Não sei ao certo como está o seu teste, mas se for apenas através de uma pesquisa de DNS, poderá ser assim:
Amazon security groups and network ACLs don't filter traffic to or from link-local addresses (169.254.0.0/16) or AWS reserved addresses (the first four IP addresses and the last one in each subnet). These addresses support the services: Domain Name Services (DNS), Dynamic Host Configuration Protocol (DHCP), Amazon EC2 instance metadata, Key Management Server (KMS—license management for Windows instances), and routing in the subnet. You can implement additional firewall solutions in your instances to block network communication with link-local addresses.
A partir disso, inferi que o DNS continuará funcionando em qualquer evento, e que fazer uma pesquisa a partir da linha de comando deve ser bem-sucedida. Se você fizer isso com saída detalhada, você deverá ver um endereço local na sua sub-rede para o servidor DNS.