怎么用KMS管理秘钥并且跨账户设置service role权限？

【以下的问题经过翻译处理】 你好，

我正在与客户合作开发一个工作负载，需要使用客户管理的密钥/材料进行KMS密钥加密。在客户环境中，密钥是在中央安全帐户中创建的，并与运行工作负载的帐户共享（使用与外部帐户选项共享）。在本工作负载中，我们需要使用带有KMS密钥加密的EBS卷，并且通过EC2 AutoScaling（自动扩展）来启动带EBS卷的新实例。 我们发现为了使自动扩展起作用，需要在KMS密钥中将自动扩展的service role添加为密钥用户，这在同AWS帐户内（在我的环境中）可以正常工作。但是在客户环境中，我们无法在中央安全帐户中向KMS密钥策略中添加这些service role（用于工作负载帐户）。它会出现"invalid principal"错误。 这是否是KMS CMK跨帐户访问的限制？或者如何在KMS密钥策略中为外部（工作负载）帐户启用service role权限？

谢谢！