[oip]

Да, обычно именно так и поступаем. На сам ключ доступ не дается, только на нужные подчиненные объекты (про исключения уже написали). Новые ключи обычно создаются только если пишется свой модуль.