Se o que você quer é um relatório, por que não usar o plugin explorador de dados? Ele foi projetado para gerar coisas que se assemelham muito a relatórios. Você pode permitir que membros de um determinado grupo acessem uma consulta específica.
A chave de API terá as permissões do usuário para o qual foi gerada, por padrão, ou você pode aplicar escopos granulares. Se você puder acessar o endpoint que deseja no seu navegador logado como qualquer usuário, então você pode ver que o usuário tem acesso e que é um problema com sua chave de API.
Um administrador pode visitar a página dessa chave de API e ver quais escopos estão atribuídos a ela. Ninguém mais pode. Na página de chaves de API, você pode clicar em qualquer chave e ver seus escopos: /admin/api/keys/22
