AWS EC2セキュリティグループのルール：特定のIPアドレスよりも寛容であると見なされないソースとしてセキュリティグループを指定していますか？

これがこの質問に適したサブStackExchangeであるかどうかはわかりませんでした。必要に応じて、別の場所で自由に起動してください。

2つのEC2サーバーを使用しようとしています。1つは「ワークステーション」で、もう1つは「ノード」です（Chefを考えてください）。ワークステーションのセキュリティグループは、ローカルマシンのIPアドレスからポート22へのアクセスを許可する1つの着信ルールから始まりました。

ワークステーションサーバーからだけでなく、ローカルマシンからもノードサーバーにアクセスできるようにしたかったのです。そのため、新しいセキュリティグループを作成するのではなく、独自のセキュリティグループIDをソースとしてワークステーションで使用されるセキュリティグループにルールを追加しました。平易な英語で、私が目指していたのは、ローカルマシンのIPアドレスまたはからポート22へのアクセスを許可するセキュリティグループです。適用されたセキュリティグループ。これは、デフォルトのセキュリティグループがどのように機能するかについての私の理解でした（すべてのトラフィックが許可され、ソースは自己参照セキュリティグループIDです）。

私の考えでは、これは私が見つけたものと一致していました ここ ドキュメントで：

特定のポートに複数のルールがある場合は、最も許容度の高いルールを適用します。たとえば、IPアドレス203.0.113.1からTCPポート22（SSH）へのアクセスを許可するルールとTCP）へのアクセスを許可する別のルールがある場合誰からもポート22、誰もがTCPポート22にアクセスできます。

私の場合は明らかに少し異なり、特定のIPアドレスからポート22への特定のアクセスを許可するルールと、「全員」からではなくセキュリティグループからのポート22への特定のアクセスを許可するルールがありますが、そうではありません。セキュリティグループのソースも特定のIPアドレスよりも寛容であると見なされているため、上記のシナリオを許可しますか？

残念ながら、このように設定されたセキュリティグループでは、ローカルマシンからノードにSSHで接続することしかできません。 EC2（同じセキュリティグループを共有している）のワークステーションからSSHを実行しようとすると、タイムアウトになります。

私が間違っている/欠けているかもしれないことについてのアイデアはありますか？