Шаблон AWS SAM, не могу установить KmsKeyArn

Почему это даже проблема? Я установил AES SES (Простой почтовый сервис), который будет шифровать мои сообщения. Итак, в моем шаблоне я создаю ReceiptRule.

  ReceiptRule:
    Type: "AWS::SES::ReceiptRule"
    DependsOn: [ TestEmailBucket ]
    Properties:
      RuleSetName: 
        Ref: RuleSetName
      Rule:
        Name: "TestName
        Enabled: true
        Actions: 
          - S3Action:
              BucketName:
                Ref: InboundEmailBucket
              KmsKeyArn: "arn:aws:kms:eu-west-1:XXXXXX:key/XXXXXXX"
        Recipients:
          - Fn::Sub: default-recipient-to-avoid-catch-all${DomainName}

Код выше работает отлично! Но, конечно, я не хочу жестко кодировать мой KmsKeyArn. Так почему же нельзя просто установить ссылку на это:

Parameters: 
  KmsMasterKeyArn:
    Type: String
    Default: "arn:aws:kms:eu-west-1:XXXXX:key/XXXXXXX"
---------

Actions: 
  - S3Action:
      BucketName:
        Ref: InboundEmailBucket
      KmsKeyArn: 
        Ref: KmsMasterKeyArn

Это не работает для меня... У меня есть много других мест, где ссылка на KmsMasterKeyArn работает. Это просто здесь, в S3Action не работает. Кто-нибудь с решением?