SGにCloudFrontマネージドプレフィックスリスト設定している場合の「オリジンサーバーのCloudFront SSL証明書」について

SecurityGroupにCloudFrontのManagedPrefixListを設定している場合TrustedAdvisor指摘項目「オリジンサーバーのCloudFront SSL証明書」は無視でOKと回答をいただいた

タイトルが文字数制限の兼ね合いがあり、わかりにくくすみません。

以下指摘の理由だけ調べても、設定を見直してもどうしてもわからず、AWSサポートに問い合わせしました。

返ってきた回答が以下

Trusted Advisor では SSL 証明書を確認するために CloudFront ディストリビューションのオリジンに対してアクセスいたしますが、オリジン側でセキュリティーグループ等によりアクセス制限をかけている場合、Trusted Advisor から証明書を参照できず当該項目が Warning となります。
アラート対象のオリジンに設定された ALB を調査したところ、セキュリティグループについて CloudFront からのアクセスのみを許可するルールが設定されておりました。そのため ALB 側で Trusted Advisor からの接続が遮断され、当該項目のアラートが記載されている状況とお見受けしております。
Trusted Advisor にてアラートが表示されてしまう状況ではございますが、CloudFront - オリジン間で正常に HTTPS 接続が行えている場合にはご静観していただいて問題ございません。

当該設定項目に関して別の理由でアラートが上がっている場合もあるかと思いますので、最終的なご判断はご自身の責任していただく事になるかと思いますが、ひとまずAWSサポートとこのようなやりとりがあった事を発信したいと思います。

同じ方がいらっしゃるのではと思い記事を作成させていただきました。
どなたかのお役に立てば幸いです。