NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

基于角色的访问控制（RBAC）是一种访问控制策略，它根据主体的已定义角色（即工作职能）来强制访问对象和系统功能。组织可以根据工作职能创建特定角色，并根据组织定义的角色，授权（即权限）执行系统上所需的操作。当用户被分配到特定角色时，他们会继承为这些角色定义的授权或权限。RBAC 简化了组织的权限管理，因为权限不是直接分配给每个用户（这可能涉及大量个人），而是通过角色分配来获得的。如果分配到某个角色的个人被授予了超出其支持组织使命或业务职能所需的信息访问权限，RBAC也可能增加隐私和安全风险。RBAC可以作为强制性或自主性访问控制形式来实施。对于实施带有强制访问控制的 RBAC 的组织，AC-3(3) 中的要求定义了该策略所涵盖的主体和对象的范围。