授权

阿里云账号

阿里云账号（主账号）对当前云账号下所有云资源有完全控制权限，无需授权，也无法修改授权。但是如果该账号归属于某个资源目录（Resource Directory），则它可能受到管控策略的限制，详情参见管控策略概述。

RAM用户

您可根据业务的实际需要将系统预置策略或自定义策略授权给 RAM 用户，授权遵循最小可用原则，不可随意授权产品的FullAccess。RAM 用户授权详情可参见为RAM用户授权。

RAM角色

RAM角色的授权比RAM用户授权多一步。

第一步：确定可信实体。您可以允许某个云账号，或者云账号下的某个RAM用户或RAM角色扮演该角色。

第二步：授权。具体授权操作请参见文档RAM角色概览。

在对RAM角色进行授权时，需要尤其注意以下两种场景：

链式扮演

当A账号的RAM用户aRamUser1可以扮演B账号的RAM角色bRamRole1，而B账号bRamRole1可以扮演C账号的RAM角色cRamRole1时，虽然没有授权A账号可扮演C账号的cRamRole1，但是通过角色的链式扮演，可以实现A账号的aRamUser1扮演bRamRole1，再由bRamRole1扮演cRamRole1，访问C账号资源。

隐式授权

云账号下创建RAM角色时，如果我们选择授信实体为当前云账号，表示默认允许云账号下任何一个可以调用assumeRole权限的RAM用户或RAM角色扮演该RAM角色。如果该RAM角色被授予了很高的权限，会导致只被赋予了assumeRole的某个RAM用户或RAM角色具备很高的权限。