限制与VPC连接的Lambda函数的IP地址

【以下的问题经过翻译处理】 一个客户有连接到VPC的Lambda函数，该VPC与他的本地资源有连接（要么是DirectConnect/VPN）。

他使用Lambda函数来调用他的本地资源的API，但是他的安全团队建议在目标端（本地）的允许防火墙规则不要太宽泛。因此，理想情况下，他想要仅允许单个私有ip的白名单。

通常，如果Lambda函数连接到VPC中的私有子网并使用NAT网关穿越公共互联网，他们可以仅允许NAT网关公共IP。

但是，在他的情况下-由于Lambda从API调用将使用DirectConnect/VPN返回他的本地资源，我们能为他提供什么其他建议以满足其安全团队？

据我所知，由于与VPC中的Lambda函数相关联的ENIs不是静态的，Lambda函数可以使用子网范围内的任何IP，除了使用最小的/28私有子网用于他的Lambda并允许列出该范围外，我们还有其他选项吗？