[the ElastiCache server] has security group(s) assigned, in my case just
cache-access
Os grupos de segurança se aplicam aos servidores do ElastiCache da mesma forma que os servidores EC2 (até mesmo o EC2, inclusive).
A porta 6379 não precisa estar aberta para os servidores do EC2, mas precisa estar aberta para o servidor Redis. Você poderia colocar o cache ou os servidores EC2 em grupos de segurança separados, se preferir manter as regras de firewall separadas.