As regras do grupo de segurança não podem ser herdadas por outros grupos. O que você precisa fazer é criar seu grupo de segurança sg-operators e aplicá-lo a um grupo de instâncias diretamente, o que você pode fazer facilmente em um VPC (não no Classic).
Antecedentes: Adicionar uma regra de permissão para um grupo de segurança a um grupo de segurança existente significa que as instâncias no grupo de segurança de origem podem se comunicar com as instâncias no grupo de segurança existente pelas portas e protocolos especificados. Isso não significa que qualquer tráfego permitido por um grupo de segurança anexado seja permitido em um grupo de segurança associado, o que é realmente uma solução melhor.
Isso permite fazer coisas como definir um grupo de segurança de servidor de banco de dados para seus servidores de banco de dados e criar uma regra para permitir o tráfego na porta 3306 de instâncias no grupo de segurança do servidor da web.