Os grupos de segurança da AWS são como um firewall para a instância EC2 e duas máquinas AFAIK (e testadas) dentro da mesma VPC não podem ver portas em sua rede interna, a menos que você altere a política de grupos de segurança.
por exemplo,
EC2 www.abc.com com IP privado 10.10.10.5/24 EC2 www.hello.com com IP privado 10.10.10.6/24
Eles estão na mesma rede, embora não possam ver sua porta 22, a menos que você adicione uma regra de entrada em seu grupo de segurança para a Rede 10.10.10.0/24 (ou hosts 10.10.10.5, 10.10.10.6).
, as políticas dos grupos de segurança são aplicadas ao EC2 e não às VPCs:
Quando você inicia uma instância em um VPC, pode atribuir até cinco grupos de segurança à instância. Os grupos de segurança agem no nível da instância, não no nível da sub-rede. Portanto, cada instância em uma sub-rede em seu VPC pode ser atribuída a um conjunto diferente de grupo de segurança
Com relação à sua pergunta, preciso de um firewall (por exemplo, IPTables) na minha instância do EC2, além dos meus grupos de segurança? A resposta depende de quanto tempo você quer gastar configurando a segurança e o que você precisa, pois ambos são mais seguros e podem se complementar, o IPTables (ou qualquer outro firewall) permite que você registre possíveis ataques e até mesmo você pode adicionar dinâmicas regras, no entanto, se o que você está procurando é apenas bloquear algumas portas, eu só iria com configuração de grupos de segurança ... Você deve verificar isso