По идеологии RBAC пользователю можно назначить только роли. Разрешения можно привязать только к ролям. Соответственно проверка разрешений у пользователя производится только через роли.
В доке по Yii так и написано.
Роль представляет собой набор разрешений (permissions) (например создание сообщения, обновление сообщения). Роль может быть назначена на одного или многих пользователей. Чтобы проверить, имеет ли пользователь указанные разрешения, мы должны проверить назначена ли пользователю роль, которая содержит данное разрешение.
дока