Hloupý omyl, ale pokud to někomu pomůže, nechám to být.
Moje soukromé podsítě ve VPC-RDS používají jinou směrovací tabulku než veřejná podsíť. To se děje tak, že internetové adresy (pro pravidlo catch all 0.0.0.0/0 ) ukažte na bránu NAT, nikoli na internetovou bránu ve veřejné podsíti.
Přidal jsem pravidlo do směrovací tabulky soukromých podsítí pro peeringové připojení (172.20.0.0/16 -> pcx-112233 ) a poté nakonfigurovali db skupina zabezpečení pro příjem provozu TCP na portu 5432 z 172.20.0.0/16 .