Stupida svista, ma la lascerò in sospeso se può aiutare qualcuno.
Le mie sottoreti private in VPC-RDS utilizzano una tabella di instradamento diversa rispetto alla sottorete pubblica. Questo viene fatto in modo che gli indirizzi Internet (per la regola catch all 0.0.0.0/0 ) puntano al gateway NAT anziché al gateway Internet nella sottorete pubblica.
Ho aggiunto una regola alla tabella di routing delle sottoreti private per la connessione peering (172.20.0.0/16 -> pcx-112233 ), e quindi configurato il db gruppo di sicurezza per accettare il traffico TCP sulla porta 5432 da 172.20.0.0/16 .
