使用CloudFormation创建CloudFront S3 Origin时，可能会导致“Access Denied”错误的原因是什么？

【以下的问题经过翻译处理】 在A账户中，我有一个存储桶。该存储桶被配置为阻止所有公共访问，并允许来自cloudfront的GetObject请求，其“aws：ResourceOrgID”与我的orgId相匹配。

在B账户（我的组织内部），我可以创建一个OriginAccessControl，并使用此控制台，手动将url bucketname.s3.region.amazonaws.com添加为s3源，使用此OriginAccessControl，我可以从cloudformation访问文件。 （我还验证了来自组织外部的帐户不可能进行此操作，我认为我的存储桶策略没问题）

尝试使用cloudformation配置完全相同的源会导致以下错误：

Resource handler returned message: "Access denied for operation 'Access Denied. (Service: CloudFront, Status Code: 403, Request ID: ....

我认为，cloudformation要么尝试在后台验证存储桶是否可访问，要么尝试更改存储桶权限。

不幸的是，将存储桶策略操作更改为* for resources BucketName，BUcketname/*没有帮助。

为什么控制台不会造成此故障而cloudformation会造成此故障？