Предположим, что ваше ведро находится в Account-A и ваша лямбда в Account-B. Вы можете сделать это следующим образом:
aws lambda add-permission \
--function-name MyFunction \
--region <your-region> \
--statement-id <whatever> \
--action "lambda:InvokeFunction" \
--principal s3.amazonaws.com \
--source-arn <source-bucket-arn> \
--source-account <Account-A-id> \