Ограничить общий доступ к AWS ECS Fargate Service

• У меня есть сервис на AWS ECS, развернутый с помощью Fargate.
• В этом сервисе используется балансировщик сетевой нагрузки (NLB), чтобы позволить эластичному IP-адресу быть связанным с сервисом .
• Это не HTTP-сервис, он использует порт 5060. (SIP), отсюда и выбор NLB.

Я чего-то не совсем понимаю в отношении проверок здоровья. Если я ограничу доступ в группе безопасности, связанной со службой, до нескольких / 32 (одиночных IP-адресов) для порта трафика, служба будет помечена как неработоспособная. Если я разрешаю доступ в мир к порту трафика, служба помечается как работоспособная. Если я разрешаю доступ только к внутреннему блоку CIDR, включая NLB, служба помечается как работоспособная - НО это также разрешает доступ к порту всему миру.

Я попытался сделать проверку работоспособности, используя другой порт в контейнере, но это меньше, чем идеально, и я не добился успеха. Хотя я бы приветствовал ответ, в котором подробно описано, как это правильно настроить, учитывая мои требования к Fargate / NLB / Elastic IP, я бы предпочел, чтобы порт трафика был просто портом проверки работоспособности, но мне нужно понять способ запретить мир доступ к порту.