O servidor FTP e o cliente FTP negocia quais portas serão usadas para a transferência de dados (incluindo a lista de diretórios quando você faz um "dir" ou "ls") usando o "canal de controle" do FTP. Portanto, se o seu "firewall AWS" não estiver fazendo inspeção de protocolo neste canal, não há como ele saber quais portas ele deve abrir dinamicamente para permitir o fluxo de tráfego (e fechar uma vez que essas portas não sejam mais usadas).
IMHO usando o monitoramento de rede para descobrir quais portas estão sendo usadas não vale a pena, porque essas portas vão mudar a cada nova sessão de FTP.
A menos que você já tenha feito isso, minha melhor solução para solucionar esse problema seria procurar qualquer ajuste no firewall que esteja protegendo seu servidor FTP (se eu entendi sua pergunta corretamente, esse seria o "firewall da AWS") e veja se existe algum "botão" para habilitar a inspeção do protocolo FTP.