Você pode criar uma LAN virtual (VLAN) para os usuários da VPN. Em seguida, você configuraria o roteador VPN para negar acesso a portas / endereços IP / domínio específicos. Você também pode configurar a instância do EC2 para permitir o acesso com base no endereço IP do usuário:
"IpAddress": { "aws:SourceIp": "xxx.xxx.xxx.xxx/24" }
Descobri isso aqui: link
Espero que isso ajude.