自分自身のセキュリティグループを許可しようとすると怒られたので、その対策。

SecurityGroupFoo:
    Type: AWS::EC2::SecurityGroup
    Properties:
      VpcId: !Ref VPC
      GroupName: sg_foo
      GroupDescription: sg_foo
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: 1.2.3.4/32
      Tags:
        - Key: Name
          Value: sg_foo

  SecurityGroupFooIngress:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
          SourceSecurityGroupId: !Ref SecurityGroupFoo
          GroupId: !Ref SecurityGroupFoo
          IpProtocol: -1
          FromPort: -1
          ToPort: -1

ひとつにまとめると Circular dependency between resources とか言われて怒られる。つらい。