ACL - это привилегии, определенные для конкретного объекта.А авторизация на основе ролей - это глобальные привилегии.
Например, с помощью ACL вы можете определить, что конкретный пользователь может модифицировать объект X (например, файл), но не другой объект.
БезACL-списки вы можете определить только тем, что пользователь может изменять все или ни одного объекта (определенного типа).
Таким образом, ACL-списки поддерживают мелкозернистые привилегии, связанные с объектами.