Parece que o requisito é fornecer funcionalidade bastion a um custo razoável mais baixo com um RTO de, digamos, 5 minutos. Nenhum RPO é aplicável, pois é efetivamente um proxy sem estado que pode ser facilmente reconstruído.
Eu teria um host bastion, definido como um script AMI ou CloudFormation (AMI é mais rápido), dentro de um grupo de escalonamento automático com min / max / target definido como 1. Eu não teria um balanceador de carga porque não há preciso disso até onde eu possa ver. Essa instância seria registrada no Route53 com um nome de domínio público, portanto, mesmo que a instância seja alterada, você poderá acessá-la e isso deverá eliminar os avisos de SSH. Eu poderia começar com uma instância em cada sub-rede, mas provavelmente desligaria uma delas se elas fossem confiáveis o suficiente - elas deveriam ser.
Uma implantação do CloudFormation de hosts bastion é descrita pela Amazon aqui . A Amazon tem um guia de práticas recomendadas aqui . Você não deve abordar recursos internos usando o Elastic IP, pois eles são IPs públicos e o tráfego para eles é cobrado , enquanto o tráfego IP privado não é cobrado. Nomes de domínio são mais baratos. Isso pode envolver alguns ajustes de script do CloudFormation.