问用BYOK解决方案用GCP_KMS管理密钥旋转

EN

我们在on上生成RSA密钥对，并计划将它们同步到GCP。有一个每年的关键轮换政策，这将在上prem和新的key_versions将同步到KMS。我关心的是KMS API。

问题: API总是将“key_version”作为加密/解密文件的参数。

想要的行为:在解密过程中，KMS是否可能看到证书的拇指指纹并返回适当的密钥版本来解密给定的加密文件？例如，当提供给KMS时，用RSA_public包装的DEK将由正确版本的RSA_Private(或KEK)解密。

如果是，是否有任何文档详细说明了这个用例？