Kontrola dostępu oparta na atrybutach (ABAC) to podejście oparte na regułach, w którym atrybuty są używane jako elementy składowe. Atrybuty to zestawy etykiet lub właściwości, których można użyć do zdefiniowania jednostki i które należy wziąć pod uwagę przy określaniu autoryzacji. Reguły określają warunki, na jakich można przyznać lub odmówić dostępu. Każdy atrybut składa się z pary klucz-wartość, np. „Rola = menedżer”. Takie podejście może być bardziej elastyczne niż RBAC, ponieważ nie wymaga oddzielnych ról dla odpowiednich zestawów atrybutów, a reguły można szybko zastosować, aby dostosować się do zmieniających się potrzeb. RBAC jest często krytykowany za złożoność związaną z tworzeniem początkowej struktury ról, a także za jej sztywność w szybko zmieniającym się środowisku. W ABAC istnieje kompromis między elastycznością a złożonością.