Балансировщик нагрузки приложения AWS - разрешать запросы только от API Gateway

Как ограничить AWS Application Load Balancer только для получения запросов HTTP \ HTTPS, исходящих от AWS API Gateway?

Мне известно, что API-шлюз может генерировать и отправлять клиентский сертификат на сервер, как описано здесь: https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html

Но не могу найти способ установить ALB для проверки сертификата клиента. Существуют ли другие альтернативы для гарантии того, что ALB будет обрабатывать и передавать только запросы, которые прошли через AWS API GW?