'Key': object_name
        },
        ExpiresIn=expiration
    )
    
    return response

def update_bucket_policy(bucket_name):
    # 更新存储桶策略为拒绝访问
    s3_client = boto3.client('s3')
    
    policy = {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "DenyAllAccess",
                "Effect": "Deny",
                "Principal": "*",
                "Action": "s3:GetObject",
                "Resource": f"arn:aws:s3:::{bucket_name}/*"
            }
        ]
    }
    
    policy = json.dumps(policy)
    
    s3_client.put_bucket_policy(
        Bucket=bucket_name,
        Policy=policy
    )

# 示例用法
bucket_name = 'your-bucket-name'
object_name = 'your-object-key'

# 更新存储桶策略为拒绝访问
update_bucket_policy(bucket_name)

# 获取签名URL
presigned_url = create_presigned_url(bucket_name, object_name)

# 输出签名URL
print(presigned_url)

请确保已安装并配置了正确的AWS CLI凭证。此示例使用了Boto3库来与AWS S3进行交互。

首先，我们定义了一个update_bucket_policy函数来更新存储桶策略为拒绝访问。在这个函数中，我们使用boto3.client('s3')创建了一个S3客户端，并将存储桶策略设置为拒绝访问。

然后，我们定义了一个create_presigned_url函数来生成签名URL。在这个函数中，我们再次使用boto3.client('s3')创建了一个S3客户端，并使用generate_presigned_url方法生成签名URL。我们将URL的过期时间设置为3600秒（1小时），但你可以根据自己的需求进行调整。

最后，我们使用示例用法将存储桶名称和对象键传递给这两个函数，并打印出生成的签名URL。

请注意，使用签名URL打开对象需要正确的权限配置。确保你已经为使用签名URL打开对象的用户分配了合适的IAM权限。