As Políticas do IAM não permitem a restrição de acesso a distribuições específicas do CloudFront. A solução é usar um curinga para o recurso, em vez de apenas referenciar um recurso específico do CloudFront. Adicionar isso à sua política do IAM corrigirá o problema que você está tendo.
Aqui está um exemplo disso em uma política de trabalho do IAM:
{
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"cloudfront:CreateInvalidation",
"cloudfront:GetInvalidation",
"cloudfront:ListInvalidations"
],
"Resource": "*"
}
]
}
Documentos: