Можно ли настроить группы безопасности EC2 таким образом, чтобы они не разрешали определенные типы исходящих подключений (например, отправка HTTP-запросов в общедоступный Интернет)?
Не верю, нет. Возможно, вам повезет больше с ServerFault .
AFAIK, группы безопасности EC2 предназначены только для доступа к серверу (например, пары ключей); любая внутренняя связь, вероятно, должна регулироваться через iptables.
iptables