зависит от того, как вы работаете с сервисами.
Если с сервисами работает только сервер, то проще делать ограничение по IP или внутреннему фиксированному ключу/токену - тогда вопрос о пермишнах отпадает - система должна иметь полный доступ...
тут же опять вопрос - а что за сервисы, и на каком уровне по факту должна производиться проверка прав (пример - удаление объекта из БД можно проверять на уровне сервиса удаления... а можно и в интерфейсе сразу обрубать)

роли не от микросервисов исходят, роли это от функции/задачи которую исполняет пользователь.

т.е. у вас система точка-точка - с каждый сервисом клиент работает напрямую ?

security viewpoint может включать несколько диаграмм (более того именно так и рекомендуется - несколько)
статика - например что где храниться
динамика - как происходит резолв прав
статика еще - где что задеплоено и в каких зонах с т.з. безопасности

ну вот например, я должен делать запрос к сервис, тот в свою очередь от моег лица должен сходить в другой сервис что бы извлечь инфу дополнительную, но он в другом сервисе может быть "никем" и догда дэнай

Это не про пермишены, это про модель доступа. Она может быть на операции или на сущности.
Если на операции - то там все просто. А если на сущности - то есть tradeoff где фильтровать и контролировать - на gateway или на доменном сервисе. Оба варианта плохие )
Но начинать надо с описания модели доступа вообще, дальше будет уже проще.