Seus grupos de segurança se parecem com a versão do VPC, se esse for o caso, eu tive que abrir o UDP123 / UDP * nas ACLs da minha rede para que ele funcione. As VPCs têm duas camadas de filtragem de pacotes, a ACL da Rede seguida pelos Grupos de Segurança. Os SGs são STATEFUL (não requerem regras de entrada ao conectar primeiro), mas os NACLs são STATELESS (requerem regras para receber pacotes). Uma vez que eu adicionei a linha de configuração apropriada, o NTP funcionou perfeitamente.
Eu só adicionei a linha ao meu NACL externo que executa minhas instâncias de serviço para que eles possam acessar o NTP externo, e então executam um proxy NTP para o resto da minha rede.
Boa sorte!