Ограничение AWS sqs до ec2 с ролью iam

У меня есть SQS, к которому я хочу ограничить доступ к службам, разрешенным для отправки / получения.

После прочтения и проверки я обнаружил, что это должно быть выполнимо с помощью политики доступа на SQS.

Политика, которую я написал:

"Version": "2012-10-17",
  "Id": "arn:aws:sqs:eu-west-1:123456789:HACKsqs03/SQSDefaultPolicy",
  "Statement": [
{
  "Sid": "Sid456789",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::123456789:role/HACKiam01"
  },
  "Action": "SQS:ReceiveMessage",
  "Resource": "arn:aws:sqs:eu-west-1:123456789HACKsqs03"
},
{
  "Sid": "Sid123456",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::123456789:role/HACKiam02"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:eu-west-1:123456789:HACKsqs03"
}
]

Эту политику я прикрепил к SQS.

Две роли были добавлены к двум разным экземплярам EC2, которые я использовал для тестирования. Теперь и там, где еще можно отправлять и получать сообщения. Я не могу понять, почему?

Моя политика неверна? Или я неправильно понимаю документацию?

Пояснение: мне нужна политика, которая позволяет одному экземпляру /securitygroup/iam-role отправлять сообщение и одному экземпляру /sg/iam-role получать.