Применять K8S NetworkPolicy на AWS с помощью селектора меток пода (Calico/Cillium)?

Я пытаюсь применить сетевые политики входа / выхода на основе селектора меток Pod. Моя цель - выполнить PoC изоляции Pod посредством динамического изменения метки и сделать так, чтобы политика n/w изолировала данный модуль, но, похоже, это не работает в AWS.

Концептуально, k8s может обеспечить соблюдение, поскольку kube-proxy может поддерживать правила iptables L4 на основе IP-адреса Pod и связанной с ним метки. Требуется ли для этого поддержка CNI? И поддерживает ли AWS CNI это из коробки? Или мне нужно использовать наложенные провайдеры CNI, такие как Calico/Cillium?