こちらと全く同じ(cloudfront, APIGatewayを別ドメインでSSL化している)状況で大変参考になりました。
oji-cloud.net

ビヘイビアのオリジンリクエストポリシーにAllViewerExceptHostHeaderというドンピシャのプリセットがあり、なんとなくで指定していたAllViewerから変更したところ通信できるようになりました。

同じdistributionでのCloudfrontからALB(からECS)への接続が既に上手くいってたので、その設定を流用すればOKだと思ってたんですが甘くないですね〜。