开发人员想要为AWS SystemsManager实施多账户访问,并计划在其AWS组织内使用两个成员账户.开发人员已经委派了一个IAM角色,该角色允许会员帐户信任SystemsManager（SSM）参数存储和文档资源.在测试来自会员帐户的访问权限时,用户在执行任何与SSM相关的操作时都会收到"访问被拒绝"错误.解决方案架构师确认,在组织的任何服务控制策略（SCP）中都不会拒绝SSM操作.两个成员帐户都被移入了一个与任何拒绝SCP都不相关的测试OU,但是用户仍然收到拒绝访问错误.解决方案架构师应该进行哪些更改以在保持最小特权的同时提供访问权限（）

A．创建一个允许SSM操作的新SCP,并为每个SSM参数存储和文档指定ARN.将新SCP应用于成员帐户已移至的测试OUB．创建一个允许完全访问AWS资源的新SCP将新SCP应用于成员帐户已移至的测试OUC．从当前组织中删除两个成员帐户.创建一个新的组织,将拥有SSM资源的帐户作为新的主帐户,将另一个帐户作为新组织的成员.创建一个新的SCP,该SCP允许完全访问AWS资源D．从当前组织中删除两个成员帐户.创建一个新的组织,将拥有SSM资源的帐户作为新的主帐户,将另一个帐户作为新组织的成员.创建一个允许SSM操作的新SCP,并为新主帐户中的每个SSM参数存储和文档指定ARN