Meu primeiro pensamento seria analisar os seus registros para "google.com" referenciadores, em seguida, faça uma pesquisa whois nos IPs para verificar se há IPs provenientes do espaço IP da AWS e, em seguida, rejeite-os na porta de entrada TCP 80/443 no firewall.
Para ter uma ideia:
whois <ip> | grep Amazon
if [ $? -eq 0 ]; then
<command to add IP to firewall reject/drop policy>
fi
Isso é o que eu faria se decidisse que queria apenas bloqueá-los. Se isso estiver causando problemas de desempenho, talvez seja prudente corrigir os problemas de desempenho, em vez de apenas bloquear a causa deles. Você pode querer usar o nginx como um proxy reverso de armazenamento em cache ou algo assim, se aplicável ao tipo de site que você está executando.