Как использовать группы безопасности AWS для внесения в белый список только определенных экземпляров EC2?

Насколько я понимаю группы безопасности AWS, это, по сути, белый список.

Все блокируется, если явно не разрешено.

Предположим гипотетически, что у меня есть несколько инстансов EC2 с автомасштабированием.

В контексте автоматического масштабирования я не обязательно буду знать, какими будут эти будущие IP-адреса.

Скажем, у меня есть набор экземпляров EC2, которые используются для таких баз данных, как mysql или mongodb.

Я хочу, чтобы только мои серверы приложений имели доступ к моим серверам баз данных.

Есть ли способ создать тег для экземпляра EC2 и для группы безопасности разрешить любой экземпляр EC2 с определенным тегом?

Как это обычно делается в реальном мире?

Заранее спасибо