クライアント証明書等を利用されてみてはいかがでしょうか。

セキュリティグループで接続元IPアドレスを制限しているということであれば、都度、マネージメントコンソールや API で変更するしかないと思います。

VPNサーバを立てるのが良いのでは？

SSH の接続であれば公開鍵をもってないと実際のアクセスができないようにする（セキュリティポリシーとしては SSH を全IPに対して公開）するとかですかね。

どこまで自動化するかで変わって来ると思いますが、AWSCLI（またはSDK）を使ってAPI経由でセキュリティグループを書き換えるのがお手軽なのでオススメです。スクリプト化しておきコマンド一発で変更できるようにすると良いでしょう。

スクリプトの例）

bash
1#!/bin/bash
2if [ -f ./ip.txt ]; then
3        # 登録済みの インバウンドルールを削除
4        PREV_GLOBALIP=$(cat ./ip.txt)
5        aws ec2 revoke-security-group-ingress --group-id sg-XXXXXXXX --protocol tcp --port 22 --cider "${PREV_GLOBALIP}/32"
6fi
7
8# グローバルIPを調べる
9curl -s http://checkip.amazonaws.com/ > ./ip.txt
10GLOBALIP=$(cat ./ip.txt)
11
12# 調べたIPをインバウンドルールに追加
13aws ec2 authorize-security-group-ingress --group-id sg-XXXXXXXX --protocol tcp --port 22 --cider "${GLOBALIP}/32"

備考：
・例はAWSCLIを使ったLinux用のShellスクリプトです。
・セキュリティグループのインバウンドルールを書き換えて、SSH(TCP/22)を許可してます。
・実行時に以前のルールを削除してますが、IPが変更されたときだけ消すほうがより良いでしょう