Głupie niedopatrzenie, ale zostawię to, jeśli komuś to pomoże.
Moje prywatne podsieci w VPC-RDS używają innej tabeli tras niż podsieć publiczna. Odbywa się to tak, że adresy internetowe (dla reguły catch all 0.0.0.0/0 ) wskaż bramę NAT, a nie bramę internetową w podsieci publicznej.
Dodałem regułę do tabeli tras podsieci prywatnych dla połączenia równorzędnego (172.20.0.0/16 -> pcx-112233 ), a następnie skonfigurowano db grupa bezpieczeństwa do akceptowania ruchu TCP na porcie 5432 z 172.20.0.0/16 .
