要允许AWS EC2实例上的TCP连接，您需要更新安全组规则并确保防火墙允许相应的端口。以下是一些代码示例，展示如何解决此问题。

1. 使用AWS CLI更新安全组规则：

aws ec2 authorize-security-group-ingress --group-id <安全组ID> --protocol tcp --port <端口号> --cidr 

替换 <安全组ID> 为您实际的安全组ID，<端口号> 为要允许的TCP端口号， 为要允许访问的IP范围。

2. 使用AWS SDK（Python）更新安全组规则：

import boto3

ec2 = boto3.resource('ec2')
security_group = ec2.SecurityGroup('<安全组ID>')
security_group.authorize_ingress(
    IpProtocol='tcp',
    FromPort=<端口号>,
    ToPort=<端口号>,
    CidrIp=''
)

替换 <安全组ID> 为您实际的安全组ID，<端口号> 为要允许的TCP端口号， 为要允许访问的IP范围。

3. 确保AWS EC2实例的防火墙（如iptables）允许相应的端口。您可以登录到实例并运行以下命令：

sudo iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT
sudo service iptables save
sudo service iptables restart

替换 <端口号> 为要允许的TCP端口号。

请注意，这些示例仅适用于简单的情况。如果您的网络架构更为复杂，可能需要进一步配置其他组件（如网络ACL）来允许TCP连接。