В расширенном RBAC (стандарт INCITS 494-2012) атрибуты используются для создания динамических ограничений на основе внешних факторов. Атрибутами могут быть: определенный период времени в сутках, местоположение пользователя, цель использования системы, класс пользователя, значение определенного типа данных и тип учетной записи. Например, можно создать правило, которое запрещает доступ к финансовым операциям вне рабочего времени или ограничивает использование определенных ролей только в офисе компании. Атрибуты позволяют сделать систему управления доступом более гибкой и адаптированной к изменяющимся условиям, добавляя контекстную зависимость к правилам доступа, что преодолевает недостатки 'чистого' RBAC.