AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができない

いままでAWSを利用する際に、参照のみの場合はReadOnlyAccess, ある程度権限が必要なユーザーにはAdministratorAccessを付与していましたが、ユーザー数の増加にともないもう少し細かい制御をおこなうことにしました。

新しく利用し始めたポリシーに、PowerUserAccessがあります

PowerUserAccess

AWSによると、PowerUserAccessは以下のとおりです。

デベロッパーパワーユーザーの職務機能 AWS 管理ポリシー名: PowerUserAccess

ユースケース: このユーザーはアプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。

（略）

ポリシーの説明: このポリシーの最初のステートメントでは、NotAction 要素を使用して、すべての AWS サービスのすべてのアクションと、すべてのリソース (AWS Identity and Access Management および AWS Organizations を除く) のすべてのアクションを許可します。2 つめのステートメントでは、サービスにリンクされたロールを作成する IAM アクセス許可を付与します。これは、別のサービスのリソース (Amazon S3 バケットなど) にアクセスしなければならないサービスに必要です。また、ユーザーの組織に関する情報 (管理アカウントの E メールや組織の制限など) を表示する Organizations アクセス許可を付与します。このポリシーは IAM および Organizations アクセスを制限しますが、AWS SSO が有効になっている場合、ユーザーはすべての AWS SSO アクションを実行できます。

AdministratorAccessとPowerUserAccessの違いは、IAMロールを操作できるかどうかということなのですが、AWSの各サービスからのIAMロール参照など、参照もできなくなってしまいました。