VPC 端点的最低限度安全组规则

我有一个 2 VPC 设置如下：

• 在第一个VPC中：
  • 私有子网中的服务
  • 服务的网络负载均衡器，也在私有子网中
  • 负载均衡器的 VPC 端点服务
• 在第二个VPC中：
  • VPC 端点服务的 VPC 端点（“接口”模式）
  • 通过 VPC 端点使用服务的客户端

是基于这样的安排：

https://aws.amazon.com/blogs/big-data/secure-connectivity-patterns-to-access-amazon-msk-across-aws-regions/

现在，我不确定的是如何限制服务的安全组。

为了设置目的，我把事情变得很开放：

resource "aws_security_group_rule" "service_anywhere" {
  security_group_id = aws_security_group.service.id
  type              = "ingress"
  from_port         = 9096
  to_port           = 9096
  protocol          = "tcp"
  cidr_blocks       = [ "0.0.0.0/0" ]
}

从另一个 VPC 中的客户端可以访问该服务的意义上说，这是有效的，但是我想配置实际需要的最小访问量。

我能否以某种方式限制对客户端安全组的访问，尽管它位于另一个 VPC 中并通过 VPC 端点连接？