この問題の正解は
「IAMロールのアクセスポリシーに組織IDを指定したaws:PrincipalOrgIDグローバル条件キーを追加する。
これをEC2インスタンスにアタッチする」
とされています。
しかし、上記のIAMロールの権限の割り当て先は、組織IDやOU、ユーザなど、EC2インスタンスへアクセスする側に
しないといけないのではないでしょうか？
「EC2インスタンスにアタッチする」は誤りで、aws:PrincipalOrgIDグローバル条件キーを追加したポリシーを
組織IDやOU、ユーザなど、EC2インスタンスへアクセスする側にアタッチしないといけないと思ったのですが
いかがでしょうか？

ご存じの方がおられたら、教えて下さい。
宜しくお願いします。