Регистрация в AWS ELB на S3 с использованием X-Forwarded-For в качестве IP-адреса клиента

У нас есть слой DDoS (Project Shield), который перенаправляет публичные запросы нашему AWS Application Load Balancer (ALB). Наш ALB имеет включенную регистрацию доступа (к S3 Bucket). Помимо настройки корзины, установки разрешений и включения этой функции, я не нашел много вариантов конфигурации.

Похоже, что журналы ALB хранят IP-адрес клиента как Project Shield (в сравнении с IP-адресом, указанным в заголовке X-Forwarded-For). Возможно ли, чтобы ALB записывал исходный ip клиента (самый левый в X-Forwarded-For)?

Если это невозможно, возможно, есть лучшее решение, которое я пропускаю.

Моя цель состоит в том, чтобы наша настройка брандмауэра анализировала эти журналы, стирая их против правил и внося в черный список IP-адреса на основе вредоносного трафика / шаблонов.

Заранее спасибо.