Минимальные действия политики AWS, необходимые для получения файлов Glacier через S3?

Я пытаюсь создать политику для учетной записи IAM, которая позволит сотруднику иметь полные разрешения на чтение для нашего S3 ( жизненный цикл до Glacier), с нет ненужными способностями записи, чтобы избежать любого повреждения наших резервных копий.

Эта версия чтения должна включать возможность инициировать восстановление файла (Glacier) и загружать его.

Я создал политику, которая разрешает полное Список и Чтение группы уровней доступа, но я получаю сообщение об ошибке «Доступ запрещен», когда пытаюсь инициировать восстановление файла через браузер S3.

Я пробовал смесь проб и ошибок и угадывал, какие действия казались подходящими, но безуспешно.

минимальные действия, которые я должен выбрать из Запись / Управление разрешениями / Группы тегов , чтобы гарантировать, что файлы Glacier могут быть извлечены без ненужного доступа для записи?

Спасибо