Dumt förbiseende, men jag lämnar det här om det hjälper någon.
Mina privata undernät i VPC-RDS använder en annan rutttabell än det offentliga undernätet. Detta görs så att internetadresser (för catch all-regeln 0.0.0.0/0 ) peka på NAT-gatewayen i motsats till internetgatewayen i det offentliga undernätet.
Jag lade till en regel i de privata undernätens rutttabell för peering-anslutningen (172.20.0.0/16 -> pcx-112233 ), och konfigurerade sedan db säkerhetsgrupp för att acceptera TCP-trafik på port 5432 från 172.20.0.0/16 .