セキュリティグループ

セキュリティグループのアウトバウンドルールは TCP/22 で 0.0.0.0 で許可。でもNG。

サブネットACL

当該EC2が所属しているサブネットのネットワークACLもチェック。 アウトバウンドルールでTCP/22も許可
なんでや。

Reachability Analyzerをチェック

VPC内でどこか引っかってるかチェック。Internet Gatewayまでは到達していることを確認。
なるほどInternet Gatewayで引っかかってるんやな。

CloudWatchでチェック

CloudWatchのLog Group→VPCから宛先アドレスで検索。
こんなログを発見。

egress 8 REJECT 419084031744 eni-05e47517f4bc99d6d 172.19.96.249 XXX.XXX.XXX.XXXX XXX.XXX.XXX.XXX 22270 22 6 4 208 1656410829 1656410861 OK
ingress - ACCEPT 419084031744 eni-05e47517f4bc99d6d 172.19.80.121 172.19.96.249 XXX.XXX.XXX.XX 52856 22 6 4 208 1656410829 1656410861 OK

172.19.80.121はEC2のプライベートアドレス、172.19.96.249はインタネットゲートウェイのVPC側アドレス。
そうか、こいつが所属しているサブネットでブロックされてるんやな。

ってことでこのサブネットのネットワークACLを編集。
とおりました。