Исходящее правило AWS для хостов ECS в VPC

Я пытаюсь настроить свои ECS-хосты, чтобы исходящие правила не позволяли всему миру, очень похоже на эту проблему. Идеальным способом было бы указать непосредственно на NAT-шлюз, но, по мнению Amazon, это невозможно:

Обратите внимание, что группы безопасности не могут быть напрямую связаны со шлюзом NAT. Вместо этого клиенты могут использовать исходящие правила групп безопасности экземпляра EC2 для управления авторизованными сетевыми получателями или использовать сетевой ACL, связанный с подсетью шлюза NAT, для реализации контроля уровня подсети над трафиком шлюза NAT.

Как настроить прокси или ACL для хостов ECS?