Suponho que isso seja para trabalhar com gênios que amam regras de firewall estáticas.
Provavelmente não há uma maneira melhor, infelizmente. Você simplesmente tem que colocar um proxy com um endereço IP fixo na frente do S3 para apresentar ao cliente um IP fixo. Você poderia, em teoria, escolher um S3 IP existente, mas ele pode mudar de baixo de você se a Amazon mudar de rede.
Temos problemas semelhantes com alguns de nossos clientes que insistem que a listagem branca de sites permitidos pelo endereço IP é de alguma forma "mais segura" do que usar um proxy de filtragem (ou mesmo razoável, considerando o ritmo das mudanças na Internet). Não podemos usar CDNs por causa disso (embora os CDNs baseados em anycast como o MaxCDN ou o CacheFly possam funcionar, estamos testando).
Eu não usaria lula a menos que você seja um masoquista completo. O Nginx seria uma opção muito melhor como um proxy reverso: menor, mais rápido, mais seguro, mais fácil de configurar.