Какие разрешения необходимы в QueuePolicy, чтобы разрешить отправку SNS в SQS?

Question

IamRoleSNSPublishSQS:
  Type: AWS::SQS::QueuePolicy
    Properties:
      PolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Sid: Allow-SNS-Messages
            Effect: Allow
            Principal: 
              AWS: '*'
            Action: 
              - "SQS:*"
            Resource: {"Ref": "IncomingEmailSnsTopic"}
            Condition:
              ArnEquals:
                aws:SourceArn: !Ref 'IncomingEmailSnsTopic'
      Queues:
        - {"Ref": "MyQueue"}

Такова моя политика (не обновлять стек Cloudformation).

Когда у меня это есть, сообщение не может быть опубликовано в очереди.

Если я обновлю права доступа:

и установите этот флажок:

затем, когда сообщение публикуется, оно попадает в очередь. Что не так с политикой очереди?

Answer 1

В вашей политике очередей поле Resource в данный момент указывает на ARN темы SNS.

Поле Resource должно указывать на ресурс, к которому применяется политика. Другими словами, ARN очереди (другой вариант - просто использовать подстановочный знак).