A única maneira de negar origens / endereços IP é usar Network ACL's no VPC. Eles funcionam como um firewall, permitindo ou bloqueando o tráfego que chega à sua sub-rede, e operam acima do nível do grupo Securtiy (para o tráfego proveniente do externo).
Acesse seu VPC e, em seguida, ACLs de rede. Você já deve ter uma para a qual você pode aplicar uma regra, mas se não criar uma e aplicá-la à sub-rede na qual sua instância está sendo executada e negar explicitamente o endereço IP na porta 80 que você deseja bloquear.