Управление ротацией ключей с помощью GCP_KMS с решением BYOK

У нас есть пары ключей RSA, созданные локально, и мы планируем синхронизировать их с GCP-KMS. Существует ежегодная политика ротации ключей, которая будет выполняться локально, а новые версии key_versions будут синхронизироваться с KMS. Меня беспокоит KMS API.

Проблема: API всегда запрашивает key_version в качестве аргумента для шифрования / дешифрования файла.

Желаемое поведение: возможно ли, что KMS во время дешифрования увидит отпечаток сертификата и вернет соответствующую версию ключа для дешифрования заданного зашифрованного файла? например, DEK, завернутый в RSA_public, при передаче в KMS, расшифровывается с помощью RSA_Private(или KEK) правильной версии.

Если да, есть ли какая-либо документация, которая подробно описывает этот вариант использования?