Amazon web services 使用CMK的SQS加密

我正在尝试从加密的SQS读取消息。对象落在S3存储桶->触发S3事件->发送给SQS的消息->SQS触发Lambda处理

我使用AWS管理的CMK实现了这一点。但是，我无法使用AWS拥有的CMK（例如alias/AWS/sqs）实现这一点

消息只是在飞行中进入消息中，而不调用Lambda函数

根据这里的AWS文档，如果您没有指定自定义CMK，AmazonSQS将使用AWS管理的CMK进行AmazonSQS。但我们不能附加任何针对AWS拥有的CMK的政策，例如

{
   "Version": "2012-10-17",
      "Statement": [{
         "Effect": "Allow",
         "Principal": {
            "Service": "<<service>>.amazonaws.com"
         },
         "Action": [
            "kms:GenerateDataKey*",
            "kms:Decrypt"
         ],
         "Resource": "*"
       }]
}

我的问题是：是否可以在SQS上使用AWS拥有的CMK，并让Lambda函数能够从该队列中读取

上面的URL中有一个部分称为启用AWS服务之间的兼容性，如Amazon CloudWatch事件、Amazon S3和Amazon SNS以及加密队列

---

它提到将一项政策附加到CMK。但是，可以选择使用别名/aws/sqs。我想知道我是否遗漏了什么。

我与AWS交谈过，KMS AWS托管密钥在这种情况下不起作用。我们无法更改KMS AWS托管密钥的密钥策略，因此在以下场景中不可能：S3 Bucket->Trigger S3 Event->Message sent to SQS->SQS triggers Lambda to Process

我使用KMS AWS客户管理密钥，它工作正常