通过 S3 检索 Glacier 文件需要哪些最低 AWS 策略操作？

我正在尝试为 IAM 帐户创建一个策略，该策略将允许员工对我们的 S3（生命周期到 Glacier）存储桶拥有完全读取权限，不不必要的写入能力，以避免对我们的备份造成任何损害。

此版本的读取需要包含启动文件恢复（Glacier）并下载的能力。

我制定了一项政策，允许全面列表和读访问级别组，但是当我尝试通过 S3 浏览器启动文件恢复时出现访问被拒绝错误。

我尝试了多种方法，包括反复试验，并猜测哪些操作听起来相关，但没有成功。

我应该从中选择哪些最少的行动写/权限管理/标记群组以确保可以检索 Glacier 文件，而无需不必要的写访问权限？

谢谢