Хранение документов Cloudformation для RDS и приложений отдельно, но связанными

Помещение моего определения БД и моего определения сервера приложений в один и тот же документ облачной информации имеет свои плюсы и минусы:

Плюсы:

• Имя хоста БД, имя пользователя и пароль могут быть предоставлены серверам приложений без утечки
• Один документ для определения стека

Минусы:

• Передача имени хоста БД, имени пользователя и пароля на серверы приложений немного запутана и включает Fn :: Join и Fn :: GetAtt в трудных для чтения пользовательских данных.
• Жизненный цикл базы данных привязан к жизненному циклу стека.

Поэтому сейчас я иду другим путем - у меня есть документ облачной информации, определяющий структуру RDS, и отдельный документ облачной информации, определяющий уровень моего приложения. Также плюсы и минусы:

Плюсы:

• Жизненный цикл БД отделен от стека приложений
• Может иметь несколько стеков приложений, использующих один и тот же стек БД

Минусы:

• Чтобы добавить группу безопасности EC2, стек БД необходимо отредактировать вручную, чтобы стек приложения мог получить доступ к БД.
• Больше нет ни одного документа, определяющего мой стек

Это первый недостаток второго подхода, который меня беспокоит - необходимость вручную редактировать мой стек БД, прежде чем мой стек приложений будет работать. Таким образом, я не могу создать новый стек приложений без необходимости вовремя войти в него и внести необходимые изменения.

Есть ли способ для моего стека приложений перенастроить существующий стек БД с необходимой настройкой группы безопасности БД?