EKSのマネージドノードグループで作成したEC2にSSHを許可した時のSG

EKSのノードグループを作成する時に、ノードEC2に対してSSHを許可する場合。コンソールで作成途中に、セキュリティグループを指定する。このSGは、これらノードグループに属するEC2に対するACL設定ではない。
＊ただしノードEC2に対し別SGがアタッチはされる

勘違いした事

このコンソール作業途中〜つまりノードグループ作成中の”SSH許可”時に”新規作成する”とした。接続元のCIDRから22ポートを許可するインバウンドを持ったSGとした。

●インバウンド・イメージ
SSH from CIDR(例｜10.123.123.0/24）／SGID：sg-hogehoge
＊このCIDRからノードEC2へ接続できるぞ！と思ってた

このままだとノードグループが作られたあと、SSHをしようとしたが接続できない。
理由は、上記で作成したSGがノードEC2にアタッチされるものではないのだ！

結論としてノードEC2へアタッチされるSGは自動的に作成され（sg-fuga）、このsg-fugaのインバウンド設定にsg-hogehogeからのSSHをされるのだ・・

この勘違いからノードEC2には、
sg-fuga がアタッチされていて、
このインバウンド設定は（上文章と同じことを再掲しようとしている・・）

＝＝
SSH from sg-hogehoge
となり、sg-hogehogeがアタッチされているリソースからSSHが出来る！ということとなる。つまりｘ２、10.123.123.0/24からはSSH出来ない！