実験のウェブサイトを作成し、インターネット上にホストしたのですが

静的なHTML+JavaScriptだけでこうちくできるものであれば、S3にホストするという方法もあります。そのまま公開できて、サーバ管理は不要です。

特定の者だけがインスタンスにアクセスし、ファイルの書き換えなどを行いたいです

最低限SSH接続のインバウンドのみを特定の者のIPを指定したほうが安全ですね。
ご自身のグローバルIPを確認するには以下のサイトが便利でしょう。
https://www.cman.jp/network/support/go_access.cgi
プロバイダーによって割り当てられるIPが変わる場合は、コンテンツを更新したら都度SSH接続のインバウンドを削除するとより安全です。

そのほかのファイル類についても流出や読み書き等できない様に設定したいです。

上記のネットワークの設定もそうですが、インターネットに公開している以上、そのほかにファイルのアクセス権限（実行権限、所有権）、OSのセキュリティパッチの適用、アプリケーションの脆弱性（正しいコーディング）、ミドルウェアの脆弱性対応（適切なバージョン、安全な設定、安全なプラグイン）などと広範囲にセキュアに保つ必要があります。これらをすべて安定にセキュアに担保するのが難しいのであれば、保険としてセキュリティソフトの導入やマネージドサービスの導入も一つの手かもしれないです。

https://teratail.com/questions/262155?modal=q-comp

ちなみに上記のリンク先で添付されているDS_Storeが情報流出の元でもありますので、アップロードしないようにしてください。これがあるとそこからのファイル構成などが筒抜けになります。

セキュリティグループで設定するのは
「どのポートに対して」 「どこからのアクセス」（※）を**「許可」**するか、という設定です。
WEBサイトのアクセスへ必要なのは、一般的には80（HTTP）と443（HTTPS）でしょう。
恐らくHTTPSは現状まだサーバのほうで設定していないでしょうが…。
※「どこから」というのは、IPレンジをしていすることもあれば、セキュリティグループを指定して、そのセキュリティグループを割り当てているリソースからの接続を許可する、みたいなこともできます。

22（SSH）については、ssh接続に使うポートです。
このへんはいろんな考え方がありますが。「どのIPアドレスからの接続を許可するか」という考え方なので、必要最小限にしたい場合は自分が接続するIPレンジからの接続だけ許可すればいいことになります。
ただし、家庭の回線などでは通常は固定IPではないことがほとんどなので、自分のIPが変わった場合は当然設定を変えなければ自分が接続できなくなります。

SSHの場合は現在であれば通常は鍵認証なので、接続に使用する秘密鍵がなければSSHでアクセスしたとしてもログインができません。
なので、「秘密鍵がなければSSHでログインできないので、ポート自体は全開放する」という考え方もアリだとは思います。
（もっというと秘密鍵の暗号方式による暗号強度をどこまで信用するかという話にもなりますが、話がどんどん複雑になるので一旦ここでは割愛します）

また、セッションマネージャを使うのであれば、22番ポートが開いてなくてもsshログイン（のようなこと）ができます。
cliでセッションマネージャを起動することもできるので、その場合はほぼSSHログインと挙動が変わりません。

セキュリティグループの設定としてはこんな感じですが、もし「WEBサーバとして公開しているディレクトリ以下に見られたら困るファイル/ディレクトリがある」という状態なのであれば、それはセキュリティグループではなくてWEBサーバ側の設定でアクセスを拒否するなどしてください。

webサーバーのディレクトリにあるファイルはroot権限者のみの読み書き実行を許可しています(その他のアクセス者には実行権限だけ）。

ちなみにこの解釈は正しくなく、実行権限ではなく読み取りの権限です。
パーミッションについて確認してみてください。