Управление ключами - Amazon Simple Queue Service
Почему необходимо разрешить S3:
"Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ],