我之前也碰到过一模一样的问题，折腾了好几个小时才搞定，给你几个实际有效的排查方向和解决方案：

1. 优先检查SQS的加密（SSE）与KMS密钥权限 #

这是最容易被忽略的点！如果你的SQS队列启用了服务器端加密（SSE），并且使用了AWS KMS密钥（不管是默认的AWS管理密钥还是自定义密钥），那么光给SQS加策略还不够——S3服务需要有访问这个KMS密钥的权限才能加密/解密发送到SQS的消息。

操作步骤：

• 打开SQS控制台，找到你的队列，查看「加密」标签页，确认是否启用了SSE，以及使用的KMS密钥ARN
• 打开KMS控制台，找到对应的密钥，进入「密钥策略」编辑页面
• 添加一条新的语句，允许S3服务主体访问密钥：

  {
      "Sid": "AllowS3ToUseKMS",
      "Effect": "Allow",
      "Principal": {
          "Service": "s3.amazonaws.com"
      },
      "Action": [
          "kms:GenerateDataKey",
          "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
          "StringEquals": {
              "aws:SourceAccount": "你的AWS账号ID"
          },
          "ArnLike": {
              "aws:SourceArn": "arn:aws:s3:::my-bucket"
          }
      }
  }
  

  保存密钥策略后，再回到S3控制台尝试配置事件通知，大概率能解决问题。

2. 确认S3桶与SQS队列的区域完全一致 #

S3事件通知要求目标SQS队列必须和存储桶在同一个AWS区域。虽然你提到两者都是eu-central-1，但还是建议再仔细核对一遍：

• S3桶的区域：在S3控制台的桶概览页面可以看到
• SQS队列的区域：在SQS控制台的队列详情页面顶部能看到
  哪怕是差一个字符（比如eu-central-1和eu-west-1），都会触发验证失败错误。

3. 再次核对SQS策略的细节 #

你的策略看起来没问题，但几个关键参数必须完全准确：

• aws:SourceAccount：确保是你的纯数字AWS账号ID（不要带任何连字符或后缀）
• aws:SourceArn：必须是S3桶的完整ARN（格式为arn:aws:s3:::你的桶名），不要写成arn:aws:s3:::你的桶名/*（这是对象的ARN，不是桶的）
• 检查队列是否有其他策略语句：比如有没有拒绝S3访问的Deny语句，或者其他策略覆盖了你的允许规则

4. 用AWS CLI绕过控制台配置试试 #

有时候AWS控制台会有缓存或未知的前端问题，用CLI命令直接配置能排除这个可能性，还能得到更详细的错误信息：

aws s3api put-bucket-notification-configuration \
  --bucket my-bucket \
  --notification-configuration '{
    "QueueConfigurations": [
      {
        "Events": ["s3:ObjectCreated:*"],
        "QueueArn": "arn:aws:sqs:eu-central-1:123:my-sqs"
      }
    ]
  }'

如果CLI执行失败，会输出具体的错误原因（比如KMS权限不足、区域不匹配等），比控制台的模糊提示有用得多。

5. 临时关闭S3桶的公共访问阻止（可选） #

虽然理论上公共访问设置不影响S3到SQS的事件通知，但极少数情况下，某些组合的公共访问规则会干扰验证流程。你可以临时关闭「阻止所有公共访问」，配置好事件通知后再重新开启。

内容的提问来源于stack exchange，提问作者arslet1