Cloudformation 将实例添加到不同区域的安全组

EC2/VPC 安全组受区域限制。

从AWS 文档

If you're using EC2-Classic, you must use security groups created specifically for 
EC2-Classic. When you launch an instance in EC2-Classic, you must specify a security
group in the same region as the instance. You can't specify a security group that
you created for a VPC when you launch an instance in EC2-Classic.

这是可行的。

您想要的是安全组中有一个安全组。它的工作原理正如其名称所示。

1）创建名为 SG-CLIENT 和 SG-INGRESS 的安全组

2) 对于您的 CHEF 实例，使用 SG-INGRESS 安全组对其进行标记。在 SG-INGRESS 安全组中，添加一条规则以启用对 CHEF 端口的访问，使用“SG-CLIENT”源

3) 使用云形成模板/脚本，将任何新实例标记到 SG-CLIENT 安全组。

请参阅此处的图片：http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule例如规则中的安全组。

參閱https://s3.amazonaws.com/cloudformation-templates-us-east-1/EC2InstanceWithSecurityGroupSample.template通过云形成模板在安全组中注册实例。

注意：API 文档似乎暗示允许使用“帐户 ID/安全组名称”将其他人的“安全组”用作源。如果您尝试跨地区执行此操作，这应该会有所帮助。信息：http://docs.aws.amazon.com/AWSEC2/latest/CommandLineReference/ApiReference-cmd-AuthorizeSecurityGroupIngress.html