Para que a instância 10.0.0.88 acesse a Internet (ou EC2) por meio do Internet Gateway (IGW), a instância precisa ter um Endereço IP Elástico associado ou precisa estar falando por meio de uma instância NAT (que tem um endereço IP elástico).
Para bloquear um grupo de segurança do EC2 para permitir o tráfego da instância do VPC, especifique a origem permitida como o endereço IP elástico da própria instância ou da instância do NAT, como discutido acima (por exemplo, 192.0.2.25/32).