应用场景

以下是需用到访问控制RAM的典型场景。

场景 1：借助RAM用户实现分权

主账号有权限访问Web+主页，出于安全考虑，您可能不希望让过多的人使用主账号。此时，您可以使用主账号对下属RAM子账号授权，将日常运维工作交给子账号来处理。

Web+也支持您调用API，但是需要传入主子账号的AK和SK。AK和SK的安全至关重要，一旦泄露将会造成重大的安全事故。因此，出于安全考虑，您可以用主账号授权RAM子账号用子账号的AK和SK调用OpenAPI。

关于借助RAM用户实现分权的操作方法，请参见借助 RAM 用户实现分权。

场景 2：借助RAM角色实现跨账号访问资源

RAM用户角色是一种虚拟用户，它没有实际的身份认证密钥，需要被一个受信的实体用户（例如云账号、RAM-User账号）扮演才能正常使用。扮演成功后，实体用户将获得RAM用户角色的临时安全令牌，凭借这个临时安全令牌就能以RAM用户角色身份访问被授权的资源。

关于借助RAM角色实现跨账号访问资源的操作方法，请参见借助RAM角色实现跨云账号访问资源。

权限策略

目前Web+支持的系统权限策略如下表所示。