If you use 0.0.0.0/0, you enable all IP addresses to access your instance using SSH or RDP.
Essa declaração diz respeito a RDP ou SSH (seu mecanismo de controle de servidor), que você deve absolutamente ter limitado apenas aos endereços confiáveis de onde você se conectará.
So, what should I be using for an EC2 instance that I want people to access?
Com relação ao seu aplicativo, se você tiver um grande número de pessoas de todo o mundo acessando-o e não quiser manter uma lista de permissões de IP, não terá outra opção a não ser disponibilizá-lo para todos.
Se o serviço que você está fornecendo para as pessoas exigir que eles possam enviar SSH ou RDP para o seu servidor, você precisará decidir se está disposto a colocar o trabalho no fortalecimento do servidor e apenas abrir o acesso para todos ou se você quiser implementar algum tipo de VPN que as pessoas precisam se conectar antes de obter acesso.