OK, isso é vago por um motivo - apesar do fato de eu querer apenas o ALB para SNAT de saída, ele só funciona se você criar (literalmente qualquer) regra de balanceador de carga de entrada e verificação de integridade associada. Depois que eu fiz isso, minhas instâncias estão enviando tráfego para o ALB com o IP de origem correto.