Cloudformation Добавить экземпляр в группу безопасности в другом регионе

Группа безопасности EC2 / VPC привязана к региону.

Из Документы AWS

If you're using EC2-Classic, you must use security groups created specifically for 
EC2-Classic. When you launch an instance in EC2-Classic, you must specify a security
group in the same region as the instance. You can't specify a security group that
you created for a VPC when you launch an instance in EC2-Classic.

Это возможно.

Вы хотите, чтобы группа безопасности входила в группу безопасности. Работает именно так, как звучит.

1) Создайте группы безопасности под названием SG-CLIENT и SG-INGRESS.

2) Для вашего экземпляра CHEF отметьте его группой безопасности SG-INGRESS. В группе безопасности SG-INGRESS добавьте правило для разрешения доступа к портам CHEF, используя источник SG-CLIENT.

3) Используя шаблон / сценарий формирования облака, пометьте все новые экземпляры в группу безопасности SG-CLIENT.

См. Картинку здесь: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule например группы безопасности в правилах.

Ссылаться на https://s3.amazonaws.com/cloudformation-templates-us-east-1/EC2InstanceWithSecurityGroupSample.template для регистрации экземпляра в группе безопасности через шаблон формирования облака.

Примечание. Документация по API, кажется, намекает на то, чтобы разрешить использование в качестве источника чужой «группы безопасности» с помощью «идентификатора учетной записи / имени группы безопасности». Это должно быть полезно, если вы попытаетесь сделать это в разных регионах. Информация: http://docs.aws.amazon.com/AWSEC2/latest/CommandLineReference/ApiReference-cmd-AuthorizeSecurityGroupIngress.html