Der Zugriff erfolgt nach dem Deny-all- und Allow-by-Exception-Prinzip basierend auf Rollen, mit Ausnahme der Admin-Rollen. Dabei werden NIST AC-17 (Zugriffskontrolle), das NIST-Konfigurationsmanagement für NIST CM-2 (Grundlinienkonfigurationen), Zugriffsbeschränkungen für NIST CM-5, NIST CM-6 und NIST CM-7 (geringste Funktionalität) und Überwachung von NIST CM-9 für Bot-Aktivitäten in der Entwicklungs-, Test- und Produktionsumgebung berücksichtigt.