Encaminhamento de porta de provedores externos no AWS VPC

Estou procurando um feedback geral sobre como permitir o acesso de serviços externos ao seu Amazon AWS VPC. Eu estou principalmente me perguntando como as outras pessoas fazem isso. Se você estiver usando um serviço externo, como DeployBot , ou qualquer outra coisa que dependa do acesso a uma instância diretamente (via SSH / SFTP / Websocket / whatever), qual é a melhor opção para realizar isso?

Eu criei as seguintes opções:

• Criando uma instância do EC2 com o único propósito de executar o DNAT / MASQUERADE para a instância de backend.
• Criando um ELB para cada instância do back-end EC2 e configurando-o para usar o modo TCP.

Existem outros métodos para realizar isso? Com o surgimento de provedores (X) aaS, parece que isso seria um problema comum.

EDIT: Conforme o comentário da EEAA, estou tentando minimizar a quantidade de endereços IP elásticos usados, preferindo que as instâncias de VPC usem apenas endereços RFC 1918.