Você talvez possa configurar um novo grupo de segurança que rejeite conexões de entrada do ELB, mas permita conexões de saída de volta.
Quando você precisar realizar a manutenção, poderá alternar a instância do EC2 afetada para esse novo grupo de segurança e aguardar a queda das conexões restantes.
A única coisa que não tenho certeza é se alterar o grupo de segurança irá matar as conexões existentes. Eu não acredito que vai, mas eu não testei para ter certeza.