Falha interna do parâmetro GetAtt VPC do CloudFormation

Eu tenho dois arquivos Cloudformation sendo usados para fazer duas pilhas diferentes contendo um VPC cada. Um é um admin VPC que será usado para acessar o outro VPC via ssh e tudo o que, típico caso de uso bastiony.

Giro o VPC do administrador e depois passo seu ID para o segundo arquivo CF como parâmetro especificamente com o tipo de ID do VPC:

"AdminVPC": {
  "Description": "ID of the admin VPC",
  "Type": "AWS::EC2::VPC::Id"
}

Mas quando estou tentando configurar a rede ACL da VPC, estou fazendo

"Type": "AWS::EC2::NetworkAclEntry",
  "Properties": {
    "CidrBlock": {
      "Fn::GetAtt": [
        {
          "Ref": "AdminVPC"
        },
        "CidrBlock"
      ]
    },

Qual, quando eu executo um ecs cf validate, produz apenas a mensagem

An error occurred (ValidationError) when calling the ValidateTemplate operation: Internal Failure

Funciona bem se eu apenas codificar em um bloco CIDR como

"CidrBlock": "0.0.0.0/0",

Mas os documentos reivindicam :

1. Usando um GetAtt para obter o bloco CIDR fora do ID do vpc deve funcionar
2. Para o nome do atributo Fn :: GetAtt, você pode usar a função Ref.

Então, não tenho certeza do que está errado com esse uso ...