Ответ 1
Важной концепцией правил группы безопасности, которую вы, возможно, не хватает, является то, что вы не обязательно указываете IP-адреса в качестве источников трафика в одиночку, довольно регулярно ссылаетесь на другую безопасность групп:
Источником может быть индивидуальный IP-адрес (203.0.113.1), диапазон адресов (например, 203.0.113.0/24), или группы безопасности EC2. группа безопасности может быть другой группой в вашей учетной записи AWS, группой в другой учетной записи AWS или самой группы безопасности.
Задав в качестве источника группу безопасности , вы разрешаете входящие трафик из всех экземпляров, принадлежащих исходной группе безопасности. [...] Вы можете указать другую группу безопасности в своей учетной записи, если вы создаете трехуровневый веб-сервис (см. Создание трехуровневой веб-службы).
[акцент мой]
Следовательно, вам просто нужно добавить группу безопасности экземпляров приложений Beanstalk в качестве источника трафика для TCP-порта 3306 в группе безопасности экземпляра MySQL.
Принимая это далее
Дополнительным понятием, чтобы познакомиться с вами, является то, что у вас может быть несколько групп безопасности, назначенных экземпляру, что позволяет (возможно, динамический) состав результирующего брандмауэра.
Например, рекомендуемая практика для более крупных архитектур предлагает указать выделенную группу безопасности на "роль" ваших экземпляров (вместо того, чтобы накапливать несколько правил внутри одной группы безопасности, как обычно), например. у нас есть группы безопасности, такие как "role-ssh" (TCP-порт 22) и "role-mysql" (TCP-порт 3306), которые по очереди назначаются экземплярам EC2. Вы можете больше узнать об этой концепции, например. Группы безопасности - самая недооцененная функция Amazon EC2.