Você tem a porta 80 definida no grupo de segurança ao qual a instância pertence? Abaixo está um exemplo de como isso pode parecer:
A propósito, eu faço de maneira um pouco diferente. Talvez você ache útil. Eu uso o iptables e o DNAT target para encaminhar o SSH sem tocar na configuração do servidor SSH:
iptables -t nat -A PREROUTING -m tcp -p tcp --dport 80 -j DNAT --to-destination INSTANCE_IP:22
Além disso, você precisa adicionar outra regra para permitir o tráfego para a porta 80.
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT