无法将 AWS 安全组与 GWLB 端点 (Palo Alto Cloud NGFW) 一起使用

我们正在尝试从互联网获取流量来访问我们的 ALB，进行解密，然后通过 Palo Alto Cloud NGFW 发送，最终到达我们的容器。见下图：

由于某种原因，当我们允许来自 ALB 安全组的流量进入 ECS 容器的安全组时，我们无法使其正常工作。所以这不起作用：

ContainerSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: "Security group for containers"
    SecurityGroupIngress:
      - SourceSecurityGroupId: !Ref ALBSecurityGroup
        Description: "From load balancer"
        FromPort: 80
        IpProtocol: tcp
        ToPort: 80
    VpcId: !ImportValue app-vpc

当它起作用时：

ContainerSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: "Security group for containers"
    SecurityGroupIngress:
      - CidrIp: "<IP_ADDRESSES_OF_ALB>"
        Description: "From load balancer"
        FromPort: 80
        IpProtocol: tcp
        ToPort: 80
    VpcId: !ImportValue app-vpc

无法找到任何关于此的明确文档，如果我遗漏了什么，有人知道是否可以以某种方式解决这个问题吗？它宁愿不在安全组中硬编码 IP 地址，因为我们正在使用 CloudFormation 进行设置。