Подписание транзакции блокчейна с помощью ключа, хранящегося в Google Cloud KMS

У меня есть требование защитить закрытый ключ, который используется для подписания транзакции блокчейна. Пока мы оцениваем возможность использования HSM (Hardware Security Module), я в равной степени интересовался применимостью Google Cloud KMS. Ваша помощь будет высоко оценена, если вы сможете ответить на мои следующие вопросы:)

1. Можем ли мы сохранить ключ в Google Cloud KMS, который может быть сгенерирован снаружи?
2. Предположим, что я уже сохранил свой закрытый ключ в Google Cloud KMS, какой из следующих вариантов является верным / возможным?
   • С помощью вызова API сначала извлекается ключ, хранящийся в KMS, а затем его можно использовать для подписания транзакции блокчейна. Но в этом случае безопасность может быть поставлена ​​под угрозу, если ключ находится за пределами KMS.
   • Ключ никогда не покидает Google Cloud KMS после сохранения. Вместо этого транзакция блокчейна может быть отправлена ​​в Google Cloud KMS для подписания транзакции с использованием ключа, которым она управляет. Здесь я предполагаю, что KMS может предоставить мне некоторые функции настройки, чтобы я мог выполнить процесс подписания, или KMS может иметь возможность выполнить фрагмент кода.
   • Google Cloud KMS не может выполнять специализированные задачи (например, подписывать транзакцию Blockchain), он просто выполняет только шифрование / дешифрование.