您开通密钥管理包周期服务后，需要访问KMS的API接口以进行密码运算等能力调用，完成数据加解密、签名验签、完整性校验等业务场景。密钥管理服务提供两种服务调用方式：

• openAPI（公网调用）
• 应用接入点（内网调用）

若要实现租户VPC内应用通过内网私密网络通道访问KMS服务，需要创建应用接入点，KMS通过应用接入点完成网络通道的建立。

应用接入点提供访问控制机制，需要为使用该应用接入点的调用方创建身份凭证，在调用KMS服务时依据身份凭证完成身份校验。

说明
当您的自建应用部署在同一地域但分布在多个VPC时，您需要为每个需要集成KMS的服务创建应用接入点，完成多个VPC内应用与KMS服务之间网络通道的建立。
当您的多个自建应用部署在同一个VPC，若需要实现访问控制的独立，可以为每个应用单独创建应用接入点。
当前KMS提供3个免费的应用接入点额度。

建立网络通道

您需要创建应用接入点，建立应用所在的VPC与KMS服务端之间的网络通道。

• 创建应用接入点时需要指定VPC，请明确调用KMS服务的应用所在VPC。
• 创建应用接入点后，KMS会生成endpoint地址，您需要通过该地址访问KMS服务。

说明
KMS产品为region级服务，支持同一地域下的VPC内应用通过应用接入点访问KMS服务，暂不支持跨地域访问。

访问控制

应用接入点中提供访问控制机制，当您的自建应用需要访问KMS包周期版服务时，需要对其进行身份认证，您需要为调用方创建访问凭证（AK/SK）。

• 身份凭证用于对KMS资源访问者进行身份认证和行为鉴权。
• 当前KMS支持通过AK/SK的身份验证方式，其中包含AK（AccessKey）和SK（SecretKey）。
• 您可以通过KMS提供的SDK快速集成KMS服务，并在初始化SDK时导入所创建的AK/SK。

注意
生成访问凭证（AK/SK）后，您需要立即在弹窗中复制或下载文件，关闭后不再支持下载。若您未能成功保存，可删除后重新创建。
如果访问凭证（AK/SK）泄露，会带来数据泄露风险，建议妥善保管。