Безопасно обслуживать данные S3 в GovCloud с CloudFront

CloudFront может обслуживать данные S3, размещенные в общедоступном регионе, защищенные с помощью Origin Access Identities. Тем не менее, это не работает для S3 в GovCloud. В документации упоминается что-то об ограничении доступа к IP-адресам CloudFront, но это не безопасность, поскольку любой может ускорить распространение CF. Документация также ссылается на то, что CloudFront добавляет настраиваемые заголовки к запросам, чтобы источники могли отбрасывать запросы без этих заголовков, но я не вижу способа для S3 сделать это.

Я что-то упустил или это просто невозможно сейчас?

Спасибо!