AWS CloudFormation：VPC默认安全组

我有一个（除其他外）cfn堆栈，创build一个VPC，几个安全组和一些EC2实例。 将在堆栈中创build的安全组分配给也由堆栈创build的实例是很简单的。 不过，我对默认的VPC SG感兴趣。

创buildVPC时（无论是通过GUI，通过云形态还是其他任何方式手动创build），AWS都会为该组中的任何实例创build一个默认安全组，其中包含“allow all”规则。

我想要做的是将这个默认安全组和其他几个SG一起分配给堆栈创build的实例。 事实certificate这比我预料的要困难得多。 这里有一些片段显示我正在做什么：

"AllowSSHSecGroup":{ "Type":"AWS::EC2::SecurityGroup", "Properties":{ "GroupDescription":"Allow SSH from anywhere", "VpcId":{ "Ref":"DevVPC" }, "SecurityGroupIngress":[ { "IpProtocol":"tcp", "FromPort":"22", "ToPort":"22", "CidrIp":"0.0.0.0/0" } ] } }, "Instance001" : { "Type" : "AWS::EC2::Instance", "Properties" : { "ImageId" : "ami-7eab224e", "InstanceType" : "m1.large", "AvailabilityZone" : "us-west-2a", "PrivateIpAddress" : "10.22.0.110", "SecurityGroupIds" : [ {"Ref" : "AllowSSHSecGroup"} ], "SubnetId" : { "Ref" : "PublicSubnet" }, "KeyName" : "erik-key", "DisableApiTermination" : "false", "Tags" : [ { "Key": "Name", "Value": "Instance001"} ] } } 

在上面的代码片段中，我创build了一个“允许ssh”安全组并将其分配给一个实例。 如前所述，我的堆栈还创build了一个VPC（启动此实例），从而创build一个默认安全组。 不幸的是，由于这个组是由AWS自动创build的，所以它的组ID对堆栈是不可用的，使得不可能通过ID引用。 我最初认为SecurityGroups属性是一个选项，因为这将允许我通过其default名称引用默认SG。 但是，这不起作用，因为SecurityGroups属性仅适用于EC2安全组，而不适用于VPC安全组。

• 如何从数据中心内部和外部解决EC2实例？
• 使用后擦拭EBS卷？
• 简单的方法将自定义32位AMI转换为64位？
• 具有S3redirect的Amazon Cloudfront
• Amazon SES电子邮件以Yahoo＆Hotmail垃圾邮件文件夹结尾，即使SPF和SenderID和DKIM设置正确

所以我卡住了 我已经打开了一个AWS支持这个案例，但到目前为止，他们没有帮助。 任何想法，我怎么能做到这一点？

 { "Fn::GetAtt" : ["VPC", "DefaultSecurityGroup"] } 

 "VPCDefaultSecurityGroupIngress": { "Type" : "AWS::EC2::SecurityGroupIngress", "Properties" : { "GroupId": { "Fn::GetAtt" : ["VPC", "DefaultSecurityGroup"] }, "IpProtocol":"tcp", "FromPort":"22", "ToPort":"22", "CidrIp":"0.0.0.0/0" } },