Cloudfront + ALBの構成におけるセキュリティグループ(+ MangedPrefixList)を利用したアクセス制限

https://dev.classmethod.jp/articles/setalb_access_to_be_allowed_only_from_cloudfront/

セキュリティグループにCloudFrontのマネージドプレフィックスは可能だが
この設定で気を付けることは以下のドキュメントの通りCloudFrontのマネージドプレフィックスは重みが55なので55個分のルールが設定されるのと同等になります。
デフォルトのセキュリティグループのルール数だと60個までしかルールが設定できないので60個以上設定したい場合は上限緩和で対応する必要があります。

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#aws-managed-prefix-list-weights

リージョンごと、アカウントごとにquota制限あり
例えば、production、dev、stagingを一つのアカウントで管理するような構成の場合、引っかかるかも。そのためproduction、dev、stagingそれぞれでアカウントを分けるという設計がよい。
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_service_limits.html