تكون المفاتيح البرمجية مرتبطة بالمستخدم والحساب معاً، مما يعني أنه إذا كان لدى المستخدم حسابات متعددة، فسيكون كل مفتاح مرتبطًا بحساب واحد فقط.
عندما يتم إجراء طلباً برمجي بالمفتاح، يتحقق علاقات أولاً من قدرة المفتاح ويضمن أن المفتاح لديه القدرة اللازمة لأداء الإجراء، ثم، يتحقق علاقات أيضًا من صلاحيات المستخدم لصاحب المفتاح. إذا لم يكن للرمز القدرة المطلوبة، أو إذا لم يكن للمستخدم الصلاحيات المطلوبة، سيعود الطلب برمز الحالة 403 الذي يعني الرفض.