Bem, na verdade, o suporte da AWS respondeu e me informou que eles reconhecem que essa é uma lacuna de recursos no CloudFormation e foi enviada para a equipe de desenvolvimento como uma solicitação de recurso.
Portanto, até que esse recurso seja implementado, a solução é criar seu próprio grupo de segurança "padrão" que replica o mesmo comportamento do SG padrão "real". Infelizmente, devido ao aspecto auto-referencial dessa configuração, ainda não é possível fazer isso em uma única implantação de pilha. A alternativa é implantar a pilha uma vez, sem atribuir ao grupo de segurança padrão suas instâncias. Depois que a pilha for criada (e você tiver a chance de ver qual é a ID do grupo de segurança para o padrão), você poderá adicionar essa ID do SG às suas instâncias.