Un descuido estúpido, pero dejaré esto por si ayuda a alguien.
Mis subredes privadas en VPC-RDS usan una tabla de rutas diferente a la de la subred pública. Esto se hace para que las direcciones de Internet (para la regla general 0.0.0.0/0 ) apuntan a la puerta de enlace NAT en lugar de la puerta de enlace de Internet en la subred pública.
Agregué una regla a la tabla de rutas de las subredes privadas para la conexión entre pares (172.20.0.0/16 -> pcx-112233 ), y luego configuró el db grupo de seguridad para aceptar tráfico TCP en el puerto 5432 desde 172.20.0.0/16 .
