Se o tempo de inatividade não for permitido, você poderá clonar a instância do servidor fazendo uma imagem dela e, em seguida, reiniciando a imagem com o grupo de segurança correto.
Você pode criar um ElasticLoadBalancer, colocar o original e o clone atrás do ELB, alternar o DNS (com TTL muito baixo) do servidor principal para o terminal ELB e aguardar até que a carga seja distribuída em ambos.
Você, então, deixaria seu servidor original fora do ELB, usando a drenagem de conexão, e reverteria sua alteração de DNS para que agora apontasse para o endereço IP do novo servidor.
Você pode então interromper / encerrar seu servidor antigo, deixando-o com o novo no grupo de segurança correto.
Naturalmente, essa solução não funcionará com um servidor que executa um banco de dados gravável, mas se você tiver um banco de dados gravável em uma única instância de servidor no EC2 Classic, terá outros problemas.