我有许多在 GCP 中运行并使用 KMS 签署证书的应用程序。我为特定密钥授予每个应用程序签名权限(projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.asymmetricSign)。为了签名,我需要提供特定的密钥版本(实际上我想使用密钥的最后一个版本),所以我必须获取密钥的版本列表,这需要 projects.locations.keyRings.cryptoKeys.get 或项目.locations.keyRings.cryptoKeys.cryptoKeyVersions.list 权限。
问题是为什么我需要授予此权限来签署证书,以及是否有办法在不获取版本列表的情况下进行签名。