Минимальные действия политики AWS, необходимые для получения файлов Glacier через S3?

Я пытаюсь создать политику для учетной записи IAM, которая позволит сотруднику иметь полные разрешения на чтение для наших корзин S3 (с жизненным циклом в Glacier), без лишних возможностей записи, чтобы избежать какого-либо повреждения наших резервных копий.

Эта версия чтения должна включать возможность инициировать восстановление файла (Glacier) и загружать его.

Я создал политику, которая разрешает создание групп с полным доступом и доступом на уровне чтения, но при попытке инициировать восстановление файла через браузер S3 я получаю сообщение об ошибке "Отказано в доступе".

Я попробовал смесь проб и ошибок и угадал, какие действия звучали уместно, но безуспешно.

Какие минимальные действия я должен выбрать вгруппахУправление записью /разрешением/Тегирование, чтобы обеспечить возможность извлечения файлов Glacier без лишних прав записи?

Спасибо