Насколько я могу судить, нет возможности сузить область действия API-ключа так, чтобы он обрабатывал деактивации; это не один из доступных вариантов. Однако глобальный ключ всё равно не работает. (На мой взгляд, API нуждаются в доработке.)
Я не знаю, где находится код deactivate.json; поиск на моём сервере не находит его, значит, это, видимо, не отдельный файл. Я задаюсь вопросом, не связано ли это с чем-то специфичным для второго сайта, что настроено неверно, поскольку на сайте по умолчанию всё работало отлично.
Это не первая проблема, которую я обнаружил на вторых сайтах, хотя я не уверен, что кто-либо когда-либо регистрировал первую из них как ошибку. Она связана с кодом в конфигурационном файле nginx, который проверяет, совпадает ли доменное имя в URL с именем по умолчанию. Я просто закомментировываю эти строки кода каждый раз при пересборке. Я сообщал об этой проблеме в этом посте: