Eu me inscrevi para suporte pago e aqui está a resposta, caso isso ajude alguém. Eu tive que editar a política de confiança na função do IAM assim:
{
"Version": "2012-10-17",
"Statement":
[{
"Effect": "Allow",
"Principal": {"Service": "rds.amazonaws.com"},
"Action": "sts:AssumeRole"
}]
}
Depois, consegui adicionar a opção ao grupo de opções e a restauração funcionou. Observe que a política de confiança é chamada de "relação de confiança" no console da Web.