Basta colocar as regras adicionais em um segundo grupo de segurança. Aplique os dois grupos às instâncias - eles são aditivos.
Eu tenho uma lista grande de IPs que eu preciso colocar na lista de permissões para uma instância de VPC. Eu adicionei o máximo de intervalos possível ao grupo de segurança até que fiquei sem regras disponíveis. Estou adicionando regras para HTTP e HTTPS para cada intervalo e ainda tenho cerca de 100 IPs individuais que preciso colocar na lista de permissões.
AFAIU Eu não posso aumentar o limite de regras para o grupo de segurança, existe alguma outra maneira que eu possa colocar na lista de permissões dos IPs restantes?