Por que usuário ANA consegue visualizar Alunos e Cursos?

Sobrescrevendo o método list e retrieve do ViewSet da pra bloquear o acesso

class AlunosViewSet(viewsets.ModelViewSet):
    """Exibindo todos os alunos e alunas"""
    queryset = Aluno.objects.all()
    authentication_classes = [BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get_serializer_class(self):
        if self.request.version == 'v2':
            return AlunoSerializerV2
        else:
            return AlunoSerializer

    def list(self, request, *args, **kwargs):
        response = {'mensagem': 'Acesso negado'}
        return Response(response, status=status.HTTP_403_FORBIDDEN)

talvez funcione se colocar essa sobrescrita em um if para bloquear, caso o usuário não tenha nível de acesso, mas acredito que tenha um jeito melhor pra fazer isso