AWS Organizations SCP 策略和成员根账户

问：

我有一个拥有 2 个成员账户的 AWS 组织，在根 OU 上应用了 SCP，允许对所有资源执行允许操作。但是，我从其中一个成员账户的根账户访问 IAM 时遇到了问题，收到错误“没有服务控制策略允许 iam：ListUsers 操作”，似乎所有 IAM 操作都被阻止了。

如果我将 SCP 添加到账户或管理账户，明确允许对所有资源执行所有 IAM 操作，那么我似乎能够从成员账户根用户执行 IAM 操作。

因此，当我有一个允许对所有资源执行所有操作的 SCP 时，为什么我需要隐式允许 IAM 操作感到困惑

我向账户或管理账户添加了一个 SCP，专门允许对所有资源执行所有 IAM 操作，然后我似乎能够从成员账户根用户执行 IAM 操作。