Essa é a ideia - o grupo de segurança VPC associado controla apenas o tráfego da VPC para a instância Classiclink e vice-versa. O acesso às instâncias do EC2 Classic por meio da infraestrutura de rede clássica é controlado apenas pelos grupos de segurança clássicos, e as conexões Classiclink não permitem nenhum tráfego de trânsito através da VPC para a instância (como do Gateway de Internet).
Naturalmente, "permitir tudo" não é uma prática recomendada, mesmo em um ambiente seguro. Apenas o que precisa ser permitido deve ser permitido, por isso, mesmo que o seu entendimento pareça correto, e neste caso "tudo" não significa "tudo", ainda não é o ideal.
Falando em não ideal, o EC2 Classic não é ideal de qualquer maneira. Planeje migrar seus serviços para o VPC. Novas contas nem oferecem mais o EC2 Classic e, quando você estiver pronto, o suporte do AWS poderá desativá-lo permanentemente para sua conta, além de fornecer VPCs padrão em todas as regiões, com algumas das mesmas comportamentos orientados do EC2 Classic. Consulte "Eu realmente quero um VPC padrão" na FAQ da VPC .